RGPD et photographie professionnelle : obligations, risques et mise en conformité.
En tant que photographe professionnel, vous traitez quotidiennement des données personnelles : photos de personnes, coordonnées clients, images faciales biométriques. Le RGPD vous impose des obligations précises depuis 2018 — et la CNIL sanctionne de plus en plus les photographes non conformes.
Le Règlement Général sur la Protection des Données (RGPD) s'applique à toute personne ou organisation qui traite des données personnelles de résidents européens. En tant que photographe professionnel, vous traitez plusieurs catégories de données : les coordonnées de vos clients (nom, email, téléphone, adresse) — données personnelles standard. Les photos de personnes — données personnelles spécifiques. Les photos permettant l'identification faciale — potentiellement données biométriques selon leur traitement. Le RGPD définit pour chaque traitement : une base légale (consentement, contrat, intérêt légitime, obligation légale), une durée de conservation limitée, une obligation de sécurité, et des droits des personnes concernées (accès, rectification, effacement, portabilité).
1/ Tenir un registre des traitements (obligatoire pour les entreprises traitant des données à grande échelle — recommandé pour tous). 2/ Informer vos clients et photographiés de leurs droits (mentions légales sur votre site, mentions dans vos contrats). 3/ Obtenir un consentement explicite pour les usages non couverts par le contrat (newsletter, portfolio public, réseaux sociaux). 4/ Encadrer les transferts hors UE (si vous utilisez des outils américains comme Google Drive, AWS, Dropbox pour stocker des photos de clients). 5/ Garantir la sécurité des données (chiffrement, accès sécurisé, sauvegarde). 6/ Respecter les délais de conservation et supprimer les données à expiration.
La galerie client est le point de friction RGPD le plus fréquent pour les photographes. Questions à vous poser : où sont hébergées vos galeries (UE ou pays tiers) ? Qui peut y accéder (accès protégé par mot de passe ou lien public indexable) ? Combien de temps sont-elles disponibles (durée illimitée = violation potentielle de l'obligation de durée limitée) ? Les personnes photographiées peuvent-elles exercer leur droit à l'effacement ? Si vous utilisez Dropbox, Google Photos, WeTransfer ou similaires pour livrer vos photos, vous transférez des données personnelles vers des serveurs américains — ce qui peut être non conforme sans garanties supplémentaires (clauses contractuelles types).
Le droit à l'image (article 9 Code civil) et le RGPD sont deux régimes juridiques distincts qui s'appliquent simultanément. Le droit à l'image protège la personne contre l'utilisation non autorisée de son image (droit de la personnalité). Le RGPD protège les données personnelles au sens large, dont les photos. En pratique : vous avez besoin à la fois d'une autorisation de droit à l'image ET d'une base légale RGPD pour traiter et diffuser des photos de personnes. Pour les contrats avec des clients (portée privée uniquement), le contrat lui-même peut servir de base légale RGPD. Pour la diffusion sur votre portfolio ou réseaux sociaux, il faut un consentement explicite supplémentaire.
La CNIL a considérablement renforcé ses contrôles sur les professionnels de l'image depuis 2023. Les sanctions prononcées concernent fréquemment : galeries photos accessibles sans protection adéquate, photos stockées indéfiniment sans politique de conservation, newsletters sans opt-in conforme, sites web sans politique de confidentialité. Les amendes CNIL pour les TPE/PME vont de 1 000€ à 150 000€ selon la gravité. Au-delà des amendes, un signalement CNIL peut déclencher un contrôle formel qui mobilise votre temps pendant plusieurs mois. La mise en conformité préventive est 10 à 100 fois moins coûteuse qu'une procédure CNIL.
Appliquer ces bonnes pratiques avec Synaptiik
Synaptiik automatise ces processus pour les photographes, vidéastes et dronistes. Devis conformes, contrats droit français, galeries RGPD, planning et IA Leeza.
Héberger mes galeries en conformité RGPD