Vidéosurveillance : 10 questions-réponses pour être en conformité avec le RGPD

Juillet 2018. La CNIL (Commission Nationale de l’Informatique et des Libertés) épingle l'Institut des techniques informatiques et commerciales (Itic), une école supérieure privée parisienne, pour utilisation non conforme et excessive de la vidéosurveillance. (Source : Sud Ouest)

Salles de classe et lieux de vie : halls, entrées, sorties du bâtiment, salles de pause et de déjeuner... Étudiants et professeurs faisaient l'objet d'une surveillance rapprochée. Le poste de travail d'une employée était même filmé continuellement ! 

Problèmes : ces personnes en contact permanent avec un dispositif vidéo l’ignoraient. Et les images étaient stockées plus d’un mois. L’accès au bureau des retransmissions en direct et les vidéos enregistrées étaient insuffisamment sécurisés.

Une grave négligence… le gendarme des données personnelles a procédé à une mise en demeure publique. 

Une bien mauvaise publicité pour l’école privée qui disposait de deux mois pour se mettre en conformité. Le refus d’obtempérer aurait eu des conséquences financières lourdes, très lourdes… Jusqu’à 1,5 million d'euros d'amendes.

Une dégradation de la notoriété de l’établissement, un risque financier non négligeable à la suite de la plainte déposée par un ancien étudiant.

La méfiance vis-à-vis des caméras est une crainte profonde des personnels filmés sur leur lieu de travail. En 2018, la CNIL a enregistré près de 1000 plaintes. 

Pourtant, face à la flambée des faits de violence (attentats, intrusions…) qui font la une des médias, la sécurisation des entreprises apparaît comme un enjeu majeur. La caméra est un outil précieux.

Un subtil équilibre à trouver entre la sécurisation des biens, des personnes et la protection de la vie privée des employés.

Découvrez, dans cet article, 10 règles à observer pour utiliser la vidéosurveillance en respectant l’éthique, en conformité avec le RGPD.

Vidéosurveillance : 10 questions à vous poser pour être en conformité avec le RGPD.

Installer un dispositif de caméras surveillance, un droit des entreprises. Toutefois, la volonté de sécurisation des installations ne peut en aucun cas entraîner une surveillance constante des salariés.

Soucieux de la protection de la vie privée des employés, et des citoyens, la Commission Européenne, avec le RGPD, encadre strictement ce droit pour éviter les pratiques abusives et respecter l’esprit de la réglementation européenne.

Un impératif : chaque personne en contact avec une caméra doit conserver le contrôle de ses données personnelles... 

Puis-je installer un dispositif de vidéosurveillance sans poursuivre un objectif ?

Non. Définir un objectif précis, un préalable indispensable à toute installation de caméras.

Sécurisation, dissuasion, protection… Vous devez poursuivre une finalité légale et légitime (accès à un local réservé pour stocker de l’argent, accès à un bureau destiné à conserver des documents confidentiels…).

Dois-je informer les salariés et les visiteurs occasionnels ?

Oui. Pour que les personnes en contact avec des caméras vidéo puissent exercer leurs droits pour protéger leur vie privée et gérer leurs données personnelles en toute quiétude. Elles doivent obligatoirement être informées de la présence d’un tel dispositif. Un fondement du RGPD.

Vous devez respecter 2 niveaux d’informations.

Niveau 1 : des panneaux d’informations.

Affichés dans les lieux communs, ils précisent que votre entreprise est sous vidéosurveillance.

Mais attention, une simple pancarte avec une caméra et des formules types “espace sous vidéosurveillance” ou “surveillance 24 h/24” reste insuffisante.

Des précisions doivent être apportées aux personnes concernées :

  • indiquer que l’établissement est équipé du dispositif ;
  • présenter le motif ;
  • mentionner la durée de détention des images ;
  • préciser les personnes qui ont accès aux vidéos ;
  • informer sur comment exercer ses droits à la vie privée ;
  • afficher les coordonnées du responsable du traitement ou du délégué à la protection des données ;
  • détailler les autres supports d’informations disponibles pour “en savoir plus” (intranet…) ;
  • orienter sur les possibilités de recours auprès de la CNIL.

Niveau 2 : les notices d’informations.

Règlement intérieur, intranet, avenant au contrat de travail, notes des services… La Commission Européenne attache une attention toute particulière à l’accès à l’information. Ces documents remis aux salariés ou adressés par e-mail, disponibles, complètent l’affichage du panneau et favorisent la diffusion de l’information au sein de l’entreprise. 

Veillez à mentionner :

  • l’adresse de la société ;
  • la finalité du dispositif ;
  • la base légale du traitement avec l’article concerné du RGPD (par exemple : l’intérêt légitime est décrit dans l’article 6.1.f) ;
  • l’identité des personnes filmées (seuls les postes concernés sont cités) ;
  • la durée de conservation des images ;
  • le traitement des données (Qui y accède ? Les images sont-elles transférées hors de l’Union Européenne) ;
  • les modalités pour exercer les droits d’accès, d’opposition… ;
  • les modalités pour déposer une réclamation auprès de la CNIL ;
  • toute information complémentaire susceptible d’aider les personnes filmées à comprendre l’intérêt du dispositif et à exercer leurs droits.

Point important : vous devez avoir la capacité de remettre ce document dès lors qu’une personne concernée en fait la demande. Remise qui peut être faite en main propre ou à distance (courrier, e-mail).

Où puis-je installer des caméras de vidéosurveillance ?

Les lieux d’installations sont très limités.

4 installations autorisées :

  • les entrées et les sorties de bâtiments ;
  • les voies de circulation ;
  • les lieux de stockage de marchandises ;
  • les issues de secours.

Où n’ai-je pas le droit d’installer des caméras de surveillance ?

Vous devez respecter la vie privée des salariés. Installer une caméra à un poste de travail, dans les toilettes et dans une salle de pause est contraire au RGPD.

L’implantation de caméras dans les locaux syndicaux ou de toute instance représentative du personnel est également inenvisageable (idem pour leurs voies d’accès).

Seule exception : il est possible d’installer des caméras dans les lieux où la sécurité l’exige (les employés en contact permanent avec de l’argent…). Mais attention, la caméra doit être positionnée de telle sorte à préserver la vie privée des individus.

Un “zoom” sur l’employé est interdit.

Puis-je utiliser une application de vidéosurveillance pour contrôler l’activité des salariés depuis mon smartphone ou ma tablette ?

Non. Vous ne pouvez pas utiliser la vidéosurveillance pour contrôler la qualité du travail d’un employé et son engagement. 

Les enregistrements sonores sont-ils autorisés ?

Non. Uniquement dans certains cas spécifiques (effractions…) et à l’initiative de l’employé.

Quelle est la durée de détention maximale ?

Définie par le chef d’entreprise selon l’objectif poursuivi. En général de quelques jours à un mois (sauf si les images enregistrées constituent des éléments-clés d’une procédure pénale ou disciplinaire). 

Y a-t-il des formalités administratives à remplir ?

2 cas de figure selon que votre établissement accueille du public ou non.

1er cas : les caméras ne filment pas un espace ouvert aux publics.

Réserves, espaces uniquement accessibles au personnel… Vous n’avez aucune formalité à remplir. Le délégué à la protection des données participe à l’installation du dispositif et éventuellement à une analyse d’impact (une étude nécessaire pour faciliter la gestion des risques liée au traitement de données personnelles).

Responsable du traitement des données, le chef d’entreprise est dans l’obligation de mentionner ce dispositif dans le registre de traitement des données.

2e cas : les caméras filment un espace ouvert aux publics.

Entrées d’un bâtiment, caisses, comptoirs… Une autorisation préfectorale est nécessaire si vous filmez des espaces ouverts aux publics.

Pour obtenir cette autorisation, vous devez remplir un formulaire du ministère de l’Intérieur (retrait à la préfecture du département ou téléchargeable en ligne).

Les instances représentatives du personnel doivent-elles participer au projet ? 

Oui. Avec ou sans public filmé, quel que soit votre projet, vous devez informer les instances représentatives du personnel et les consulter avant d’entreprendre une quelconque installation.

Qui peut accéder aux images enregistrées ? 

Le chef d’entreprise accorde les accréditations nécessaires. L’autorisation d’accès doit être justifiée par la fonction/le poste de l’employé (autoriser un responsable de la sécurité apparaît comme légitime…). 

Vidéosurveillance : la CNIL vous surveille.

Vous en savez désormais un peu plus sur l’utilisation de la vidéosurveillance en entreprises. Un cadre réglementaire strict est à respecter.

Toutes les entreprises, petites ou grandes, sont concernées. Pourquoi ?

Quelques clics suffisent pour déposer une plainte sur le site Internet de la CNIL. Si vous ne respectez pas les règles, si un employé ou un client repère des pratiques illégales, pense que sa vie privée n’est plus protégée, il pourra exercer facilement son droit de recours. Son anonymat est préservé par l’autorité de contrôle des données personnelles.

La protection des données personnelles, un sujet sensible pour vos employés et vos clients. Montrer “patte blanche”, informer de vos pratiques et protéger leurs données, c’est l’opportunité de sceller un pacte de confiance, de vous démarquer de la concurrence.

La gestion des données personnelles est un levier de croissance de chiffre d’affaires puissant. Un levier facilement actionnable, la CNIL propose sur son site internet des cas pratiques de mise en conformité. Il serait vraiment dommage de passer à côté de cette opportunité.

Et vous ? Avez-vous déjà installé un dispositif de vidéosurveillance dans vos locaux ? Quelles ont été les réactions de vos employés et/ou de vos clients ?

Des interrogations subsistent sur votre conformité RGPD ? Le logiciel RGPD Leto vous accompagne à chaque étape. Réserver une démo avec nos experts.

A propos de l'auteur
Edouard Schlumberger

Co-fondateur de Leto, Edouard a rencontré les problématiques de mise en oeuvre de la protection des données personnelles durant ses différentes aventures entrepreneuriales précédentes.

Cela pourrait vous intéresser

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?
Rejoindre