Un employeur peut-il encore traiter des photos dans le cadre du RGPD ?

A défaut de fondement légal, il est en principe interdit de traiter des photos sur lesquelles une personne est identifiable. L’Autorité de protection des données apporte des éclaircissements concernant le fondement adapté pour le traitement de photos dans le cadre du RGPD.

Presque tous les employeurs utilisent des photos de leurs travailleurs, et même parfois de personnes externes à l’entreprise (comme des clients, des indépendants ou des membres de la famille des travailleurs). Les situations dans lesquelles cela peut arriver sont multiples. Pensez simplement aux photos sur les badges de sécurité dans le cadre des contrôles d’accès, aux photos qui sont liées à un compte électronique interne ou qui sont partagées pour que les collègues puissent mettre des visages sur les noms (« who is who »),  ou aux photos qui sont prises à un évènement d’entreprise et ensuite partagées en interne, mais également aux photos qui sont utilisées pour les relations avec l’extérieur, par exemple sur le site internet de l’entreprise, les médias sociaux ou même comme outil de marketing.

La protection des images d’une personne a toujours exigé, et ce même avant le RGPD, que cette personne donne son consentement pour qu’une photo soit prise et pour qu’elle soit ensuite utilisée. Cette protection trouve son fondement  d’une part, dans le droit à l’image tel qu’il a été créé par la jurisprudence, et d’autre part, dans les droits relatifs à un portrait consacrés par la loi, lesquels exigent l’autorisation d’une personne pour prendre sa photo, de même que pour reproduire ou partager cette photo publiquement.

En général, les entreprises supposent que lorsqu’une personne pose pour une photo et ne s’oppose pas à son usage ultérieur, cette personne a implicitement donné son consentement. L’ancienne jurisprudence allait également en ce sens.

La question qui se pose logiquement est donc de savoir si ce raisonnement est encore valable après le RGPD. Selon le RGPD, une entreprise a toujours besoin d’un fondement déterminé pour traiter des données à caractère personnel, et les seuls fondements applicables en cas de traitement de photos par une entreprise sont d’une part, le consentement de l’intéressé, mais ce consentement doit alors être libre, spécifique, éclairé et univoque, et d’autre part, les intérêts légitimes de l’entreprise (ou d’un tiers) qui doivent prévaloir sur les intérêts de la personne photographiée. Dans cette seconde hypothèse, le traitement de la photo doit être nécessaire aux fins de ces intérêts légitimes.

Le premier fondement - le consentement - est celui qui exige le plus de préparation dès lors qu’en cas de contestation, l’entreprise devra être en mesure de prouver ce consentement. Il faut donc prévoir une déclaration de consentement spécifique et éclairée, signée ou acceptée par voie électronique (par exemple en cochant une case) qui précise clairement pourquoi la photo est prise et traitée.

Le deuxième fondement - les intérêts légitimes - implique moins de travail administratif, bien que l’entreprise doive naturellement fournir les informations nécessaires conformément au RGPD (ce qui est également le cas en ce qui concerne le consentement). Mais, dans ce cas, la personne photographiée ne peut  a priori pas faire obstacle au traitement en refusant de donner son consentement.

Dans les deux cas, la personne peut encore contester le traitement par après, que ce soit en retirant son consentement (si le traitement est fondé sur le consentement) ou en  s’opposant au traitement (s’il est fondé sur les intérêts légitimes). Le retrait du consentement a uniquement des conséquences pour l’avenir : le consentement donné antérieurement justifie les traitements pour le passé. Lorsque le travailleur s’oppose à un traitement que l’employeur fonde sur ses intérêts légitimes, le traitement peut également être contesté pour le passé.  Pour poursuivre le traitement, l’employeur devra alors être en mesure d’argumenter que ses intérêts prévalent.

L’Autorité de protection des données (« APD ») apporte désormais, suite à nos questions à ce sujet, certains éclaircissements en ce qui concerne le fondement approprié. Selon l’APD, le consentement est le fondement approprié pour tous les traitements de photos qui sont « nice to have » pour une entreprise, mais non « need to have » dans le cadre d’un intérêt légitime. Pour les traitements des photos qui sont nécessaires dans le cadre, par exemple, de la politique de sécurité de l’entreprise - pensez à la photo d’identification sur un badge -, l’employeur peut donc se fonder sur ses intérêts légitimes. Mais cela ne fonctionne pas pour des traitements qui ne sont pas nécessaires dans le cadre d’un intérêt légitime, tels que promouvoir les bonnes relations dans l’entreprise, un environnement de travail agréable et/ou une cohésion sociale sur le plan professionnel, ou la publication de photos sur le site internet à des fins commerciales, pour que les clients sachent qui sont leurs contacts. Dans ces cas, l’employeur devra demander le consentement des personnes dont il veut utiliser les photos.

Le fait que les travailleurs sont généralement présumés ne pas pouvoir donner librement leur consentement à leur employeur ne constitue pas un obstacle selon l’APD. Un tel consentement est, selon l’APD, bien possible - et dans ce cas également approprié - lorsque le travailleur ne subit pas de désavantage s’il refuse un tel consentement.

> Point d'action

Il est important d’analyser dans quelles situations votre entreprise traite des photos et, en fonction, de déterminer pour quels traitements le consentement est un fondement approprié. Pour ces traitements, il faut solliciter le consentement des personnes concernées. Si l’entreprise décide malgré tout de ne pas utiliser le consentement, il est important, et l’APD le confirme également, de documenter l’examen qui précède cette décision, en tenant compte du principe de ''responsabilité''.