Guide vidéosurveillance et conformité RGPD
Qui dit vidéosurveillance dit données personnelles, et donc respect du RGPD ! Aussi appelée vidéoprotection, c’est un dispositif fréquemment utilisé (dans les commerces, entrepôts, open space, espaces de coworking, locaux, réserves…).
Et oui, les images collectées permettent d’identifier des personnes, ce qui constitue donc des données personnelles, et ce qui déclenche plusieurs obligations.
Ces obligations peuvent être divisées en deux catégories : les obligations concernant l’aspect technique de la vidéosurveillance, et les obligations juridiques liées à la documentation qu’implique la vidéosurveillance.
Vous avez mis en place ou vous souhaitez mettre en place de la vidéosurveillance au sein de votre établissement ? Ce guide est là pour vous assurer de la légitimité et donc de la conformité de ce dispositif, et vous permet d’éviter les sanctions.
Technique
Étape 1 : Pourquoi je réalise de la vidéosurveillance ? Justifier d’une finalité
Si la CNIL autorise la vidéosurveillance, celle-ci doit être correctement justifiée, et suivre un intérêt légitime, avoir un motif licite et avoir une finalité déterminée.
Ce que je dois faire :
Justifier correctement mon usage de la vidéosurveillance avec un motif licite, légitime et autorisé : La CNIL rappelle que les caméras doivent être installées à des fins de sécurité (des biens ou des personnes), à titre dissuasif ou à des fins d’identifications (d’auteur de vols, dégradations ou d’agressions).
Ce que je ne dois pas faire :
Utiliser la vidéosurveillance sans définir pourquoi je la mets en place : La vidéosurveillance est un moyen de collecte de données personnelles, et doit à ce titre respecter le RGPD. La vidéosurveillance doit donc avoir un motif licite et légitime et avoir une finalité préalablement déterminée.
Utiliser la vidéosurveillance à des fins de surveillance de mes salariés/collaborateurs : La vidéosurveillance doit être justifiée par un motif licite et légitime. Et la surveillance / le monitoring des salariés pour vérifier leur productivité ou leur activité n’est PAS un motif licite/légitime !
Étape 2 : Comment je réalise ma vidéosurveillance ?
L’usage de la vidéosurveillance ne doit pas représenter une menace pour la vie privée des personnes physiques (salariés, collaborateurs, visiteurs, fournisseurs, prestataires, etc).
Ce que je dois faire :
✅ Définir un périmètre approprié en accord avec la finalité déterminée : Même si la finalité est légitime, par exemple surveiller un commerce pour éviter tout vol, le périmètre filmé doit se limiter uniquement à la finalité déterminée, ici : les lieux de circulation des clients dans le commerce concerné. Pas question de filmer les salles de pause ou la voie publique devant l’établissement !
✅ Considérer et vérifier le périmètre des images filmées par la caméra de vidéosurveillance : Avant de mettre en place la vidéosurveillance, il faut s’assurer que la caméra ne filme que l’intérieur d’un local privatif et vérifier les angles de prise de vue, afin de vérifier que la vidéosurveillance n’est pas détournée de sa finalité initiale.
✅ Si des caméras enregistrent des espaces ouverts au public tels que les zones d’entrée et de sortie sur rue, les zones marchandes, et les caisses (ce cas concerne notamment des commerces), l’autorisation du préfet du département (ou du préfet de police à Paris) est requise.
Le formulaire nécessaire peut être obtenu auprès des services de la préfecture du département ou téléchargé depuis le site du ministère de l’Intérieur. Il est également possible de le remplir en ligne via un formulaire dédié (https://www.justice.fr/formulaire/demande-autorisation-systeme-videoprotection-formulaire-1380604).
Ce que je ne dois pas faire :
⛔️ Filmer sans faire attention au périmètre même dans un espace privatif : Par exemple, il est interdit de filmer dans un vestiaire ou des toilettes, ce qui paraît assez évident. Mais aussi il est interdit de mettre une caméra qui vérifie ce que le salarié écrit sur son ordinateur, ou une caméra qui filme l’entrée d’un local syndical, d’une salle de classe etc.
Attention aux sanctions : La CNIL condamne fermement tout abus en matière de vidéosurveillance, et l’ignorance n’est pas une excuse. La CNIL applique des sanctions rétroactives, même si les erreurs ont été corrigées par la suite, et elle se détermine en fonction de la bonne ou mauvaise foi de l’auteur des violations qu’elle contrôle.
En 2019, la CNIL a condamné UNIONTRAD COMPANY, une entreprise qui filmait en continu le poste d’un salarié ! Une amende importante à hauteur de 20 000€ a été prononcée, une énième preuve que la CNIL prend très au sérieux la protection de la vie privée des salariés.
Étape 3 : Que faire des images collectées ? Le principe de minimisation des données
En vertu de l’article 5 du RGPD, les données collectées doivent être minimisées par rapport à la finalité choisie. En d’autres termes, je ne dois collecter que les données strictement nécessaires à l’usage que je prévois d’en faire ! Pas question de filmer au cas où !
Ce que je dois faire :
✅ M’assurer que la collecte d’images est proportionnée et ne dépasse pas les besoins réels de la finalité prévue : Les images collectées doivent impérativement présenter un intérêt pour la finalité choisie. Si je filme pour un objectif de sécurité des biens : je ne dois filmer que les biens. Pas besoin de filmer tout ce qui entoure les biens concernés.
Ce que je ne dois pas faire :
⛔️ Filmer un maximum d’images sans considération de la pertinence par rapport à l’objectif : Filmer “au cas où” n’est pas une justification acceptable en matière de données personnelles. L’ensemble du périmètre filmé doit présenter un intérêt par rapport à la finalité déterminée.
⛔️ Capturer des zones non liées à la finalité définie : Même si ces zones ne constituent pas un risque pour la vie privée des salariés, si elles ne constituent pas non plus un moyen d’assurer la finalité, elles ne doivent pas être filmées. Par exemple, filmer un couloir qui ne présente pas d’intérêt pour la finalité déterminée mais qui peut être amené à filmer les déplacements de quelques individus constitue une donnée dont la collecte n’est pas impérativement nécessaire.
Étape 4 : Combien de temps conserver ces images ? Définir une durée de conservation appropriée
⚠️ Attention à la durée de conservation des images de vidéosurveillance ! C’est essentiel dans ce domaine. La CNIL a fait plusieurs recommandations en ce sens et les durées sont très courtes.
Ce que je dois faire :
✅ Conserver les images collectées pendant une durée appropriée par rapport au but recherché : La CNIL rappelle que la conservation idéale est de quelques jours seulement, en général 48 à 72 h, sauf circonstances exceptionnelles (incident, procédure disciplinaire ou pénale). Mais dans le cas de circonstances exceptionnelles, seules les images concernées doivent faire l’objet d’une telle conservation, et ne doivent être conservées que durant le temps de la procédure.
✅ Quoi qu’il arrive, peu importe la finalité, la durée de conservation d’images issues de la vidéosurveillance ne devrait jamais excéder une durée de 1 mois.
Ce que je ne dois pas faire :
⛔️ Conserver les images indéfiniment, ou fixer une durée de conservation excessive : La CNIL sanctionne fermement la conservation des images de vidéosurveillance pendant une durée excessive.
⚠️ Attention aux sanctions : Dans une décision condamnant UNIONTRAD COMPANY à une amende de 20 000€, la CNIL a mis en demeure la société de ne plus conserver les images issues de la vidéosurveillance plus de 15 jours, au regard de la finalité concernée (dans les faits, la société invoquait une finalité de sécurité des biens et de protection des documents manipulés).
Étape 5 : Sécuriser l’accès aux images : obligation de sécurité
Comme toute donnée personnelle mais peut-être encore plus en raison de leur spécificité et de la possible atteinte à la vie privée, surtout en cas de diffusion intempestive, les images de vidéosurveillance doivent être conservées de manière très sécurisée.
Ce qu’il faut faire :
Utiliser une connexion sécurisée : Utiliser un protocole du format HTTPS.
Sécuriser l’ensemble des accès permettant d’accéder aux images de vidéosurveillance : L’ensemble des accès permettant d’accéder au dispositif (téléphone, tablette) doivent être sécurisés.
Mettre en place des politiques strictes d’habilitation en limitant les personnes pouvant avoir accès aux données
Mettre en place une procédure de destruction régulière en fonction de la durée de conservation et s’assurer de son efficacité.
Ce qu’il ne faut pas faire :
Créer un seul compte utilisateur et permettre à plusieurs personnes de se partager le mot de passe : Tout compte permettant d’accéder aux images issues de la vidéosurveillance doit respecter les standards de sécurité qu’impose le RGPD, tel que l’utilisation d’un compte individuel.
Utiliser un mot de passe simple pour accéder aux images : Les images issues de la vidéosurveillance sont des données personnelles importantes, et doivent être sécurisées ! L’utilisation d’un mot de passe simple ne respectant pas les standards de sécurité recommandés (12 caractères, chiffres, lettres, caractères spéciaux, pas de mot…) est prohibée.
⚠️ Attention aux sanctions : Dans une sanction récente, Amazon Logistique France a été condamné à une amende de 32 millions d’euros pour différentes violations du RGPD. Parmi les manquements reprochés, on retrouve de nombreuses violations de règles quant à l’utilisation de la vidéosurveillance. Les images issues de la vidéosurveillance étaient accessibles depuis un compte protégé par un mot de passe simple, et partagé par plusieurs personnes de l’entreprise.
Juridique
Étape 1: Consulter les instances représentatives s’il y a lieu
Ce que je dois faire :
✅ Avant toute décision d’installation de caméras de vidéosurveillance, les instances représentatives (CSE notamment) du personnel doivent être consultées et je dois conserver la trace de cette consultation.
💡 Le CSE est obligatoire dans toute entreprise de plus de 11 salariés durant 12 mois consécutifs. Et selon l’article L.2312-38 du Code du travail, son information et sa consultation sont obligatoires avant la mise en place d’un tel dispositif.
Étape 2 : Mettre à la disposition de tous une information claire et accessible
Toutes les personnes pouvant être potentiellement concernées par la vidéosurveillance (personnel, visiteurs) doivent être informés du dispositif. On parle de mention d’information, c’est une obligation prévue par le RGPD ! C’est typiquement une affiche comportant plusieurs mentions obligatoires, à afficher lorsqu’on réalise de la vidéosurveillance.
Ce que je dois faire :
✅ Placer l’information à la portée et à la vue de tous : l’information doit être facilement visible, accessible et compréhensible. Elle est généralement placée à l’intérieur du local/établissement concerné sur un panneau d’affichage ou près de lieux de passage.
✅ Fournir une information complète, lisible et accessible : Afin que l’information soit suffisamment lisible, la CNIL permet de réduire la liste d’informations affichées, à condition qu’elles soient accessibles facilement depuis un autre moyen (par exemple, internet).
Ce que je ne dois pas faire :
⛔️ Afficher un simple logo indiquant une caméra ou que l’établissement est sous surveillance vidéo : Cela ne constitue pas une information suffisante !
Exemple de mention d’information complète à afficher dans votre établissement :
“ Établissement placé sous vidéosurveillance par l’entreprise [nom de votre entreprise] pour la sécurité des personnes et des biens.
Les images sont conservées pendant [durée de conservation des images] et peuvent être visionnées, en cas d’incident, par le personnel habilité de l’entreprise [nom de votre entreprise] et par les forces de l’ordre.
Pour exercer vos droits, conformément à la loi Informatique et Libertés et au RGPD, notamment votre droit d’accès aux images qui vous concernent ou toute information sur ce dispositif, vous pouvez contacter notre DPO / ou la personne chargée de votre conformité aux coordonnées suivantes : [coordonnées du référent conformité RGPD / DPO de votre entreprise].
Pour en savoir plus sur la gestion de vos données personnelles, vous pouvez consulter notre site à l’adresse suivante : [URL site web de votre entreprise] / notre règlement intérieur auprès de notre personnel sur demande.
Vous pouvez introduire une réclamation auprès de la CNIL à partir de l’adresse suivante : https://www.cnil.fr/fr/adresser-une-plainte. “
Ce dispositif d’information est incomplet, mais est autorisé par la CNIL à des fins de lisibilité. On doit cependant retrouver sur un autre support (site internet ou règlement intérieur de l’enteprise, d’autre mentions obligatoires, telles que :
- la base légale du traitement (l’intérêt légitime est souvent la base retenue)
- les destinataire des données personnelles
- toute autre information nécessaire
Attention aux sanctions : L’information est un élément clé de la vidéosurveillance. Dans une récente condamnation d’Amazon Logistique France, la CNIL a rappelé que l’information est essentielle, et doit être réellement accessible. N’ayant pas respecté ces conditions, en fournissant une information incomplète, en omettant des mentions obligatoires et en n’informant pas de la possibilité de consulter les informations sur internet, Amazon Logistique France fut condamné.
Étape 3 : Gérer les demandes des personnes filmées
Comme pour toutes les données personnelles mais encore plus pour la vidéosurveillance, les demandes d’exercice de droits des personnes peuvent être fréquentes.
Elles permettent à toutes les personnes filmées et concernées par le dispositif de demander la consultation, la suppression ou davantage d’informations sur la vidéosurveillance.
Ce qu’il faut faire :
✅ IMPÉRATIVEMENT gérer ses demandes de droit dans les délais imposés c’est-à dire au maximum 1 mois
✅ Documenter les demandes et les réponses fournies de sorte de pouvoir en justifier en cas de contrôle
💡 C’est un domaine où la CNIL sera souvent saisie par une plainte, ce qui entraînera un contrôle et de possibles sanctions. La CNIL traite toutes les plaintes qu’elle reçoit.
Ce qu’il ne faut pas faire :
⛔️ Ignorer, ne pas documenter, ne pas répondre ou ne pas compléter une demande de droit
Étape 4 : Déterminer si une AIPD est à réaliser
Lorsqu’un dispositif de vidéoprotection entraîne une surveillance systématique à grande échelle d’une zone accessible au public, des formalités supplémentaires et obligatoires sont à observer.
Ce qu’il faut faire:
✅ Si votre vidéosurveillance est systématique et filme une zone accessible au public : et même si cela ne vise que quelques centaines de personnes, il faudra réaliser une Analyse d’Impact sur la Protection des Données (AIPD) . Cette analyse vise notamment à évaluer la nécessité et la proportionnalité du dispositif envisagé par rapport aux objectifs poursuivis.
✅ Si en plus de la vidéosurveillance vous réalisez :
- du scoring, évaluation ou profilage (par exemple, scoring des banques pour l’attribution de crédits)
- des décisions automatisées (réalisée par une IA ou un algorithme)
- de la géolocalisation
- des croisements de données
- l’utilisation de nouvelles technologies en rapport avec les données personnelles
Il faudra là nécessairement réaliser une ou plusieurs AIPD.
💡 N’hésitez pas à vous faire assister de professionnels dans la réalisation de ces AIPD.
La vidéosurveillance ou vidéoprotection nécessitent la mise en place de procédures et de formalités compliquées pour être valides et conformes au RGPD. N’hésitez pas à faire appel à un professionnel.