Vidéoprotection : comment être conforme au RGPD ?

Alors que la CNIL vient à nouveau de mettre en demeure une commune concernant des manquements dans l’utilisation de la vidéoprotection (contrairement à la vidéosurveillance, la vidéoprotection filme la voie publique et les lieux ouverts au public), il est essentiel pour les communes et commerces utilisant ces systèmes de vérifier leur conformité à la réglementation !

Nous avons synthétisé les obligations applicables sous la forme d’une check-list de 8 critères que vous devriez respecter pour mettre en conformité votre dispositif de vidéoprotection au RGPD.

1. Demandez l’autorisation préfectorale

Il s’agit de la première étape en termes d’importance et de priorité puisque l’autorisation conditionnera la mise en place du dispositif : toute vidéoprotection doit en effet être autorisée par le préfet territorialement compétent, pour une durée de cinq ans renouvelable. Cette formalité peut être effectuée en ligne, sur le site du ministère de l’intérieur. Il existe une procédure d’urgence, mais d’application limitée.

2. Vérifiez l’étendue des images filmées

L’un des manquements relevés par la CNIL en décembre dernier concernait le contenu des enregistrements, puisque des images d’intérieur d’habitations étaient concernées, cette pratique étant bien évidemment interdite.

Faites également attention aux données sensibles qui pourraient être déduites des images : participation à une manifestation politique, vidéoprotection d’une église, etc. Si vous vous trouvez dans ce cas, vous pouvez vous reporter aux points 62 à 72 des lignes directrices du CEPD pour plus d’informations. A noter que dans le cas de l’utilisation reconnaissance faciale, des règles spécifiques et une vigilance particulière doivent être respectées.

Par ailleurs, prenez garde aux traitements automatisés réalisés à partir des images : des dispositifs de lecture automatisée de plaques d’immatriculation et d’analyse assistée ont en effet été jugés illicites par la CNIL. A ce propos, la CNIL vient d’ailleurs de lancer une consultation publique sur l’utilisation de caméras dites « intelligentes » ou « augmentées ».

3. Ajoutez le dispositif à votre registre de traitement

Comme pour n’importe quel traitement de données personnelles, n’oubliez pas d’ajouter la vidéoprotection à votre registre de traitement, ce qu’avait omis la commune mise en demeure par la CNIL !

A noter qu’un second registre est obligatoire, prévu par l’article R.252-11 du Code de la sécurité intérieur, mentionnant notamment les enregistrements réalisés, la date de destruction des images et la date de leur transmission au parquet, le cas échéant.

4. Réalisez une analyse d’impact (AIPD)

Pour rappel, la procédure d’analyse d’impact relative à la protection des données, créée par le RGPD (article 35), est obligatoire lorsqu’un organisme souhaite mettre en œuvre un traitement présentant « un risque élevé pour les droits et libertés des personnes physiques ». En mentionnant spécifiquement « la surveillance systématique à grande échelle d’une zone accessible au public » comme l’un des cas pour lesquels l’AIPD est obligatoire, l’article 35 du RGPD cible en particulier la vidéoprotection. Si vous avez besoin d’aide dans la mise en œuvre de votre AIPD, Empreinte Digitale peut vous y accompagner.

5. Sécurisez le système de vidéoprotection

Compte tenu de la criticité des données contenues dans un système de vidéoprotection, les mesures de sécurité l’encadrant doivent être fortes. Dans sa mise en demeure, la CNIL relevait par exemple un mot de passe trop faible et l’absence de système de traçabilité des accès aux images.

Des mesures de sécurité techniques et organisationnelles adaptées à la vidéoprotection sont proposées par le CEPD dans ses lignes directrices (points 131 à 135).

6. Restreignez l’accès aux images

La confidentialité des images passe par leur sécurité, mais également par une gestion stricte des accès aux images : dans le cadre de la vidéoprotection, seules les personnes habilitées par l’autorisation préfectorale pourront avoir accès aux images, dans le stricte cadre de leurs fonctions. La CNIL précise sur son site que « Ces personnes doivent être particulièrement formées et sensibilisées aux règles de mise en œuvre d’un système de vidéoprotection. »

Les restrictions concernant l’accès aux images ne s’opposent pas au droit d’accès des personnes filmées, qui peuvent accéder aux enregistrements les concernant (sauf raisons très limitées comme la sûreté de l’État, la défense, etc.).

7. Informez correctement les personnes

Les personnes filmées doivent être informées du traitement de leurs données, à la fois dans les conditions de fond du RGPD, et dans des conditions spécifiques applicables à la vidéoprotection quant à la forme. La présence de caméras doit ainsi être signalée par deux niveaux d’informations :

  • premièrement par des panneaux indicatifs, avec une information sommaire et renvoyant vers une information plus détaillée ;
  • deuxièmement par une information complète dont la forme dépendra du contexte. Le CEPD recommande de présenter le second niveau d’information à la fois sous format numérique et imprimé « par exemple sous la forme d’une fiche d’information complète disponible dans un lieu central (au bureau d’information, à la réception ou à la caisse…) ou d’une affiche facilement accessible ».

Retrouvez plus de détail sur le site de la CNIL.

Exemples de panneaux conformes et non-conformes. Premier cas : un panneau indiquant uniquement "Vidéoprotection, décret 98-328 du 17/10/98". Cette information n'est pas suffisante. Deuxième cas : le panneau indique "ville placée sous vidéoprotection", la durée de conservation et les destinataires des images, l'existence de droits sur ses données et le moyen de les exercer, le moyen d'obtenir plus d'informations sur le dispositif et la gestion de ses données personnelles, et la possibilité d'introduire une réclamation auprès de la CNIL. Cette information est bien conforme.

Exemple de panneau informatif conforme (Source : CNIL – https://www.cnil.fr/fr/la-videosurveillance-videoprotection-sur-la-voie-publique, 05/01/2022)

8. Respectez les durées de conservation

Le non-respect des durées de conservation était également l’un des reproches formulés par la CNIL dans sa récente mise en demeure. Si déterminer la durée applicable est parfois compliquée pour le responsable de traitement, cette tâche est simplifiée pour la vidéoprotection : en effet il suffit de se référer à l’autorisation préfectorale, qui précise cette durée. En tout état de cause les délais seront très courts, la durée maximale étant d’un mois (sauf procédure judiciaire en cours).

Vous avez besoin de conseils concernant l’application du RGPD ? Empreinte Digitale peut vous accompagner dans la mise en conformité de votre système de vidéoprotection, mais également de tous vos projets impliquant des données personnelles, à travers des diagnostics, la formation de vos équipes ou en devenant votre DPO.

Contactez-nous