Is a CCTV pictogram alone enough under GDPR?

No. The pictogram is the layered approach's first level — the second level (controller name, contact, lawful basis, retention, DPO contact, link to full privacy notice) must be available either on the same sign or on a clearly visible companion sign nearby. The European Data Protection Board's 3/2019 guidance explicitly requires this two-level approach for any CCTV deployment processing personal data.

Can I use one sign for multiple cameras?

Yes, if the sign is positioned at every entry point to the monitored area and is visible before a person enters the camera coverage. For large sites with multiple zones (parking + lobby + corridors), a sign at each zone boundary is the safe pattern. A single sign at the main entrance is insufficient for visitors who enter via secondary doors.

What size and material should the sign be?

GDPR doesn't mandate a specific size, but DPAs across the EU consistently fine for signs that are too small or too high to be read at the natural approach distance. Practical rule: pictogram must be readable from 5 m, second-level text from 1.5 m. UV-stable PVC or aluminium dibond is standard for outdoor durability. Avoid laminated paper — sun and rain make it unreadable within months and the DPA treats illegible signs as no signage.

Do I need to translate the sign?

Yes, into every language a visitor would reasonably understand. In a tourist area or international airport that's typically English plus the national language. For workplace CCTV, every working language at the site. Single-language signs in multilingual contexts have been fined as inadequate notice. The pictogram itself is universal but the second-level text needs translation.

Conformité · Signalétique · Mise à jour 2026-05-05

Exigences GDPR en matière de signalétique et de pictogrammes pour la vidéosurveillance

Un pictogramme sur la porte ne constitue pas, à lui seul, une signalétique de vidéosurveillance conforme GDPR. Les recommandations de l'Autorité européenne de protection des données préconisent une approche par couches : un premier niveau (pictogramme et informations essentielles minimales) et un second niveau (notice d'information complète, accessible au même endroit). La plupart des mesures d'exécution concernant la vidéosurveillance des habitations et des petits commerces sont prises suite à un défaut de signalétique, et non au traitement des données sous-jacent.

Le contenu obligatoire de la signalisation de premier niveau

Pictogramme — L'icône universelle des caméras de vidéosurveillance, suffisamment grande pour être lisible à une distance d'approche de 5 m.
Identité du contrôleur — « Le nom légal de l’exploitant (entreprise, ménage, organisme public). Le terme « propriétaire » seul ne suffit pas. »
Contact — Au minimum, une adresse électronique ; une adresse téléphonique ou postale est préférable.
But — bref énoncé de l'objectif de sécurité (par exemple « protection des biens », « dissuasion du vol »).
Base légale — généralement « Article 6(1)(f) GDPR — intérêt légitime » ; dans le contexte du travail, ajouter la référence pertinente au droit du travail.
Période de rétention — en jours, par exemple « les images sont conservées pendant 30 jours ».
Avis relatif aux droits — une déclaration d'une seule ligne indiquant que les personnes concernées peuvent exercer leurs droits GDPR, avec le lien ou les coordonnées pour ce faire.
contact DPO — Obligatoire pour les organisations qui en ont désigné un ; facultatif pour les exploitants résidentiels et les petites entreprises.
Consultez l'intégralité de la politique de confidentialité. — URL ou code QR pointant vers l'avis de deuxième niveau.

Modules complémentaires spécifiques au pays

Pologne (directives RODO et UODO). Le pictogramme doit comporter la dénomination sociale complète et l'adresse du responsable du traitement, la durée de conservation en jours et une référence au catalogue des droits GDPR. L'UODO a infligé des amendes aux opérateurs n'ayant pas indiqué l'adresse du responsable du traitement ni les mentions de durée de conservation se limitant à « la durée nécessaire ».

Allemagne (RGPD + recommandations des autorités de protection des données des Länder). Chaque autorité de protection des données d'un Land publie son propre modèle ; au niveau fédéral, les informations minimales requises sont : responsable du traitement, contact, finalité, base légale, durée de conservation, droits et délégué à la protection des données (DPO). Les autorités de Bavière et du Bade-Wurtemberg sont particulièrement strictes quant à la précision de la durée de conservation : « 30 jours » est acceptable, « aussi longtemps que nécessaire » ne l'est pas.

Italie (modèle Garante). Garante publie un pictogramme contraignant et un modèle de second niveau. La signalétique des caméras de vidéosurveillance sur le lieu de travail doit également faire référence à la convention collective ou à l'autorisation de l'inspection du travail conformément à l'article 4 du statut des travailleurs.

Espagne (modèle AEPD). L'AEPD propose un pictogramme téléchargeable et un modèle d'avis de second niveau. Ces deux éléments sont pratiquement obligatoires ; toute dérogation nécessite que le responsable du traitement démontre une communication d'information équivalente ou supérieure.

Au Royaume-Uni (Code de conduite de l'ICO en matière d'emploi + Code de bonnes pratiques du Commissaire à la vidéosurveillance). L'ICO ne publie pas de modèle de signalétique contraignant, mais son Code de conduite en matière d'emploi fait autorité. Le Code de bonnes pratiques du Commissaire à la vidéosurveillance ajoute des recommandations aux exploitants (signalétique visible dès l'approche, en anglais et dans d'autres langues pertinentes, et vérification régulière de la lisibilité).

Où placer les panneaux

À chaque point d'accès à la zone surveillée, avant qu'un visiteur n'entre dans le FOV de la caméra : pour un magasin à entrée unique, un panneau à la porte ; pour un parking avec trois entrées véhicules et un portillon piéton, quatre panneaux minimum ; pour un immeuble de bureaux à plusieurs étages, des panneaux à chaque étage, aux entrées des ascenseurs et des escaliers.

Le panneau doit être placé à hauteur des yeux (1,5 à 2 m) et ne pas être masqué par la végétation, des étagères, des véhicules stationnés ou des décorations saisonnières. Les autorités de protection des données de l'UE infligent systématiquement des amendes aux panneaux techniquement présents mais pratiquement invisibles.

Pour les commerces et parkings accessibles en voiture, installez le premier panneau à la barrière d'entrée, à l'endroit où les véhicules s'arrêtent, et le second à l'entrée de chaque emplacement de stationnement. Le conducteur doit avoir lu le panneau avant d'être photographié.

Maintenance — le mode de défaillance silencieux

Les panneaux extérieurs se dégradent. Les UV décolorent les pictogrammes, la pluie altère l'encre et le vandalisme les efface. Il est recommandé d'inspecter les panneaux tous les trimestres, de les photographier et de consigner l'inspection. Un panneau conforme lors de son installation mais illisible au moment du signalement est considéré comme inexistant. Garante, UODO et AEPD ont tous infligé des amendes pour des cas de panneaux « conformes à l'installation, dégradés lors de l'audit ».

Générez un plan de positionnement des panneaux de signalisation en fonction de votre configuration de vidéosurveillance.

CCTVplanner exporte une carte FOV par caméra, permettant d'identifier chaque point d'entrée nécessitant une signalisation. La version gratuite couvre un site.

RODO complète au GDPR →

Notre guide complet de conformité des contrôleurs de vidéosurveillance.

Vidéosurveillance sur le lieu de travail selon GDPR →

Analyse d'impact relative à la protection des données (AIPD), comité d'entreprise, règles de conservation des données relatives au suivi des employés.