Caméras augmentées aux caisses automatiques : comment se conformer au RGPD ?

06 mai 2025

Certaines enseignes souhaitent déployer des caméras augmentées afin de détecter les erreurs ou tentatives de vol au niveau des caisses automatiques. La CNIL rappelle les règles à respecter pour protéger les droits des personnes.

Ce qu’il faut retenir

Ce type de dispositif n’est généralement pas anonyme. Il peut être légalement mis en œuvre, mais il doit respecter les principes du RGPD : définition d’une base légale, minimisation des données, informations des personnes, durées de conservation limitées, droit d’opposition effectif, etc.
La CNIL recommande à titre de bonne pratique de procéder à une expérimentation du dispositif envisagé en conditions réelles pour s’assurer de son efficacité, de sa légalité et de son impact limité pour les personnes avant toute mise en place.

Comment fonctionnent ces dispositifs ?

Les caisses automatiques équipées de caméras augmentées utilisent un logiciel pour analyser les images en temps réel.

Positionnées généralement en hauteur au-dessus de la caisse automatique, ces caméras filment exclusivement l’espace de la caisse, dont le client, son panier d’achat et les produits à scanner, la zone de scan et celle où sont placés les produits une fois scannés.

L’algorithme utilisé permet de détecter différents « événements » (par exemple, reconnaître ou suivre les produits, les mains des personnes, ou encore la position d'une personne par rapport à la caisse) afin de vérifier notamment que chaque produit est effectivement scanné (comme dans l’illustration ci-dessous). Certains dispositifs permettent de détecter d’autres anomalies ou tentatives de fraude, ce qui devra être pris en compte pour analyser la légalité du dispositif.

En cas d’anomalie, une alerte peut s’afficher pour permettre au client de se corriger en autonomie ou déclencher l’intervention d’un employé.

Attention : cette fiche ne couvre pas les systèmes déployés à des fins de détection du vol dans l’intégralité d’une surface de vente qui relèvent de la position de la CNIL sur les caméras « augmentées » dans l’espace public publiée en 2022.

Dans la zone filmée, il y a une zone de détection à l'endroit où est scanné le produit : Si le produit détecté est scanné, le client peut poursuivre la transaction. Si le produit détecté n'est pas scanné ou une autre anomalie est détectée, intervention du personnel pour vérification.

Exemple de fonctionnement d’une caméra augmentée à une caisse automatique

Ces dispositifs collectent des données personnelles

Les traitements mis en œuvre par ces caméras ne peuvent généralement pas être considérés comme anonymes : même si les visages sont floutés ou masqués, les personnes concernées sont ré-identifiables, soit par l’intermédiaire du système vidéo existant par ailleurs, soit parce qu’une intervention sera réalisée auprès d’elles. Le lien entre le traitement et la personne concernée n’est donc pas rompu.

Ces dispositifs devront donc respecter le règlement général sur la protection des données (RGPD).

Le traitement de données d’infractions

Bien que ces dispositifs visent principalement à prévenir le vol ou la fraude, ils n’impliquent pas nécessairement un traitement de données d’infractions, au sens de l’article 10 du RGPD.

Toutefois, cela peut être le cas pour ceux conçus pour détecter spécifiquement des comportements frauduleux et qui alimenteraient un traitement relatif à la gestion du précontentieux (règlement amiable) et du contentieux (action en justice) des infractions constatées. Dans ce cas, l’enseigne ne pourra utiliser les données que pour préparer, exercer et suivre une action en justice (article 46 de la loi Informatique et Libertés).

Des dispositifs qui peuvent poursuivre un intérêt légitime, sous réserve de garanties fortes

Les enseignes ont un intérêt légitime à limiter la perte de revenus causée par les erreurs ou les vols aux caisses automatiques. Cette base légale pourra donc être mobilisée à condition de s’assurer que le dispositif est nécessaire à l’objectif poursuivi et qu’il ne porte pas une atteinte disproportionnée aux droits des personnes.

S’assurer que le dispositif est nécessaire à l’objectif poursuivi

Privilégier le recours à des solutions alternatives moins intrusives

Il existe d’autres solutions pour contrôler le panier des clients aux caisses automatiques : pesée des articles scannés, marquage RFID des produits, contrôle aléatoire ou encore tickets de sortie.

La CNIL recommande de privilégier ces solutions moins intrusives.

Cela n’exclut pas la possibilité de mettre en place des caméras « augmentées » : l’enseigne devra alors documenter le fait que ces alternatives ne peuvent être mises en place ou ne sont pas suffisantes au regard de l’objectif.

S’assurer de l’efficacité du dispositif mis en place

Si les performances techniques du dispositif venaient à le rendre manifestement inefficace au regard de l’objectif poursuivi (par exemple, un nombre trop important de faux positifs ou de faux négatifs qui ferait perdre tout intérêt à son utilisation), le traitement ne pourrait pas se fonder sur l’intérêt légitime du responsable du traitement.

Bonne pratique : mener une expérimentation

Une bonne manière d’évaluer l’utilité et l’efficacité du dispositif envisagé est de mener une expérimentation en conditions réelles, avec un protocole d’évaluation prenant en compte des critères précis, dont notamment :

La performance technique des dispositifs, en tenant compte des résultats lors des différentes phases (apprentissage, validation, correction des algorithmes), en analysant les taux d’erreurs constatés et en évaluant les biais potentiellement constatés.
Les résultats obtenus au regard des besoins ou objectifs opérationnels : il s’agit de mesurer l'apport du dispositif pour l’objectif de réduction de la démarque inconnue, notamment en prenant en compte l’effet dissuasif du dispositif et l'impact des erreurs.
Les résultats obtenus au regard des impacts sociétaux et sur les personnes : il s'agit d'apprécier la perception des outils développés par les personnes concernées et d’évaluer l'impact du dispositif sur les consommateurs et toute personne concernée, y compris les salariés.

La CNIL recommande d’associer les différents services concernés (y compris les services juridiques, opérationnels et commerciaux) pour mener une évaluation objective.

S’assurer que le traitement ne porte pas une atteinte disproportionnée aux droits des personnes

Ces dispositifs installent un nouveau mode de surveillance ciblé lors d’actes du quotidien. Les algorithmes permettent la multiplication des contrôles, avec des conséquences non négligeables en cas d’erreur.

Des garanties fortes doivent être mises en œuvre pour limiter les risques pour les personnes, comme par exemple :

Restreindre le périmètre de captation au niveau des caisses automatiques.
Limiter la durée de captation (seulement pendant le temps de la transaction).
Informer clairement les personnes du fonctionnement du dispositif et leur permettre une part de contrôle sur son lancement et son fonctionnement (par exemple, le dispositif ne fonctionne qu’après que le client ait confirmé avoir pris connaissance de l’information).
Limiter les détections réalisées aux moins intrusives (par exemple, détection d’un produit non scanné mais pas de détection de l’intégralité des gestes d’un client).
En cas d’alerte, pas de conséquence automatique pour les personnes, à l’exception par exemple d’un éventuel blocage de la caisse en vue de vérifications par le vendeur.
Ne conserver aucune donnée à des fins de preuve ou pour créer une liste de personnes ayant fait l’objet d’un signalement.
Les mesures de minimisation mises en œuvre développés ci-dessous.

Minimiser les données collectées

Limiter la collecte d’images au strict nécessaire

La CNIL recommande de minimiser la collecte d’images en limitant :

l’angle de prise de vue de la caméra à la zone où se trouvent les éléments nécessaires pour le fonctionnement de l’algorithme (en évitant notamment de filmer les visages) ;
la collecte de données comme les images de carte bancaire, d’autres objets ou encore l’écran du téléphone, qui sont généralement utilisés lors de la transaction (par ex. en réduisant la durée pendant la caméra filme)

Elle préconise également d’utiliser des techniques comme la pixellisation ou le floutage (voire l’obstruction complète ou masquage des zones de non-intérêt). Ces recommandations sont évidemment applicables pour les zones où ont lieu les détections algorithmiques (le panier du client, la zone de scan par exemple) mais aussi pour les zones où aucune détection n’a lieu.

Limiter les fonctionnalités au strict nécessaire

Il convient de s’assurer que la solution exclut :

l’enregistrement du son, qui n’est pas nécessaire pour la détection ;
la détection d’actions ou de comportements qui ne sont pas utiles, comme l’hésitation du client.
la détection des émotions ou des caractéristiques physiques du client (âge, genre, corpulence, visage, etc.).

Bonnes pratiques :

choisir des solutions moins intrusives (caméras événementielles ou capteurs lidar, par exemple) ;
effectuer une analyse locale des données (sur la caisse elle-même plutôt que via le cloud, par exemple) ;
réduire la résolution et la fréquence de capture de l’image au strict nécessaire pour une bonne performance de la détection ;
limiter la conservation et la transmission d’extraits vidéo ;
arrêter le dispositif lors de l'intervention des salariés et éviter la collecte d’informations permettant de les identifier (ou masquer ces informations si elles apparaissent à l'écran).

Attention : Ces dispositifs ne doivent pas être utilisés à des fins d’identification unique des personnes.

Adapter l’information à la spécificité de ces dispositifs

Permettre un droit d’opposition effectif

Respecter les durées de conservation des données

La réutilisation des données collectées pour améliorer l’algorithme

Les images collectées peuvent, dans certains cas, être utiles pour améliorer l’algorithme. Cette réutilisation est possible, sous réserve de respecter les dispositions applicables du RGPD.

Les images conservées ne sont pas systématiquement anonymes

La conservation de certaines données, comme l’horodatage ou les images de vidéoprotection, peut en effet permettre la réidentification des personnes. Même en l’absence de ces données, de nombreuses caractéristiques physiques relatives notamment aux mains des personnes (cicatrice, tatouage, port d’un bijou distinctif, etc.) ou la série des produits manipulés et achetés peuvent faciliter leur identification.

Assurer la licéité du traitement à des fins d’amélioration

L’intérêt légitime peut fonder un traitement de données visant à améliorer des produits et services, sous réserve que le traitement soit nécessaire et qu’il présente des garanties pour limiter les risques pour les personnes.

Il est nécessaire, dans ce cadre, de prévoir la possibilité pour les personnes de s’opposer au traitement de leurs données. La CNIL recommande pour cela de prévoir une case à cocher, par exemple sur l’écran de la caisse.

Exemple de mention :

 Je m’oppose à l’utilisation de mes données à des fins d’amélioration et d’entraînement de la solution algorithmique.

Renforcer les mesures de minimisation et limiter la durée de conservation

La CNIL recommande de mettre en place les mesures de minimisation suivantes :

un renforcement des mesures de pseudonymisation : pixellisation ou masquage des images pour ne conserver que les parties des images nécessaires à l’entraînement, suppression ou dégradation des éléments distinctifs d’une personne (forme et silhouette des mains, tatouages, couleur de peau, cicatrices, etc.), etc. ;
des mesures de sécurité organisationnelles et techniques pour limiter l’accès à ces données.

Le responsable du traitement devra s’assurer de ne conserver les données que pour la durée nécessaire à l’amélioration de l’algorithme. Pour plus d’informations sur la conservation des données dans cet objectif, voir les recommandations de la CNIL sur les durées de conservation des données d’apprentissage.

Informer les personnes et faciliter l’exercice des autres droits

Les personnes doivent être informées de l’utilisation de leurs données aux fins d’amélioration de la solution et leurs droits devront être respectés.

Si le responsable du traitement ne peut pas réidentifier les personnes parmi les données conservées, il n’a pas à conserver ou collecter d’informations supplémentaires juste pour permettre l’exercice de certains droits. Il doit toutefois permettre aux personnes de fournir des informations complémentaires pour pouvoir être réidentifiées et exercer leurs droits (article 11 du RGPD).

Pour plus d’informations, voir les recommandations de la CNIL pour permettre aux responsables de traitement de respecter et faciliter l’exercice des droits des personnes concernée pour le développement de modèles d’IA.

Texte reference