RGPD et vidéosurveillance : ce qu’il faut savoir pour être en conformité

RGPD et vidéosurveillance : ce qu’il faut savoir pour être en conformité

Vous utilisez la vidéosurveillance dans des locaux professionnels, ouverts ou non au public ? Le RGPD modifie le cadre règlementaire de ces pratiques, toujours sous l’égide de la CNIL (commission nationale de l’informatique et des libertés). Fin de la déclaration obligatoire, nouveau registre des traitements de donnés : découvrez les points incontournables à connaître pour s’assurer que votre système de VS est bien conforme aux règlementations européennes.

Quel rapport entre RGPD et vidéosurveillance ?

Le RGPD (règlement général sur la protection des données) est une nouvelle règlementation européenne qui s’applique depuis 2018 en France. Les images de vidéosurveillance font partie de son domaine d’application : à partir du moment où les personnes filmées sont identifiables, les enregistrements sont des données privées.

Le RGPD complète la loi informatique et libertés et ses amendements, dont l’application est aussi surveillée par la CNIL. Face au mille-feuille juridique, cet article vous permet de faire le point en résumant tout ce qu’il faut savoir pour s’assurer qu’un système de vidéosurveillance est conforme au RGPD et aux règlements de la CNIL.

Vidéosurveillance : ce qui change avec le RGPD

  • Pour les entreprises qui installent un système de vidéosurveillance dans leurs locaux privés, fermés au public, plus besoin de déclaration auprès de la CNIL. La déclaration est remplacée par l’obligation de tenir un registre de traitement de données.

Note : Si la vidéosurveillance filme des lieux ouverts au public (magasin, hall d’accueil…), il faut toujours effectuer une demande d’autorisation auprès de la préfecture. 

  • L’entreprise responsable doit désormais tenir un registre des traitements de données privées. Ce document écrit (papier ou numérique) permet de connaître les parties impliquées dans le traitement des données, le but du traitement, la durée de conservation des images… Ce registre est tenu par le responsable du traitement, ou l’entreprise sous-traitante.
  • Le RGPD exige de bien identifier les acteurs impliqués dans le traitement des données privées, y compris les sous-traitants s’il y en a. Le détenteur des données, aux yeux du RGPD, est l’entreprise cliente qui utilise la vidéosurveillance. Le responsable du traitement est l’entreprise sous-traitante qui gère à distance le système de CCTV et ses images.
  • Le RGPD rappelle l’importance du cryptage des données et d’un système de VMS (Vidéo Management Software) actualisé, seules vraies garanties de la confidentialité des images de vidéosurveillance.
  • Si l’entreprise a désigné un DPO  (délégué à la protection des données), il doit être impliqué dans la conception du système de vidéosurveillance.
  • Dans certains cas où le traitement des données est invasif (profilage, évaluation/notation…), il peut être nécessaire de procéder à une analyse d’impact relative à la protection des données (AIPD).

Les autres règles concernant la vidéosurveillance au travail

Le RGPD complète un arsenal règlementaire déjà très complet en France. Les systèmes de vidéosurveillance sont régis par le code du travail, le code civil, le code pénal et même le code de la sécurité intérieure si les lieux filmés incluent des portions de voie publique. Le tout est placé sous la juridiction de la CNIL, organe de défense des libertés individuelles et instance de référence pour la plupart des recours.

Le RGPD enrichit donc les recommandations existantes de la CNIL. Elles visent à faire respecter trois grands principes :

  • proportionnalité : le système de VS doit être proportionnel aux buts recherchés, qui s’en tiennent généralement à la protection des biens de l’entreprise
  • information des personnes filmées
  • confidentialité des données collectées

Proportionnalité

Concrètement, le système de vidéosurveillance professionnelle doit être proportionnel à ses objectifs déclarés, qui sont le plus souvent de protéger les biens et les informations de l’entreprise. Il est interdit, en revanche, de filmer en continu des employés pour s’assurer qu’ils font bien leur travail. Dans certains cas rares, il est autorisé de filmer en continu un poste de travail, si celui-ci doit manipuler beaucoup de billets ou des objets de valeur.

Information

Les lieux susceptibles d’être filmés doivent faire l’objet d’un affichage complet pour informer les employés et/ou le public. L’affichage est sensé mentionner l’existence du système de vidéosurveillance, son responsable, sa base légale, la durée de conservation des images, les modalités de recours en cas d’infraction et la possibilité pour les personnes filmées de consulter les images où elles apparaissent.

Confidentialité

L’accès aux images de vidéosurveillance est réservé à quelques personnes de l’entreprises : celles dont c’est le métier et dont les fonctions justifient le visionnage des enregistrements. Cela inclut les directeurs, les responsables et les agents de sécurité.

Certains lieux de l’entreprise, privés, ne peuvent être filmés sous aucune condition. C’est le cas des lieux de vie (salle de pause, de jeu ou de réfectoire), locaux syndicaux et leurs accès, salles médicales, toilettes…

La conservation des images enregistrées ne peut pas dépasser une certaine durée, généralement de moins d’un mois. Souvent quelques jours suffisent pour exploiter les images en cas d’incident.

Enfin, CNIL comme RGPD rappellent le droit d’accès des individus aux données stockées les concernant. Dans une zone filmée publique ou privée, tout un chacun a le droit de consulter les images sur lesquelles il/elle apparaît.

Stori Protection est votre expert en systèmes de vidéosurveillance complets et innovants, hébergés via le cloud sur nos data center sécurisés. Tous nos circuits de VS professionnels vous garantissent la conformité avec le RGPD et les recommandations de la CNIL. Pour en savoir plus, n’hésitez pas à nous contacter via cette page.