Dorénavant, le respect de la vie privée doit être prévu dès la conception de tout système de vidéosurveillance et non « en plus »… Eu égard à son contexte… À son ampleur… Et à son caractère intrusif.
Cela constitue à la fois un enjeu de conformité et de maîtrise des risques essentiel pour les organisations.
L’objet de cet article est d’envisager les éléments clés de la réglementation désormais applicable en rappelant les risques encourus pour les organisations.

De Safari au RGPD

Dès les années 1970, le développement de l’informatique inquiète et menace tout particulièrement la liberté du citoyen. L’élément déclencheur est le projet Safari (Système automatisé pour les fichiers administratifs et répertoires des individus). C’est une idée du ministère de l’Intérieur qui permet de centraliser et d’interconnecter tous les fichiers avec différentes administrations… Tels que les services de Police, le ministère de la Justice ou encore la Sécurité sociale. Dévoilé dans l’article du Monde « Safari ou la chasse aux Français » le 21 mars 1974, il a provoqué un scandale dans le débat sur la liberté individuelle.

En 1978, l’adoption de la Loi Informatique et Libertés donne naissance à la Cnil ayant pour mission principale la protection des données à caractère personnel.

En 2012, la Commission européenne approuve un projet de règlement européen réformant le cadre de la protection des données.

Adopté en 2016 par le Parlement européen, le RGPD (Règlement général sur la protection des données) vient changer tout le paysage juridique européen en matière de protection des données. Il est applicable à l’ensemble des États membres de l’Union Européenne depuis le 25 mai 2018 (loi n° 2018-493 du 20 juin 2018).

Trois objectifs du RGPD

Le premier objectif du RGPD vise à harmoniser la juridiction européenne, pour tous les États membres, en matière de protection des données personnelles. Cela en tant que texte de loi référence dans l’Union européenne.

Le deuxième concerne le renforcement du droit des citoyens mineurs et majeurs sur le contrôle de leurs données personnelles.

Le dernier est celui de la preuve de transparence des traitements de ces données personnelles en responsabilisant l’ensemble des acteurs (entreprises, sous-traitants ou intermédiaires). Avec pour objectif d’instaurer un climat de confiance entre collecteurs et collectés

Le RGPD est fondé sur une approche axée sur les risques pour la protection des données… Obligeant ainsi les entreprises à évaluer le niveau de risque, à gérer les données de manière sécurisée et à réagir de manière appropriée en cas de violation de la vie privée ou des données.

Vidéosurveillance et vidéoprotection

Le terme « vidéosurveillance » est utilisé par la loi n° 95-73 d’orientation et de programmation du 21 janvier 1995 relative à la sécurité, dite Lopsi.

Puis ce terme a été remplacé par « vidéoprotection » lors de la Lopsi 2 (loi n° 2011-267 d’orientation et de programmation pour la performance de la sécurité intérieure du 14 mars 2011). On associe la vidéoprotection à des dispositifs installés sur la voie publique par les autorités publiques. Et la vidéosurveillance à des dispositifs installés dans les lieux non ouverts au public.

Selon le lieu où le système vidéo est installé, le régime applicable est différent. Par exemple, et cela depuis l’entrée en application du RGPD, l’enregistrement et la conservation des images sur support numérique n’ont plus à être déclarés à la Cnil. La surveillance s’effectue par un système électronique, destiné à capter les images. Il est composé des éléments suivants :

• Caméra de surveillance (équipement de réception) ;
• Liaison (avec ou sans fil) ;
• Équipements de gestion (enregistreur numérique) ;
• Équipement de visualisation (écran).

L’installation d’un système de vidéoprotection ou de vidéosurveillance a pour finalité la sécurité des biens et des personnes lorsque les lieux présentent un risque (vol, dégradation, agression, terrorisme…). Le traitement et la lecture de ces enregistrements sont principalement a posteriori (après que l’événement s’est réalisé).

Impact du RGPD sur la vidéosurveillance

Le RGPD ne définit pas la notion de « surveillance ». Mais il oblige une attention particulière à ses dispositions relatives à l’identification, à la gestion et à l’atténuation des risques.

DPO, désignation et responsabilité

Le DPO (Data Privacy Officer, délégué à la protection des données) est le successeur du CIL (Correspondant informatique et libertés)… Avec des exigences toutes particulières concernant ses qualifications (« connaissances spécialisées du droit et des pratiques en matière de protection de données »). Il doit bénéficier de formation continue. Ses responsabilités restent les mêmes que celles de l’ancien CIL. En cas de non-respect ou non-conformité de son organisme avec le règlement, il ne sera pas responsable.

Le respect de la protection des données relève donc de la responsabilité du responsable du traitement (RT) ou du sous-traitant (ST). Le DPO est le « chef d’orchestre » de la conformité en matière de protection des données. Il est donc chargé de :

• Contrôler le respect du règlement et du droit national en matière de protection des données ;
• Informer et de conseiller le RT ou le ST, ainsi que leurs employés ;
• Conseiller l’organisme sur la réalisation d’une AIPD (analyse d’impact relative à la protection des données) et d’en vérifier l’exécution ;
• Coopérer avec l’autorité de contrôle et d’être le point de contact.

---

Rendre compatible un système de vidéosurveillance existant avec le RGPD

Les responsables du traitement doivent :

• Évaluer le niveau de risque de leurs applications ;
• Protéger leurs systèmes contre les violations de données ;
• Évaluer les flux de données de la collecte à la restitution en passant par le traitement ;
• Mener une réflexion sur le traitement des droits des individus. Par exemple, lors de la demande d’images capturées.

La toute première étape consistera à mener une AIPD afin de déterminer si le traitement est « susceptible d’entraîner un risque élevé pour les droits et la liberté des individus ». L’examen de l’article 35 permet de déterminer le niveau de risque, par exemple :

• Les aspects personnels (la reconnaissance faciale, la reconnaissance automatique des plaques d’immatriculation (Rapi)…) ;
• La surveillance à grande échelle et systématique des lieux accessibles au public (les villes, les aéroports, les prisons…).

---

Zone de surveillance proportionnée et disproportionnée

Pour toute installation d’un système de vidéosurveillance, le responsable du traitement devra définir, de manière précise, la ou les finalités. Par exemple :

• Protéger les biens (marchandises, liquidités…) ;
• S’assurer de la sécurité du personnel et des clients ;
• Détecter, identifier et alerter en cas de comportements dangereux.

Le caractère proportionné ou non de la mise en place d’un système de vidéosurveillance devra faire l’objet d’une analyse au cas par cas… Afin de rendre celle-ci moins attentatoire à la vie privée des personnes concernées. Par exemple : limitation du champ de vision des caméras en utilisant des techniques de masquage/floutage…

L’association d’une surveillance au moyen de caméras vidéo et du son (écoute en direct et enregistrement du son) rend la vidéosurveillance encore plus intrusive… Donc comme disproportionnée.

Loi du 1er août 2018, article L.261-1 du code du travail

Le législateur a fait usage de l’option laissée aux États membres (article 88 du RGPD) de prévoir des modalités plus spécifiques concernant les traitements de données à caractère personnel de salariés dans le cadre des relations de travail.

L’employeur souhaitant installer une vidéosurveillance devra, en plus du respect du RGPD, veiller au respect des règles spécifiques de l’article L. 261-1 du code du travail, uniquement sur la base d’une des conditions de licéité limitativement énumérée à l’article 6.1, a à f du RGPD. Pour exemple de finalités :

• Des besoins de sécurité et de santé des salariés ;
• Pour le contrôle de production ou des prestations du salarié (si seule mesure pour déterminer le salaire exact).

Dans tous les cas, la mise en place d’une vidéosurveillance devra faire l’objet d’une codécision entre l’employeur et la délégation du personnel.

On notera que les salariés concernés ont toujours le droit d’introduire une réclamation auprès de la Cnil en cas d’atteinte à leurs droits.

Système de sanctions graduelles

Avant le RGPD, en cas d’infraction, la Cnil ne pouvait aller au-delà d’une amende de 150 000 euros. Aujourd’hui, lorsqu’il s’agit d’un des manquements aux obligations (par exemple, absence de tenue d’un registre des traitements ou absence d’AIPD), les amendes peuvent monter jusqu’à 10 millions d’euros pour les entreprises. Ou 2 % du chiffre d’affaires annuel mondial.

L’amende peut également correspondre à 4 % du chiffre d’affaires mondial de l’entreprise ou 20 millions d’euros en cas d’infractions plus graves liées à la mauvaise application ou au non-respect du RGPD. Par exemple :

• Défaut de consentement de la personne concernée par le traitement des données personnelles d’une entreprise ;
• Refus de coopérer avec la Cnil…

---

Capitaliser sur l’existant en matière de conformité et de maîtrise des risques

Il convient alors de capitaliser sur différents dispositifs existants afin d’assurer la bonne mise en œuvre du RGPD face à ce type de risque. Cela demande notamment de :

• S’appuyer sur une cartographie des risques actualisée, intégrant les facteurs de risques liés à la mise en œuvre de la vidéosurveillance et indiquant les diligences menées par l’entreprise aux fins de bonne maîtrise de ce risque ;

• Mettre en œuvre des diagnostics de conformité, visant notamment à s’assurer que ces traitements sont formalisés (registre des traitements), tracés, connus et contrôlés ;

• Réaliser des contrôles et audits fréquents afin de s’assurer que les data recueillies sont supprimées dans les délais en vigueur, et en s’assurant que les dispositifs d’enregistrement et de surveillance sont bien proportionnés à l’activité et situés dans les lieux autorisés ;

• S’assurer que les incidents liés à ces dispositifs sont tracés (base incident) ;

• Former les collaborateurs à l’apport de cette réglementation et aux droits et devoirs qui s’imposent à eux au regard du RGPD ;

• Informer la gouvernance de l’entreprise sur le dispositif mis en place et la manière tant d’alerter sur les éléments recueillis que sur les risques du dispositif lui-même.