Conception de systèmes de vidéosurveillance bancaires 2026 : Identification par zone EN 62676-4 + GDPR DPIA + Lutte contre le ML + NDAA §889

Pourquoi les caméras de surveillance des banques ne couvrent-elles pas le hall d'entrée ?

Une agence bancaire ressemble à un petit local commercial. Un organisme de réglementation, en l'observant, y découvre cinq régimes juridiques qui se chevauchent : le risque lié aux données sensibles (article 9 GDPR pour chaque transaction ; la conservation des preuves en matière de lutte contre le blanchiment d'argent à chaque guichet ; la reconstitution de l'identité du client (KYC) dans le cadre du contrôle des sanctions pour chaque ouverture de compte ; les contrôles d'approvisionnement (article 889 NDAA pour chaque boîtier d'appareil photo ; et la protection contre la foudre (norme EN 62305) pour chaque distributeur automatique de billets extérieur. Chacun de ces régimes définit un paramètre différent de la même caméra : l'objectif, la fenêtre de conservation des preuves, la marque du modèle, le dispositif de protection contre les surtensions. Une seule erreur et la conception échoue à la mise en service. Deux erreurs et la conception échoue à l'approvisionnement.

Sous-jacente aux quatre régimes juridiques se trouve EN 62676-4, la norme technique qui définit précisément ce que signifie « la caméra a détecté le visage ». Souvent négligée dans les cahiers des charges, elle explique pourquoi de nombreux projets respectent le nombre de caméras requis sans atteindre le seuil de pixels par mètre. L’amendement d’octobre 2025 introduit le cadre OODPCVS (Aperçu, Description, Discernement, Perception, Caractérisation, Validation, Examen) comme un vocabulaire plus précis, venant compléter les niveaux DORI (Détection/Observation/Reconnaissance/Identification) classiques. Les seuils restent inchangés ; OODPCVS offre simplement aux auditeurs un langage plus précis pour les cas intermédiaires. Dans la suite de cet article, nous utilisons les valeurs DORI, avec la correspondance OODPCVS dans le tableau ci-dessous.

DORI (héritage)	px/m	OODPCVS (2025)	Utilisation bancaire typique
Identification	250	Validate / Scrutinise	Teller face, ATM user, entry, vault axis, safe-deposit entry
Recognition	125	Characterise	Cash drawer, vault perimeter overlap, drive-through approach
Observation	62	Perceive / Discern	General lobby, car park sweep
Detection	25	Outline / Overview	Minimum to justify recording at all

Cet article détaille chaque zone en expliquant les calculs. Nous accordons une attention particulière au calcul du nombre de pixels par mètre car, d'après notre expérience d'audit des plans d'agences de banques européennes de taille moyenne, la principale cause d'échec de mise en service est que le nombre de caméras requis était respecté, mais que le seuil de pixels par mètre au niveau du guichet était insuffisant. Le hall d'entrée était conforme. La chambre forte était conforme. Le guichet – zone critique ML – présentait un déficit de 14 % en matière d'identification. Ce type de défaillance entraîne une refonte complète et un retard de six mois.

Fiche de référence. Identification : 250 px/m ; Reconnaissance : 125 px/m ; Observation : 62 px/m ; Détection : 25 px/m. Les opérations de guichet de banque, d’utilisation de distributeur automatique de billets, d’entrée, d’accès à la chambre forte et d’ouverture de coffre-fort relèvent de l’identification. Tout le reste constitue un niveau inférieur justifié par une documentation explicative.

Zone 1 — Entrée de la branche : chaque visage, chevauchement de deux caméras

L'entrée d'une agence est la zone la plus simple à concevoir correctement, mais aussi la plus facile à sous-dimensionner. Tous les organismes de réglementation exigent une capture faciale de niveau identification pour chaque adulte qui franchit la porte, sans exception. L'objectif est de faciliter les enquêtes ultérieures : lorsqu'une fraude, un vol, un braquage ou une identification de complice est détectée lors d'une alerte ultérieure ML , les images de l'entrée fournissent l'horodatage et la première image faciale nette. Un flou à l'entrée est l'une des causes les plus fréquentes de blocage d'une enquête pour fraude.

Exemple pratique : appareil photo 4 MP, objectif 4 mm, à 4 m de la porte d’entrée

PPM @ 4m = (4 × 2560) / (5.376 × 4) = ~476 ppm → Identification ✓

PPM @ 6m = (4 × 2560) / (5.376 × 6) = ~317 ppm → Identification ✓

Une marge de sécurité de 1,9 fois le seuil de 250 ppm à 4 m signifie que la conception tolère une occlusion partielle, la faible luminosité des matins d'hiver et de légères erreurs de hauteur de montage sans être soumise à des restrictions d'identification. La position à 6 m correspond au fond du vestibule, après la porte intérieure, là où le client passe de l'espace public à l'espace contrôlé par la banque.

Pourquoi deux caméras et non une seule ? Ce système à deux caméras offre une protection contre les tentatives de sabotage et les obstructions. Une seule caméra représente un point de défaillance unique : peinture en aérosol, chapeau masquant la vue, reflet du soleil sous un mauvais angle, ou – dans le cas le plus cynique – sabotage physique pendant le cambriolage. Les deux caméras, installées en miroir aux angles opposés du plafond, s’observent mutuellement et observent simultanément l’entrée. La seconde caméra couvre également l’angle de vue que la première ne peut pas obtenir à cause des parapluies et des chapeaux hauts. Le coût marginal du matériel se limite à un appareil et à quelques centaines de mètres de câble Cat6 – un faible coût comparé à celui d’une identification contestée.

Respect de la vie privée dès la conception : la caméra d’entrée enregistre légalement chaque client qui y pénètre, car son utilisation repose sur l’intérêt légitime, conformément à l’article 6, paragraphe 1, point f), GDPR (la prévention de la criminalité financière étant l’un des cas reconnus par le considérant 49), et est complétée par une signalétique claire à l’entrée. Votre analyse d’impact relative à la protection des données (AIPD) doit documenter le test de nécessité (pourriez-vous obtenir les mêmes preuves avec moins de données ?), le test de proportionnalité (le chevauchement des images de deux caméras est-il nécessaire ou excessif ?) et le mécanisme d’exercice des droits des personnes concernées. La réponse standard concernant les caméras d’entrée est affirmative, et une procédure de contact avec le délégué à la protection des données (DPO) est affichée.

Pour une explication détaillée du calcul des pixels par mètre qui sous-tend les chiffres ci-dessus, voir le DORI calculation walkthrough, ou passez directement à la free DORI calculator pour valider votre choix spécifique d'appareil photo et d'objectif.

Zone 2 — Guichet : face avant par guichet + tiroir-caisse porté à l’épaule

Le guichet est la zone la plus souvent négligée dans la conception d'une agence bancaire classique et celle qui a le plus de chances d'échouer lors d'une nouvelle mesure de mise en service. La tentation est grande d'installer un simple dome couvrant tout le comptoir : efficace, économique et facile à câbler. Le problème est qu'un seul dispositif ne peut pas satisfaire simultanément deux objectifs DORI distincts : le visage du client lors de l'identification (250 ppm) et le tiroir-caisse lors de la reconnaissance (125 ppm). L'un se situe à hauteur des yeux (vision horizontale), l'autre à hauteur de main (vision verticale). La géométrie est fondamentalement différente.

Remarque expliquant pourquoi les mêmes spécifications d'appareil photo sont acceptées à l'entrée et refusées au guichet. Une caméra de 4 MP / 4 mm / 1/2,8" placée à 4 m de distance offre une résolution d'environ 476 ppm sur un visage, permettant une identification aisée. Le même boîtier, avec le même objectif, monté sur un dome à 2,7 m de hauteur et orienté vers le bas, filme un client situé à 4 m de l'autre côté du comptoir, en biais. Le plan du visage est alors raccourci d'environ cos(35°) ≈ 0,82, et la diagonale de la ligne de visée est plus proche de 4,8 m que de 4 m. La résolution effective sur le visage est alors d'environ 325 ppm, toujours suffisante pour l'identification, mais sans marge de manœuvre pour les films anti-reflets, l'éclairage hivernal ou la taille du client. C'est pourquoi, pour les guichets automatiques, une caméra est montée à hauteur de visage sur une colonne ou le devant du comptoir, et non sur un dome . Mêmes caractéristiques, géométrie différente, résultat différent.

Exemple d'utilisation : caméra 6 MP, capteur 1/1,8" (7,20 mm horizontal), objectif 8 mm, montée sur colonne à hauteur du visage du client

PPM @ 3m = (8 × 3072) / (7.20 × 3) = ~1138 ppm → Identification (deep headroom) ✓

PPM @ 5m = (8 × 3072) / (7.20 × 5) = ~683 ppm → Identification ✓

La combinaison 6 MP / 8 mm / 1/1,8" est la caméra de guichet par excellence. La marge de sécurité supérieure à 250 ppm est intentionnelle : elle compense le film antireflet du comptoir, la faible luminosité ambiante hivernale, les variations de taille des clients et les inévitables légers décalages de la position de montage au cours de ses 10 ans d'utilisation. La distance de 5 m correspond à la position d'un client à un pas du guichet, toujours au niveau de l'identification.

La caméra auxiliaire est fixée au plafond, derrière le guichet, et filme le tiroir-caisse. Généralement, elle est équipée d'un capteur de 4 mégapixels avec un objectif grand angle de 2,8 mm et une distance de 1,2 m entre le tiroir et le client. Cette caméra enregistre la manipulation des billets et des pièces (comptage, emballage, tri) et constitue la preuve principale en cas de litige. Elle n'a pas besoin de filmer le visage du client (la caméra de la fenêtre s'en charge). En revanche, elle doit pouvoir distinguer clairement les mains et les billets, ce qui implique au minimum une reconnaissance faciale sur une largeur de tiroir d'environ 0,6 m.

Limite de confidentialité — Masquage du clavier PIN. Aucune des deux caméras ne couvre le clavier du terminal de saisie de code PIN côté client. La norme PCI DSS stipule clairement que tout dispositif enregistrant la saisie d'un code PIN déclenche des contrôles de gestion des codes PIN : chiffrement au repos, gestion des clés et audit. Il est impératif que votre système de vidéosurveillance ne soit pas soumis aux exigences de la norme PCI DSS. La solution standard consiste soit à installer les caméras à des angles qui empêchent physiquement la vue du clavier (angles aigus de vue latérale), soit à masquer la zone du clavier dans le micrologiciel de la caméra (la plupart des caméras ONVIF professionnelles prennent en charge le masquage de confidentialité par zone). Dans tous les cas, le document de conception doit préciser la méthode utilisée et sa justification.

Le nombre de caméras par guichet augmente de façon linéaire : une ligne de six guichets est équipée de six caméras faciales et de six caméras de tiroir-caisse, soit douze appareils côté guichet. Cela peut paraître beaucoup, mais il faut le comparer au coût d'une transaction contestée, sans preuve, qui finit par être transmise au superviseur. Le coût marginal de deux caméras par guichet est bien inférieur au coût d'un litige non résolu.

Zone 3 — DAB : identification faciale + comportement à l’écran + périmètre/plaque

Chaque distributeur automatique de billets (DAB) devrait être équipé de trois caméras. La caméra faciale identifie l'utilisateur. La caméra d'écran enregistre les comportements : masquage du clavier, observation furtive, manipulation psychologique. La caméra périmétrique couvre l'entrée et la sortie, et, sur les DAB accessibles en voiture, elle capture la plaque d'immatriculation du véhicule. Chaque caméra permet de lutter contre une catégorie de fraude ou d'attaque différente : clonage de carte (visage et comportement), piégeage de carte (comportement), vol par distraction (périmètre), vol à main armée au DAB (périmètre et plaque d'immatriculation) et reconstitution de la prise de contrôle du compte (visage).

Exemple concret : un groupe de trois caméras pour distributeur automatique de billets

Caméra frontale — 4 MP, objectif 1/2,8", 6 mm à 1,5 m du visage de l'utilisateur :

PPM @ 1.5m = (6 × 2560) / (5.376 × 1.5) = ~1905 ppm → Identification (deep headroom for motion blur and low light)

Caméra d'écran/de comportement — 4 MP, objectif grand angle 1/2,8", 2,8 mm à 1 m de la zone du clavier :

PPM @ 1m = (2.8 × 2560) / (5.376 × 1) = ~1333 ppm → Identification (lens choice records arm and hand motion)

Caméra de lecture de plaques d'immatriculation au drive-in — 8 MP, 1/1,8", objectif 12 mm à 5–8 m de la plaque :

PPM @ 5m = (12 × 3840) / (7.20 × 5) = ~1280 ppm → plate-readable with fast-shutter margin for night

Angle de passage et réduction de la puissance des volets. Dans une agence, les caméras de lecture de plaques d'immatriculation sont le seul endroit où les calculs statiques sous-estiment la focale nécessaire. Un véhicule s'approchant du distributeur automatique à 5 km/h se déplace à environ 1,4 m/s, et la plaque est rarement perpendiculaire à l'axe de la caméra (l'angle d'approche typique est de 20° à 35°). La résolution effective des caractères de la plaque est réduite par le cosinus de l'angle : à 30°, la perte est d'environ 13 %, et à 45°, d'environ 30 %. De plus, le flou de mouvement rend les caractères imprécis, sauf si la vitesse d'obturation est inférieure ou égale à 1/500 s, ce qui impose une plus grande ouverture ou un gain plus élevé en conditions nocturnes. En règle générale, doublez la focale que vous choisiriez pour la capture d'un visage à l'arrêt à la même distance. Pour un guichet automatique de 5 m, 12 mm et non 6 mm. Voir le guide de distance de plaque d'immatriculation et de longueur focale pour le calcul complet de la lisibilité des plaques.

Distributeur automatique de billets extérieur = zone de protection contre la foudre. La norme EN 62305 classe tout appareil extérieur monté sur poteau ou auvent exposé comme zone de protection contre la foudre (LPZ). La BOM doit inclure des parafoudres sur les lignes d'alimentation et de données. Une caméra PoE standard sans parafoudre est irrémédiablement endommagée par un seul orage, et la surtension peut souvent endommager le port NVR. Votre PDF de conception doit indiquer clairement le modèle de parafoudre pour chaque caméra extérieure, la classification LPZ et la liaison au système de protection contre la foudre du bâtiment, le cas échéant. Budget PoE typique pour une caméra ATM extérieure avec chauffage et parafoudre : 25 à 30 W par prise sur un port de commutateur PoE+ (60 W). Les dome intérieures consomment entre 5 et 7 W. Dimensionnez le commutateur et l'onduleur en conséquence.

Zone 4 — Chambre forte et salle des fonds : double caméra avec système de surveillance relié au contrôle d’accès

La salle des coffres et de comptage de l'argent est la zone la plus critique de toute agence et celle où il est le plus facile de surdimensionner et de sous-dimensionner simultanément les systèmes de sécurité. Un surdimensionnement se traduit par quatre caméras 4K grand angle pointant vers le même mur. Un sous-dimensionnement se manifeste par une seule caméra haute résolution sans second angle de vue. La solution optimale consiste en deux caméras à champs de vision se chevauchant, installées dans les coins opposés, chacune avec une densité de pixels suffisante pour l'identification, le long de l'axe central de la pièce.

Exemple pratique : paire de capteurs 4 MP, objectif de 4 mm, coins opposés à une hauteur de 2,7 m

PPM @ 4m (central axis) = (4 × 2560) / (5.376 × 4) = ~476 ppm → Identification ✓

Chaque caméra couvre la pièce depuis un coin. Le chevauchement angulaire de 30 à 40 % le long de l'axe central garantit qu'une tentative de sabotage sur un appareil laisse le second appareil comme témoin indépendant, et la marge d'identification (environ 1,9 fois supérieure au seuil) compense les tolérances de montage et les variations d'éclairage.

Étiquetage vidéo déclenché par un événement. Les enregistrements de la chambre forte doivent être associés au journal des événements du contrôle d'accès. Chaque ouverture de porte dans la chambre forte doit automatiquement joindre le segment vidéo correspondant de la paire de caméras à l'enregistrement de l'événement dans le NVR. C'est ce que recherchent les auditeurs ML lorsqu'ils demandent à « consulter les entrées de la chambre forte des 90 derniers jours » : non pas une longue chronologie de pièces vides, mais une liste d'événements d'accès avec un clip de 2 minutes pré-attaché pour chaque événement. La plupart des plateformes NVR professionnelles prennent en charge l'association vidéo déclenchée par événement ; la conception doit simplement spécifier la liaison, la règle de conservation (généralement la plus longue des périodes de conservation du journal d'accès et de l' ML accès) et la compatibilité avec le fournisseur du système de contrôle d'accès.

La durée de conservation des enregistrements des archives est la plus longue des réglementations applicables. Dans l'UE, une pratique traduite de la directive ML D prévoit une durée de 6 mois pour l'accès général aux archives et une durée indéterminée pour les événements signalés. Aux États-Unis, les recommandations de la BSA/FFIEC préconisent une durée minimale d'un an pour les archives et de 5 ans pour tout enregistrement lié à une déclaration d'activité suspecte (DAS). Remarque concernant la longue durée de conservation : le principe de limitation de la conservation du GDPR (article 5, paragraphe 1, point e) prévoit une conservation indéterminée, nécessitant un déclencheur vérifiable (le signalement de la DAS, l'identifiant de l'enquête) reliant chaque segment conservé à sa finalité légitime. Une conservation systématique de 5 ans sans justification au niveau des segments constitue en soi une infraction. Il est conseillé de consulter un avocat pour les projets transfrontaliers. Le calculateur de stockage de CCTVplanner effectue les calculs nécessaires. /calculatrice/stockage avec la rétention par caméra comme variable par zone.

Zone 5 — Couloir des coffres-forts : identifier l’entrée, ne jamais capturer le contenu

Le coffre-fort est le domaine où la frontière entre vie privée et sécurité est la plus clairement définie et la plus solidement encadrée par la jurisprudence dans toutes les juridictions européennes. Le client a une attente légitime quant à la confidentialité du contenu de son coffre. La vidéosurveillance dans le couloir est acceptable, voire parfois obligatoire, mais la couverture de l'intérieur du coffre ou même de l'interaction du client avec son coffre ouvert est contestable au regard de l'article 8 de la CEDH dans plusieurs juridictions. La pratique courante consiste à filmer l'entrée du couloir, la porte du local à coffres de l'intérieur, et à ne jamais pointer une caméra vers le présentoir à coffres lui-même.

Exemple pratique : 4 MP / 4 mm à l’entrée d’un couloir, profondeur de vue de 3 à 5 m

PPM @ 5m = (4 × 2560) / (5.376 × 5) = ~381 ppm → Identification ✓

Le client est identifiable à l'entrée du couloir. Une seconde caméra, située à l'intérieur de la salle des cartons, filme la porte mais est orientée de sorte que le rayonnage soit hors champ. L'entrée et la sortie du client sont filmées ; en revanche, ses interactions avec son propre carton ne le sont pas.

Il s'agit du modèle de protection des données dès la conception le plus explicite de toute la branche, et celui que les superviseurs valorisent le plus lors des analyses d'impact relatives à la protection des données (AIPD). En documentant la contrainte d'angle, le schéma des champs de vision des caméras avec le rack hors champ, et la formation des opérateurs sur l'interdiction de zoomer sur le rack, vous transformez une zone potentiellement risquée en une démonstration de conformité irréprochable. Le PDF du projet CCTVplanner inclut une annotation « portée du contenu capturé » par caméra, spécifiquement conçue pour ce type de documentation destinée aux autorités de réglementation.

Architecture réseau : VLAN, plan de gestion, NDAA logiciel

L'article 889 NDAA ne se limite pas au boîtier de la caméra. Les directives d'application 2023-2024 des agences fédérales précisent que les logiciels de gestion vidéo, les micrologiciels NVR et les plateformes de gestion cloud des entités concernées sont également soumis à des restrictions. Une caméra Hanwha ou Axis , même « conforme », connectée à un NVR Hikvision constitue toujours une infraction à l'article 889. Votre conception doit attester de l'ensemble de la chaîne : boîtier de la caméra, enregistreur, logiciel de gestion vidéo et tout service de gestion cloud ou mobile.

La segmentation du réseau est également indispensable. Un réseau de vidéosurveillance bancaire représente une cible de grande valeur, car les caméras offrent une vue privilégiée sur la manipulation d'espèces et parce que les commutateurs PoE avec identifiants par défaut constituent une voie d'accès latérale documentée au réseau de l'entreprise. Conception minimale :

VLAN dédié aux caméras, aucun routage vers le réseau local de l'entreprise, aucune sortie Internet sauf vers les points de terminaison cloud du fournisseur autorisés.
Plan de gestion sur un VLAN séparé avec authentification multifacteurs sur la console VMS.
Processus de mise à jour du firmware documenté — mise à jour manuelle hors ligne ou mise à jour automatique du firmware signé uniquement, jamais de simple extraction HTTP.
Les identifiants par défaut ont été supprimés lors de la mise en service et sont documentés dans le rapport de passation de pouvoir.

C’est cette couche qui transforme un système de vidéosurveillance d’un point faible en matière de conformité en un atout. Les auditeurs demandent de plus en plus souvent le schéma du réseau en plus du planning des caméras.

Standardisation multi-sites sur plus de 10 sites

Une banque de détail comptant 50 agences dispose des mêmes cinq zones dans chacune d'elles, mais ces agences diffèrent par leur taille, leur agencement et la géométrie des rues. La conception manuelle de chaque agence, réalisée de A à Z, est à l'origine des dérives en matière de conformité : l'agence 23 se retrouve avec une lentille de 6 mm à l'entrée, alors que toutes les autres utilisent du 4 mm, suite à une erreur de mémoire du concepteur ce jour-là. Trois mois plus tard, lors de la mise en service, on constate que l'agence 23 active la zone de reconnaissance au lieu de l'identification à l'entrée, et l'agence entière doit être repensée.

Le modèle standardisé utilise trois archétypes : petit (2 guichets, un distributeur automatique, sans service au volant), moyen (4 guichets, deux distributeurs automatiques, sans service au volant) et grand (6 guichets ou plus, service au volant, plusieurs coffres-forts). Chaque archétype correspond à une conception EN 62676-4 entièrement résolue, intégrant le nombre de caméras, le choix des objectifs, les hauteurs de montage et les calculs DORI. Chaque succursale est dérivée de l’archétype le plus proche, avec des adaptations spécifiques au site pour les caméras périmétriques et la géométrie du plan. La conformité est garantie ; seule la géométrie varie.

Le modèle de projet CCTVplanner est conçu pour ce cas de figure. L'action « Dupliquer le projet » clone un archétype en conservant toutes les zones, tous les calculs DORI et toutes les métadonnées de conformité. Le projet dupliqué accepte ensuite un nouveau plan d'étage, une nouvelle vue satellite et des ajustements de caméras par agence, sans que la configuration de référence EN 62676-4 ne soit altérée. Chaque agence génère son propre rapport d'audit PDF , mais les règles de conception sous-jacentes restent identiques et vérifiables.

BOM , stockage de conservation et PDF de l'auditeur

Un projet bancaire qui ne donne pas lieu à un document unique livrable à l'auditeur n'est pas un projet finalisé. Le PDF contient :

Plan d'étage avec chaque caméra indiquée
Matrice de zones avec niveau DORI par caméra et par zone
Liste des appareils photo avec modèle + objectif + monture + alimentation
Longueur des câbles et budget PoE par armoire (typique : 25 à 30 W par caméra ATM extérieure, 5 à 7 W par dome intérieur)
Dimensionnement NVR et du stockage pour les fenêtres de rétention par zone
Liste SPD pour les dispositifs LPZ extérieurs
Signalement NDAA §889 par caméra, enregistreur et composant VMS
Schéma d'architecture réseau (VLAN, plan de gestion, politique du firmware)
Modèle de feuille de travail pour l'analyse d'impact relative à la protection des données (AIPD) – Article 35 GDPR

Chacune de ces sections répond à une question de l'autorité de régulation. La matrice de zonage répond à la question : « Toutes les personnes concernées ont-elles été identifiées ? ». Le planning des caméras répond à la question : « Des marques interdites sont-elles présentes dans une agence située à proximité de l'autorité fédérale ? ». Le tableau de conservation des données répond à la question : « Conservez-vous les enregistrements des distributeurs automatiques de billets suffisamment longtemps pour respecter la règle des 90 jours de la BSA et suffisamment peu longtemps pour respecter les limitations de conservation GDPR ? ». La feuille de calcul de l'analyse d'impact relative à la protection des données (AIPD) répond à la question : « Avez-vous appliqué l'article 35 à ce traitement ? ». Un simple PDF reprenant ces questions permet de réduire l'entretien avec l'autorité de régulation d'une demi-journée à une demi-heure.

La BOM est exportée séparément au format CSV pour le processus d'approvisionnement. L'exportation au format DXF est destinée à l'électricien et comprend les chemins de câbles, les emplacements de montage et le budget PoE par prise. Les deux fichiers font référence au même PDF de référence, garantissant ainsi que le service des achats, l'installateur et l'auditeur consultent toujours la même source d'information fiable. C'est ce modèle de sortie multiple qui distingue un outil de conception de qualité professionnelle d'un simple logiciel de planification de caméras.

Erreurs courantes à éviter

Un seul dome recouvrant à la fois le guichet et le tiroir-caisse
Des cibles DORI différentes, une géométrie différente : un seul appareil ne peut pas satisfaire aux deux. Un audit ML cible spécifiquement le guichetier ; la plupart des échecs de mise en service se produisent à ce niveau.
Intégration de Hikvision ou Dahua dans une BOM d'une branche fédérale adjacente — y compris le NVR et le VMS
L'article 889 NDAA couvre l'ensemble du système. L'utilisation d'une caméra conforme sur un enregistreur non conforme constitue toujours une infraction. Le financement fédéral est alors suspendu et un nouvel appel d'offres est lancé.
Omettre l'analyse d'impact relative à la protection des données (AIPD) prévue à l'article 35 GDPR pour une « refonte mineure »
Toute modification du nombre de caméras, de leur installation ou de leur conservation dans une agence constitue une modification de l'activité de traitement. Même un projet d'ajout de deux caméras seulement nécessite une mise à jour de l'analyse d'impact relative à la protection des données (AIPD). Les autorités de contrôle sont de plus en plus vigilantes à ce sujet.
Absence de dispositif de protection contre les surtensions sur les caméras de guichet automatique extérieures
La norme EN 62305 exige une classification LPZ et un parafoudre pour toutes les caméras extérieures exposées. Un typhon, une panne de transformateur ou la foudre frappant directement la structure du bâtiment peuvent rendre la caméra inutilisable, ainsi que souvent le port NVR. L'investissement initial dans un parafoudre est minime.
Distributeur automatique de billets à caméra unique sans système de secours
Toute tentative de sabotage ou d'obstruction de la seule caméra du distributeur automatique de billets ne laisse aucune trace. Le système à trois caméras (face + écran + périmètre) offre une protection aussi bien contre le sabotage que contre la fraude.
Rétention dimensionnée selon la fenêtre applicable la plus courte
Une succursale opérant à la fois en UE et aux États-Unis doit se conformer aux réglementations anti-blanchiment d'argent ( ML ) et de confidentialité des données (BSA). Dimensionner le stockage en fonction des exigences de l'UE alors que la BSA impose une durée plus longue constitue une erreur de conception évitable qui se révèle lors de l'entretien avec l'autorité de contrôle six mois plus tard. L'erreur inverse – une conservation indéfinie et systématique des données sans justification par segment – contrevient aux limitations de stockage GDPR.
VLAN de la caméra intégré au réseau local d'entreprise
Les commutateurs PoE et les caméras IP utilisant des identifiants par défaut constituent des vecteurs de propagation latérale documentés. La segmentation n'est pas un simple atout.

Foire aux questions

→Does a single 4MP dome at 4m height pass EN 62676-4 Identify on a teller window?

Almost never. A 4MP camera with 1/2.8" sensor on a 4mm lens delivers around 476 ppm on a face at 4m straight-line — but at the teller window the camera is dome-mounted at ~2.7m height looking obliquely down at a customer 4m away across the counter. Foreshortening (cos ≈ 0.82 at a 35° face angle) and the longer diagonal line-of-sight (~4.8m) drop the effective face-plane ppm to roughly 325 — above Identification but with no headroom for glare film, winter lighting or a tall customer. To hit 250 ppm reliably you either mount the camera at face height on a column or counter front, or step up to a longer lens (8mm or a 2.8–12mm varifocal locked at 8mm) on a 6MP / 1/1.8" body. The teller window is the one zone in a branch where the lazy 'one dome covers it' rule reliably breaks the AML evidentiary requirement.

→What is the AML video retention window for ATM footage in the EU vs the US?

EU AMLD does not prescribe a fixed retention window for CCTV footage, but national supervisors translate it into practice as roughly 30 to 90 days for general branch coverage and up to 180 days for ATM and teller transaction zones — with the explicit requirement that any footage tied to a flagged transaction be preserved indefinitely until the investigation closes. The US Bank Secrecy Act and FFIEC guidance push 90 days minimum and 1 year for ATM and vault, with the same flagged-event preservation rule. Your design needs storage sized for the longer of the two if you operate in both jurisdictions — but the indefinite retention has to be tied to a per-segment SAR flag or investigation ID, otherwise GDPR storage limitation cuts the other way.

→Is Hikvision banned in every bank branch, or only federal-affiliated ones?

Section 889 of the US NDAA prohibits federal agencies and federal-grant recipients from procuring or operating Hikvision, Dahua, Huawei, Hytera and ZTE equipment — and the 2023–2024 enforcement guidance extends that to recorders, VMS software and cloud-management back-ends, not just cameras. In banking that captures government depository banks, branches inside federal buildings, and any bank that takes federal-grant funding (rural development, community reinvestment, certain SBA programmes). Most large retail banks are not directly subject to §889 — but their commercial customers increasingly require Section 889 attestation up the supply chain, and federal regulators have begun citing presence of banned equipment as a procurement-controls weakness in CFPB and OCC exams. Practically, if you operate any federally adjacent branches you should design the whole estate as if §889 applies, because retrofitting later costs more than designing right the first time.

→How many cameras do I need at an ATM — one, two, or three?

Three is the durable answer for a customer-facing ATM. One for face capture at Identification (200–300 ppm on the user's face at the typical 1.2–1.7m standing distance). One for screen-and-keypad behaviour at wide angle (records gestures and obstruction attempts but masks PIN entry per PCI guidance). One for the surrounding area and drive-up plate if applicable. Skipping any of the three creates a defensible gap an investigator can point to: missing face after a fraud, missing behaviour during a skimmer install, or missing context for a wallet theft at the machine. The marginal hardware cost is small compared to the cost of one disputed transaction with no evidence.

→What's the cost difference between an 8MP NDAA-compliant camera and a 4MP Hikvision?

At list price the gap is typically 30 to 60 percent — an 8MP Hanwha or Axis NDAA-compliant bullet runs around $250–$450 at distributor pricing versus $150–$280 for a comparable 4MP Hikvision. The gap closes once you factor in matched specs at higher resolution, longer warranty terms, and the absence of compliance-pull risk. For a 30-camera branch the total uplift is roughly $3,000–$6,000 — typically less than 5 percent of the project's all-in cost including labour, switches, NVR, cable and installation. The compliance insurance is cheap.

→Do I need separate cameras for the teller's face and the teller's cash drawer?

Yes — they are different evidentiary objects with different DORI requirements. The customer face needs Identification at the teller window (250 ppm, typical mounting on a column or counter front). The cash drawer needs Recognition over the denomination handling (125 ppm minimum, typical mounting overhead behind the teller looking down). A single camera cannot meet both simultaneously without an unrealistic lens — the geometry is fundamentally different (one is roughly horizontal at face height, the other is roughly vertical at hand height). Combined-evidence cameras exist but get challenged in fraud disputes when the auditor asks why a single device covered two different DORI targets.

→How does GDPR Article 35 DPIA apply to a bank branch CCTV redesign?

Article 35 requires a Data Protection Impact Assessment when processing is likely to result in high risk to the rights and freedoms of natural persons. Bank branch CCTV almost always qualifies — large-scale systematic monitoring of a public area, special-category data risk where teller windows capture financial transaction context, and behavioural analytics if you add AI overlays. The DPIA needs to document the lawful basis (typically Article 6(1)(f) legitimate interest with the AML/financial-crime balance test), the proportionality of each zone, the retention windows tied to per-segment triggers, the access controls, and the subject-rights mechanism. The CCTVplanner project PDF includes a DPIA-ready section per zone — designed to drop into the assessment with minimal editing.

→Can I reuse one branch's CCTV design across 50 sites?

Yes — that is exactly the multi-branch project model. A baseline branch design (typical small, medium and large layouts) becomes a project template. You fork the template per actual site, swap the satellite map and floor plan, adjust the perimeter cameras to match the real geometry, and the zone-level DORI compliance and BOM logic carries through. What you cannot reuse blindly is the camera count, the cable run, and the lightning-protection zones — those are site-specific. Bank-network designers typically keep three to five 'archetype' templates and treat each branch as an instance of the closest archetype with site-specific overrides.

→Does NDAA §889 cover the NVR and VMS or just the cameras?

The full stack. 2023–2024 enforcement guidance from federal agencies makes clear that recorder firmware, video management software, and cloud-management back-ends from covered entities are restricted on the same terms as the cameras. A compliant camera body connected to a Hikvision recorder, or recorded into a Dahua-branded VMS, or back-ended by a covered cloud service, is still a violation. Your camera schedule needs an NDAA flag column that includes the recorder and VMS rows, not just the camera rows.

Conception des systèmes de vidéosurveillance bancaires 2026 : distributeurs automatiques de billets, chambres fortes, guichets et entrées d’agence – Présentation zone par zone de la norme EN 62676-4

En bref — les 5 points essentiels à réussir

Table des matieres