Utilisez-vous la vidéosurveillance dans un local professionnel, qu’il soit ouvert au public ou non ? Le RGPD est toujours sous l’égide de la CNIL (Commission Nationale de l’Information et des Libertés) pour modifier le cadre réglementaire de ces pratiques. Désormais, il n’y a plus de déclaration obligatoire en ce qui concerne l’installation de caméras de surveillance dans les entreprises privées. Mais il existe de nouvelles réglementations qui encadrent le système de vidéosurveillance.
Le rapport entre le RGPD et la vidéosurveillance
Le RGPD (Règlement Général sur la Protection des Données) est une nouvelle réglementation européenne appliquée en France depuis 2018. Les images CCTV font partie de son champ d’application : à partir du moment où la personne filmée peut être identifiée, l’enregistrement est une donnée privée. Le RGPD vient compléter la « Loi informatique et Libertés » et ses amendements et la CNIL supervisera également sa mise en œuvre.
La vidéosurveillance avec le RGPD
- Une entreprise qui installe un système de video surveillance rgpd dans son local privé, non ouvert au public, n’a plus besoin de faire une déclaration auprès de la CNIL. Celle-ci a été remplacée par l’obligation de tout conserver dans un registre de traitement des données.
- L’organisme responsable doit tenir un registre de traitement des données privées. Ce document écrit (sous forme papier ou numérique) vous permet de comprendre les parties impliquées dans le traitement des données, la finalité du traitement, la durée de conservation de l’image, etc. Ce registre est tenu par le responsable du traitement ou la société sous-traitante.
- Le RGPD exige l’identification correcte des acteurs impliqués dans le traitement des données privées, y compris les sous-traitants (le cas échéant). Du point de vue du RGPD, les détenteurs de données sont des entreprises clientes qui utilisent la vidéosurveillance. Le responsable du traitement est une entreprise sous-traitante qui peut gérer à distance le système de vidéosurveillance et ses images.
- Le RGPD réaffirme l’importance du cryptage des données et du dernier système de logiciel de gestion vidéo (VMS), qui est la seule véritable garantie de la confidentialité des images de vidéosurveillance.
- Si l’entreprise possède un DPO (délégué à la protection des données), il doit participer à la conception du système de vidéosurveillance.
- Dans certains cas, le traitement des données est intrusif (analyse, évaluation / scoring …) et il peut être nécessaire de mener une analyse d’impact sur la protection des données (DIA).
Les autres règles
Le RGPD complète la bibliothèque réglementaire française en matière de vidéosurveillance. Si les lieux filmés comprennent une partie d’une voie publique, le système de vidéosurveillance est soumis au droit du travail, au droit civil, au droit pénal et même aux règles de sécurité internes. Tout est de la compétence de la CNIL. C’est une institution qui défend la liberté personnelle et la plupart des recours sont l’institution de référence. Ainsi, le RGPD enrichit les recommandations existantes de la CNIL. Ces dernières sont conçues pour garantir le respect de trois grands principes :
Proportionnalité
Plus précisément, les systèmes de vidéosurveillance professionnels doivent être proportionnels à leurs objectifs établis, qui sont généralement de protéger les biens et les informations de l’entreprise. Il est interdit de filmer les employés pour s’assurer que leur travail est bien fait. Dans de rares cas, si vous devez gérer un grand nombre de billets ou d’objets de valeur, vous pouvez filmer le poste de travail concerné en continu.
Information
Les lieux qui peuvent être filmés doivent être suffisamment affichés pour informer les employés et/ou le public. Le contenu de l’affichage doit mentionner l’existence du système de vidéosurveillance, son responsable, sa base juridique, la durée de conservation de l’image, le mode de recours en cas d’anomalie et la possibilité pour la personne filmée de consulter l’enregistrement où elle apparaît.
Confidentialité
L’accès aux images de vidéosurveillance est limité à quelques personnes dans l’entreprise : celles qui prennent en charge le visionnage de la vidéo. Cela comprend les directeurs, les gestionnaires et le personnel de sécurité. Certains lieux privés de l’entreprise ne peuvent être filmés sous aucun prétexte. C’est le cas des espaces de vie (repos, salles de spectacle ou de restauration), des locaux syndicaux et de leurs passages, des locaux médicaux, des toilettes, etc.
La durée de conservation des images enregistrées ne peut excéder une certaine période, généralement inférieure à un mois. En cas d’incident, quelques jours suffisent pour utiliser ces images.
Enfin, tant la CNIL que le RGPD rappellent que les personnes physiques ont le droit d’accéder aux données stockées les concernant. Dans les zones publiques ou privées filmées, chacun a le droit de voir les images qui l’identifient.