Vidéoprotection : quelles sont les dispositions applicables ?

13 décembre 2019

L’entrée en application du « Paquet européen de protection des données personnelles » constitué du règlement général sur la protection des données (RGPD) et de la directive « Police-Justice », transposée en droit français, a modifié le cadre juridique que doivent respecter les responsables de traitement qui envisagent d’installer des systèmes de vidéoprotection soumis aux dispositions du code de la sécurité intérieure.

Quels sont les dispositifs concernés ?

Ce sont les systèmes de vidéoprotection visés par l’article L251-2 du code de la sécurité intérieure (CSI), qui filment la voie publique et les lieux ouverts au public (espaces d’entrée et de sortie du public, zones marchandes, comptoirs, caisses, etc.),  à la différence des dispositifs de vidéosurveillance, qui filment des lieux privés ou des lieux de travail non ouverts au public (locaux d’entreprises, de commerces, d’hôtels réservés aux salariés, etc.).

Ces dispositifs peuvent être qualifiés de « classiques », puisqu’ils ne recourent pas à une technologie innovante telle que la reconnaissance faciale, et ne concernent ni les caméras individuelles des services de police municipale, ni les LAPI (lecture automatisée de plaques d’immatriculation).

Ces dispositifs constituent des traitements de données personnelles. Ils doivent donc satisfaire aux exigences de protection des données issues des textes européens.

Comment déterminer si le dispositif relève du RGPD ou de la directive « Police-Justice » ?

Pour les responsables de traitement, la difficulté, résultant du droit européen, consiste à déterminer si leur dispositif de vidéoprotection relève du champ du RGPD ou du champ de la directive « Police-Justice ».

La réponse à cette question dépend de l’objectif exact du système de vidéoprotection envisagé.

Ainsi, s’il est mis en œuvre, dans le cadre de leurs missions, par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, il relève des dispositions transposées de la directive.

Les finalités prévues par le code de la sécurité intérieure (CSI) entrant dans ce cadre sont les suivantes :
Finalité du système de vidéoprotection Article du code de la sécurité intérieure visé
Protection des bâtiments et installations publics et de leurs abords L251-2-1°
Constatation des infractions aux règles de la circulation L251-2-4°
Prévention des atteintes à la sécurité des personnes et des biens dans des lieux particulièrement exposés à des risques d’agression, de vol ou de trafic de stupéfiants ainsi que la prévention, dans des zones particulièrement exposées à ces infractions, des fraudes douanières prévues par le dernier alinéa de l’article 414 du code des douanes et des délits prévus à l’article 415 du même code portant sur des fonds provenant de ces mêmes infractions  L251-2-5°
Respect de l’obligation d’être couvert, pour faire circuler un véhicule terrestre à moteur, par une assurance garantissant la responsabilité civile  L251-2-10°
Assurer la protection des abords immédiats des bâtiments et installations de commerçants installés dans les lieux particulièrement exposés à des risques d'agression ou de vol L251-2 dernier alinéa

 

Dans le cas contraire, le système de vidéoprotection relève du RGPD dès lors qu’il a pour objet l’une des finalités suivantes :
Finalité du système de vidéoprotection Article du code de la sécurité intérieure visé
Régulation des flux de transports  L251-2-3°
Prévention des risques naturels ou technologiques  L251-2-7°
Sécurité des installations accueillant du public dans les parcs d’attraction L251-2-9°
Assurer la sécurité des personnes et des biens dans des lieux et établissements ouverts au public, lorsque ces lieux et établissements sont particulièrement exposés à des risques d'agression ou de vol  L251-2-12°

 

Enfin, le système de vidéoprotection relève de la loi « Informatique et Libertés » (hors champ du droit de l’Union européenne) dès lors qu’il a pour objet :
Finalité du système de vidéoprotection Article du code de la sécurité intérieure visé
Sauvegarde des installations utiles à la défense nationale  L251-2-2°
Prévention d’actes de terrorisme (dans les conditions prévues au chapitre III du titre II du livre II du CSI) L251-2-6°

Dans tous les cas, quelles sont les mesures à prendre avant d’installer un système de vidéoprotection ?

  • Faire une demande d’autorisation adressée au préfet territorialement compétent

Le code de la sécurité intérieure prévoit que l’installation d’un système de vidéoprotection suppose de demander l’autorisation au préfet territorialement compétent (à Paris, le préfet de police).

  • Mener une analyse d’impact sur la protection des données (AIPD)

Dès lors que la mise en œuvre d’un dispositif de vidéoprotection conduit à la « la surveillance systématique à grande échelle d’une zone accessible au public», type de traitements expressément mentionné à l’article 35.1 du RGPD comme susceptible de présenter « un risque élevé pour les droits et libertés des personnes physiques »,  une AIPD doit être effectuée.

Par ce biais, une évaluation de la nécessité et de la proportionnalité du dispositif envisagé, au regard des finalités poursuivies, est opérée avant son implantation.

Consulter la page : Analyse d’impact relative à la protection des données (AIPD)

  • Informer les personnes susceptibles d’être filmées par un système de vidéoprotection

L’installation d’un système de vidéoprotection doit être portée à la connaissance du public par voie d’affiches ou de panonceaux, comportant un pictogramme représentant une caméra et précisant au moins l’identité et les coordonnées du responsable du traitement et du délégué à la protection des données (DPO), les finalités poursuivies par le traitement, la durée de conservation des images, l’existence de droits, en particulier le droit d’accès, la possibilité d’introduire une réclamation auprès de la CNIL.

Les autres informations qui doivent être portées à la connaissance du public en application des articles 13 du RGPD et 104 de la loi « Informatique et Libertés » (base légale du traitement, destinataires des données, etc.) peuvent l’être par d’autres moyens, notamment par le biais d’un site internet, afin d’assurer la lisibilité des supports affichés à l’entrée des zones placées sous vidéoprotection.

Consulter la page : Conformité RGPD : comment informer les personnes et assurer la transparence ?

  • Limiter la durée de conservation des images à ce qui est nécessaire au regard de la finalité poursuivie

Le responsable de traitement doit veiller au respect du principe de limitation de la durée de conservation des données, prévue par l’arrêté préfectoral d’autorisation, laquelle ne saurait excéder un mois (art. L252-5 du CSI).

Consulter la page : Limiter la conservation des données

  • Assurer la sécurité des données traitées

L’installation d’un système de vidéoprotection doit satisfaire à l’obligation de sécurisation des données, qui pèse sur tout responsable de traitement. En conséquence, les mesures techniques et organisationnelles appropriées, afin de garantir un niveau de sécurité adapté au risque, doivent être mises en œuvre. Ainsi, le visionnage des images ne peut être opéré que par les personnes spécifiquement et individuellement habilitées. En outre, un registre mentionnant notamment les enregistrements réalisés, la date de destruction des images, le cas échéant, la date de leur transmission au parquet doit être tenu (cf. article R252-11 du CSI).

Consulter la page : Sécurité des données

  • Répondre aux demandes de droit d’accès

Quel que soit le régime juridique dont relève le système de vidéoprotection (RGPD, directive « Police-Justice », loi « Informatique et Libertés »), le responsable de traitement doit faire droit à toute demande de visionnage des enregistrements par une personne qui a été filmée, sous réserve du respect des droits des tiers, ce qui peut nécessiter le masquage ou le « floutage » d’une partie des images.

Ce visionnage peut s’effectuer selon différentes modalités, à déterminer par le responsable de traitement. Il est recommandé de délivrer une copie des enregistrements, mieux à même de répondre au titre du droit d’accès, dès lors que le déplacement sur site de la personne qui en fait la demande peut poser des difficultés.

Consulter la page : Professionnels : comment répondre à une demande de droit d’accès ?

Quels sont les pouvoirs de contrôle de la CNIL en matière de vidéoprotection ?

L’ensemble de ces questions est susceptible de faire l’objet de contrôles, la CNIL étant chargée de veiller à ce que les systèmes de vidéoprotection soient mis en œuvre conformément au cadre légal applicable. Les investigations de la CNIL peuvent donc porter sur l’existence et la validité de l’autorisation préfectorale concernant le dispositif, sa finalité, son caractère proportionné, les modalités d’information et de droit d’accès des personnes filmées, la qualité des personnels autorisés à visualiser les images, les mesures permettant d’assurer la sécurité du traitement (notamment la nécessité de tenir un registre des consultations), la durée de conservation des images.

Le constat de manquements peut conduire la CNIL à adresser à l’organisme concerné une mise en demeure afin que les mesures permettant au système de vidéoprotection d’être conforme aux règles de protection des données soient prises. En cas, notamment, de manquement grave ou persistant, ou d’organisme de mauvaise foi, la CNIL peut également décider d’adopter une des sanctions prévues par les textes (rappel à l’ordre, limitation temporaire ou définitive du traitement, sanction pécuniaire, etc.).