Article 15 RGPD et Surveillance Vidéo - obligation de partager les enregistrements
Nous avions l’habitude de considérer les données personnelles comme des numéros d’identification personnels, des dates de naissance, des dossiers médicaux et des entrées dans divers types de documents. Mais force est de constater que tout ce qui permet à quiconque de les identifier et de les associer à une autre information est considéré comme une donnée personnelle. Les images d’individus enregistrés sur du matériel vidéo ou photo ne sont pas différentes. Cela crée de profondes implications juridiques pour toute personne effectuant une surveillance visuelle ou prenant, collectant et stockant des photos.
Les entités concernées sont toutes sortes d'opérateurs de vidéosurveillance, parmi lesquels des sociétés de sécurité, des opérateurs de chemins de fer, de parkings et d'installations médicales et bien d'autres. De même, les entreprises SIG (Systèmes d'Information Géographique), les entreprises de construction et les instituts de recherche collectent de grandes quantités de photos à des fins de documentation dans leurs projets. Ils respectent tous le même régime de confidentialité et de protection des données personnelles, comme c'est le cas pour les données non visuelles. Et si les données sont collectées pour des raisons commerciales et à l’échelle industrielle, les obligations deviennent plus strictes, avec éventuellement des amendes et des pénalités bien plus élevées en cas de contrefaçon. Tous vos systèmes, processus et moyens doivent être en place pour la sécurité, l'accès et le partage licite des données personnelles.
Droits de la personne concernée en vertu de l'article 15 du RGPD
L'article 15 du Règlement Général sur la Protection des Données garantit le droit d'accès aux informations traitées à toutes les personnes concernées. Cela signifie que non seulement les bureaux autorisés, les organismes gouvernementaux et les organismes chargés de l'application des lois, comme la police, peuvent demander des photos ou des enregistrements. Toute personne ayant été capturée sur photo ou vidéo peut demander une copie du matériel où elle a été capturée. Si votre organisation collecte des données personnelles sous quelque forme que ce soit, vous pouvez rencontrer une situation où quelqu'un demande leur divulgation. Quelle devrait être votre réponse ?
Tout d'abord, chaque personne a le droit de demander à l'administrateur des données personnelles de confirmer si ses données sont traitées. Si tel est effectivement le cas, en vertu des dispositions du RGPD, ils peuvent en exiger l'accès.
« La personne concernée a le droit d'obtenir du responsable du traitement la confirmation du traitement ou non des données à caractère personnel la concernant et, le cas échéant, l'accès aux données à caractère personnel […] »
Art. 15 RGPD: Droit d'accès de la personne concernée
Dans une telle situation, vous, en tant qu’administrateur des données personnelles, devez leur fournir les informations suivantes:
- Finalités du traitement des données personnelles
- Catégories de données traitées
- Destinataires des données (notamment dans les pays tiers et les organisations internationales)
- Période prévue de stockage des données (ou critères pour sa détermination)
- Les droits de la personne concernée (y compris la rectification, la suppression ou la limitation du traitement des données, mais également le dépôt d'une réclamation)
- Source des données personnelles (sauf si elles ont été collectées directement auprès de la personne concernée)
- Informations sur les processus décisionnels automatisés (y compris le profilage)
Vos obligations en tant qu'administrateur des données personnelles - fournir des enregistrements et des photos sur demande
Il est très courant que les organisations traitant des données personnelles refusent de fournir des copies, arguant qu'elles ne peuvent le faire qu'à la demande de la police et d'autres organismes et agences autorisés. Ce n’est évidemment pas vrai. Faire de telles réclamations peut aggraver la situation du sous-traitant, qui s'expose donc à des amendes encore plus sévères imposées par les autorités nationales de protection des données.
L'autre motif de refus est la déclaration selon laquelle d'autres personnes que la personne concernée figurent sur la photo ou l'enregistrement. Bien entendu, il est crucial que lorsque vous fournissez des données personnelles traitées, vous respectiez également les droits des autres personnes auxquelles les informations se rapportent. Le droit d'obtenir une copie ne doit pas avoir de conséquence négative sur les droits d'autrui. Cela signifie que vous ne pouvez pas révéler leur identité si d’autres personnes figurent sur l’enregistrement ou sur la photo.
Ce type de justification pour refuser le droit d’accès est également sans fondement car on peut facilement prendre des mesures pour protéger la vie privée de personnes apparaissant au hasard dans les documents. Dans le passé, la seule façon d’y parvenir était de flouter manuellement les visages et les plaques d’immatriculation, ce qui nécessitait un logiciel approprié et un personnel qualifié. À grande échelle, cette méthode serait coûteuse et inefficace. Grâce aux progrès technologiques, il est aujourd’hui possible d’utiliser des solutions telles que des logiciels d’anonymisation automatisée des visages et des plaques d’immatriculation, qui sont largement disponibles et rentables.
En résumé, en théorie, l'administrateur a le droit de refuser de délivrer une copie des données uniquement dans le cas des scénarios suivants:
- Infondé évident ou caractère excessif de la demande
- Soumettre une candidature sous une forme différente de celle imposée par la réglementation sur la protection des données
- La menace réelle pour les droits d’autrui
En pratique, il est très difficile (voire impossible) de prouver l’une ou l’autre des conditions mentionnées ci-dessus.
Quelle est la sanction en cas de non-respect?
Alors que la surveillance vidéo et la collecte de photos à l’échelle industrielle sont répandues, les régulateurs prennent également conscience des défis liés à la confidentialité. D’un autre côté, les citoyens et les consommateurs sont également mieux informés de leurs droits. En raison du fait que les plaintes et les amendes pour refus de fournir des documents sur demande à la personne concernée - ce qui était une exception rare il y a encore quelques années - sont aujourd'hui plus fréquentes et la tendance est à la hausse.
Ci-dessous, nous mentionnons quelques-unes des amendes récentes qui montrent l’importance de ce problème:
- En 2020, le propriétaire d’un magasin local en Hongrie a nié avoir remis du matériel vidéo provenant d’une surveillance CCTV. L'organisme national de protection des données a estimé qu'il s'agissait d'une violation flagrante de l'art. 15 du RGPD et lui a infligé une amende de 54 800 EUR.
- En 2022, une entreprise énergétique croate qui exploite des stations-service a été condamnée à une amende de 124 000 EUR pour une infraction similaire.
- En Irlande, la ville et le comté de Limerick ont été sanctionnés d'une amende de 110 000 EUR pour plusieurs manquements et négligences dans le domaine de la surveillance CCTV. La DPA irlandaise a fait référence dans la décision, entre autres, à l'article 15 du RGPD. La même année, la DPA espagnole a condamné Mercadona S.A., une chaîne de supermarchés, à une amende de 170 000 EUR, pour avoir refusé à ses clients l'accès aux enregistrements de vidéosurveillance. La personne concernée a été victime d'un accident et a demandé à fournir des enregistrements sur demande.
Souhaitez-vous en savoir plus sur les récentes amendes pour violation de l'art. 15 du RGPD en matière de surveillance visuelle ? Restez à l'écoute; nous publierons bientôt un article séparé.
Laissez votre email pour être parmi les premiers à recevoir le rapport !