Certaines amendes liées à la surveillance visuelle dans l'UE
L’image d’une personne physique est incontestablement une donnée à caractère personnel et bénéficie de la même protection juridique que les données non visuelles.
Toute entreprise qui utilise la surveillance vidéo doit connaître et respecter les réglementations légales en matière de protection des données personnelles. Les violations de ces lois, y compris le non-respect de la sécurité des données, sont passibles de lourdes amendes et pénalités.
Ainsi, le fonctionnement de nombreuses organisations a changé depuis l'introduction du règlement RGPD en 2018. Aujourd'hui, les banques, les magasins, les bureaux de poste, les sociétés de sécurité, les parkings, les établissements médicaux et autres types d'opérateurs de vidéosurveillance doivent se conformer aux nouvelles réglementations personnelles. réglementations et exigences en matière de protection des données. Cependant, comme le montrent les cas décrits dans ce rapport, il reste encore beaucoup à faire à cet égard.
Les autorités chargées de la protection des données constatent de plus en plus de violations de l'art. 15 RGPD en surveillance vidéo
L’article 15 du RGPD ne laisse aucun doute: toute personne dont l’image figure dans l’enregistrement ou la photo a le droit d’accéder à ces informations (nous en parlons en détail sur notre blog). Une telle personne peut également demander une copie des données (enregistrement) contenant ses images.
Bien entendu, la fourniture d’une copie ne doit pas porter atteinte aux droits d’autrui. Heureusement, il existe des moyens de protéger la vie privée des autres personnes apparaissant dans l’enregistrement. L’une d’elles est la méthode de floutage des visages à l’aide de la technologie de vision par ordinateur (appelée logiciel d’anonymisation de l’IA).
Vidéosurveillance et risque
La vidéosurveillance est l'un des outils de sécurité les plus couramment utilisés. Bien qu’il s’agisse d’une solution utile, elle comporte de nombreux défis et limites, notamment les réglementations en matière de traitement des données personnelles imposées par le RGPD.
La société étant désormais plus consciente de ses droits, les plaintes concernant le refus de fournir des documents à la demande de la personne concernée se multiplient. Par conséquent, les autorités européennes de protection des données imposent des amendes aux organisations qui violent ce droit.
Dans ce rapport, nous avons rassemblé quelques exemples de sanctions récentes pour violation de l'article 15 et d'autres dispositions du RGPD. Toute entreprise qui utilise la vidéosurveillance dans ses locaux doit le lire pour comprendre quelles pratiques sont signalées et sanctionnées au titre des dispositions de ce règlement sur la protection des données personnelles.
Liste des sanctions et amendes RGPD sélectionnées:
(GDPR Art.)
1. Le cas d’une chaîne de supermarchés espagnole
(GDPR Art.)
Mercadona S.A. est l'une des principales sociétés espagnoles de vente au détail et de vente en ligne. En 2022, la DPA espagnole (Agencia Española de Protección de Datos - AEPD) a rendu une décision en vertu de laquelle la chaîne de supermarchés a été condamnée à une sanction pour violation des droits liés au RGPD : l'entreprise a été condamnée à une amende de 170 000 euros. L'amende concernait une violation des articles 12 et 15 du RGPD en ne répondant pas à la demande de la personne concernée, ainsi que de l'article 6 en supprimant le matériel vidéo sans base légale.
Dans l’un des supermarchés Mercadona surveillés par vidéo, la personne concernée a été victime d’un accident. Dans le but de réclamer des dommages et intérêts, le particulier a exercé son droit d'accès à l'image de la caméra de sécurité. En conséquence, cette personne a demandé au contrôleur de fournir l'enregistrement de l'accident à partir du système de vidéosurveillance à l'aide du formulaire de demande disponible sur le site Internet du contrôleur. La cliente a reçu une réponse automatique indiquant que son message avait été envoyé. La personne concernée a ensuite déposé une plainte par courrier électronique auprès du responsable du traitement concernant l'accident. Le contrôleur a répondu à ce message ; cependant, elle n'a pas répondu à la demande d'accès aux données pendant plus d'un mois.
L'avocat de la personne concernée a envoyé un e-mail au délégué à la protection des données du responsable du traitement concernant la demande d'accès. La réponse reçue était que le DPD n'avait connaissance d'aucune demande d'accès et que la vidéo avait déjà été supprimée. Suite à cette réponse négative, un particulier a porté plainte auprès de la DPA.
L'autorité espagnole de protection des données a pris des mesures supplémentaires, imposant finalement une amende au supermarché pour violation des dispositions susmentionnées du RGPD.
Lisez la décision complète (disponible uniquement en espagnol).
2. Amende mineure pour une entreprise de télécommunications grecque
(GDPR Art.)
Un autre cas de violation de l'article 15 du RGPD s'est produit en Grèce en 2022. L'entreprise de télécommunications grecque WIND Ελλάς Τηλεπικοινωνίες ΑΕΒΕ n'a pas fourni à la personne concernée l'enregistrement de surveillance. Pour cette raison, la DPA hellénique a infligé une amende de 2 000 euros à l'entreprise.
La personne concernée s'est rendue au point de service client pour prolonger le contrat téléphonique. Lors du processus de renouvellement de l'accord, les employés de WIND n'ont pas demandé de preuve d'identité à l'abonné. Il s'est avéré plus tard que, grâce à de nombreuses années de coopération, les employés ont confirmé l'identité de la personne concernée à l'aide de l'A.F.M. De plus, la personne concernée n’a reçu aucun document à signer. Les employés n'ont présenté qu'un formulaire avec des champs de signature du client vides, leur signature et le sceau de l'entreprise. En raison d'un problème système, l'abonné n'a pas pu signer. Les salariés ont toutefois assuré à la personne concernée que cela suffirait à prolonger le contrat.
Le même jour, la personne concernée a envoyé un e-mail au point de service client ainsi qu'au délégué à la protection des données. L'abonné a demandé l'accès aux séquences vidéo enregistrées par les caméras de WIND. Cependant, il n'a pas reçu de réponse. Dans un e-mail adressé au délégué à la protection des données, l'abonné s'est plaint d'une faille de sécurité dans le processus de renouvellement du contrat et du non-respect du droit d'accès aux données. Ce n'est qu'après l'intervention de la DPA que le propriétaire du point de service client a répondu que la demande d'accès ne pouvait pas être accordée car le matériel enregistré avait été supprimé. La DPA a considéré qu'il s'agissait d'une violation de l'article 15 et a infligé une amende à l'entreprise grecque.
Plus de détails sur cette affaire peuvent être trouvés ici. Le matériel est disponible en grec.
3. La direction du port maritime grec condamnée à une amende
(GDPR Art.)
La DPA a traité le cas d'un propriétaire de voiture privée qui n'avait pas eu accès aux images de surveillance capturées par les caméras A.E. de l'Autorité portuaire d'Héraklion. En conséquence, la DPA grecque a infligé une amende de 30 000 euros à l'entreprise pour violation des articles 12(1), 12(2) et 15 du RGPD.
Voici une description plus détaillée du cas. Sur le territoire de l'Autorité portuaire d'Héraklion A.E., la personne concernée a été impliquée dans un accident de la route avec une autre personne. Un système de vidéosurveillance exploité par l'organisation a enregistré l'accident. En conséquence, la personne concernée a soumis une demande demandant les images de surveillance par courrier électronique. Cependant, l'entreprise a refusé de fournir ces documents, affirmant qu'elle le ferait à la demande expresse du parquet. La personne concernée a réitéré sa demande, soulignant que les images de la surveillance sont nécessaires pour prouver la culpabilité de l'autre personne impliquée dans l'accident de voiture. Cependant, il n'a pas reçu de réponse.
La personne concernée a contacté l'HDPA au sujet d'une violation du droit d'accès aux données. La HPA a estimé qu'elle n'avait pas divulgué les documents parce que la personne concernée en avait fait la demande 37 jours après l'incident. L'organisation a cité une directive selon laquelle les données ne peuvent pas être divulguées après 15 jours. De plus, l'HPA a déclaré que les données avaient été supprimées.
L'enquête a révélé que HPA n'avait pas supprimé les données et n'avait pas le droit de refuser l'accès au matériel. HDPA a souligné que le délai de 15 jours prévu par la directive invoquée par l'entreprise avait été étendu à 30 jours. En conséquence, la DPA grecque a infligé une amende à l’organisation pour violation de l’article 15 du RGPD. En outre, l’entreprise grecque a violé l’article 12, paragraphes 1 et 2 du RGPD, en ne répondant même pas négativement à une demande d’accès aux données.
Résumant toutes les violations, la HDPA a infligé une amende de 30 000 euros à l'entreprise.
Allez ici pour trouver des informations détaillées en grec.
4. L'exploitant croate de stations-service condamné à une amende
(GDPR Art.)
La présente affaire concerne une violation de l’art. 15 secondes. 3 du Règlement Général sur la Protection des Données. L'autorité croate de protection des données a infligé une amende de 940 000,00 HRK (124 245 euros) à l'une des stations-service de la société énergétique (dont le nom n'est actuellement pas disponible).
Regardons les détails de cette affaire. La personne concernée a utilisé les services d'une station-service dans l'une des succursales de l'entreprise. Le client n'était pas satisfait de la mesure du carburant rempli. Conformément à la législation sur la protection des consommateurs, la personne concernée a déposé une plainte. Par la suite, la personne concernée a demandé une copie du matériel enregistré par les caméras de surveillance, précisant la date et l'heure exactes de son séjour au commissariat. Malheureusement, l’entreprise n’a pas accepté cette demande, invoquant les raisons suivantes
- Absence de demande écrite des autorités compétentes pour une copie de l'enregistrement
- Finalité injustifiée
- L'obtention d'une copie porterait atteinte aux droits des employés et des clients de la station-service qui se trouvaient dans la station à ce moment-là.
Après que le client ait reçu un avis général de la DPA, la société a déclaré qu'elle ne pouvait pas divulguer les images de surveillance car elles avaient été supprimées au bout de sept jours. La DPA a considéré ce comportement comme une violation de l'article 15 du RODO. En outre, il a été établi que l'entreprise, en ne donnant pas accès à l'enregistrement de surveillance, a indirectement évité les dommages matériels qu'elle aurait pu subir à la suite d'un litige de consommation avec la personne concernée. La société s'est également débarrassée de l'enregistrement, qui aurait servi de preuve dans l'affaire. Dans ces circonstances, le 8 mars, l'APD croate a rendu une décision infligeant une amende de 940 000 HRK à l'entreprise énergétique pour violation du droit d'accès de la personne concernée à l'enregistrement.
Plus de détails sur cette affaire peuvent être trouvés ici. Le matériel est disponible en croate.
5. L'exploitant croate de stations-service condamné à une amende
(GDPR Art.)
En mars 2022, le supermarché roumain Kaufland Roumanie SCS a été condamné à une amende de 2 000 euros. L'autorité roumaine de protection des données a constaté que l'entreprise avait enfreint l'article 15 du RGPD.
Bien qu’il s’agisse d’une amende plutôt mineure, il convient de noter que Kaufland Roumanie SCS a été condamnée à au moins 3 amendes rien qu’en 2022.
Examinons les détails de ce cas particulier. À la suite d'une plainte déposée par la personne concernée, l'autorité de protection des données a engagé une procédure. L'administrateur n'a pas accédé à la demande de la personne concernée de donner accès aux enregistrements de surveillance. Même si les enregistrements étaient disponibles à la date demandée, l'administrateur n'a pas envoyé une copie complète des documents enregistrés par la caméra. Le fait de ne pas fournir de données à la personne concernée constitue une violation de l'article 15 du RGPD. La DPA roumaine a donc infligé une amende de 2 000 euros au supermarché. De plus, des mesures correctives ont été prises à l'encontre de l'administrateur. Le supermarché roumain doit fournir à la personne concernée toutes les images demandées, le cas échéant. Bien entendu, afin que le matériel partagé n'ait pas d'impact négatif sur les droits d'autrui, l'administrateur doit brouiller les images permettant de les identifier.
Bien qu’il s’agisse d’une amende plutôt mineure, il convient de noter que Kaufland Roumanie SCS a été condamnée à au moins 3 amendes rien qu’en 2022.
Sous ce lien, vous trouverez des informations complètes sur cette affaire en roumain.
6. Une amende sévère infligée au conseil municipal et au comté de Limerick
(GDPR Art.)
Par décision du 9 décembre 2021, le conseil municipal et départemental de Limerick a été condamné à une amende de 110 000 euros. La sanction a été infligée pour la violation de :
- Article 13, qui concerne les informations fournies lors de la collecte des données auprès de la personne concernée.
- L'article 12, qui traite du contrôle de ces informations.
- Article 15, qui décrit le droit d'accès de la personne concernée.
Voici les détails de l'affaire. À la suite d'une inspection du traitement des données personnelles, la DPA irlandaise a constaté que le comté de Limerick enfreignait un certain nombre de lois sur la protection des données. L'enquête a révélé que le recours à la surveillance était illégal. Seules 44 des 401 caméras CCV répondaient aux exigences en matière de protection des données. La DPA irlandaise a constaté qu'un grand nombre des caméras installées étaient utilisées à des fins autres que celles pour lesquelles elles étaient destinées. De plus, certains étaient équipés d’un système de reconnaissance automatique des plaques d’immatriculation sans autorisation appropriée.
En outre, le conseil départemental n'a pas publié d'informations sur son site Internet concernant les caméras de vidéosurveillance utilisées pour la gestion du trafic. Cela a ainsi violé l’article 13 du RGPD. Le conseil n'a pas fourni ces informations de manière transparente et facilement accessible, ce qui constitue une violation de l'article 12. En outre, le conseil départemental a violé l'article 15 en refusant les demandes d'accès liées au traitement des données au centre de gestion du trafic. Sur la base de ces infractions, la DPA irlandaise a infligé une amende de 110 000 EUR au conseil de comté. Le commissaire a également ordonné que ces caméras soient éteintes pendant une période pouvant aller jusqu'à 120 jours. Notamment des caméras qui lisent les plaques d’immatriculation des véhicules traversant la ville.
Voici la décision rendue par la DPA irlandaise.
7. La société grecque de transport municipal subit une pénalité modérée
(GDPR Art.)
Le 3 septembre 2021, la DPA hellénique a rendu une décision par laquelle la société municipale de transport RODA a été condamnée à une amende de 8 000 euros. L'administrateur a violé les articles suivants du RGPD :
- Article 5, paragraphe 1, point c), relatif aux données à caractère personnel, qui doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
- Art. 12 (3) RGPD Art. 12 (3) du RGPD, qui stipule que l'administrateur doit, sans retard injustifié, fournir à la personne concernée des informations sur les mesures prises en relation avec la demande.
- Article 15 sur le droit d'accès de la personne concernée.
D'anciens employés de l'entreprise municipale de transport RODA ont porté plainte contre le responsable du traitement. Ces personnes étaient en conflit juridique. L’affaire concernait un détournement de fonds présumé, dont l’administrateur accusait un ancien employé. En conséquence, la personne concernée a demandé une copie des enregistrements enregistrés par le système de surveillance des bus le jour où l'incident aurait eu lieu. Les enregistrements de surveillance devaient être utilisés comme preuves pour la défense dans le cadre d'une procédure pénale. Malheureusement, l'administrateur de l'entreprise municipale de transport n'a pas répondu à la demande de l'ancien employé, en violation des articles 12 et 15 du RGPD. L'APD hellénique a infligé une amende de 5 000 euros au responsable du traitement. De plus, l'administrateur a fourni à l'ancien employé une attestation indiquant :
- le type et la période d'emploi
- le motif du licenciement, qui constituait prétendument un délit.
L'autorité grecque a considéré qu'il s'agissait d'une violation de l'art. 5 RGPD et condamné à une amende de 3 000 euros.
Voici la décision rendue par l'autorité hellénique de protection des données.
8. Encore un penalty pour Kaufland en Roumanie
(GDPR Art.)
En janvier 2021, l'autorité roumaine de protection des données a décidé de sanctionner l'opérateur de Kaufland Roumanie SCS pour violation de l'article 15 du RGPD. Parce que l'administrateur a violé le droit d'accès aux données, l'autorité lui a infligé une amende de 14 846,4 lei (l'équivalent de 3 000 euros).
Une plainte a été déposée auprès du délégué à la protection des données dans laquelle la personne concernée a déclaré que l'administrateur de Kaufland Roumanie SCS ne lui avait pas fourni une copie complète de l'enregistrement de surveillance. Conformément à la loi, le responsable du traitement est tenu de mettre les enregistrements de contrôle à la disposition de la personne concernée. L'administrateur est également tenu de recourir à un certain nombre de mesures techniques et organisationnelles afin de ne pas porter atteinte aux droits d'autres personnes physiques. Par conséquent, les visages de toutes les personnes apparaissant dans l’enregistrement doivent être floutés. Il en va de même pour les plaques d'immatriculation. Étant donné que l'administrateur de Kaufland Roumanie SCS n'a pas mis l'intégralité de l'enregistrement à la disposition de la personne concernée, celle-ci a été condamnée à une amende. Pour violation des dispositions de l'art. 15 secondes. seconde. Le 3 décembre, la DPA roumaine (ANSPDCP) a infligé une amende de 3 000 euros.
Vous pouvez trouver le matériel original sur cette affaire ici.
9. Amende sévère pour le propriétaire d'un magasin local en Hongrie
(GDPR Art.)
Le 23 octobre 2020, l'Autorité nationale hongroise pour la protection des données et la liberté d'information a décidé de sanctionner un magasin de chaussures pour violation des dispositions liées au RGPD. Le magasin a été condamné à une amende de 20.000.000 FT (54.800 EUR) pour violation des articles suivants : Art. 12 RGPD, art. 15 RGPD, art. 18 (1) c) du RGPD et l'art. 25 RGPD.
Le 26 mai 2018, un client a effectué un achat dans la boutique de l'administrateur et n'a pas reçu de monnaie. La personne concernée a demandé à l'entreprise de fournir une copie de l'enregistrement de vidéosurveillance. Ils ont justifié leur demande en voulant prouver qu'il n'avait pas reçu de monnaie après paiement. Dans la demande, la personne concernée, se référant à l'exclusion de l'art. 18 secondes. 1 allumé. c RGPD a demandé à l'administrateur de ne pas supprimer l'enregistrement en question. Cependant, l'entreprise n'a pas accédé à la demande. L'administrateur a refusé de fournir les enregistrements, justifiant que les images de la caméra pouvaient être mises à disposition à la demande de la police. Cette action a violé l'art. 15 du RGPD, et le magasin a encore violé le RGPD en supprimant la vidéo de la surveillance malgré la demande explicite de la personne concernée.
L'autorité hongroise de protection des données a également constaté que le magasin n'avait pas pris de mesures organisationnelles adéquates pour garantir le droit d'accès des personnes concernées, en violation de l'art. 25 RGPD. En outre, l'autorité a également déclaré que le magasin avait violé l'art. 12 du RGPD en ne fournissant pas d'informations sur le refus de fournir l'enregistrement et en n'expliquant pas pourquoi l'enregistrement n'a pas été conservé au-delà de la durée de conservation normale.
Sur la base de ces violations, l'autorité hongroise de protection des données a infligé une amende de 54 800 euros au magasin de chaussures.
Pour plus d'informations sur cette affaire, veuillez vous référer au matériel lié.
10. Une communauté résidentielle espagnole condamnée à une amende
(GDPR Art.)
La société de logement a payé une amende de 900 euros pour violation de la protection des données personnelles. La violation concernait l'art. 5 RGPD. Voici les détails de l'affaire.
La DPA a reçu un document indiquant une possible violation des dispositions relatives à la protection des données personnelles en raison de l'installation d'un système de vidéosurveillance. L'enquête a révélé qu'il y avait 57 caméras dans le bâtiment, dont une désactivée dans le gymnase. Toutefois, certaines caméras couvraient les espaces publics. L'autorité espagnole a considéré qu'il s'agissait d'une violation de l'art. 5 RGPD, c'est-à-dire les principes de minimisation des données.
Compte tenu de toutes les circonstances, l'autorité a infligé une amende de 900 euros à la société de logement. Il convient de mentionner que les autorités ont initialement infligé une amende de 1 500 euros. Cependant, il a été modifié en raison du paiement volontaire et de la reconnaissance des responsabilités.
Le matériel original en espagnol est disponible sur ce lien.
11. Un propriétaire condamné à une amende pour avoir enregistré un espace public au-delà de ses locaux privés
(GDPR Art.)
Par sa décision du 10 novembre 2022, l'APD espagnole a sanctionné une personne privée qui a violé l'article 5 du RGPD. L'individu a été condamné à une amende totale de 300 euros.
Au cours de la patrouille, la garde civile a remarqué une caméra placée dans la fenêtre d'un particulier qui interférait avec l'espace public. L'individu affirmait que la caméra faisait office d'interphone vidéo pour contrôler le stationnement de son véhicule. Cependant, la DPA a considéré qu'il s'agissait d'une violation de l'art. 5 (1) c) du RGPD. Il précise que les données personnelles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (« minimisation des données »). Lors de l'installation d'une caméra, il est important de fournir des informations sur les finalités prévues et sur la personne responsable du traitement des données personnelles capturées. De plus, les individus devraient pointer les caméras vers les espaces privés.
En conséquence, la DPA espagnole a infligé une amende de 300 euros à cette personne. En outre, la DPA a ordonné à l'individu de retirer la caméra dans les 15 jours ouvrables suivant la réception de l'acte administratif.
Des informations détaillées en espagnol sont disponibles sur ce lien.
12. Amende pour une entreprise espagnole qui viole certaines règles de base en matière de surveillance vidéo
(GDPR Art.)
L'affaire suivante concerne la société espagnole Lorent 2013 SL. Le responsable du traitement a été condamné à une amende de 600 EUR par l'Agence espagnole de protection des données pour violation de la loi du RGPD. Lorent 2013 SL a violé l'article 5 du RGPD, qui concerne, entre autres, le principe de minimisation des données.
La Mairie de Murcie a envoyé une lettre indiquant que le responsable du traitement effectuait une surveillance vidéo sans fournir d'informations adéquates. De plus, les caméras CCV sont dirigées vers un espace public sans autorisation administrative préalable pour une telle action.
Selon la loi, la vidéosurveillance doit être dirigée vers les espaces privés. Il est interdit de couvrir l'espace public sans motif raisonnable. De plus, il est obligatoire que la surveillance CCTV comporte une notice d'information visible indiquant les objectifs et la personne responsable du traitement des données personnelles impliquées.
La procédure a montré que Lorent 2013 SL a violé l'article 5 (1) c) concernant la minimisation des données. La DPA espagnole a donc infligé une amende de 600 euros à l'entreprise. En outre, le contrôleur a été obligé de placer une affiche d'information indiquant qu'il s'agissait d'une zone de surveillance vidéo. De plus, la désactivation de la caméra couvrait l’espace public.
Pour plus d’informations, veuillez consulter ce lien. Il s’agit d’une décision originale rendue par la DPA espagnole.
13. Amende pour installation de surveillance non autorisée appartenant à une personne privée
(GDPR Art.)
Le 29 novembre 2022, par décision de la DPA espagnole, une personne privée a été condamnée à une amende de 500 euros. Cette affaire concerne une violation de l'article 5 du RGPD.
Le 1er avril 2022, l'Agence espagnole de protection des données a reçu une demande de la garde civile. La plainte était dirigée contre un particulier. La lettre indiquait que l'individu avait installé un système de vidéosurveillance dont les caméras couvraient l'espace public. De plus, le particulier ne disposait d’aucune autorisation administrative. En outre, le responsable du traitement a publié la vidéo enregistrée sur le réseau social Facebook. Un contrôleur a justifié avoir installé les caméras, entre autres, en raison de la situation de maltraitance animale.
Conformément aux dispositions légales, il est interdit aux particuliers d'installer des systèmes de vidéosurveillance visant à obtenir des images des espaces publics, sauf dans les cas autorisés par la loi. La procédure a prouvé que le responsable du traitement acquiert des images de l'espace public, traite des données de tiers et les diffuse sur les réseaux sociaux.
L'APD espagnole a considéré qu'il s'agissait d'une violation du principe de minimisation des données (article 5 (1)c)). Elle a donc infligé une amende de 500 euros au particulier.
De plus amples informations peuvent être trouvées dans cette décision originale de la DPA espagnole.
14. Amende pour non-respect de plusieurs articles du RGPD en Hongrie
(GDPR Art.)
Le 18 décembre 2018, la NAIH a infligé une amende de 3 200 euros à un responsable du traitement. Cette pénalité a été prononcée en raison de violations de :
- Article 12, paragraphe 4 du RGPD en omettant d'informer la personne de sa capacité à déposer une plainte auprès de l'instance dirigeante.
- L'article 13 du RGPD ne fournit pas à la personne concernée toutes les informations lors de l'obtention de données personnelles.
- L'article 15 du RGPD ne met pas les enregistrements de surveillance à la disposition de la personne concernée.
- Article 18, paragraphe 1, point c), en ne conservant pas les enregistrements pour une utilisation ultérieure par la personne concernée.
L'Autorité hongroise de protection des données (NAIH) a reçu une demande indiquant que le responsable du traitement n'a pas accédé aux demandes d'exercice des droits de la personne concernée. L'individu s'est personnellement adressé au responsable du traitement afin d'avoir accès à l'enregistrement audio de l'assemblée générale. De plus, la personne concernée a demandé de ne pas supprimer les enregistrements des caméras. Ils ont indiqué que le responsable du traitement devait bloquer les enregistrements et en fournir des copies pour la procédure judiciaire et le procès concernant le statut juridique des titres. Cependant, le responsable du traitement n’a accédé à aucune de ces demandes. Dans le cadre de ce qui précède, la personne concernée a déposé une plainte auprès du NAIH. L'enquête a montré que le responsable du traitement a violé les droits du RGPD. Il a donc été condamné à une amende totale de 1 000 000 FT, ce qui équivaut à 3 200 euros.
Les détails de cette affaire peuvent être trouvés dans cette décision.
15. Une banque locale condamnée à une amende pour ne pas avoir donné accès aux enregistrements audio et vidéo
(GDPR Art.)
Le 21 mai 2019, l'Autorité hongroise de protection des données et de liberté d'information a rendu une décision imposant une amende de 2 000 EUR à une banque locale. Le responsable du traitement a violé les articles suivants du RGPD : Art. 12 (3), (4), (5) RGPD, art. 15 RGPD et art. 18 RGPD.
La personne concernée était un client d'une banque locale. Ils ont demandé l’autorisation de visionner des enregistrements d’appels téléphoniques et des images de surveillance. Le contrôleur a fourni à la fois des copies des enregistrements des appels téléphoniques et la possibilité de consulter les enregistrements de vidéosurveillance sur place. Bien que la banque ait autorisé l'accès aux enregistrements sur place, elle a refusé de fournir une copie des documents. Le responsable du traitement a justifié son refus par le fait que l'enregistrement contient des données personnelles de tiers. Il convient de mentionner que cela n'est pas légal, car les données d'autrui peuvent être effacées. Par conséquent, le NAIH a considéré qu’il s’agissait d’une violation de l’art. 15 RGPD. De plus, la banque a également violé l'art. 12 car il n'a pas répondu dans les délais, ainsi que l'art. 18 en violant le droit à la limitation du traitement des données.
Compte tenu de toutes ces infractions, la NAIH a infligé à la banque une amende de 2 000 euros.
Les détails de cette affaire sont disponibles sur ce lien.
16. Une banque locale condamnée à une amende pour ne pas avoir donné accès aux enregistrements audio et vidéo
(GDPR Art.)
L'Autorité nationale hongroise pour la protection des données et la liberté d'information (NAIH) a rendu une décision infligeant une amende de 5 800 euros. L'administrateur a violé l'art. 6 et art. 15 RGPD.
Le personnel de sécurité du bar a agressé la personne concernée, causant des dommages mineurs à sa santé. L'événement a été capté par les caméras installées dans le bâtiment. Par conséquent, la personne concernée a demandé à conserver les enregistrements jusqu'à ce que la police prenne d'autres mesures. Ils ont également demandé accès aux vidéos de surveillance. Cependant, ils n’ont reçu aucune réponse. En outre, la personne concernée a affirmé que les caméras surveillaient illégalement les lieux publics. Au cours de l'enquête, l'administrateur a constaté que les enregistrements avaient été bloqués. La vérité est qu’il n’en a informé personne. Comme l'administrateur n'a reçu aucune demande de la part de la police ou de la personne concernée pour poursuivre la procédure, il a supprimé les enregistrements précédemment bloqués. L'administrateur a supprimé les enregistrements au bout de trente jours, conformément à la réglementation en vigueur à l'époque. Il a informé la personne concernée de ce fait.
L'administrateur a également justifié que les caméras surveillent l'entrée du bâtiment et que certaines parties de l'espace public ne sont pas entièrement visibles.
Au cours de l'enquête, le NAIH a considéré comme une circonstance atténuante le fait que, pendant la période en question, il existait encore des règles non conformes au règlement général sur la protection des données et que l'administrateur n'ait jamais été sanctionné pour violation du RGPD auparavant. .
Finalement, la NAIH a infligé une amende de 5 800 EUR pour avoir enfreint :
- Art. 15 du RGPD : L'administrateur n'a pas mis les enregistrements à la disposition de la personne concernée.
- Art. 6 du RGPD : L'administrateur n'a pas pu démontrer que le traitement des données est licite.
Vous pouvez trouver plus d’informations à ce sujet ici.
17. Une petite amende infligée à l'association des propriétaires en Espagne
(GDPR Art.)
Par décision de la DPA espagnole (AEPD) du 3 décembre 2022, une association de propriétaires a été condamnée à une amende de 300 euros pour violation des droits liés au RGPD. Le responsable du traitement a violé l'article 5 (1) c) du RGPD concernant la minimisation des données.
En mai 2022, la Direction générale du contrôle des données (SGID) a reçu un courrier. La personne concernée a déclaré qu'une caméra de vidéosurveillance a été installée dans les parties communes de l'immeuble où elle habite par le président de cette communauté. L'individu a également ajouté que la surveillance n'est pas correctement marquée.
L'enquête a montré que la vidéosurveillance couvre un espace public. En outre, bien qu'une affiche d'information sur la surveillance ait été placée, elle ne comprenait pas d'informations sur le responsable du traitement et sur la méthode d'exercice des droits en vertu du RGPD applicable. L'autorité espagnole de protection des données a considéré qu'il s'agissait d'une violation du principe de minimisation des données. En conséquence, compte tenu de toutes les circonstances, elle a infligé une amende de 300 euros. En outre, le responsable du traitement a été obligé de modifier l'affiche d'information et de fournir à l'APD des preuves à cet égard.
De plus amples informations peuvent être trouvées dans la décision initiale. Le lien est ici.
Conclusions
Puisque notre équipe dispose de connaissances et de ressources limitées, il a été impossible de couvrir toutes les amendes liées à la surveillance CCTV qui ont été imposées au cours des dernières années. Il s’agit peut-être de quelques exemples représentatifs, et il en existe bien d’autres. Nous continuerons de suivre les derniers développements et d’élargir le rapport au fur et à mesure que le temps passe et que de nouveaux cas de violations apparaissent.
Il convient de garder à l’esprit que les régulateurs se sont intéressés relativement récemment à la protection de l’image des personnes enregistrées sur des supports visuels dans le cadre du traitement de données personnelles.
Nous devrions nous attendre à une évolution de la législation vers une protection de plus en plus grande des droits des individus, accordant des pouvoirs supplémentaires aux entités de traitement et des poursuites de plus en plus sévères en cas d'infraction.
On peut s’attendre à ce que le nombre et la sévérité des sanctions ne fassent qu’augmenter dans les années à venir. Fini le « statu quo » pour les opérateurs de vidéosurveillance.