Vidéosurveillance : l’EDPB adopte la version définitive de ses lignes directrices

Depuis les années 1990, la surveillance automatisée et systématique par le biais de dispositifs vidéo se multiplie dans les espaces publics comme privés. Si les individus y sont de plus en plus habitués dans un souci de sécurité des biens et des personnes, la vidéosurveillance peut malgré tout engendrer des risques importants, notamment lorsqu’elle est combinée à d’autres technologies (biométrie, intelligence artificielle…). La mise en place de garanties est donc essentielle afin d’éviter toute utilisation abusive des données à des fins non compatibles avec l’objectif initial.

Le 10 juillet 2019, l’EDPB (European Data Protection Board ou Comité Européen de la Protection des Données en français) a adopté et soumis à consultation publique une première version des lignes directrices concernant le traitement de données personnelle via des dispositifs vidéo. La version définitive de ces lignes directrices a été adoptée le 29 janvier 2020.

Elles visent à donner des conseils sur la façon d’appliquer les exigences du RGPD aux traitements liés à des dispositifs de vidéosurveillance.

Champ d’application des lignes directrices

Les recommandations de l’EDPB s’appliquent seulement dès lors que sont collectées des données personnelles sur les personnes entrant dans l’espace surveillé, c’est-à-dire lorsque les informations collectées via le dispositif permettent d’établir l’identité des personnes sur la base de leur apparence ou d’autres éléments spécifiques.

Le RGPD ne s’applique pas aux dispositifs qui ne permettent pas d’identifier une personne, directement ou indirectement (par exemple, aux caméras d’assistance au stationnement sur des véhicules, qui ne sont pas configurées pour enregistrer).

Ne sont pas concernées non plus par ces recommandations les activités purement personnelles et domestiques, exemptées par l’article 2 (2) c) du RGPD. Cette exception domestique a toutefois été nuancée par des arrêts de la Cour de Justice de l’Union Européenne (CJUE) dès lors que le système de vidéosurveillance couvre « même partiellement, un espace public » et s’il est dirigé « vers l’extérieur depuis le cadre privé de la personne qui traite les données« . Dans ce cas, le traitement de données « ne peut pas être considéré comme une activité purement personnelle ou domestique« . Par exemple, une personne qui utilise un dispositif vidéo pour surveiller et enregistrer son propre jardin. La propriété est clôturée et cette personne elle-même et sa famille entrent régulièrement dans le jardin. Ce cas relèvera de l’exemption pour les ménages, à condition que la vidéosurveillance ne s’étende pas, même partiellement, à un espace public ou à une propriété voisine.

Quelle base juridique pour fonder un traitement lié à la vidéosurveillance

Pour être licite, tout traitement de données personnelles doit reposer sur une des six bases juridiques prévues à l’article 6 du RGPD. Si, en principe, chacune pourrait fonder un traitement de données issues de vidéosurveillance, l’EDPB estime en pratique que les bases les plus susceptibles d’être utilisées sont l’intérêt légitime, l’exécution d’une mission d’intérêt public et enfin, dans certains cas, le consentement des personnes.

L’EDPB précise ainsi dans quelle mesure et sous quelles conditions chaque base juridique précitée peut fonder un traitement lié à la vidéosurveillance.

Concernant par exemple l’intérêt légitime du responsable de traitement, il doit avoir une existence réelle et correspondre à un problème actuel (il ne doit pas être fictif ou spéculatif) : des dommages ou incidents grave dans le passé doivent pouvoir justifier la mise en place du dispositif vidéo. La protection des biens contre le cambriolage, le vol ou le vandalisme pourra alors constituer un intérêt légitime pour la vidéosurveillance.

Pour répondre au principe de responsabilité (accountability) imposé aux responsables de traitement, il leur est également conseillé de documenter les incidents pertinents (date, faits, perte financière, dépôt de plainte, etc.) afin d’être en capacité de justifier d’un intérêt légitime.

Enfin, l’EDPB rappelle qu’il est nécessaire pour tout responsable de traitement qui souhaite mettre en place un dispositif vidéo de procéder à une balance des intérêts. Les libertés et droits fondamentaux, d’une part, et les intérêts légitimes du responsable du traitement, d’autre part, doivent être évalués et soigneusement équilibrés.

Par ailleurs, il est à noter que dans le cadre de la vidéosurveillance, l’EDPB ne prévoit l’utilisation du consentement de la personne concernée en tant que base juridique que dans des cas exceptionnels ; la nature même d’un dispositif vidéo étant de filmer un nombre inconnu d’individus qui se trouveraient dans la zone concernée.

L’exemple donné concerne les athlètes pouvant demander une surveillance lors d’exercices individuels afin d’analyser leurs techniques et leurs performances.

La question de la divulgation des images à des tiers

Dans ses lignes directrices, l’EDPB rappelle que la transmission de séquences vidéo à des tiers à des fins autres que celles pour lesquelles les données ont été collectées n’est possible que dans le cas prévu à l’article 6.4 du RGPD : la divulgation de données est permise si le but de la transmission est compatible avec la finalité initiale du traitement.

Par exemple, un dispositif de surveillance vidéo d’une barrière sur un parking est installé dans le but d’obtenir réparation des dommages pouvant être causés à celle-ci. Un dommage survient et l’enregistrement est transféré à un avocat pour intenter une action en réparation. Dans ce cas, le but de l’enregistrement est le même que celui du transfert.

Dans tous les cas,  l’EDPB indique que toute divulgation de données personnelles à des tiers est un traitement de données personnelles distinct pour lequel le responsable du traitement doit avoir une base juridique. Ainsi, si la législation nationale d’un Etat membre exige que le responsable de traitement coopère avec les services répressifs, dans le cadre d’une enquête par exemple, la base juridique pour la transmission des données sera l’obligation légale.

Le traitement de données sensibles par un système de vidéosurveillance

L’EDPB alerte sur le fait que les systèmes de vidéosurveillance conduisent à collecter d’importantes quantités de données personnelles, qui, même si elles sont apparemment non significatives à l’origine, peuvent être utilisées pour déduire d’autres informations. Les séquences vidéo montrant une personne portant des lunettes ou utilisant un fauteuil roulant ne sont pas en soi considérées comme des catégories particulières de données personnelles.

Néanmoins, l’EDPB estime que des opinions politiques pourraient par exemple être déduites d’images montrant des personnes identifiables participant à un événement, se livrant à une grève, etc. ou encore l’état de santé d’une personne du fait de l’installation par un hôpital d’une caméra visant à surveiller un patient.

L’EDPB rappelle donc l’importance du principe de minimisation des données : lors de l’installation d’un système de vidéosurveillance, le responsable de traitement doit prendre toutes les mesures adaptées pour réduire le risque de capturer des images révélant des données sensibles.

En outre, la question de l’utilisation de données biométriques, et en particulier la reconnaissance faciale, par le biais d’un dispositif vidéo est abordée par l’EDPB dans ses lignes directrices. Si cette utilisation comporte des risques accrus pour les personnes concernées, l’EDPB rappelle néanmoins que les séquences vidéo d’un individu ne peuvent pas en elles-mêmes être considérées comme des données biométriques si elles n’ont pas été spécifiquement traitées techniquement afin de contribuer à l’identification d’un individu.

En effet, pour être considéré comme un traitement de catégories particulières de données à caractère personnel (article 9 du RGPD), les données biométriques doivent être traitées « dans le but d’identifier de manière unique une personne physique » (un dispositif ayant pour but d’identifier si une personne concernée entre et sort d’une zone déterminée pour lui projeter une publicité personnalisée par exemple).

L’EDPB distingue donc les cas dans lesquels on entre dans le cadre de la biométrie et suggère des mesures pour minimiser les risques d’un traitement de données biométriques.

Les droits des personnes concernées par un traitement de données lié à un dispositif de vidéosurveillance

L’EDPB rappelle que tous les droits prévus par le RGPD s’appliquent aux traitements de données personnelles par vidéosurveillance. Néanmoins, en raison de la nature de ce traitement, les modalités d’exercice de certains droits méritent d’être clarifiées.

Le droit d’accès

Le cas le plus simple est celui dans lequel les données ne sont pas stockées ou transférées : le responsable de traitement ne pourra fournir qu’une information selon laquelle les données personnelles ne sont plus traitées.

D’autres cas soulèvent néanmoins davantage de difficultés :

• L’atteinte aux droits d’autrui : étant donné qu’un grand nombre de personnes concernées peut être enregistré dans une même séquence vidéo, l’accès à ces images par une personne qui en fait la demande entraînerait automatiquement l’accès aux données d’autres personnes. Ainsi, si la personne concernée souhaite recevoir une copie des images, cela pourrait porter atteinte aux droits et libertés des autres personnes concernées par ces images. Afin d’éviter ce problème, le responsable de traitement doit veiller à ne pas systématiquement communiquer les séquences vidéos demandées.
Toutefois, la protection des tiers ne doit pas pour autant être utilisée comme excuse pour empêcher l’exercice légitime de leur droit d’accès par les personnes concernées. Le responsable de traitement est tenu de mettre en œuvre des mesures techniques pour répondre à la demande (la retouche d’image telle que le masquage, par exemple).

• L’impossibilité d’identifier la personne concernée : si la séquence vidéo ne peut pas faire l’objet d’une recherche de données à caractère personnel, c’est-à-dire que le responsable du traitement devrait probablement parcourir une grande quantité de données stockées afin de trouver la personne en question, alors le responsable du traitement peut ne pas être en mesure d’identifier la personne concernée.
Dans ce cas, le responsable du traitement doit informer la personne concernée des informations complémentaires qui lui sont nécessaires pour effectuer la recherche. La personne exerçant son droit d’accès pourra ainsi préciser sa demande (l’heure de passage dans la zone surveillée par exemple).

L’atteinte aux droits d’autrui : étant donné qu’un grand nombre de personnes concernées peut être enregistré dans une même séquence vidéo, l’accès à ces images par une personne qui en fait la demande entraînerait automatiquement l’accès aux données d’autres personnes. Ainsi, si la personne concernée souhaite recevoir une copie des images, cela pourrait porter atteinte aux droits et libertés des autres personnes concernées par ces images. Afin d’éviter ce problème, le responsable de traitement doit veiller à ne pas systématiquement communiquer les séquences vidéos demandées.
Toutefois, la protection des tiers ne doit pas pour autant être utilisée comme excuse pour empêcher l’exercice légitime de leur droit d’accès par les personnes concernées. Le responsable de traitement est tenu de mettre en œuvre des mesures techniques pour répondre à la demande (la retouche d’image telle que le masquage, par exemple).

L’impossibilité d’identifier la personne concernée : si la séquence vidéo ne peut pas faire l’objet d’une recherche de données à caractère personnel, c’est-à-dire que le responsable du traitement devrait probablement parcourir une grande quantité de données stockées afin de trouver la personne en question, alors le responsable du traitement peut ne pas être en mesure d’identifier la personne concernée.
Dans ce cas, le responsable du traitement doit informer la personne concernée des informations complémentaires qui lui sont nécessaires pour effectuer la recherche. La personne exerçant son droit d’accès pourra ainsi préciser sa demande (l’heure de passage dans la zone surveillée par exemple).

Si le responsable de traitement est toujours dans l’incapacité d’identifier la personne concernée, il devra alors en informer la personne en indiquant le périmètre exact de la zone surveillée, les caméras qui étaient utilisées, etc. afin que la personne concernée ait une pleine compréhension de quelles données personnelles la concernant ont pu être traitées.

Le droit à l’effacement

Si le responsable du traitement traite des données personnelles au-delà de la surveillance en temps réel, c’est-à-dire s’il stocke les données, la personne concernée peut demander l’effacement de ses données. L’EDPB indique que le responsable de traitement est alors tenu d’effacer les données à caractère personnel sans retard injustifié si l’une des circonstances énumérées au paragraphe 1 de l’article 17, du RGPD s’applique, et si aucune des exceptions énumérées au paragraphe 3 de l’article 17 ne s’applique.

Le droit d’opposition

Dans le cadre de la vidéosurveillance, cette opposition pourrait être formulée par la personne concernée lors de l’entrée dans la zone surveillée, mais également pendant ou après la sortie de la zone. En pratique, cela signifie que, sauf si le responsable de traitement a des motifs légitimes impérieux, la surveillance d’une zone où des personnes physiques peuvent être identifiées n’est licite que si le responsable du traitement est en mesure d’empêcher immédiatement la caméra de traiter les données personnelles sur demande, ou si la zone surveillée est assez restreinte pour permettre au responsable de traitement de garantir l’approbation de la personne concernée avant d’entrer dans la zone.

Une information conforme des personnes concernées

Les personnes concernées par un traitement lié à la vidéosurveillance doivent être informées de manière détaillée des lieux surveillés. Pour cela, et compte tenu du volume d’informations à fournir au regard de l’article 13 du RGPD, une approche en deux niveaux peut être retenue par les responsables de traitement.  En ce qui concerne la vidéosurveillance, les informations les plus importantes doivent être affichées sur le panneau d’avertissement lui-même (premier niveau), tandis que les autres détails obligatoires peuvent être fournis par d’autres moyens (deuxième niveau).

Pour le premier niveau d’information, le responsable de traitement peut utiliser un panneau d’avertissement indiquant les  informations les plus importantes, accompagnées d’un pictogramme, afin de donner un aperçu significatif du traitement prévu d’une manière facilement visible, intelligible et clairement lisible par tous. Ce panneau d’information doit permettre à la personne d’être en mesure d’estimer quelle zone est capturée par une caméra avant même d’entrer dans la zone surveillée, et doit être positionné à la hauteur approximative des yeux.

Les informations à fournir à ce niveau concernent l’identité du responsable de traitement, les finalités du traitement, l’existence de droits pour la personne concernée, ainsi que toute information sur les impacts les plus importants du traitement. De plus, ce panneau doit faire référence au deuxième niveau d’informations plus détaillées et indiquer où les trouver. Enfin, le panneau devrait comporter des informations concernant un éventuel transfert de données en dehors de l’UE ainsi que la durée de conservation des images, sans quoi la personne concernée pourrait penser faire l’objet d’une surveillance uniquement en direct (sans enregistrement ni transmission de données à des tiers).

Les informations de la deuxième strate doivent également être mises à disposition dans un endroit facilement accessible à la personne concernée, par exemple sous la forme d’une fiche d’information complète disponible à un emplacement central (accueil, salle de pause, etc.). Les informations doivent donc être accessibles de manière non numérique, toutefois il est préférable que le deuxième niveau d’information soit accessible numériquement (par exemple grâce à un QR code ou l’adresse d’un site web). Il devrait effectivement être possible d’accéder au deuxième niveau d’information sans entrer dans la zone filmée.

Combien de temps les images peuvent-elles être conservées ?

Dans ses lignes directrices, l’EDPB ne donne aucune durée de conservation précise des images collectées par un dispositif vidéo, et se borne à rappeler que dans certains Etats membres, il peut exister des dispositions spécifiques pour les durées de stockage en ce qui concerne la vidéosurveillance.

Toutefois, l’EDPB alerte les professionnels sur le fait qu’ils devraient contrôler dans un court délai la nécessité ou non de stocker des données personnelles pour atteindre l’objectif fixé à la vidéosurveillance. Ainsi, le but d’un dispositif vidéo étant généralement la sécurité des biens, les dommages survenus peuvent être identifiés dans un délai d’un ou deux jours seulement.

Par conséquent, à moins de vouloir conserver des preuves le temps d’une enquête par exemple, les données devraient dans la plupart des cas être effacées, idéalement automatiquement, après quelques jours seulement. L’EDPB indique que plus la période de stockage est longue (surtout au-delà de 72 heures), plus le responsable de traitement devra justifier de la légitimité de la conservation.

Le responsable de traitement doit donc avoir à l’esprit que s’il utilise la vidéosurveillance pour surveiller ses locaux, mais qu’il a également l’intention de stocker les données, il doit s’assurer que ce stockage répond à un objectif défini. Si tel est le cas, la durée de conservation des images doit alors être clairement définie, individuellement pour chaque objectif particulier.

Pour compléter ces précédentes recommandations, l’EDPB va plus loin en détaillant les mesures de sécurité à appliquer à un dispositif vidéo, mais également en abordant la question de la réalisation d’une analyse d’impact sur la vie privée.

Pour accéder à l’information complète :

https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_201903_video_devices_en_0.pdf

Je partage

Derniers articles

Sécuriser votre environnement cloud : stratégies essentielles et tests d’intrusion

Découvrez les meilleures pratiques pour sécuriser vos données cloud avec des stratégies de protection et des tests d’intrusion efficaces.

Lire l'article

L’évolution marquante du métier de DPO en 2024 : chiffres clés et nouvelles tendances

Le métier de DPO connaît une croissance fulgurante de 64% et une diversification des profils en 2024. Entre défis et opportunités, découvrez les chiffres clés et les dernières tendances de cette profession essentielle dans la protection des données personnelles.

Lire l'article