Les nouvelles lignes directrices sur le contrôle de la vidéosurveillance

controle-de-la-videosurveillance

Les entreprises qui se servent de la vidéosurveillance pour assurer la protection de leurs locaux doivent rester vigilantes quant à l’usage des caméras de surveillance. Avec l’évolution constante des techniques et des progrès technologiques, les systèmes actuels recueillent une quantité de plus en plus importante de données personnelles. Les enjeux de la protection de ces données augmentent par la même occasion.

Depuis quelques années, la Commission Nationale de l’Informatique des Libertés (CNIL) a priorisé le sujet de la vidéosurveillance en fournissant des recommandations et des bonnes pratiques à respecter en cas de recours à ce système de protection.

Le comité de la protection des données encadre également cette thématique, notamment grâce aux lignes directrices communiquées le 29 janvier 2020. Elles concernent essentiellement le traitement des données à caractère personnel via les équipements de surveillance vidéo.

L’autorité européenne vise l’encadrement de ces techniques innovantes en les rattachant aux exigences du Règlement Général sur la Protection des Données. En effet, les systèmes de vidéosurveillance peuvent souvent être utilisés à des fins intrusives (en termes de marketing ou de surveillance des personnes).

L’EDBP, soit le comité européen sur la protection des données, revoit alors les points spécifiques qui soulèvent quelques questions : le fondement juridique, l’information et la transparence par rapport aux personnes concernées ainsi que la gestion des demandes d’accès.

Quelle est la base légale pour recourir à la vidéosurveillance ?

Les techniques employées dans la vidéosurveillance se développent continuellement. Cette évolution oblige l’encadrement de l’utilisation des données à caractère personnel recueillies par ce procédé. En effet, de nombreuses entreprises se servent aujourd’hui de la vidéosurveillance pour analyser le comportement d’achat de leurs clients ou pour instaurer un système de comptage en vue d’évaluer la performance des boutiques physiques. Ces traitements de données doivent figurer dans le registre rgpd, au même titre que les autres pratiques liées à la protection des données RGPD.

Le traitement de données collectées via la vidéosurveillance repose en théorie sur un principe de consensus. L’autorité stipule donc que les règles de consentement doivent toujours s’appliquer. Si une personne physique concernée pénètre dans un lieu surveillé par des caméras et que le visiteur est seulement informé de la présence des caméras, il ne s’agit pas d’une manifestation de volonté conforme aux requêtes du consentement.

Les lignes directrices alimentent toutefois la thématique des fonctionnalités initiales des systèmes de vidéosurveillance, notamment sur les objectifs liés à la protection des personnes et des lieux, encadrés par le Responsable de traitement. L’EDPB distingue l’application de deux fondamentaux légaux, qui sont l’exercice de l’autorité publique d’une part, et l’intérêt légal et l’action justifiée par des impératifs d’ordre public de l’autre. Dans tous les cas, une solution rgpd doit être mise en œuvre pour assurer la sécurisation des données.

L’autorité européenne rappelle également les exigences concernant l’intérêt légitime d’un organisme à réaliser de telles opérations de traitement de données à caractère personnel et donc d’avoir recours à la vidéoprotection. En effet, une étude préalable doit être menée concernant le principe de nécessité du système et des justifications d’ordre économique, juridique ou statistique, soutenant l’entreprise dans la mise en œuvre d’un tel système.

Le principal intérêt légal de l’exploitation d’une vidéosurveillance est la prévention contre les risques de cambriolages et de vandalisme. L’EDPB estime qu’une telle défense peut constituer un intérêt légitime.

Le recours à la vidéosurveillance est également possible, s’il s’appuie sur l’action d’une autorité publique ou sur un motif d’intérêt public. À cet égard, l’EDPB prend l’exemple de la protection de la santé et de la sécurité pour protéger les individus (en particulier les salariés).

L’autorité européenne tient à rappeler à cet égard que ces motivations n’empêchent pas la mise en œuvre des obligations de conformité au RGPD ou le respect des droits individuels.

La méthodologie de travail d’EDPB prend en compte le Règlement européen à travers l’usage des équipements de vidéosurveillance. L’autorité européenne étend ce besoin à tout projet qui inclue le traitement des données personnelles.

La gestion des demandes d’accès aux informations

Les lignes directrices sont l’application des droits individuels dans les situations où des données personnelles sont collectées ou capturées par un équipement de vidéosurveillance.

Étant donné que le droit d’accès aux informations en faveur d’une personne concernée ne peut porter atteinte aux droits des autres personnes identifiables sur les images capturées, l’EDPB recommande l’application de mesures techniques pour garantir le respect de tous. Pour répondre à cette exigence, flouter et masquer les visages constituent de bonnes alternatives.

Un autre problème est la transparence des informations sur le traitement des données à l’aide de la vidéosurveillance. L’EDP​B insiste sur l’existence de deux informations distinctes, qui doivent être localisées avec précision, afin que tout le personnel concerné puisse facilement comprendre les informations de traitement liées à leurs données personnelles.

Cependant, ces deux supports situés à des endroits différents doivent trouver une direction logique et être basés sur des technologies d’accessibilité, telles que des codes QR ou des références sur des supports numériques, pouvant être visualisées séparément.

Par conséquent, il est fortement recommandé de vous référer à ces directives et d’adapter votre système aux conseils juridiques et techniques fournis par l’EDPB. Les opinions de l’autorité européenne de protection des données visent à fournir des informations à jour car elles peuvent contrôler l’utilisation sommaire de la vidéosurveillance et faciliter l’application des règles de protection des données. Le but est également de permettre la mise en œuvre des projets les plus innovants, comme l’utilisation de dispositifs biométriques pour le traitement, qui sont également étudiés dans ce guide.