La mise en place d’un dispositif de caméras, que ce soit à des fins de vidéoprotection ou de vidéosurveillance, est une pratique courante pour assurer la sécurité des biens et des personnes. Toutefois, cette opération de traitement de données personnelles est encadrée par le Règlement Général sur la Protection des Données (RGPD) et impose, dans la grande majorité des cas, la réalisation d’une Analyse d’Impact relative à la Protection des Données (AIPD).
Distinction entre vidéosurveillance et vidéoprotection
La vidéosurveillance et la vidéoprotection sont deux notions différentes, qu’il convient de distinguer :
La vidéosurveillance concerne les dispositifs installés dans des lieux privés non ouverts au public (entrepôts, bureaux, réserves de magasin, …) ;
La vidéoprotection s’applique aux systèmes qui filment des lieux ouverts au public (voie publique, zones d’entrée et de sortie du public dans un commerce, guichets, parties communes d’un immeuble).
Bien que leurs finalités soient souvent similaires (sécurité, prévention d’atteintes, constatation d’infractions), le régime juridique, notamment en matière d’autorisations, diffère : seule la vidéoprotection est asujettie à une autorisation de la préfécture de police pour sa mise en oeuvre.
L’AIPD : obligation prévue par le RGPD
L’article 35 du RGPD impose la réalisation d’une AIPD lorsque le traitement de données est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ».
La Commission Nationale de l’Informatique et des Libertés (CNIL) a publié une liste des types de traitements pour lesquels une AIPD est toujours requise. Cette liste vise notamment un cas de figure particulier : la surveillance systématique des employés.
Un système de vidéosurveillance filmant un lieu de travail privé, par exemple dans un magasin, correspond à ce critère, et doit donc toujours faire l’objet d’une AIPD.
Il est important de noter que cette obligation est autonome et s’applique indépendamment du fait que le système soit ou non soumis à une autorisation préfectorale.
Les critères généraux pour déterminer si l’AIPD est requise
Même si un système de vidéosurveillance n’entre pas dans le cas de la liste, une AIPD peut tout de même être obligatoire. Le Comité européen de la protection des données (CEPD) a établi une liste de neuf critères généraux pour déterminer si un traitement requiert qu’une AIPD soit réalisée. Si un traitement de données remplit au moins deux de ces critères, une AIPD doit être menée.
Pour la vidéosurveillance, les critères les plus pertinents sont souvent :
La surveillance systématique : Nature même de l’activité.
La collecte de données relatives à des personnes vulnérables : Par exemple, si les caméras filment une aire de jeux, l’entrée d’un établissement de santé, ou une zone accueillant des personnes âgées.
Le traitement à grande échelle : Critère à évaluer au cas par cas (nombre de personnes filmées, volume de données, étendue géographique).
La collecte de données sensibles ou à caractère hautement personnel : Par exemple, si des caméras sont équipées de dispositifs audio ou placées près de l’entrée d’un lieu de culte ou d’un cabinet médical.
Ainsi, un système de caméras dans un lieu privé qui ne serait pas considéré comme une surveillance « systématique des employés » pourrait néanmoins nécessiter une AIPD s’il filme une zone accessible à des personnes vulnérables (par exemple, la salle d’attente d’un cabinet pédiatrique).
La nature et l’objectif d’une Analyse d’Impact sur la Protection des Données
Une AIPD est un outil d’analyse et de documentation permettant de construire un traitement de données conforme aux principes du RGPD. La démarche s’articule autour de quatre objectifs principaux :
Décrire le traitement envisagé de manière détaillée (périmètre, acteurs, données collectées, durées de conservation, etc.).
Évaluer la nécessité et la proportionnalité du dispositif par rapport aux finalités poursuivies.
Identifier et apprécier les risques sur les droits et libertés des personnes concernées (employés, clients, passants).
Définir les mesures techniques et organisationnelles envisagées pour traiter ces risques et les ramener à un niveau acceptable.
L’AIPD constitue ainsi un élément de preuve de la conformité du responsable de traitement.
Recommandations pour une AIPD Vidéosurveillance / Vidéoprotection
Pour être efficace, une AIPD doit s’appuyer sur une documentation précise et complète. Voici quelques éléments à rassembler pour préparer l’analyse :
Justification de la finalité : Décrire précisément les objectifs poursuivis (par ex. : prévenir le vol, sécuriser un accès, etc.) et la base légale du traitement (généralement l’intérêt légitime).
Documentation technique :
Fournir les plans d’implantation des caméras.
Prendre des photographies des lieux où chaque caméra sera positionnée, ainsi que du champ de vision qu’elle couvrira. Cela permet d’évaluer concrètement la proportionnalité du dispositif et les zones de masquage éventuelles.
Joindre la documentation technique du matériel (caméras, enregistreur), en précisant ses caractéristiques (résolution, zoom, vision nocturne, capacités d’analyse d’image, etc.).
Inclure les contrats de sous-traitance avec l’installateur ou le prestataire de maintenance.
Durée de conservation des images : La durée doit être strictement nécessaire à la finalité. En pratique, la CNIL considère qu’une durée maximale de 30 jours est généralement proportionnée. Cette durée peut être étendue uniquement si une procédure judiciaire ou un incident de sécurité le justifie.
Accès et sécurité des données : Lister les personnes ou services habilités à visionner les images et décrire les mesures de sécurité (accès par mot de passe, journalisation des consultations, sécurisation physique du serveur d’enregistrement, chiffrement).
Information des personnes : Fournir un modèle du panneau d’information qui sera affiché de manière visible, incluant les mentions obligatoires prévues par le RGPD.
Procédures associées : Documenter la procédure de gestion des demandes de droits des personnes (accès, effacement) et le protocole de transmission des images aux forces de l’ordre sur réquisition judiciaire.
Vidéoprotection : le cas de l’autorisation préfectorale
L’autorisation délivrée par la préfecture relève du Code de la sécurité intérieure et ne concerne que les systèmes de vidéoprotection (lieux ouverts au public). Les dispositifs de vidéosurveillance (lieux privés) n’y sont pas soumis.
Ces deux démarches sont distinctes et cumulatives. L’obtention d’une autorisation préfectorale ne dispense en aucun cas le responsable de traitement de son obligation de réaliser une AIPD au titre du RGPD (les préfectures demandent d’ailleurs aujourd’hui, pour la plupart, une preuve de la réalisation de l’AIPD).
Besoin d’une AIPD Vidéosurveillance ou Vidéoprotection ? Nous vous accompagnons !
La conduite d’une AIPD est une démarche particulière, qui peut s’avérer complexe, et requiert une expertise juridique et technique. Datanaos répond à vos besoins en mettant à votre disposition pour la réalisation d’une AIPD Vidéosurveillance ou Vidéoprotection un de ses délégués à la protection des données externalisés ! Nous proposons un accompagnement structuré aux responsables de traitement pour la mise en conformité de leurs systèmes de vidéosurveillance. L’intervention vise à analyser votre dispositif, identifier les risques, définir un plan d’action pour les maîtriser et formaliser votre démarche de responsabilité dans un rapport d’AIPD complet.
Vous avez des questions sur la protection des données personnelles au sein de votre organisme ? Contactez-nous pour découvrir comment nous accompagnons entreprises et administrations dans leur démarche de conformité.