Il doit y avoir des normes réglementaires et des recommandations légales à respecter en cas de recours à la vidéosurveillance en milieu public ou privé. C’est le but poursuivi par les lignes directrices du Comité Européen de la Protection des Données. Une mise en place de garanties essentielles afin d’éviter tout usage abusif des données personnelles. Le sujet est aujourd’hui plus que d’actualité et mérite qu’on s’y intéresse davantage.
L’enjeu de la vidéosurveillance en milieu urbain
La surveillance systématique et continue des personnes par les techniques de vidéosurveillance se multiplie en milieu urbain. L’idée de la sécurité des personnes et des biens contribuent à la démocratisation de cette forme d’inquisition très affinée. Cette idée plus ou moins convaincante fonctionne dans l’opinion publique qui s’habitue de plus en plus à la présence de ces dispositifs vidéo.
Pourtant, la vidéosurveillance peut comporter des risques importants et susciter des interrogations légitimes. Notamment lorsqu’elle est associée à des technologies biométriques et d’intelligence artificielle. Des systèmes qui conduisent à la collecte d’énorme quantité de données personnelles, et qui augmentent les enjeux de la protection des informations. En France, la CNIL a fait du recours à la vidéosurveillance un sujet d’intérêt soutenu, avec la diffusion d’informations et de recommandations à respecter.
historique du texte
En juillet 2019, le Comité Européen de la Protection des Données a soumis à consultation publique, une ébauche de lignes directrices sur le sujet du traitement des données personnelles recueillies via des dispositifs vidéo. La directive relève des points spécifiques qui soulèvent des interrogations sur la pratique, en l’occurrence : la base légale ou le fondement juridique des démarches entreprises, la transparence des actions vis-à-vis des personnes, ainsi que la gestion des données recueillies.
La version définitive de ces directrices fut adoptée le 29 janvier 2020 (disponible ici). Elle aborde avec plus précision les recommandations légales autour des questions de traitements de données personnelles. La volonté affichée par l’autorité européenne est de relier les dispositions du Règlement Général sur la Protection des Données (RGPD) aux techniques hautement innovantes de la vidéosurveillance. Techniques qui peuvent quelques fois reposer sur des exploitations pour des objectifs complètement intrusifs (finalités d’ordre marketing).
Champ d’application des lignes directrices
Les recommandations du Comité Européen de la Protection des Données sont applicables dès lors que des données personnelles sont collectées sur les personnes se retrouvant dans la zone surveillée, et permettent d’établir leur identité sur la base de l’apparence physique ou d’autres différentiations spécifiques.
Les nouvelles lignes directives ne s’appliquent pas aux systèmes qui ne favorisent pas une identification de la personne de façon directe ou indirecte. Par exemple, les caméras d’aide au stationnement montées sur des véhicules, non configurées pour faire des enregistrements.
Le visionnage domestique et purement personnelle n’est pas concernée non plus par les recommandations. La considération de cette dérogation domestique doit cependant être nuancée. Elle n’est plus valide dès lors que la vidéosurveillance couvre, même en partie, un espace public, ou qu’elle est dirigée vers l’extérieur depuis l’espace privé de la personne qui recueille les données.
Dans ces conditions, le traitement des données n’est donc plus considéré comme entrant dans le cadre d’une action domestique ou purement personnelle. C’est le cas d’une personne qui utilise un équipement vidéo pour surveiller son jardin. Cet exemple relèvera de l’exemption domestique, si et seulement si, la vidéosurveillance n’excède pas les limites de la clôture du jardin pour s’étendre, même partiellement, à une propriété voisine ou à un espace public.
Quelle base juridique pour légitimer le recours à la vidéosurveillance ?
Face au progrès vertigineux de la technologie en matière de vidéosurveillance, il est urgent d’encadrer la pratique par des exigences précises et rigoureuses. L’autorité européenne précise d’entrée de jeu que les règles de consentement doivent prévaloir. L’entrée d’un individu dans un environnement équipé d’un système de vidéosurveillance ne constitue nullement une manifestation de son consentement.
Les lignes directrices apportent néanmoins des éclaircissements sur les motivations qui peuvent conduire à la surveillance de certains lieux. Elles émergent de l’application de deux principaux fondements légaux : l’action justifiée par des nécessités d’ordre public et l’exercice de l’autorité publique. Le Comité Européen de la Protection des Données rappelle toutefois que des desseins d’ordre public et légales ne peuvent exclure le respect des droits individuels ni l’observation des dispositions du RGPD. L’autorité élargie d’ailleurs cette nécessité à toute initiative impliquant une exploitation des données à caractère personnel.
En effet, de nombreuses entreprises mettent aujourd’hui en place un suivi étroit du comportement d’achat de leur clientèle, par l’appui de systèmes de vidéosurveillance. Elles font également recours à un même dispositif pour évaluer la performance commerciale d’un lieu de vente.
L’agence européenne en accord avec la législation de la CNIL, rappelle les exigences à l’endroit de toute entreprise privée souhaitant diligenter de tels traitements de données. Elle préconise une étude approfondie des pouvoirs publics sur l’existence de justifications légitimes (d’ordre statistiques, économiques ou juridiques) qui soutiennent l’entreprise dans l’accomplissement de son projet.
L’autre raison mis en avant pour légitimer le recours à une vidéosurveillance dans l’espace public, est la prévention contre des menaces externes telles que les actes de vandalisme, le vol ou le cambriolage. Se penchant sur la question, les lignes directives considèrent que ces justifications peuvent comporter un intérêt légitime à condition que des éléments constitutifs de preuves attestant des risques soient apportés. Cela sous-entend la nécessité de documenter l’intérêt du recours à un dispositif de vidéosurveillance des personnes.
Le traitement de données recueillies par un système de vidéosurveillance
Il est établi que les dispositifs de vidéosurveillance favorisent la collecte et le stockage d’importants volumes de données personnelles. Même si ces images ont, a priori, l’air de rien, elles peuvent cependant être utilisées à des fins non dédiées. Dans tous les cas, l’autorité européenne souligne que toute divulgation d’informations personnelles à des tiers doit avoir une base juridique. Ainsi, si les lois d’un État membre de l’Union exigent qu’une entreprise coopère avec les services publics, dans le cadre d’une investigation par exemple, les bases juridiques d’une éventuelle transmission de données devront être clarifiées.
Néanmoins, l’EDPB précise que des images montrant des individus identifiables, participant à une marche de manifestation ou à une grève, sont exemptes d’une telle coopération. Ne sont pas non plus considérés, les informations sur l’état sanitaire d’un patient du fait de l’installation d’une caméra de surveillance par un hôpital. Lors de la mise en place d’un système de vidéosurveillance, le service de traitement doit prendre les mesures adéquates pour éliminer les risques de capture d’images portant sur des données sensibles ou intimes.
Par ailleurs, l’utilisation de moyens biométriques, notamment la reconnaissance faciale, par le biais d’un système de vidéosurveillance est abordée dans les lignes directrices. L’autorité européenne rappelle que des séquences vidéo d’un individu ne peuvent pas faire office de données biométriques, si elles n’ont au préalable pas été traitées afin d’aboutir à une identification formelle de la personne.
Pour être considérées comme entrant dans la catégorie toute particulière des données à caractère personnel, les données biométriques doivent avant tout subir des traitements dans le but de révéler l’identité d’une personne de manière unique. Les nouvelles lignes directrices distinguent donc dans quel cas on rentre dans la sphère de la biométrie, et suggèrent des bases légales pour apporter la preuve de son intérêt légitime.
Combien de temps les données recueillies peuvent-elles être conservées ?
Aucune durée de conservation des images collectées par un équipement de vidéosurveillance n’est évoquée dans les lignes directrices. L’EDPB se borne à en laisser la responsabilité aux États membres. Chaque pays est donc appeler à statuer sur les durées de stockage des données recueillies par un système de vidéosurveillance.
Toutefois, l’organe européen alerte sur le fait que cette durée devrait être relativement courte pour rester dans le cadre des objectifs attribués à une vidéosurveillance. Le but d’une caméra de surveillance étant habituellement la sécurité des personnes et des biens, les atteintes portées peuvent être identifiées dans un délai de 48 heures tout au plus.
De ce fait, en dehors du devoir de conserver des preuves relevant d’une enquête en cours, les données enregistrées devraient dans la majorité des cas, être effacées après quelques jours de stockage. Car selon l’EDPB, plus la période d’archivage est longue (au-delà de 3 jours), plus les services de traitement des données devront justifier de la légitimité de cette conservation.
Les responsables au traitement doivent alors avoir à l’esprit que s’ils usent des techniques de vidéosurveillance pour protéger leurs locaux, dans l’optique de sauvegarder les données, ils doivent s’assurer que cette sauvegarde répond à un objectif bien défini. Dans ces conditions, la durée de stockage des films doit être clairement définie, au cas par cas pour chaque but poursuivi.
