Entré en vigueur il y a six ans (mai 2018), le RGPD est devenu fondamental dans la manière dont la vidéosurveillance est utilisée dans l’Union Européenne. Pourtant de nombreux doutes subsistent sur son application et il n’est pas rare de voir encore des entreprises qui ne sont pas en conformité avec les différentes réglementations.
Dans ce guide, nous répondons aux principales questions et risques liés aux analyses vidéo :
- Application de la réglementation axée sur les utilisateurs finaux
- Aperçu des amendes infligées
- Lignes directrices de l’UE
- Exemple officiel de signalétique publique
- Bonnes pratiques de stockage des images
- Reconnaissance faciale et RGPD
- Traitement et chiffrement des données
- Désignation d’un DPO.
Résumé : L’entrée en vigueur du RGPD a vu l’émergence de craintes dans le domaine de la vidéosurveillance, notamment la pénalisation des intégrateurs, des utilisateurs finaux et des fabricants par des réglementations strictes et lourdes (coûts de conformité et amendes), qui auraient pu se traduire par des interdictions de certaines technologies. Cependant, six ans plus tard, ces craintes ne se sont pas concrétisées. Les amendes peuvent être évitées en prenant des mesures de base telles que l’affichage de signalétique et en évitant de filmer les espaces publics. Et bien que la conformité au RGPD soit importante, son application est principalement à l’encontre des utilisateurs finaux, et non des sociétés de sécurité. Des technologies plus récentes comme la reconnaissance faciale, le dépistage de la fièvre et l’analyse vidéo ont été autorisées à se développer dans la plupart des pays soumis au RGPD, même si bien entendu certaines restrictions s’appliquent. Les autorités européennes ont également émis des conseils détaillés sur les bonnes pratiques pour ceux qui recherchent plus de clarté.
Principes et définitions
Qui est impacté par le RGPD ?
Les images vidéo d’une personne étant considérées comme ses données personnelles, l’industrie de la vidéosurveillance est directement impactée par le RGPD. Il est important de noter que le RGPD s’applique uniquement au traitement des personnes se trouvant physiquement dans l’UE. Un pizzaiolo à New York qui enregistre un touriste français n’a pas besoin de se conformer au RGPD.
Contrôleurs, processeurs, sujets expliqués
Selon le RGPD, les acteurs clés sont :
- Les responsables du traitement des données : il s’agit des utilisateurs finaux comme les magasins, les restaurants, les centres commerciaux ou les propriétaires qui déploient la vidéosurveillance – des entités qui déterminent les finalités et les moyens du traitement des données personnelles.
- Les sous-traitants : tout intégrateur qui accède aux images de ses clients, par exemple en Croatie, un intégrateur qui a partagé illégalement des images de clients sur Facebook a été considéré comme un « processeur » par les régulateurs. Cela affecte également les fabricants qui hébergent les images vidéo des utilisateurs finaux sur le cloud ou via vSaaS, par exemple Eagle Eye Networks ou Avigilon Alta. Un fabricant qui ne stocke pas ou ne traite pas les images vidéo des utilisateurs finaux ne serait pas considéré comme un processeur en vertu du RGPD.
- Les personnes concernées par les données : ce sont les personnes enregistrées sur une caméra.
Dans l’ensemble, le RGPD accorde aux personnes concernées par les données en Europe de nouveaux droits importants sur leurs propres données tout en imposant des restrictions sur la collecte de ces données. Cependant, le RGPD lui-même ne fait aucune référence directe à la vidéosurveillance.
Une application de la réglementation axée sur les utilisateurs finaux
Il n’y a eu aucun cas de fabricants de vidéosurveillance ou de fournisseurs cloud/vSaaS condamnés pour des violations du RGPD jusqu’à présent. Les régulateurs se sont principalement concentrés sur les utilisateurs finaux de vidéosurveillance, par exemple les magasins, les restaurants, les hôtels et les propriétaires. Peu d’intégrateurs ont été condamnés et, nous n’avons pu trouver que deux exemples jusqu’à présent : un intégrateur en Croatie a été condamné pour avoir partagé illégalement des images de caméra de ses clients sur les réseaux sociaux à des fins de divertissement en 2021, tandis qu’un autre intégrateur en Espagne a été condamné en 2020 pour ne pas avoir désigné de délégué à la protection des données (à noter qu’un employé existant peut être désigné comme DPO).
Aperçu des amendes émises dans le cadre du RGPD
Des amendes peu élevées en moyenne
Le montant médian reste faible malgré la crainte initiale d’amendes pouvant s’élever à 20 millions d’euros ou 4 % du chiffre d’affaires global d’une entreprise dans les cas les plus graves. Cependant, l’amende médiane pour la vidéosurveillance s’élevait à environ 3 900 € en 2021.
Par ailleurs, peu d’amendes ont été émises : on dénombre environ 150 amendes pour des manquements aux réglementations liées à la vidéosurveillance, dans toute l’Europe. De nombreux pays, même de grande taille comme le Royaume-Uni, n’ont d’ailleurs infligé aucune amende à ce jour. Au contraire, l’Espagne est de loin le pays le plus prolifique, avec environ 50 amendes.
Exemples d’amendes records
A ce jour, la plus grosse amende contre une entreprise liée à la vidéosurveillance concerne la société de reconnaissance faciale Clearview AI pour avoir collecté illégalement des milliards d’images faciales de personnes sans leur consentement, entraînant des amendes totales d’environ 68 millions de dollars américains par la France, la Grèce et l’Italie. À noter que Clearview, basée aux États-Unis, a refusé de payer, entraînant ainsi d’autres amendes.
La contravention la plus importante liée à la vidéosurveillance était de 11 millions de dollars en 2021 contre un détaillant d’ordinateurs portable en ligne allemand pour avoir surveillé des zones d’employés telles que les espaces de travail, les espaces de vente, les entrepôts et les salles de personnel. Ce cas allemand était une exception et, la plus grosse amende suivante n’était que de 316 000 dollars. Amende émise en Belgique à l’encontre de deux aéroports pour l’utilisation de caméras thermiques qui manquaient de signalétique adéquate, d’évaluations d’impact et de justification légale.
Les raisons principales d’émissions d’amendes
Les raisons les plus courantes des amendes sont la surveillance de zones publiques, la surveillance constante des employés, le défaut d’affichage de signalétique et la surveillance de zones privées (comme le jardin d’un voisin). Moins courantes, mais toujours importantes, sont les raisons telles que le partage d’images de caméra de clients sans consentement et le non-respect des demandes de données des personnes concernées.
Lignes directrices de l’UE
En 2020, le Comité européen de la protection des données, un organe de l’UE destiné à encourager la conformité au RGPD, a officiellement adopté des lignes directrices détaillées sur la vidéosurveillance. Bien que ces lignes ne soient pas obligatoires, elles fournissent des exemples de bonnes pratiques et de clarté réglementaire :
- Reconnaissance faciale VIP dans un hôtel : l’utilisation par un hôtel de la reconnaissance faciale pour la reconnaissance des « VIP » est illégale si elle est déployée sur des clients qui n’ont pas explicitement consenti.
- Surveillance d’un jardin privé : un propriétaire filmant son propre jardin clôturé n’est pas réglementé par le RGPD, tant que les espaces publics et voisins ne sont pas capturés.
- Mauvais usage des images : des images vidéo destinées à résoudre des dommages dans un parking violent le RGPD si elles sont publiées sans consentement, par exemple le partage d’une vidéo de bagarre sur Facebook à des fins de divertissement.
- Identification des grévistes/manifestants : un employeur utilisant des caméras pour identifier les employés participant à une grève ou à une manifestation est illégal selon le RGPD, car l’appartenance à un syndicat et les opinions politiques sont des catégories de données protégées.
Exigences en matière de signalisation publique
Étant donné que le RGPD renforce les lois européennes existantes sur la vie privée concernant principalement les directives de transparence dans les articles 12 et 13, il est plus important que jamais pour les sociétés de surveillance d’informer le public si elles enregistrent des vidéos les concernant. Le défaut d’affichage de signalisation adéquate était la troisième raison la plus courante des amendes émises.
Dans l’article 13, le RGPD indique que les détails suivants doivent figurer sur la signalisation :
- L’identité et les coordonnées du responsable du traitement des données.
- Les finalités du traitement auxquelles les données à caractère personnel sont destinées ainsi que la base juridique du traitement.
- La durée pendant laquelle les données à caractère personnel seront stockées, ou si cela n’est pas possible, les critères utilisés pour déterminer cette durée.
- Informer les personnes concernées de leur droit d’introduire une réclamation auprès d’une autorité de contrôle.
- L’existence du droit de demander l’accès, la rectification et la suppression des données.
Si applicable, il faut aussi mentionner :
- Les coordonnées du DPO.
- Si les données doivent être transférées dans un autre pays, les garanties pertinentes en place.
- Les destinataires des données à caractère personnel (s’ils ne sont pas l’utilisateur final).
- L’existence d’une prise de décision automatisée, y compris le profilage… et, au moins dans ces cas, des informations significatives sur la logique utilisée, ainsi que sur l’importance et les conséquences prévues de ce traitement pour la personne concernée (cela s’appliquerait probablement à des techniques telles que la reconnaissance faciale ou d’autres techniques biométriques).
Les utilisateurs finaux doivent également veiller à ce que tout cela soit clairement visible et écrit de manière compréhensible.
Exemple officiel de signalisation publique
Les lignes directrices du CEPD sur la vidéosurveillance incluent un exemple clair de bonne signalisation publique :
Bonnes pratiques sur le stockage
Le RGPD ne fixe pas de limites sur la durée pendant laquelle les données doivent être stockées, mais indique que les données ne doivent pas être conservées plus longtemps que nécessaire à leurs finalités initiales. Le RGPD autorise uniquement des périodes de stockage plus longues pour l’intérêt public, la recherche scientifique ou historique (article 5). Un utilisateur final qui conserve indéfiniment ses enregistrements vidéo enfreint le RGPD à moins de pouvoir prouver qu’il agit selon ces motifs. Pour rappel, en France la durée de conservation légale maximum est de 30 jours.
Enfin, l’article 9 interdit le traitement de données biométriques, ainsi que les données révélant l’origine raciale ou ethnique et les données relatives à la santé, à l’appartenance politique ou syndicale. « Le traitement de données à caractère personnel révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement de données génétiques, de données biométriques aux fins de l’identification unique d’une personne physique, de données concernant la santé ou de données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique est interdit ».
Cependant, la RGPD reconnaît un grand nombre d’exceptions aux interdictions décrites dans l’article 9 : « raisons d’un intérêt public substantiel », qui n’est pas précisé davantage par le RGPD, est le principal cité pour la vidéosurveillance, et généralement utilisé pour des finalités liées à la criminalité et à l’application de la loi.
Reconnaissance faciale et RGPD
Les cas d’usage
En raison de l’interdiction de l’article 9 sur les données biométriques (avec des exceptions), le déploiement de la reconnaissance faciale peut être risqué. Par exemple, la Suède a infligé une amende à une école pour avoir utilisé la reconnaissance faciale pour détecter la présence des enfants.
Déployer la reconnaissance faciale dans un restaurant, sans aucun objectif clair, serait illégal dans les pays du RGPD. Cependant, pour être sûr, aucun pays n’a interdit la reconnaissance faciale à des fins d’application de la loi, et cela reste autorisé dans le cadre des exemptions.
L’utilisation de la reconnaissance faciale contre les voleurs à l’étalage varie aussi d’un paye à l’autre, en fonction de leur interprétation de « l’intérêt public substantiel »
- La Belgique a interdit à toutes les entreprises privées d’utiliser la reconnaissance faciale.
- Le Royaume-Uni a légalisé l’utilisation de la reconnaissance faciale par les entreprises privées pour attraper les voleurs à l’étalage.
- En France, les régulateurs affirment que la reconnaissance faciale pour attraper les voleurs à l’étalage serait illégale.
Cela montre la marge de manœuvre dont dispose chaque régulateur national lorsqu’il interprète le même RGPD.
Analyse de genre, âge et origine
Les analyses de genre et d’âge ne sont pas considérées comme des données biométriques. Le CEPD a clarifié que les analyses de genre et d’âge ne sont pas considérées comme des données biométriques à moins qu’elles ne puissent identifier une personne spécifique (par exemple, via la reconnaissance faciale).
La détection de la couleur de peau des personnes relève du risque de « révélation de l’origine raciale ou ethnique » de l’article 9, ont déclaré les régulateurs de données en France et aux Pays-Bas. La détection de la race des personnes nécessite l’application de l’une des exceptions de l’article 9.
Traitement des demandes de données des sujets
Les articles 12 à 22 du RGPD accordent aux personnes concernées par les données des droits étendus sur leurs propres données, notamment le droit d’obtenir toutes les données personnelles les concernant collectées et le droit de demander que ces données soient supprimées (« le droit à l’oubli »). Ces services doivent être fournis gratuitement par les entreprises. Les sociétés de vidéosurveillance, en particulier, doivent veiller à ne pas divulguer les données personnelles d’autrui lorsqu’elles répondent à de telles demandes, par exemple en fournissant des images vidéo à une personne concernée par les données qui identifie également d’autres personnes. Les entreprises ont un mois pour répondre à de telles demandes. Étant donné que la plupart des données de vidéosurveillance sont conservées pendant moins d’un mois, cela signifie que de nombreuses demandes de données de vidéosurveillance devraient être relativement faciles à satisfaire.
Toutefois, l’article 12 du RGPD indique que les personnes concernées par les données doivent être informées de leurs droits de manière « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ». Si une société a besoin de plus d’un mois pour répondre à une demande, elle peut « proroger » la période de réponse de deux mois au maximum. Un retard doit être dûment justifié.
L’anonymisation/le masquage de la vie privée est-il requis ?
L’article 25 du RGPD impose l’ anonymisation et le chiffrement des données pour garantir que la protection des données est par conception et par défaut. En raison de ces conditions, il semble que le RGPD encourage davantage que de le rendre obligatoire. Dans la vidéosurveillance, l’anonymisation signifierait très probablement le masquage ou le floutage des visages des personnes concernées par les données. Le RGPD ne précise pas explicitement quand l’anonymisation est requise.
Cependant, comme expliqué dans l’article 25, l’objectif du RGPD est que « seules les données personnelles nécessaires à chaque objectif spécifique du traitement sont traitées ». Le RGPD décrit les méthodes de chiffrement efficaces comme étant « celles qui rendent les données personnelles incompréhensibles pour toute personne non autorisée à y accéder ». Cela signifie que les utilisateurs finaux devraient utiliser des méthodes de sécurité très basiques, telles que des mots de passe complexes, le verrouillage de compte, etc., pour éviter tout accès non autorisé.
La nomination d’un DPO
Un DPO (délégué à la protection des données) est un expert en protection des données personnelles et, les entreprises doivent en nommer un si :
- Le traitement des données est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans le cadre de leur mission juridictionnelle ;
- Les activités de base de l’entreprise consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées à grande échelle ;
- Les activités de base de l’entreprise consistent en des opérations de traitement à grande échelle de catégories particulières de données sensibles, ou de données relatives à des condamnations pénales et à des infractions connexes.
En cas de doute, nommer un DPO peut être une mesure de précaution peu coûteuse. Un intégrateur de vidéosurveillance en Espagne a été condamné à une amende de 50 000€ pour ne pas avoir désigné de DPO, bien qu’un DPO ne soit pas nécessaire pour un intégrateur à moins qu’il ne remplisse l’une des conditions susmentionnées. Au lieu de cela, un employé existant peut être désigné comme DPO. Le RGPD mentionne qu’un « responsable du traitement peut désigner un DPO sur la base de ses qualifications professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données et de sa capacité à remplir les missions visées à l’article 39.
Le mot de la fin
Nous espérons que ce guide vous aidera à y voir plus clair lors de l’installation de caméra de vidéosurveillance et vous assurer de bien respecter les réglementations en vigueur afin d’éviter toute amende.
Stori Protection est votre expert en systèmes de vidéosurveillance complets et innovants, hébergés via le cloud sur nos data center sécurisés. Tous nos circuits de vidéosurveillance professionnels vous garantissent la conformité avec le RGPD et les recommandations de la CNIL. Pour en savoir plus, n’hésitez pas à nous contacter.