Publications

Vidéosurveillance : les principaux apports des lignes directrices de l’EDPB adoptées le 29 janvier 2020
Publié le 17 mars 2020

Le sujet de la vidéosurveillance implique une vigilance particulière des entreprises qui recourent à de tels dispositifs. L’évolution des techniques et le progrès technologiques conduisent à mettre en place des systèmes qui collectent beaucoup de données personnelles, ce qui augmente les enjeux en termes de protection des données.

Depuis quelques années, la CNIL a fait de cette thématique une priorité avec la fourniture des bonnes pratiques et recommandations à respecter en cas de recours à la vidéosurveillance[1].

Le sujet est également encadré par le comité de la protection des données (European Data Protection Board)[2] de manière plus approfondie, grâce aux lignes directrices publiées le 29 janvier dernier autour des traitements de données personnelles à travers les équipements vidéo[3] . L’objectif global de l’autorité européenne est de bien rattacher les exigences du Règlement Général sur la Protection des Données (RGPD)[4] avec ces techniques qui peuvent parfois reposer sur des usages innovants, ou bien être exploitées pour des objectifs totalement intrusifs, notamment pour des finalités d’ordre marketing ou de surveillance systématique des personnes concernées.

L’EDPB dans la directive fait un focus sur les points spécifiques qui soulèvent quelques interrogations en pratique notamment : le fondement juridique ou la base légale, l’information et la transparence vis-à-vis des personnes, la gestion des demandes d’accès

I. Quel fondement juridique pour le recours à la vidéosurveillance ?
L’évolution des techniques en matière de vidéosurveillance conduit à encadrer la pratique de nouvelles actions sur les données personnelles collectées par ce biais. De nombreuses entreprises trouvent aujourd’hui des opportunités marketing et commerciales à mettre en place, par exemple, à l’appui de systèmes de vidéosurveillance pour effectuer un suivi du comportement d’achat des personnes, ou pour mettre en place un système de comptage dédié à l’évaluation de la performance commerciale de boutiques physiques.

Pour ces traitements de données liés à la vidéosurveillance qui seraient initialement considérés comme fondés sur le consentement, l’autorité vient préciser que les règles du consentement doivent continuer à s’appliquer : l’entrée d’une personne concernée dans un environnement explicitement désigné comme équipé d’un tel système ne constitue en aucun cas une manifestation de volonté conforme aux exigences du consentement.

Les lignes directrices viennent néanmoins alimenter le sujet autour des fonctionnalités « primaires » des dispositifs de vidéosurveillance, notamment autour des objectifs relatifs à la protection des lieux et celle des individus encadrés par le Responsable de traitement. Au titre de ces traitements de données, l’EDPB met en évidence l’application de deux fondements légaux principaux à savoir l’intérêt légitime et l’action motivée par des impératifs d’ordre public et l’exercice de l’autorité publique.

L’autorité européenne rappelle les exigences autour de l’intérêt légitime d’une entreprise à opérer de tels traitements de données et donc de recourir à la vidéosurveillance. En effet, une étude approfondie doit être menée lors du recours à ce type de système, sur l’existence de justifications impérieuses (d’ordre économique, juridique ou statistiques par exemple) ainsi que le principe de nécessité qui soutient l’entreprise dans l’accomplissement du projet. L’exemple mis en évidence pour exploiter l’intérêt légitime en matière de vidéosurveillance repose sur la prévention contre toute menace externe telle que le vol, le cambriolage ou bien les actes de vandalisme. L’EDPB considère que cette justification peut constituer un intérêt légitime à la condition de pouvoir constituer des éléments de preuve attestant du risque existant en la matière. Elle rappelle en ce sens, l’importance de documenter le recours à l’intérêt légitime, accentué dans un tel contexte par le recours à un dispositif intrusif pour la personne concernée.

Dans le second fondement, l’appui sur la présence d’un motif d’intérêt public ou l’action d’une autorité publique trouve également application en matière de vidéosurveillance, à travers l’existence de dispositions légales spécifiques. L’EDPB prend à ce titre l’exemple des traitements fondés sur la protection de la santé et de la sécurité pour la protection des individus, notamment les employés, considérant que ceux-ci se fondent sur des obligations légales dédiées. L’autorité européenne rappelle à ce titre que des motivations d’ordre public et légales n’excluent pas la mise en application des obligations du RGPD ni le respect des droits individuels.

La méthodologie de travail de l’EDPB témoigne d’une prise en compte opérationnelle du RGPD à travers les dispositifs de vidéosurveillance, l’autorité étend cette nécessité d’ailleurs à tout projet impliquant un traitement de données à caractère personnel.

II. La gestion des demandes d’accès et l’information des personnes
Les lignes directrices marquent un point sur l’application des droits individuels en situation de collecte ou de captage de données personnelles par les dispositifs de vidéosurveillance. Tout en affirmant l’égalité de principe en termes d’application desdits droits, elles mettent toutefois en exergue les limites opérationnelles à la réalisation du droit d’accès en identifiant notamment le risque d’identification de tiers présents au sein des images captés sur la personne concernée. L’exercice du droit d’accès en faveur d’un individu ne pouvant s’effectuer au détriment des droits de tiers, l’EDPB conseille dans ce cas précis l’application de mesures techniques dédiés à concilier le respect des tiers et la volonté de l’individu exerçant son droit. Des techniques de floutage ou de masking peuvent être mises en place afin de satisfaire cette exigence par exemple.

Ensuite, il est question de la transparence des informations sur le traitement de données effectué grâce à la vidéosurveillance. L’EDPB n’affirme pas de nouveauté en matière d’information des personnes, mais reprend les principes essentiels en matière de positionnement, de visibilité et en termes de contenu. Elle insiste sur la présence de deux sortes d’informations qui nécessitent de déterminer des emplacements précis permettant à l’ensemble des personnes concernées de prendre facilement connaissance des informations sur les traitements liés à leurs données personnelles. Ces deux supports localisés à des endroits différents doivent néanmoins trouver une orientation logique et éventuellement reposer sur une accessibilité technologique comme le QR-Code ou le renvoi sur un support digital consultable individuellement.

Par ailleurs, l’autorité a effectué un focus concernant les mesures techniques et organisationnelles, un concept formulé au sein du RGPD[5] . De manière opérationnelle, l’EDPB propose un socle d’équipements nécessaires pour encadrer la conformité technique de la vidéosurveillance. Ce socle serait composé de trois composantes :

  • Un dispositif de capture d’image et de gestion de la bonne communication vers les équipements informatiques destinataires ;
  • Une série de fonctions logiques incluant notamment un contrôle de l’opérateur fournissant le système ou encore un module d’alerte en faveur du Responsable de traitement et du prestataire ;
  • Des mesures de sécurité suffisantes pour couvrir la confidentialité, l’intégrité et la disponibilité des images captées (par exemple : désigner le responsable du management du dispositif, définir un nombre d’accès limité aux images, se coordonner avec la procédure d’incident côté prestataire).

L’EDPB propose dans cette logique un certain nombre de mesures techniques et organisationnelles permettant d’encadrer au mieux la bonne exécution des traitements réalisés à partir des dispositifs de vidéosurveillance.

Il est donc vivement recommandé de consulter ces guidelines et d’adapter votre dispositif aux recommandations juridiques et techniques proposées par l’EDPB. Le regard apporté par l’autorité européenne de la protection des données se veut très actuel en ce qu’il encadre les utilisations sommaires de la vidéosurveillance et permet de faciliter l’application des règles de la protection des données. Cela a pour objectif de permettre également l’exécution des projets les plus innovants comme le cas des traitements recourant à des dispositifs biométriques qui sont aussi étudiés au sein de ces lignes directrices.

Par Cheikh NDIAYE


[1]https://www.cnil.fr/fr/videosurveillance-videoprotection
[2]https://edpb.europa.eu/edpb_fr
[3]https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_201903_video_devices_en.pdf
[4]https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679

 

Suivez-nous sur Linkedin, Twitter et Facebook