RGPD et vidéoprotection : comment être en conformité avec la CNIL ?

Vidéoprotection : comment être en conformité avec le RGPD ?

La vidéoprotection est un dispositif de plus en plus utilisé par les entreprises. Il permet de surveiller les locaux professionnels ouverts au public et ainsi de sécuriser les lieux. En raison des données stockées, ces dispositifs de vidéoprotection sont réglementés par la CNIL et le RGPD (Règlement général sur la protection des données).

Alors qu’est-ce que la vidéoprotection exactement ? Quel rapport avec le RGPD ? Quelles sont les obligations à respecter pour un système de vidéoprotection conforme ?

Qu'est-ce que la vidéoprotection ?

La vidéoprotection est un dispositif dédié à filmer la voie publique et les lieux ouverts au public comme les rues, les gares, les centres commerciaux, les zones marchandes, etc. Pour cela, un système de vidéoprotection intelligente via des caméras de sécurité est installé à des points stratégiques afin de pouvoir balayer la zone souhaitée. Les images vidéo sont ensuite traitées et stockées par l’entreprise.  

En cas de vol, d’agression, de tentative d’intrusion ou tout autre type de problématique qui ne respecterait pas la loi ou même les règles de l’entreprise, les images enregistrées peuvent être utilisées pour témoigner de la scène. Il n’est pas rare que ce type d’image serve de preuve dans un tribunal ou permette à la police d’identifier un suspect par exemple. Ce sont donc des éléments précieux pour l’entreprise, mais aussi pour les forces de l’ordre et la justice. 

Quel est le rapport entre RGPD et vidéoprotection ?

De prime abord, le rapport entre vidéoprotection et RGPD ne parait pas évident. Le RGPD est un règlement européen qui est appliquée en France depuis 2018 par la CNIL, Commission Nationale de l’Informatique et des Libertés. Le RGPD permet de régir la façon dont sont traitées les données au sens large afin de garantir le plus de sécurité possible à leur propriétaire. C’est pour cette raison que de nombreuses entreprises ont dû revoir leur politique de protection des données pour en être en conformité avec ce règlement. 

Lorsqu’une caméra de vidéoprotection filme des passants ou des clients, les personnes filmées sont alors identifiables, des données les concernant se créent instantanément...Ces renseignements doivent donc être traités et stockés de façon minutieuse par l’entreprise. Il est par exemple du droit d’une personne de s’opposer à la divulgation de ses données. 

Le RGPD a donc pour but de compléter la loi informatique et liberté, le tout étant surveillé par la CNIL. En somme, une entreprise qui souhaite mettre en place un dispositif de vidéoprotection va engendrer la création de données informatiques privées. Dès lors, elle doit se conformer à la réglementation et aux textes officiels de la CNIL.  

Quelles sont les obligations à respecter pour être conforme au RGPD ?

À partir du moment où une entreprise envisage l’installation d’un système de vidéoprotection, elle se doit de respecter plusieurs obligations de la CNIL.

L’autorisation préfectorale pour mettre en place la vidéoprotection 

La première étape consiste à obtenir l’autorisation de la préfecture pour effectuer la mise en place du dispositif de vidéoprotection. Sans l’autorisation du préfet (territorialement compétent pour une durée de cinq ans renouvelable), il est impossible d’installer le matériel et de le mettre en service.

Ajouter la vidéoprotection au registre du traitement des données 

Comme pour toute autre solution de traitement des données personnelles, le système de vidéoprotection doit être ajouté au registre de traitement. Un second registre doit aussi être créé. Il doit mentionner les enregistrements réalisés et toute action de destruction ou de transmission au parquet des images. 

Réaliser une analyse d’impact 

Selon le RGPD, il faut aussi réaliser une analyse d’impact. Cette procédure de contrôle destinée à mettre en place des traitements de données qui respectent la vie privée des personnes, doit notamment mentionner « la surveillance systématique à grande échelle d’une zone accessible au public ». 

Avoir un système de vidéoprotections sécurisé 

Plus qu’un système de vidéoprotection performant, c’est aussi un système sécurisé qui doit être mis en œuvre. Les données stockées étant tout particulièrement critiques et confidentielles, leur stockage doit faire l’objet de mesure de sécurité élevée sans quoi cela ne répondra pas aux exigences de la CNIL. Il existe de nombreuses solutions informatiques en matière de stockage qui permettront de largement limiter le risque d’intrusion et de cyberattaques. Ainsi choisir une solution de vidéoprotection intelligente est nécessaire pour sécuriser les données stockées par l’entreprise. 

Restreindre l’accès aux images de vidéoprotection 

Plus que le dispositif de sécurité mis en œuvre pour sécuriser les images, c’est aussi leur accès qui doit être restreint. Confidentielles, ces images ne doivent pas être vues de tous. Seules des personnes disposant d’une autorisation préfectorale peuvent donc avoir accès à ces images. Les personnes filmées ont aussi la possibilité d’accéder aux images les concernant si elles en font la demande.  

Les membres du personnel ayant accès aux images sont donc strictement limités. On recommande d’opter pour une autorisation des personnes responsables de la sécurité dans l’entreprise. Si l’entreprise a un DPO (Délégué à la protection des données), il est impératif qu’il intervienne dans la mise en place du système de vidéoprotection.  

Informer les utilisateurs de la présence de la vidéoprotection 

Le RGPD impose aussi d’informer comme il se doit les personnes filmées qu’elles font l’objet d’une vidéoprotection. En ce sens, la présence des caméras doit être signalée par des panneaux indicatifs. Il est aussi recommandé d’opter pour l’affichage d’une fiche d’information détaillée disponible par exemple à l’accueil de l’entreprise. Chacun peut ainsi être informé de ses droits en ce qui concerne les images filmées par l’entreprise.  

Des données de conservations respectées 

Enfin, ce sont aussi les obligations en matière de conservation des données qui doivent être respectées. Il est impératif de respecter la durée de conservation des données établie par l’arrêté préfectoral. La plupart du temps, il s’agit de délais courts allant jusqu’à un mois, sauf dans le cas d’une procédure judiciaire en cours qui permet de conserver les données plus longtemps. 

Quelles sanctions risque une entreprise en cas de non-respect du RGPD ?

C’est la CNIL qui est en mesure de prononcer des sanctions contre une entreprise qui ne respecterait pas le RGPD dans le cas de sa vidéoprotection ou tout autre manquement au respect de ce règlement. Les sanctions peuvent être les suivantes : 

  • Rappel à l’ordre 
  • Injonction de mettre le traitement en conformité 
  • Limitation du traitement 
  • Suspension des flux de données 
  • Ordonnance de satisfaire aux demandes d’exercice des droits des personnes 
  • Amende administrative 
27 septembre 2022