Lignes directrices sur les traitements de données personnelles via des dispositifs de vidéo surveillance
Le Comité européen de la protection des données (CEPD) a adopté le 29 janvier 2020 des lignes directrices sur la vidéosurveillance, après une consultation publique lancée le 10 juillet 2019.
Ces lignes directrices visent à fournir des indications sur la manière d’appliquer les règles issues du RGPD aux traitements de données à caractère personnel mis en œuvre au moyen d’un dispositif de caméras et apportent des précisions sur les domaines détaillés ci-dessous.
Base légale du traitement – Les différentes bases légales le plus souvent utilisées pour les traitements de données personnelles via la vidéosurveillance sont l’intérêt légitime qui doit être réel et actuel, l’intérêt public et exceptionnellement le consentement dont le recueil sera difficile à prouver.
Le recours à la vidéosurveillance en cas d’intérêt légitime se fait après un contrôle de proportionnalité pendant lequel le responsable de traitement doit évaluer le risque d’intrusion dans les droits des personnes concernées et tenir compte de plusieurs critères notamment celui de la taille de la zone filmée.
Communication de données à un tiers – Selon le CEPD, la communication de données à un tiers est un traitement séparé pour lequel le responsable de traitement doit avoir une base légale distincte.
Droits des personnes concernées – Le CEPD insiste également sur les droits des personnes concernées. Le comité rappelle que la personne concernée a le droit de savoir si des données personnelles la concernant sont traitées ou non. Cependant il existe des limites au droit d’accès notamment lorsque l’exercice de ce droit porte atteinte aux droits des tiers. Pour répondre aux demandes d’accès, le responsable de traitement doit prendre en compte la nature intrusive de la vidéo pour les autres personnes qui pourraient être identifiées dans la copie de la vidéo. La protection des droits des tiers ne doit pas être utilisée par le responsable de traitement comme une excuse pour refuser de répondre aux demandes légitimes d’accès.
En cas de traitement de vidéosurveillance basé sur un intérêt légitime ou sur un intérêt public, le responsable de traitement doit pouvoir faire droit aux demandes d’opposition des personnes concernées par exemple en ayant la possibilité d’empêcher immédiatement la caméra de traiter des données à caractère personnel.
Obligation d’information – Concernant la transparence et l’obligation d’information, le CEPD tranche sur une approche à plusieurs niveaux : les informations les plus importantes doivent être affichées sur le panneau d’avertissement lui-même (première niveau), tandis que les autres détails obligatoires peuvent être fournis par d’autres moyens (deuxième niveau). Le premier niveau d’information doit renvoyer au deuxième niveau d’information.
Le Comité donne notamment des détails sur l’emplacement des panneaux d’information et sur les informations qu’ils doivent fournir et propose également un modèle non contraignant de panneaux d’information.
Durée de conservation des données – Les données personnelles collectées via la vidéosurveillance doivent idéalement être effacées au bout de quelques jours. Plus la période de stockage fixée est longue, plus il faut fournir d’arguments pour justifier la légitimité de l’objectif et la nécessité du stockage.
Mesures techniques et organisationnelles – Ces mesures doivent être proportionnelles aux risques pour les droits et libertés des personnes physiques. Le responsable du traitement doit protéger de manière adéquate tous les éléments d’un système de vidéosurveillance et les données à tous les stades du stockage, de la transmission et du traitement. La sécurité du système implique la sécurité physique de tous les composants du système et la protection de l’intégrité du système contre les interférences intentionnelles et non intentionnelles ainsi que sa résilience face à ces interférences. La sécurité des données signifie leur confidentialité, leur intégrité et leur disponibilité.
Conduite d’une analyse d’impact – Enfin, le CEPD reprend le RGPD et explique que les responsables du traitement sont tenus de réaliser des analyses d’impact si le traitement constitue une surveillance systématique d’une zone accessible au public à grande échelle.