Le Comité européen de la protection des données a adopté des lignes directrices sur la vidéosurveillance. Le CEPD (le comité, EDPB,à ne pas confondre avec le commissaire, EDPS) anciennement « Groupe de travail article 29 » ou « G29 », a été institué par le Règlement européen sur la protection des données 2016/679 du 27 avril 2019.
Le CEPD-EDPB a pour mission de garantir l’application cohérente du RGPD. A ce titre, il peut adopter des documents d’orientation générale afin de clarifier les dispositions des actes législatifs européens en matière de protection des données et ainsi fournir aux acteurs concernés une interprétation cohérente de leurs droits et obligations.
C’est ainsi qu’après une consultation publique. lancée le 10 juillet 2019, le CEPD-EDPB a adopté des lignes directrices sur la vidéosurveillance le 29 janvier 2020, publiée sur son site internet le 31 janvier 2020 (1).
Vidéosurveillance ou vidéoprotection ?
La vidéosurveillance s’entend d’un dispositif de caméras installées dans un lieu non ouvert au public. Par exemple, dans l’enceinte d’une entreprise ou à l’intérieur du domicile d’une personne privée.
La vidéoprotection désigne un dispositif de caméras installées dans un lieu ouvert au public, comme l’accueil ou le parking d’une entreprise, espaces d’entrée et de sortie du public, comptoir, etc.
En droit français, il existe une distinction entre le régime juridique applicable à la vidéoprotection et celui applicable à la vidéosurveillance qui résulte des dispositions de l’article L.251-1 du Code de la sécurité intérieure (CSI).
Le CSI détermine un critère permettant d’identifier le régime applicable.
Ainsi, lorsque les enregistrements visuels de vidéoprotection sont utilisés dans des traitements automatisés ou contenus dans des fichiers structurés selon des critères permettant d’identifier, directement ou indirectement, des personnes physiques, les dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés s’appliquent.
Pour autant, dans une publication du 13 décembre 2019, la Cnil considère que les systèmes de vidéoprotection et de vidéosurveillance constituent des traitements de données à caractère personnel devant satisfaire aux exigences de protection des données issues des textes européens.
Des lignes directrices sur la vidéosurveillance
La Cnil indique qu’en tout état de cause, il convient d’appliquer des mesures communes, certaines relevant uniquement du CSI, d’autres relevant à la fois du CSI et de la réglementation relative à la protection des données.
Ainsi, le responsable du traitement sera tenu de :
- faire une demande d’autorisation adressée au préfet territorialement compétent :
- mener une analyse d’impact sur la protection des données :
- informer les personnes susceptibles d’être filmées par un système de vidéoprotection :
- limiter la durée de conservation des images à ce qui est nécessaire au regard de la finalité poursuivie :
- assurer la sécurité des données traitées :
- répondre aux demandes de droit d’accès :
C’est dans ce contexte que les lignes directrices du CEPD ont été publiées.
Ces lignes directrices sur la vidéosurveillance visent à fournir des indications sur la manière d’appliquer les règles issues du RGPD aux traitements de données à caractère personnel mis en œuvre au moyen d’un dispositif de caméra.
Elles apportent notamment des précisions sur
- la base légale du traitement,
- la communication de données à un tiers,
- les droits des personnes concernées,
- l’obligation d’information,
- la durée de conservation des données,
- les mesures techniques et organisationnelles
- ainsi que la conduite d’une analyse d’impact.
Emmanuel Walle
Oriane Maurice
Lexing Droit social numérique
(1) Guidelines 3/2019 on processing of personal data through video devices