Lignes directrices pour le traitement de données à caractère personnel par le biais d’appareils vidéo

Le Comité Européen de la Protection des données (« European Data Protection Board » ou « EDPB »), l’organe consultatif au sein duquel sont représentées toutes les autorités de contrôle nationales, a fixé, le 10 juillet 2019, des lignes directrices provisoires pour le traitement de données à caractère personnel par le biais d’appareils vidéo.

Il est possible de formuler des remarques et suggestions concernant ces lignes directrices jusqu’au 9 septembre 2019. Un texte définitif sera ensuite adopté.

Les lignes directrices contiennent des directives concernant la manière dont le Règlement Général sur la Protection des Données (« RGPD » ou « GDPR ») doit être appliqué au traitement de données à caractère personnel par le biais de caméras vidéo (tant les caméras traditionnelles que les smart cameras). Les sujets suivants y sont abordés :

  • L’application du RGPD ;
  • Les fondements juridiques possibles ;
  • La transmission d’images caméra à des tiers ;
  • Le traitement de données à caractère personnel sensibles ;
  • Les droits des personnes concernées ;
  • L’obligation de transparence et d’information ;
  • Les délais de conservation ;
  • Les mesures de sécurité techniques et organisationnelles ;
  • L’analyse d'impact relative à la protection des données.

Les lignes directrices contiennent de nombreuses recommandations utiles. L’EDPB indique ainsi par exemple que :

  • Le fondement « intérêts légitimes » ne peut être invoqué que si :
    • Il y a un intérêt actuel au vu des circonstances concrètes (ex. incidents graves par le passé, présence de biens de grande valeur, etc.) ;
    • La surveillance par caméra est nécessaire et il n’y a pas de mesures alternatives moins intrusives (ex. barrières, personnel de sécurité, etc.) ;
    • Les droits et libertés des personnes concernées ne priment pas. En ce qui concerne les travailleurs, cette balance des intérêts devra être effectuée avec prudence dès lors que, d’après l’EDPB, ceux-ci ne s’attendent probablement pas à être filmés sur le lieu de travail.
  • Un fondement distinct supplémentaire devra être invoqué si la surveillance par caméra implique également le traitement de données à caractère personnel sensibles. L’EDPB va plus loin en ce qui concerne les systèmes d’authentification biométrique et précise que :
    • Ces systèmes exigent probablement un consentement ;
    • Un tel consentement n’est libre (et donc valable) que pour autant qu’un système alternatif soit également offert.
  •  En ce qui concerne le droit d’obtenir une copie de ses données :
    • La protection des droits des tiers doit être garantie par des mesures techniques (par ex. transformation des images). Ceci ne peut servir de justification pour rejeter une demande ;
    • La personne concernée doit, dans sa demande, indiquer au cours de quel laps de temps raisonnable elle a pénétré dans la zone filmée.
  • Les informations peuvent être fournies par le responsable du traitement à deux niveaux (via un pictogramme et un document plus détaillé, telle une notification vie privée, qui doit pouvoir être consultée avant de pénétrer dans la zone filmée).

    A cet égard, il n’est selon l’EDPB pas suffisant de ne mettre cette notification à disposition que de manière digitale. Celle-ci doit également être disponible de manière non-digitale à un endroit central et facilement accessible.

  • La surveillance par caméra exigera dans la majorité des cas une analyse d'impact relative à la protection des données (« data protection impact assessment » ou « DPIA »). Il s’agit d’une sorte d’analyse de risques du traitement de données à caractère personnel.

En Belgique, il faut bien sûr également tenir compte, outre le RGPD et les directives de l’EDPB (qui ont une valeur d’autorité importante), de la législation spécifique relative aux caméras, telle que la CCT n°68 et la loi caméras du 21 mars 2007. En ce qui concerne les modifications récentes de cette législation, nous renvoyons à notre précédent newsflash du 16 août 2018.

Le non-respect du cadre légal concernant la surveillance par caméra, en ce compris la législation relative à la protection des données, peut donner lieu à des sanctions et remettre en cause la régularité de la preuve obtenue.

Dans une récente décision du 2 avril 2019, l’Autorité belge de Protection des Données (APD) avait d’ailleurs déjà imposé une interdiction définitive de traitement d’images caméra et ordonné la suppression de toutes les images déjà récoltées. Cette décision concernait un cas dans lequel le placement d’une caméra dans la cuisine commune d’un immeuble de chambres d’étudiants - malgré sa correcte déclaration - avait été considéré comme disproportionné par l’APD.

Point d'action

Vérifiez si votre système de caméras de surveillance satisfait à la législation relative à la protection des données, telle qu’expliquée dans les lignes directrices de l’EDPB, ainsi qu’à la législation en matière de caméras de surveillance (récemment modifiée).