1. Accueil
  2. Actualités
  3. Quels changements pour les caméras de surveillance avec l’arrivée du RGPD ?

Quels changements pour les caméras de surveillance avec l’arrivée du RGPD ?

Après nous être penchés sur le cas du registre des visiteurs, intéressons-nous aux autres données laissées par les personnes qui visitent vos locaux : à savoir les images des caméras de surveillance.

gdpr-changements-cameras-artikel

RGPD + loi caméras

Puisque les images où figurent des individus identifiables sont des données à caractère personnel, le RGPD s’applique. Il doit donc être envisagé en parallèle avec la « loi caméras », qui a récemment été modifiée. Ces changements entreront en vigueur le 25 mai 2018, comme le RGPD.

Surveillance du personnel

La surveillance par caméras sur le lieu de travail, destinées à garantir la sécurité et la santé, la protection des biens de l’entreprise, le contrôle du processus de production et le contrôle du travail du travailleur est et demeure régie par la CCT n° 68, et non par la « loi caméras ».

Toutefois, il arrive souvent qu’un seul système de caméras soit utilisé à la fois pour la surveillance du personnel et des clients. Il suffit de penser aux caméras placées dans les grandes surfaces. Les deux corps de règles devront alors être respectés.

Déclaration préalable

Alors qu’aujourd’hui le placement d’une caméra doit être signalé préalablement à la Commission de protection de la vie privée, à partir du 25 mai 2018, seuls les services de police devront être informés. Pour les caméras existantes, un délai est laissé jusqu’au  25 mai 2020 pour les notifier aux services de police.

Les modifications ultérieures de l’installation de vidéosurveillance (ajout d’une seconde caméra par exemple) devront aussi être signalées.

Cette déclaration aux services de police devrait pouvoir être effectuée en ligne. Il sera également possible de charger l’installateur du système d’effectuer les démarches nécessaires, comme cela se fait lors du placement d’un système d’alarme.

Inscription dans le registre des traitements :

Le registre public tenu par la Commission de protection de la vie privée disparaît par conséquent, mais est remplacé par une obligation pour le responsable du système de vidéosurveillance de tenir un registre écrit reprenant les activités de traitement d’images de caméras de surveillance mises en œuvre sous sa responsabilité. Ce registre devra pouvoir être présenté sur simple demande aux services de police et à l’Autorité de protection des données (nouvelle appellation de la Commission de protection de la vie privée à partir du 25 mai 2018). Un arrêté royal à venir devra définir le contenu de ce registre et son délai de conservation.

Dès lors que les caméras de surveillance devaient déjà être recensées dans le registre imposé de façon générale par le Règlement général sur la protection des données dès le 25 mai 2018, il ne s’agit pas d’une particularité. L’arrêté royal à venir dira quels sont les éléments supplémentaires à ceux prévus par le RGPD qui seront exigés.

La finalité et le fondement juridique du traitement qui devront être précisés dans le registre seront très certainement la surveillance, justifiée par l’intérêt légitime d’une entreprise de sécuriser ses locaux.

Analyse d’impact

La surveillance par caméras est susceptible de nécessiter une analyse d’impact.

En effet, d’un part le RGPD rend cette analyse obligatoire en cas de surveillance à grande échelle de zones accessibles au public. La notion de « grande échelle » n’est pas encore très précise à ce stade : un commerce seul disposant de caméras ne rencontrera pas ce critère, au contraire d’une chaine de supermarchés.

D’autre part, la simple surveillance systématique (donc pas à grande échelle ou dans une zone qui n’est pas accessible au public) est reprise par la CPVP parmi une liste de clignotants signalant un risque élevé pour les personnes concernées. Dès que deux d’entre eux s’allument (par exemple la surveillance systématique par une entreprise des activités de ses employés) la CPVP recommande de réaliser une analyse d’impact.

L’entreprise ayant des caméras de surveillance doit donc examiner cette question et documenter sa décision si elle estime ne pas y être soumise, en vertu du principe d’accountability.

Désignation d’un délégué à la protection des données

La même prudence est de mise concernant la désignation d’un délégué à la protection des données. Sa désignation est obligatoire lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées.

Les sociétés de gardiennage devront donc à coup sûr désigner un délégué. Les autres devront apprécier si la vidéosurveillance fait partie de leurs activités de base et si elles est effectuée à grande échelle. Et ce d’autant que la désignation d’un délégué à la protection des données ne concernera pas uniquement le traitement des images de caméra-surveillance, mais l’ensemble des traitements réalisés par une entreprise.

Principes généraux précisés par la loi caméras

L’information des personnes filmées devra toujours être effectuée par l’apposition du pictogramme règlementaire à l’entrée du lieu surveillé est maintenue. Un simple panneau du type “Souriez, vous êtes filmé” ne sera toujours pas suffisant.

Conformément au principe de minimisation, les caméras de surveillance doivent être orientées de manière à limiter la prise d'image sur la voie publique ou sur la propriété d’un tiers.

L’accès aux images doit être réservé aux membres du personnel autorisés et le visionnage en temps réel est encadré en fonction du type de lieu filmé.

Enfin, concernant la durée de conservation, les images ne peuvent pas être conservées plus d’un mois si elles ne sont pas utilisées dans le cadre d’une enquête.

Droits des personnes filmées

Les droits offerts par le RGPD aux personnes concernées concerneront aussi les images filmées à leur sujet. Il leur sera ainsi permis d’accéder aux images, de les faire rectifier, effacer ou de limiter leur traitement. Elles ne devront pas motiver leur désir d’accéder aux images, mais uniquement donner des indications suffisamment détaillées pour permettre au responsable du traitement de retrouver les images les concernant.

Ces droits ne concernent toutefois que les images sur lesquelles la personne concernée apparait. Le RGPD ne pourra pas être invoqué pour visionner des images qui ont été enregistrées avant ou après le passage de la personne filmée. Une personne qui oublie un sac sur un quai de gare ne pourra donc pas demander à voir les images prises après le départ de son train. De même, lorsqu’un cambriolage a eu lieu pendant les vacances des propriétaires, seuls les services de police pourront visionner les caméras des immeubles voisins.

 

 

Fanny COTON

fanny-coton

Fanny COTON est une collaboratrice senior du cabinet d’avocat LEXING. Avocate du barreau de Liège depuis 2006, elle est spécialiste en droit de la vie privée. Elle conseille couramment des entreprises et des administrations au sujet de traitements de données à caractère personnel. Elle est l’auteur de nombreux articles dans ce domaine et intervient fréquemment dans des séminaires au sujet du Règlement général sur la protection des données.

 

 

  863