Vidéoprotection : comment être conforme au RGPD ?

Publié le par Baptiste Soleil.

Mot-clé associé : RGPD.

Alors que la CNIL vient d’annoncer dans ses thématiques prioritaires pour 2023 le contrôle de l’utilisation de caméras « augmentées », notamment par les acteurs publics, il est essentiel pour les communes et commerces utilisant des systèmes de vidéoprotection (c’est-à-dire les dispositifs filmant la voie publique et les lieux ouverts au public) de vérifier leur conformité à la réglementation ! La CNIL contrôle fréquemment ce type de dispositif, ce qui l’avait conduit à communiquer sur le sujet à l’occasion d’une mise en demeure en décembre 2021. Pour 2023, cette thématique de contrôle s’inscrit notamment dans un projet de déploiement de ces dispositifs pendant les prochaines manifestations sportives de grande ampleur prévues en France comme la Coupe du monde de Rugby ou les Jeux Olympiques.

Nous avons synthétisé les obligations applicables sous la forme d’une check-list de 8 critères que vous devriez respecter pour mettre en conformité votre dispositif de vidéoprotection au RGPD.

1. Demandez l’autorisation préfectorale

Il s’agit de la première étape en termes d’importance et de priorité puisque l’autorisation conditionnera la mise en place du dispositif : toute vidéoprotection doit en effet être autorisée par le préfet territorialement compétent, pour une durée de cinq ans renouvelable. Cette formalité peut être effectuée en ligne, sur le site du ministère de l’intérieur. Il existe une procédure d’urgence, mais d’application limitée.

2. Vérifiez l’étendue des images filmées

L’un des manquements relevés par la CNIL en décembre dernier concernait le contenu des enregistrements, puisque des images d’intérieur d’habitations étaient concernées, cette pratique étant bien évidemment interdite.

Faites également attention aux données sensibles qui pourraient être déduites des images : participation à une manifestation politique, vidéoprotection d’une église, etc. Si vous vous trouvez dans ce cas, vous pouvez vous reporter aux points 62 à 72 des lignes directrices du CEPD pour plus d’informations. A noter que dans le cas de l’utilisation reconnaissance faciale, des règles spécifiques et une vigilance particulière doivent être respectées.

Par ailleurs, prenez garde aux traitements automatisés réalisés à partir des images : des dispositifs de lecture automatisée de plaques d’immatriculation et d’analyse assistée ont, en effet, été jugés illicites par la CNIL.

3. Ajoutez le dispositif à votre registre de traitement

Comme pour n’importe quel traitement de données personnelles, n’oubliez pas d’ajouter la vidéoprotection à votre registre de traitement, ce qu’avait omis la commune mise en demeure par la CNIL !

A noter qu’un second registre est obligatoire, prévu par l’article R.252-11 du Code de la sécurité intérieur, mentionnant notamment les enregistrements réalisés, la date de destruction des images et la date de leur transmission au parquet, le cas échéant.

4. Réalisez une analyse d’impact (AIPD)

Pour rappel, la procédure d’analyse d’impact relative à la protection des données, créée par le RGPD (article 35), est obligatoire lorsqu’un organisme souhaite mettre en œuvre un traitement présentant « un risque élevé pour les droits et libertés des personnes physiques ». En mentionnant spécifiquement « la surveillance systématique à grande échelle d’une zone accessible au public » comme l’un des cas pour lesquels l’AIPD est obligatoire, l’article 35 du RGPD cible en particulier la vidéoprotection.

Si vous avez besoin d’aide dans la mise en œuvre de votre AIPD, Empreinte Digitale peut vous y accompagner.

5. Sécurisez le système de vidéoprotection

Compte tenu de la criticité des données contenues dans un système de vidéoprotection, les mesures de sécurité l’encadrant doivent être fortes. Dans sa mise en demeure, la CNIL relevait par exemple un mot de passe trop faible et l’absence de système de traçabilité des accès aux images.

Des mesures de sécurité techniques et organisationnelles adaptées à la vidéoprotection sont proposées par le CEPD dans ses lignes directrices (points 131 à 135).

6. Restreignez l’accès aux images

La confidentialité des images passe par leur sécurité, mais également par une gestion stricte des accès aux images : dans le cadre de la vidéoprotection, seules les personnes habilitées par l’autorisation préfectorale pourront avoir accès aux images, dans le strict cadre de leurs fonctions. La CNIL précise sur son site que « Ces personnes doivent être particulièrement formées et sensibilisées aux règles de mise en œuvre d’un système de vidéoprotection. »

Les restrictions concernant l’accès aux images ne s’opposent pas au droit d’accès des personnes filmées, qui peuvent accéder aux enregistrements les concernant (sauf raisons très limitées comme la sûreté de l’État, la défense, etc.).

7. Informez correctement les personnes

Les personnes filmées doivent être informées du traitement de leurs données, à la fois dans les conditions de fond du RGPD, et dans des conditions spécifiques applicables à la vidéoprotection quant à la forme. La présence de caméras doit ainsi être signalée par deux niveaux d’informations :

  • premièrement par des panneaux indicatifs, avec une information sommaire et renvoyant vers une information plus détaillée ;
  • deuxièmement par une information complète dont la forme dépendra du contexte. Le CEPD recommande de présenter le second niveau d’information à la fois sous format numérique et imprimé « par exemple sous la forme d’une fiche d’information complète disponible dans un lieu central (au bureau d’information, à la réception ou à la caisse…) ou d’une affiche facilement accessible ».

Retrouvez plus de détails sur le site de la CNIL.

Exemples de panneaux conformes et non-conformes. Premier cas : un panneau indiquant uniquement "Vidéoprotection, décret 98-328 du 17/10/98". Cette information n'est pas suffisante. Deuxième cas : le panneau indique "ville placée sous vidéoprotection", la durée de conservation et les destinataires des images, l'existence de droits sur ses données et le moyen de les exercer, le moyen d'obtenir plus d'informations sur le dispositif et la gestion de ses données personnelles, et la possibilité d'introduire une réclamation auprès de la CNIL. Cette information est bien conforme.

Exemple de panneau informatif conforme (Source : CNIL – https://www.cnil.fr/fr/la-videosurveillance-videoprotection-sur-la-voie-publique, 05/01/2022)

8. Respectez les durées de conservation

Le non-respect des durées de conservation était également l’un des reproches formulés par la CNIL dans sa récente mise en demeure. Si déterminer la durée applicable est parfois compliqué pour le responsable de traitement, cette tâche est simplifiée pour la vidéoprotection : en effet, il suffit de se référer à l’autorisation préfectorale, qui précise cette durée. En tout état de cause, les délais seront très courts, la durée maximale étant d’un mois (sauf procédure judiciaire en cours).

Lorsque les enregistrements entrent dans la définition des archives publiques (Art. L.211-4 du Code du patrimoine), cet effacement à court terme ne s’oppose pas au respect des règles en matière d’archivage public, en particulier l’obtention d’un visa avant destruction des enregistrements par la personne chargée du contrôle scientifique et technique de l’État sur les archives (pour les collectivités, le directeur du service départemental d’archives territorialement compétent).

Vous avez besoin de conseils concernant l’application du RGPD ? Empreinte Digitale peut vous accompagner dans la mise en conformité de votre système de vidéoprotection, mais également de tous vos projets impliquant des données personnelles, à travers des diagnostics, la formation de vos équipes ou en devenant votre DPO.

Contactez-nous

À propos de l'auteur

Baptiste Soleil

DPO certifié
Consultant en protection des données