Dans un monde où la sécurité devient une préoccupation majeure, la vidéosurveillance s’impose comme une solution incontournable. Que ce soit pour la protection des espaces privés, la surveillance des entreprises ou la sécurité résidentielle, les caméras de surveillance jouent un rôle crucial dans la prévention et la résolution des incidents. Cependant, l'essor de ces technologies soulève des questions importantes sur la protection de la vie privée et la gestion des données personnelles. Il apparaît essentiel de comprendre les enjeux, les réglementations et les meilleures pratiques associés à la vidéosurveillance. Cet article se propose de faire le point sur l’essentiel à connaître pour utiliser ces systèmes de manière efficace et responsable, tout en garantissant la protection des droits individuels.

Partager cet article

Ne pas confondre Vidéosurveillance et vidéoprotection

→ Les dispositifs dits de « vidéosurveillance » concernent des lieux non ouverts au public (locaux professionnels non ouverts au public comme les bureaux ou les réserves des magasins) et sont soumis aux dispositions de la loi « Informatique et Libertés » et au RGPD ainsi qu’à certaines dispositions du code pénale.

Son installation n’est pas soumise à une démarche obligatoire auprès de la CNIL ou des autorités administratives comme le préfet de police.

→ À l’inverse, la vidéoprotection concerne toutes les caméras installées dans les lieux ouverts au public c’est-à-dire des lieux accessibles à toute personne, sans qu’une autorisation spécifique ne soit nécessaire. La mise en place de système de vidéoprotection est régie par  le RGPD et le Code de la Sécurité Intérieure.

Installation de système de vidéosurveillance : Règles à respecter

1. Le respect du principe de proportionnalité :

La mise en place d’un système de vidéosurveillance doit être justifiée par la nature de la tâche à accomplir et proportionnée au but recherché (article L.1121-1 du Code du travail).

2. La poursuite d’un objectif réglementaire :

L’installation de système de vidéosurveillance doit répondre à un objectif prévu par la réglementation. L’utilisation de la vidéosurveillance doit, en effet, se justifier pour des motifs de sécurité des biens et des personnes comme par exemple prévenir les risques de vol ou d’agression.

3. Le respect de la vie privée :

Les dispositifs de vidéosurveillance ne doivent en aucun cas filmer les employés sur leur  poste de travail, sauf circonstances particulières. Il peut s’agir par exemple d’employés manipulant de l’argent, la caméra doit davantage filmer la caisse que le caissier.

Il ressort des dispositions de l’article 9 du Code civilque chacun à droit au respect de sa privée. De ce fait sur leur lieu de travail comme ailleurs, la vie privée des employés doit être respectée. C’est pourquoi en plus de ne pas filmer leur poste de travail, les caméras de surveillance ne doivent pas non plus filmer les zones de pause ou de repos des employés, ni les toilettes.

4. L’emplacement à des endroits précis :

Les caméras de surveillance peuvent être installées au niveau des entrées et sorties des bâtiments, des issues de secours et des voies de circulation ainsi que des entrepôts. En effet, l’installation de caméras de surveillance à ces emplacements stratégiques est cruciale pour assurer la sécurité des personnes et des biens, dissuader les comportements criminels et  gérer efficacement les flux de circulation.

Mesures de sécurité pour la mise en place d’un système de Vidéosurveillance

Pour sécuriser les systèmes de vidéosurveillance, plusieurs mesures de sécurité doivent être mises en place :

1. Le chiffrement des données vidéos

Les données vidéo doivent être chiffrées, tant en transit qu’au repos, pour empêcher l’accès non autorisé à ces données.

2. Le contrôle des accès

Un contrôle d’accès strict doit être établi, limitant l’accès aux enregistrements vidéo aux seules personnes autorisées. En effet, seules les personnes habilitées par l’employeur, dans le cadre de leurs fonctions, peuvent visionner les images enregistrées par les caméras de surveillance.

3. La sécurisation des accès

L’accès aux images doit être sécurisé pour éviter que tout le monde ne puisse les visionner. La sécurisation des accès passe par la mise en place d’un identifiant, un mot de passe robuste, une connexion https, etc.

4. La mise à jour des systèmes de vidéosurveillance

Les systèmes de vidéosurveillance doivent être régulièrement maintenus et mis à jour pour corriger les vulnérabilités. Enfin, l’utilisation de réseaux sécurisés pour la transmission des données est essentielle pour prévenir les interceptions malveillantes.

5. La limitation de la durée de conservation

(Article 5 du RGPD) Une durée de conservation des données issues des caméras de surveillance doit être définie. En effet, les données des personnes concernées doivent être conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Autrement dit, la durée de conservation doit être en lien avec l’objectif poursuivi par les caméras. En tout état de cause cette durée doit être limitée à quelques jours, sauf exceptions (pour procédure disciplinaire ou pénale). La CNIL recommande 1 mois de conservation de ces données.

Le respect de ces mesures est très important car les cybercriminels peuvent cibler ces systèmes pour accéder aux enregistrements vidéo, compromettant ainsi la confidentialité des données.

Obligation d’information de l’employeur

→ L’employeur qui souhaite installer un dispositif de vidéosurveillance sur un lieu de travail doit respecter certaines dispositions issues du Code du travail et du RGPD.

Il doit, ainsi, délivrer aux salariés une information individuelle sur l’existence d’un traitement contenant des données personnelles les concernant (article L.1222-4 du Code du travail). L’information doit être diffusée avant l’installation du dispositif.

Cette information doit être :

  • Sous forme de panneau affiché en permanence,
  • Être visible et lisible,
  • Se situer dans les lieux concernés par la vidéosurveillance

Selon les dispositions des articles 13 du RGPD et 104 de la Loi « Informatique et Libertés » sur ce panneau doit figurer les informations suivantes :

  • Le pictogramme d’une caméra ;
  • Les finalités du traitement ;
  • La durée de conservation des images ;
  • Le nom ou la qualité et le numéro de téléphone du responsable ou du délégué à la protection des données (DPO) ;
  • L’existence de droits « Informatique et Libertés » ;
  • Le droit d’introduire une réclamation auprès de la CNIL, en précisant ses coordonnées.

L’absence d’information des personnes est punie par une amende prévue pour les contraventions de la 5e classe, soit 1500 euros maximum ou 3000 euros maximum en cas de récidive (article R625-10 du code pénal).

→ L’obligation d’information de l’employeur ne se limite pas aux personnes concernées (employés, visiteurs). Il ressort des dispositions de l’article L.2312-38 du Code du travail que l’employeur doit informer et consulter le comité social et économique (l’instance de représentation du personnel) avant toute décision d’installer des caméras dans l’entreprise.

Le non-respect des mesures de sécurité et de l’obligation d’information peut entraîner des sanctions en cas de contrôle de la CNIL. C’est la cas de AMAZON FRANCE LOGISTIQUE, sanctionné d’une amende de 32 millions d’euros pour de la vidéosurveillance sans information et insuffisamment sécurisée.

Droits des personnes concernées

  • Le Droit d’accès ou de suppression des données les concernant :

Les personnes concernées doivent pouvoir demander au responsable du système de vidéosurveillance à avoir accès aux enregistrements qui les concernent à demander leur suppression  à vérifier leur effacement dans le délai prévu.

Cette demande doit faire l’objet d’une inscription  dans un registre des demandes d’exercice de droit qui doit être tenu à jour systématiquement.

  • Le Droit de recours en cas de non-respect des règles de vidéosurveillance

Si un dispositif de vidéosurveillance ne respecte pas ces règles, les personnes concernées peuvent exercer un  recours auprès des autorités suivantes :

  • Le service des plaintes de la Commission nationale de l’informatique et des libertés (CNIL).
  • Les services de l’inspection du travail, notamment compétents pour le harcèlement moral au travail.
  • Les services de police ou de gendarmerie.
  • Le procureur de la République.

Rôle du DPO dans la mise en œuvre d’un système de vidéosurveillance

Lorsque qu’un organisme décide de mettre en place des caméras et qu’elle  a désigné un délégué à la protection des données (DPO), ce dernier doit être impliqué dès le début du projet de vidéosurveillance. En effet, le DPO joue un rôle crucial en veillant à ce que l’installation des caméras respecte les réglementations en matière de protection des données.

Ainsi, lorsqu’une analyse d’impact relative à la protection des données (AIPD) est nécessaire, le DPO doit participer activement à cette démarche pour identifier et évaluer les risques potentiels pour la vie privée des individus filmés.

Par ailleurs, le dispositif de vidéosurveillance doit être inscrit dans le registre des traitements de données. Ce registre doit impérativement être tenu à jour. Le registre des traitements de données doit détailler les finalités de la vidéosurveillance, les catégories de données collectées, les mesures de sécurité mises en place, ainsi que les droits des personnes concernées.

En procédant ainsi, l’organisme démontre sa conformité avec les exigences légales et son engagement à protéger les données personnelles de manière transparente et responsable.

La mise en place de dispositif de vidéosurveillance comme on  peut le voir est très réglementée. C’est pourquoi dans certains cas particuliers, la CNIL est obligée de se prononcer afin de fixer les conditions de mise en œuvre, comme ça été le cas de  l’installation de dispositifs de vidéosurveillance dans les chambres des résidents d’EPADH.

Le cabinet Alcees se tient à votre disposition pour vous informer et vous conseiller dans votre démarche de mise en œuvre d’un système de vidéosurveillance. Contactez nous à l’adresse suivante : information@alcees.com .

Ensemble, donnons du sens éthique à vos projets et formons vos équipes ! Partageons nos expertises !

 

Partager cette publication à un collègue ou une connaissance

Insights liés

Alcees_logo_baseline

Fondée en 2018, Alcees est une entreprise de services du numérique (esn) d’essence française et européenne, 100% cyber centric. Alcees propose aux collectivités et entreprises publiques, aux banques, aux assureurs, aux éditeurs de logiciels, aux opérateurs de santé, des solutions-conseils sur-mesure pour améliorer la performance de leurs opérations et simplifier leur exposition aux risques cyber par la conformité aux normes et standards les plus élevés et par mesures simples.

Suivez-nous et prolongez l'expérience

La mission de l’ENISA dans le cadre du cadre de certification de cybersécurité de l’UE est de contribuer de manière proactive à l’émergence d’un cadre de l’UE pour la certification des produits et services TIC, et de réaliser l’élaboration de systèmes de certification candidats conformément à la loi sur la cybersécurité.

L’ENISA, avec son rôle central en tant qu’agence qui interagit avec les services publics ainsi qu’avec l’industrie et les organisations de normalisation, fournit un point de référence solide pour développer des systèmes de certification de cybersécurité candidats.

Trois systèmes sont actuellement en cours de développement à différents stades. L’ENISA, la Commission européenne, soutenue par des groupes de travail représentant l’écosystème et les autorités compétentes des États membres, travaillent ensemble pour établir les premiers systèmes.

Le premier système, l’EUCC (European Cybersecurity Certification Scheme on Common Criteria), cible les produits TIC tels que les produits matériels et logiciels et les composants. Le 3 octobre 2023, un premier projet d’acte d’exécution a été publié par la Commission européenne et est ouvert aux commentaires jusqu’au 30 octobre 2023.

Nos derniers articles