Principes de la vidéosurveillance en entreprise
La vidéosurveillance est une forme invasive de traitement des données personnelles et, en tant que telle, doit faire l’objet d’une vérification particulière par l’administrateur des données personnelles (entrepreneur) de la nécessité de son utilisation et de la nécessité de la sécuriser.
Des sites de surveillance doivent être désignés en cas d’incidents ou de menace réelle pour la sécurité, et il est impossible de couvrir ces sites par d’autres formes de surveillance. L’utilisation de la vidéosurveillance comme forme de surveillance des personnes concernées implique le traitement des données personnelles de toutes les personnes observées. En ce qui concerne l’étendue des données à caractère personnel traitées par vidéosurveillance, il convient d’indiquer notamment des images, des caractéristiques spécifiques des personnes et des numéros d’identification (par exemple, les numéros de plaques d’immatriculation et les numéros de côté des véhicules). Les conditions préalables les plus adaptées à l’utilisation de la vidéosurveillance sont le respect de l’obligation légale incombant à l’administrateur des données personnelles, l’exécution d’une mission effectuée dans l’intérêt public ou dans le cadre de l’exercice de l’autorité publique confiée à l’administrateur des données personnelles , et les objectifs résultant des intérêts légitimes poursuivis par l’administrateur de données personnelles, respectivement pour les entités du secteur public et le secteur privé.
Dans le cas de la vidéosurveillance, les traitements de données à caractère personnel sont des opérations consistant notamment à sauvegarder, visualiser, partager et supprimer des enregistrements d’événements et de personnes enregistrés, quelle que soit la nature du support sur lequel ils sont stockés (disques durs système, enregistrements stockées dans la mémoire d’un appareil permettant l’accès à distance – smartphone, ordinateurs portables, etc.). Les principales règles de traitement des données personnelles sont énoncées à l’art. 5 s. 1 du Règlement RGPD (Règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ( règlement général sur la protection des données) (Journal officiel de l’Union européenne L 119 du 04/05/2016, p. 1 et Journal officiel de l’Union européenne L 127 du 23/05/2018, p. 2)), en les présentant comme les obligations fondamentales du responsable du traitement des données personnelles.
Son contenu indique que les données personnelles doivent être :
- 1. Traitées de manière licite, loyale et transparente pour la personne concernée (licéité, loyauté et transparence) ;
- 2. Collectées pour des finalités spécifiques, explicites et légitimes et non traitées ultérieurement d’une manière incompatible avec ces finalités (limitation des finalités) ;
- 3. Adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;
- 4. Les données personnelles correctes et, le cas échéant, mises à jour et incorrectes au regard des finalités de leur traitement doivent être immédiatement supprimées ou rectifiées (exactitude) ;
- 5. conservées sous une forme permettant l’identification de la personne concernée pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles les données sont traitées (limitation de la conservation) ;
- 6. Traitées d’une manière garantissant une sécurité adéquate des données personnelles, y compris la protection contre le traitement non autorisé ou illégal et la perte, la destruction ou les dommages accidentels, par des mesures techniques ou organisationnelles appropriées (intégrité et confidentialité).
Conformément au paragraphe 2 de ladite disposition, le responsable du traitement des données personnelles (entrepreneur) est responsable du respect des principes ci-dessus et doit être en mesure de démontrer leur respect (responsabilité). Lorsqu’il décide d’introduire un contrôle, le responsable du traitement des données personnelles doit se souvenir d’effectuer une analyse d’impact sur la protection des données. Elle est requise lorsque le traitement, de par sa nature, sa portée, son contexte et ses finalités, est susceptible d’entraîner un risque élevé d’atteinte aux droits ou libertés des personnes physiques. Le respect de l’obligation d’information prévue à l’art. 13 du RGPD. Il doit être, conformément à l’art. 12 du GDPR, mis en œuvre sous une forme concise, transparente, compréhensible et facilement accessible, dans un langage clair et simple. Toute personne a le droit d’être informée sur la vidéosurveillance et le droit de protéger son image contre la diffusion, sauf dispositions particulières contraires. L’obligation de fournir ces informations résulte de l’art. 13 du RGPD, tandis que les dispositions du chapitre III définissent en détail les droits de la personne concernée.
Les droits des personnes soumises à surveillance comprennent, entre autres :
♦ le droit d’être informé de l’existence d’une surveillance dans un lieu déterminé, de son étendue, de son objet, du nom de l’entité responsable de l’installation, de son adresse et de ses coordonnées ;
♦ le droit d’accéder aux enregistrements dans des cas justifiés ;
♦ le droit de demander la suppression des données le concernant ;
♦ le droit d’anonymiser l’image sur les images enregistrées et/ou de supprimer les données personnelles les concernant ;
♦ le droit de traiter les données pendant une durée limitée.