2. Mettre en œuvre un système de vidéoprotection : les étapes clés
2.1 Questions préalables
Avant d'installer un système de vidéoprotection, plusieurs questions doivent être soulevées pour assurer la conformité au RGPD :
- Où et comment seront installées les caméras ? Par exemple, les caméras peuvent filmer les abords d’un bâtiment (comme la rue ou le parking), mais ne doivent pas filmer directement la voie publique ou des zones d’habitation.
- Où les images seront-elles stockées et comment leur sécurité sera-t-elle garantie ? L’accès aux enregistrements doit être limité aux personnes autorisées, et des mesures de sécurité robustes (local sécurisé, mot de passe, connexion HTTPS) doivent être mises en place.
- Recours à un sous-traitant ? Si vous faites appel à un prestataire externe pour la gestion des images, assurez-vous que le contrat est conforme au RGPD.
- Quelle est la durée de conservation des images ? Les images doivent être conservées pour une durée maximale d’un mois, sauf exception dûment justifiée.
2.2 Mener une analyse d’impact sur la protection des données (AIPD)
Une AIPD est obligatoire pour tout dispositif de vidéoprotection, car il s'agit d'un traitement susceptible d’entraîner un risque élevé pour les droits et libertés des personnes concernées. L’AIPD permet d'évaluer les risques et de formaliser les réponses aux questions soulevées avant la mise en œuvre du système. Cet outil doit être régulièrement mis à jour tout au long de la durée de vie du traitement.
2.3 Demander une autorisation au préfet
L’installation d’un système de vidéoprotection nécessite une autorisation préalable du préfet territorialement compétent. Cette autorisation, valable pour une durée de 5 ans renouvelable, doit être conservée pour être présentée en cas de contrôle.
2.4 Informer les personnes concernées
Les personnes susceptibles d’être filmées doivent être informées de manière claire, notamment par le biais de panneaux affichant un pictogramme de caméra. Ces affiches doivent mentionner l’identité et les coordonnées du responsable du traitement, du délégué à la protection des données (DPO), les finalités poursuivies, la durée de conservation des images, ainsi que les droits des personnes filmées, dont le droit d’accès.
2.5 Anticiper les demandes de droit d’accès
Les personnes filmées ont le droit de demander l’accès aux images les concernant. Le responsable de traitement doit permettre ce visionnage tout en protégeant les droits des tiers, notamment par le biais de techniques de floutage si nécessaire. Le mode de remise des images doit être déterminé à l’avance pour garantir une gestion fluide des demandes d'accès.
2.6 Mettre à jour le registre des traitements
Tout dispositif de vidéoprotection doit être enregistré dans le registre des traitements de l’organisation. Ce document recense tous les traitements de données personnelles, avec des informations telles que les finalités du traitement, les catégories de données, les destinataires et les mesures de sécurité mises en place.
3. Différencier vidéosurveillance et vidéoprotection
Il est crucial de distinguer vidéoprotection et vidéosurveillance, car les implications légales diffèrent. La vidéosurveillance concerne les lieux non ouverts au public, tels que des bureaux privés, des parties communes d’immeubles d’habitation ou des établissements médico-sociaux. Contrairement à la vidéoprotection, elle ne nécessite pas de formalités administratives auprès des autorités, mais doit tout de même être inscrite dans le registre des traitements du DPO.
En cas de dispositif « mixte » comprenant à la fois de la vidéoprotection et de la vidéosurveillance, les deux cadres juridiques doivent être respectés. Dans tous les cas, les caméras doivent être installées à des endroits stratégiques, comme les entrées et sorties des bâtiments, sans empiéter sur des espaces privés (par exemple, les chambres dans une résidence pour personnes âgées).
