Lignes directrices sur les traitements de données personnelles via des dispositifs de vidéo surveillance

Le Comité européen de la protection des données (CEPD) a adopté le 29 janvier 2020 des lignes directrices sur la vidéosurveillance, après une consultation publique lancée le 10 juillet 2019.

Ces lignes directrices visent à fournir des indications sur la manière d’appliquer les règles issues du RGPD aux traitements de données à caractère personnel mis en œuvre au moyen d’un dispositif de caméras et apportent des précisions sur les domaines détaillés ci-dessous.

Base légale du traitement – Les différentes bases légales le plus souvent utilisées pour les traitements de données personnelles via la vidéosurveillance sont l’intérêt légitime qui doit être réel et actuel, l’intérêt public et exceptionnellement le consentement dont le recueil sera difficile à prouver.

Le recours à la vidéosurveillance en cas d’intérêt légitime se fait après un contrôle de proportionnalité pendant lequel le responsable de traitement doit évaluer le risque d’intrusion dans les droits des personnes concernées et tenir compte de plusieurs critères notamment celui de la taille de la zone filmée.

Communication de données à un tiers – Selon le CEPD, la communication de données à un tiers est un traitement séparé pour lequel le responsable de traitement doit avoir une base légale distincte.

Droits des personnes concernées – Le CEPD insiste également sur les droits des personnes concernées. Le comité rappelle que la personne concernée a le droit de savoir si des données personnelles la concernant sont traitées ou non. Cependant il existe des limites au droit d’accès notamment lorsque l’exercice de ce droit porte atteinte aux droits des tiers. Pour répondre aux demandes d’accès, le responsable de traitement doit prendre en compte la nature intrusive de la vidéo pour les autres personnes qui pourraient être identifiées dans la copie de la vidéo. La protection des droits des tiers ne doit pas être utilisée par le responsable de traitement comme une excuse pour refuser de répondre aux demandes légitimes d’accès.

En cas de traitement de vidéosurveillance basé sur un intérêt légitime ou sur un intérêt public, le responsable de traitement doit pouvoir faire droit aux demandes d’opposition des personnes concernées par exemple en ayant la possibilité d’empêcher immédiatement la caméra de traiter des données à caractère personnel.

Obligation d’information – Concernant la transparence et l’obligation d’information, le CEPD tranche sur une approche à plusieurs niveaux : les informations les plus importantes doivent être affichées sur le panneau d’avertissement lui-même (première niveau), tandis que les autres détails obligatoires peuvent être fournis par d’autres moyens (deuxième niveau). Le premier niveau d’information doit renvoyer au deuxième niveau d’information.

Le Comité donne notamment des détails sur l’emplacement des panneaux d’information et sur les informations qu’ils doivent fournir et propose également un modèle non contraignant de panneaux d’information.

Durée de conservation des données – Les données personnelles collectées via la vidéosurveillance doivent idéalement être effacées au bout de quelques jours. Plus la période de stockage fixée est longue, plus il faut fournir d’arguments pour justifier la légitimité de l’objectif et la nécessité du stockage.

Mesures techniques et organisationnelles – Ces mesures doivent être proportionnelles aux risques pour les droits et libertés des personnes physiques. Le responsable du traitement doit protéger de manière adéquate tous les éléments d’un système de vidéosurveillance et les données à tous les stades du stockage, de la transmission et du traitement. La sécurité du système implique la sécurité physique de tous les composants du système et la protection de l’intégrité du système contre les interférences intentionnelles et non intentionnelles ainsi que sa résilience face à ces interférences. La sécurité des données signifie leur confidentialité, leur intégrité et leur disponibilité.

Conduite d’une analyse d’impact – Enfin, le CEPD reprend le RGPD et explique que les responsables du traitement sont tenus de réaliser des analyses d’impact si le traitement constitue une surveillance systématique d’une zone accessible au public à grande échelle.

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Publicité".
cookielawinfo-checkbox-analytics	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Analytics".
cookielawinfo-checkbox-necessary	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Nécessaire".
cookielawinfo-checkbox-others	1 an	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Autres".
cookielawinfo-checkbox-performance	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Performance".
viewed_cookie_policy	1 an	Le cookie est défini par le plugin GDPR Cookie Consent pour stocker si l'utilisateur a consenti ou non à l'utilisation de cookies. Il ne stocke aucune donnée personnelle.
_GRECAPTCHA	5 mois 27 jours	Ce cookie est défini par le service Google recaptcha pour identifier les robots afin de protéger le site Web contre les attaques de spam malveillantes.

Cookie	Durée	Description
CONSENT	16 ans	Ces cookies sont définis via des vidéos youtube intégrées. Ils enregistrent des données statistiques anonymes sur par exemple combien de fois la vidéo est affichée et quels paramètres sont utilisés pour la lecture. Aucune donnée sensible n'est collectée sauf si vous vous connectez à votre compte google, dans ce cas vos choix sont liés à votre compte, par exemple si vous cliquez sur « j'aime » sur une vidéo.
_ga	2 ans	Le cookie _ga, installé par Google Analytics, calcule les données des visiteurs, des sessions et des campagnes et assure également le suivi de l'utilisation du site pour le rapport d'analyse du site. Le cookie stocke des informations de manière anonyme et attribue un numéro généré de manière aléatoire pour reconnaître les visiteurs uniques.
_gid	1 jour	Installé par Google Analytics, le cookie _gid stocke des informations sur la façon dont les visiteurs utilisent un site Web, tout en créant également un rapport d'analyse des performances du site Web. Certaines des données collectées incluent le nombre de visiteurs, leur source et les pages qu'ils visitent de manière anonyme.

Cookie	Durée	Description
IDE	1 an 24 jours	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnel ».
test_cookie	15 minutes	Le test_cookie est défini par doubleclick.net et est utilisé pour déterminer si le navigateur de l'utilisateur prend en charge les cookies.
VISITOR_INFO1_LIVE	5 mois 27 jours	Cookie défini par YouTube pour mesurer la bande passante qui détermine si l'utilisateur obtient la nouvelle ou l'ancienne interface du lecteur.
YSC	session	Le cookie YSC est défini par Youtube et est utilisé pour suivre les vues des vidéos intégrées sur les pages Youtube.
yt-remote-connected-devices	jamais	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur utilisant la vidéo YouTube intégrée.
yt-remote-device-id	jamais	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur utilisant la vidéo YouTube intégrée.

Cookie	Durée	Description
45342b9b1e	session	Pas de description
cookielawinfo-checkbox-functional	1 an	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnel ».