Puis-je simplement installer une caméra de surveillance ?

Classification :

  • Lignes directrices de l’EDPB
  • Identification des objets de données
  • Plaques d’immatriculation, documents d’identification et données biométriques
  • Quels sont les éléments à prendre en compte lors de la mise en place d’un système de vidéosurveillance ?
  • Article 15 du GDPR
  • Mesures de sécurité pour les systèmes de vidéosurveillance
  • Stockage et durée de conservation des images de vidéosurveillance
  • Conclusion

De nos jours, la surveillance par caméra est presque omniprésente. On estime à des milliards le nombre de caméras de surveillance qui peuvent vous surveiller dans le monde entier.

Nous sommes tous conscients de l’utilisation généralisée de la surveillance par caméra lorsque nous entrons dans une banque, un hôtel, une pharmacie et d’autres lieux publics.

Cependant, nous ne comprenons souvent pas la légalité de la surveillance par caméra, les mesures à prendre pour protéger notre vie privée et la question de savoir si nos séquences vidéo sont même considérées comme des données à caractère personnel au sens du GDPR.

Lignes directrices de l’EDPB

Le Conseil européen de la protection des données (“EDPB”) a publié des lignes directrices sur le traitement des données personnelles par le biais d’appareils vidéo. Plus précisément, elle concerne tous les équipements vidéo mis à disposition pour une consultation publique, ce qui inclut non seulement les caméras de sécurité, mais aussi les dashcams, les caméras privées, les caméras de sécurité et les caméras de téléphone portable.

Identification des personnes concernées


Il est important de noter que ces lignes directrices ne couvrent que la surveillance par caméra impliquant des

des données personnelles
sont traitées. On parle de données à caractère personnel lorsque les données peuvent être utilisées pour personne physiqueet (c’est-à-dire une “personne concernéeet‘) identifier directement et/ou indirectement. Ces images montrentPar exemple, le visage d’une personne, un badge d’identification ou d’autres signes distinctifs le visage d’une personne, un badge ou d’autres signes distinctifs que ce cette personneidentifiable faire (par exemple tatouages uniques ou taches de naissance).

Plaques d’immatriculation, documents d’identification et données biométriques

Les données à caractère personnel comprennent en tout état de cause, mais plus particulièrement dans ce contexte, les plaques d’immatriculation des véhicules, les documents d’identification et les données biométriques. Pour cette dernière catégorie, il est important de noter qu’une image ou une vidéo n’est pas considérée comme une donnée biométrique en soi au sens de l’article 9, si elle n’a pas été traitée spécifiquement pour contribuer à l’identification d’une personne.

Les images ne comportant pas de telles données personnelles, par exemple les caméras de recherche filmant uniquement la faune, ne relèvent pas du champ d’application du GDPR et donc des présentes lignes directrices.

Quels sont les éléments à prendre en compte lors de la mise en place d’un système de vidéosurveillance ?

Avant de mettre en place un système de surveillance par caméra, il convient toujours d’évaluer si un tel système est nécessaire. si un tel système est nécessaire. En effet, tant les lignes directrices de l’EDPB que le GDPR indiquent explicitement que les données à caractère personnel ne doivent pas être traitées inutilement. Dans la mesure du possible, il convient donc d’envisager d’autres solutions que la vidéosurveillance.

La surveillance par caméra ne peut être légale et conforme au GDPR que si les 6 bases légales pour le traitement des données personnelles sont respectées.

Pour que la surveillance par caméra soit légale, elle doit reposer sur l’une des six bases légales de traitement des données à caractère personnel. Ces bases sont les suivantes :

  1. Autorisation

  1. Contrat

  1. Obligation légale

  1. Protection des intérêts vitaux

  1. Tâche publique

  1. Intérêts légitimes

Avant d’installer des caméras de vidéosurveillance, il est recommandé de faire réaliser une DPIA (évaluation de l’impact sur la protection des données) par un DPD accrédité.

Une DPIA est essentiellement une analyse de risque qui donne une bonne idée du risque de violation de données. Elle permet également de déterminer des solutions efficaces et de s’assurer que les images sont adaptées à l’objectif visé.

S’il s’avère qu’un système de surveillance est effectivement nécessaire, des mesures doivent être prises pour communiquer sur le système de surveillance aux parties prenantes.

Article 15 du GDPR : Le droit d’accès aux données personnelles – Exigences et informations ultérieures :

  • Quelle est la finalité du traitement ?
  • Quelles sont les catégories de données à caractère personnel traitées (y compris les destinataires ou les catégories de destinataires dans des pays tiers ou des organisations internationales) ?
  • Quels sont les destinataires auxquels les données à caractère personnel seront divulguées ?
  • Combien de temps les données seront-elles conservées (période de rétention) ?

Une telle notification pourrait transmettre des informations importantes aux personnes concernées d’une manière simple et concise, notamment :

  1. Qu’ils se trouvent dans une zone ou qu’ils sont sur le point d’entrer dans une zone où il y a une surveillance vidéo.

  1. la raison pour laquelle l’enregistrement a lieu (c’est-à-dire la justification par le contrôleur de l’installation d’un système de vidéosurveillance ou d’un autre système vidéo).

  1. L’identité du contrôleur (ou de son représentant) responsable du système vidéo.

  1. les droits que la personne concernée peut exercer à l’égard du traitement de ses données à caractère personnel.
  1. Les coordonnées d’un délégué à la protection des données ou, à défaut, de la personne responsable des images enregistrées, idéalement la même personne que celle à laquelle les personnes concernées peuvent s’adresser pour exercer leurs droits.
  1. Où les personnes concernées peuvent trouver plus d’informations sur le traitement de leurs données personnelles.

Mesures de sécurité pour le système de vidéosurveillance

Certaines mesures organisationnelles et techniques sont également expliquées dans les lignes directrices de l’EDPB.

Les mesures organisationnelles étaient les suivantes :

  • Déterminer qui est responsable de la gestion et du fonctionnement du système de vidéosurveillance.
  • Quels sont l’objectif et le champ d’application du contrôle ?
  • Quelles sont vos obligations en matière de transparence et de divulgation ?
  • Période de conservation des données pour les séquences vidéo.
  • Qui a accès aux enregistrements vidéo et à quelles fins ?
  • Procédure en cas de violation des données.
  • Procédures de gestion des incidents et de récupération…

Les mesures techniques comprenaient les éléments suivants :

  • Assurer la sécurité physique de tous les composants du système.
  • Cryptage des données.
  • Utilisation de pare-feu, d’antivirus ou de systèmes de détection d’intrusion pour lutter contre les cyberattaques.
  • Contrôle d’accès.
  • Stockage d’images de vidéosurveillance.

Stockage et durée de conservation des images de vidéosurveillance

Les séquences vidéo ne doivent pas être conservées plus longtemps que ce qui est strictement nécessaire pour atteindre l’objectif visé. Les images sont donc généralement conservées pendant une courte période. Dans certains États membres, des dispositions supplémentaires peuvent régir les périodes de conservation. Compte tenu des principes de minimisation des données et de limitation du stockage, les données à caractère personnel devraient être automatiquement effacées après quelques jours dans la plupart des cas.

Et si je les gardais plus longtemps de toute façon ?

Si les images doivent être conservées plus longtemps, il est conseillé de procéder à une évaluation des risques afin de déterminer les raisons pour lesquelles les données doivent être conservées plus longtemps.

Le responsable du traitement doit déterminer la durée de conservation des données pour chaque finalité individuelle. La durée de conservation doit être déterminée conformément aux principes de nécessité et de proportionnalité. Le responsable du traitement doit être en mesure de démontrer qu’il respecte le GDPR.

Conclusie

Ne pas traiter correctement les séquences de vidéosurveillance peut entraîner de nombreux problèmes liés au GDPR. Si vous souhaitez installer un système de vidéosurveillance dans votre entreprise, vous pouvez toujours contacter l’un de nos DPD agréés qui vous guidera tout au long du processus et vous fournira l’AIPD nécessaire.

Delen:

Meer berichten

gdpr audit

Un audit dans le NIS2

Introduction : L’Union européenne a réagi en introduisant la directive NIS2, une mise à jour de la directive originale de 2016 sur

Partners

©DPO Associates Alle rechten voorbehouden. Privacy verklaringCookie verklaring | Algemene voorwaarden