Politique RGPD vidéosurveillance

Les traitements de données personnelles par voie de vidéosurveillance reposent sur l'une des bases légales définies à l'article 6 du RGPD. La base la plus fréquemment applicable dans les établissements privés est l'intérêt légitime (article 6.1.f), qui requiert une mise en balance formalisée entre les intérêts du responsable de traitement (sécurité des biens et des personnes) et les droits des personnes filmées. Cette mise en balance doit être documentée et prendre la forme d'une analyse de proportionnalité.

Pour les personnes morales de droit public (administrations, collectivités), la base légale est généralement l'obligation légale (article 6.1.c) ou la mission d'intérêt public (article 6.1.e), fondées sur les dispositions du Code de la sécurité intérieure (articles L.251-1 et suivants) ou des textes sectoriels spécifiques. L'autorisation préfectorale requise par l'article L.252-1 du CSI constitue un élément de preuve de la licéité du traitement, sans toutefois se substituer à l'analyse RGPD.

Les systèmes d'analyse comportementale et de reconnaissance de formes constituent des traitements distincts dont la base légale doit être déterminée indépendamment. Lorsque ces fonctionnalités permettent l'identification indirecte de personnes, elles peuvent relever de la catégorie des données biométriques (article 9 du RGPD) et requérir une base légale renforcée, voire une autorisation spécifique de la CNIL.

Le responsable de traitement est l'entité (personne morale ou physique) qui détermine les finalités et les moyens du traitement de vidéosurveillance. Il s'agit en règle générale de l'organisation exploitant le site surveillé, non de l'intégrateur. Mileo Technology intervient en qualité de sous-traitant au sens de l'article 28 du RGPD et ne détermine pas les finalités du traitement.

Lorsqu'un responsable de traitement emploie plus de 250 personnes ou effectue des traitements à grande échelle susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes, la désignation d'un délégué à la protection des données (DPO) est obligatoire en vertu de l'article 37 du RGPD. Le DPO peut être interne ou externe ; il doit être notifié à la CNIL via son espace professionnel.

Mileo Technology recommande à ses clients ne disposant pas de DPO interne de désigner un DPO externe mutualisé, en particulier lorsque leurs systèmes de vidéosurveillance couvrent de nombreuses zones de travail ou traitent des données sensibles. Mileo Technology peut orienter ses clients vers des prestataires DPO qualifiés, sans toutefois exercer elle-même cette fonction pour ses clients afin d'éviter tout conflit d'intérêts.

Les systèmes de vidéosurveillance traitent principalement des images fixes et animées susceptibles de contenir des données permettant l'identification directe ou indirecte de personnes physiques (visages, plaques d'immatriculation, vêtements caractéristiques). Ces données relèvent de la catégorie générale des données personnelles et non, par défaut, de la catégorie sensible de l'article 9, sauf si elles sont utilisées aux fins d'identification biométrique.

La durée de conservation des enregistrements vidéo ne doit pas excéder la durée strictement nécessaire aux finalités du traitement. La CNIL recommande une durée maximale de trente jours dans la plupart des cas. Des durées inférieures (sept à quinze jours) sont souhaitables pour les zones à faible risque. Des durées supérieures peuvent être justifiées dans des cas exceptionnels dûment documentés (enquêtes en cours, contraintes légales spécifiques) mais ne peuvent excéder trois mois sans base légale spéciale.

Les enregistrements conservés dans le cadre d'une procédure judiciaire ou administrative sur réquisition ou saisie des autorités sont soustraits à l'obligation de purge pendant la durée de la procédure. La décision de conservation doit être consignée et le retour à la procédure normale de purge organisé dès que possible après clôture de la procédure.

Les personnes filmées disposent de droits d'accès, de rectification et d'effacement de leurs données, ainsi que du droit d'opposition au traitement, sous réserve des limites prévues par la loi (nécessité pour la constatation, l'exercice ou la défense de droits en justice, obligations légales). Ces droits s'exercent auprès du responsable de traitement, dont les coordonnées doivent figurer sur les panneaux d'information obligatoires.

Le droit d'accès aux images permet à toute personne de demander à visualiser les enregistrements la concernant, à condition que cette visualisation ne porte pas atteinte aux droits de tiers (autres personnes filmées simultanément). La réponse doit intervenir dans un délai d'un mois à compter de la réception de la demande, prolongeable de deux mois supplémentaires en cas de volume important ou de complexité.

Les systèmes de vidéosurveillance modernes intègrent fréquemment des services cloud pour le stockage, l'analyse ou la supervision à distance. Lorsque ces services impliquent un traitement de données dans des pays tiers à l'Union européenne, des garanties appropriées doivent être mises en place conformément au chapitre V du RGPD : décision d'adéquation de la Commission, clauses contractuelles types (CCT) ou règles d'entreprise contraignantes (BCR).

Mileo Technology identifie et documente systématiquement les flux de données transfrontaliers générés par les équipements et logiciels qu'elle déploie. Cette information est communiquée au client avant déploiement afin qu'il puisse prendre une décision éclairée. Pour les sites soumis à des contraintes de souveraineté renforcées (administrations, OIV), Mileo Technology recommande des architectures excluant tout transfert hors UE.