Vidéosurveillance dans les cabinets médicaux et les centres de santé : guide pratique RGPD pour l’accueil et le personnel administratif

L’anonymisation des données visuelles consiste à préparer des photos et des enregistrements vidéo de manière à ce que les personnes visibles dans le cadre ne puissent pas être identifiées sans efforts disproportionnés. Dans la pratique d’un centre médical, cela signifie le plus souvent le floutage des visages et, dans certains cas, le floutage des plaques d’immatriculation si l’image montre un parking ou une zone de dépose-minute. Pour l’accueil et le personnel administratif, ce n’est pas un sujet purement technique. C’est une question d’organisation quotidienne du travail autour de la vidéosurveillance dans la salle d’attente, à la réception et parfois à l’entrée des cabinets.

Dans un établissement de santé, les images de vidéosurveillance contiennent très souvent des données à caractère personnel. Le seul visage d’un patient, d’un accompagnant ou d’un membre du personnel permet généralement une identification. C’est pourquoi la publication d’une photo ou la communication d’un enregistrement nécessite une évaluation distincte de la finalité, de l’étendue et des mesures de protection du support, conformément aux principes du RGPD [1]. Cette approche opérationnelle est plus importante qu’une formule générale selon laquelle la vidéosurveillance existerait « pour la sécurité ».

Vidéosurveillance dans un centre médical et RGPD : ce qui est autorisé dans la salle d’attente, à l’accueil et à l’entrée du cabinet

Le modèle le plus courant dans les établissements médicaux est similaire. La caméra couvre l’entrée, la salle d’attente, le couloir ou le poste d’accueil. Une telle vidéosurveillance peut être justifiée par la sécurité des patients, la protection des biens ou la nécessité d’éclaircir un incident. Toutefois, le simple fait que le dispositif soit licite en tant qu’outil d’organisation ne signifie pas que l’enregistrement puisse ensuite être librement montré ou publié.

En pratique, il est utile de distinguer trois situations. Premièrement, l’enregistrement courant des images à des fins de sécurité. Deuxièmement, le visionnage de l’enregistrement après un incident. Troisièmement, la transmission du fichier à un patient, à la police, à un avocat ou la publication d’un extrait. Chacune de ces étapes exige une évaluation spécifique au regard de la minimisation des données et du risque d’atteinte à la vie privée [1][2].

Dans la salle d’attente, le risque est généralement élevé, car une seule image peut montrer de nombreuses personnes. À l’accueil, le problème est encore plus concret, puisque la caméra peut capter les visages, le comportement du patient et le poste de travail. À proximité du cabinet, une prudence particulière s’impose, car le seul contexte du lieu peut révéler des informations sur l’état de santé ou le type de prise en charge. C’est précisément pour cette raison que de nombreuses organisations adoptent une approche de précaution : si l’enregistrement doit sortir du circuit fermé de gestion d’incident, les visages des personnes autres que le destinataire légitime doivent être floutés.

Comment signaler la vidéosurveillance dans un établissement de santé

La signalisation de la vidéosurveillance ne devrait pas se limiter à une simple icône de caméra. Les bonnes pratiques de conformité prévoient une information brève à l’entrée ainsi qu’une notice d’information plus complète, facilement accessible au patient, par exemple à l’accueil ou sur le site de l’établissement. D’un point de vue opérationnel, le personnel d’accueil devrait pouvoir répondre au moins à quatre questions : qui est le responsable du traitement, quelle est la finalité de la vidéosurveillance, quelle zone est couverte par les caméras et pendant combien de temps les enregistrements sont-ils conservés [1].

Dans un établissement de santé, cette signalisation a aussi une utilité pratique. Un patient qui sait que la caméra couvre la salle d’attente sera moins surpris de l’existence d’un enregistrement, et le personnel gérera plus facilement une demande ultérieure d’accès aux images. Cela ne dispense toutefois pas de limiter le champ de vision de la caméra. Si une caméra placée à l’accueil filme plus que nécessaire, la simple présence d’un panneau ne résout pas le problème de collecte excessive.

Quand faut-il anonymiser les visages sur les photos et les enregistrements

L’image d’une personne dans un centre médical doit en principe être protégée. En pratique, la nécessité d’anonymiser les visages avant publication ou diffusion plus large peut découler du RGPD, mais aussi de la protection des droits de la personnalité et des règles relatives à la diffusion de l’image issues du droit civil et du droit d’auteur. En droit d’auteur, certaines exceptions à l’obligation d’obtenir une autorisation existent, notamment lorsqu’il s’agit d’une personne connue photographiée dans l’exercice de fonctions publiques, lorsque la personne a reçu une rémunération convenue pour poser, ou encore lorsque son image n’est qu’un élément accessoire d’un ensemble tel qu’un rassemblement, un paysage ou un événement public.

Dans le contexte d’un centre médical, ces exceptions sont généralement d’application limitée. Un patient dans une salle d’attente ne constitue pas un élément d’un événement public. Une personne à l’accueil n’apparaît en principe pas comme personnalité publique dans l’exercice de fonctions publiques. Quant à la rémunération pour l’utilisation de l’image, elle reste exceptionnelle. C’est pourquoi, pour les contenus provenant d’un établissement de santé, il est plus prudent, du point de vue organisationnel, de partir du principe qu’un visage visible sur une photo ou une vidéo doit être flouté avant publication, sauf à pouvoir démontrer une base juridique solide autorisant sa divulgation.

Lorsque l’objectif est de remettre un enregistrement à un patient après un incident, les établissements appliquent souvent le principe de communication sélective. Cela signifie qu’ils préparent une copie dans laquelle les visages des autres personnes visibles dans le cadre sont floutés, afin que le demandeur ne reçoive pas plus de données que nécessaire [1][2].

Plaques d’immatriculation près d’un centre médical : faut-il les flouter ?

Le floutage des plaques d’immatriculation reste, en France comme dans d’autres pays européens, un sujet moins clair que le floutage des visages. D’un côté, une approche de précaution peut être justifiée par la pratique des autorités de protection des données et par la jurisprudence européenne, notamment lorsqu’un numéro d’immatriculation peut être facilement relié à une personne précise. De l’autre, certaines décisions montrent qu’une plaque d’immatriculation ne constitue pas toujours, à elle seule, une donnée à caractère personnel. Il n’est toutefois pas possible d’affirmer de manière catégorique que les plaques d’immatriculation ne sont jamais des données personnelles.

Pour un centre médical, la conclusion pratique est simple. Si une vidéo extérieure doit être transmise à un tiers ou publiée, il est judicieux d’envisager le floutage des plaques, en particulier lorsque le contenu peut être associé à une visite dans un établissement de santé déterminé. Dans un tel contexte, le risque d’identification augmente.

Comment traiter la demande d’un patient concernant un enregistrement de vidéosurveillance

Le personnel d’accueil n’a pas besoin d’une théorie complexe, mais d’une procédure claire. Dans la pratique, cinq étapes fonctionnent généralement bien :

• déterminer la date, l’heure et le lieu de l’événement ;
• vérifier si l’enregistrement existe encore pendant la durée de conservation ;
• évaluer si d’autres personnes apparaissent sur les images ;
• préparer une copie de travail avec anonymisation des visages de ces personnes ;
• documenter ce qui a été transmis et à qui.

Ce modèle soutient le principe de minimisation prévu à l’article 5 du RGPD [1].

Il est également utile de distinguer l’« accès aux données » de l’attente selon laquelle le patient recevrait le fichier brut sans modification. Dans un établissement de santé, cela sera très souvent inadapté, car l’image montre aussi d’autres patients et des membres du personnel. C’est pourquoi une pratique fréquente consiste à remettre une version limitée au strict nécessaire ou à permettre une consultation dans des conditions contrôlées, si cela protège mieux les droits des autres personnes. Le modèle concret dépendra des circonstances du dossier [1][2].

Floutage des visages et logiciel on-premise dans le travail quotidien d’un établissement

Lorsqu’un centre médical traite régulièrement des enregistrements de vidéosurveillance, la préparation manuelle de chaque fichier devient vite une charge organisationnelle. C’est là qu’interviennent les outils d’anonymisation des données visuelles. Gallio PRO est un logiciel on-premise utilisé pour anonymiser les données visuelles, ce qui est particulièrement important pour les structures qui souhaitent traiter les fichiers localement, sans les envoyer vers des services cloud externes.

Il faut toutefois décrire précisément les capacités d’un tel outil. Gallio PRO ne floute pas les silhouettes entières, mais uniquement les visages et les plaques d’immatriculation. Le logiciel n’effectue pas d’anonymisation en temps réel ni d’anonymisation de flux vidéo. La détection automatique couvre exclusivement les visages et les plaques d’immatriculation. Elle ne prend pas automatiquement en charge les logos d’entreprise, les tatouages, les badges nominatifs, les documents ni le contenu affiché sur les écrans d’ordinateur. Ces éléments peuvent en revanche être masqués manuellement dans l’éditeur intégré au logiciel.

C’est un point important pour le responsable administratif comme pour l’accueil. Si une caméra placée près du poste de travail capte l’écran d’un ordinateur ou le badge d’un salarié, l’automatisation seule ne suffit pas. Une étape simple de vérification manuelle du contenu reste nécessaire avant toute communication à un tiers. Ce flux de travail peut être testé gratuitement en téléchargeant la version de démonstration et en vérifiant concrètement comment préparer une copie d’un enregistrement provenant d’une salle d’attente ou d’une réception.

Absence de logs contenant les données de détection : pourquoi c’est important

Dans un établissement de santé, il est important non seulement de savoir ce qui sera flouté, mais aussi quelles données subsistent après le processus d’anonymisation lui-même. Selon les informations communiquées, Gallio PRO ne collecte pas de logs contenant les détections de visages et de plaques d’immatriculation. Le logiciel ne collecte pas non plus de journaux contenant des données à caractère personnel ni des catégories particulières de données.

Du point de vue de la conformité, il s’agit d’un avantage organisationnel précieux. Cela réduit le nombre d’artefacts supplémentaires qu’il faudrait ensuite protéger, documenter et supprimer. Bien entendu, cela ne dispense pas l’établissement d’évaluer l’ensemble du processus, mais cela soutient le principe de limitation des données au minimum nécessaire [1]. Dans les déploiements plus importants, notamment lorsqu’une intégration à l’infrastructure locale ou des exigences de sécurité spécifiques sont nécessaires, il est préférable de contacter l’équipe afin de définir le modèle de déploiement on-premise adapté.

Tableau : que faire des enregistrements dans les zones typiques d’un centre médical

Les erreurs les plus fréquentes dans les établissements de santé

La première erreur consiste à traiter chaque enregistrement de vidéosurveillance comme un contenu « interne » pouvant ensuite être facilement transmis. La deuxième est un cadrage trop large de la caméra à l’accueil. La troisième est l’absence de procédure pour les demandes des patients. La quatrième est de penser que si le visage d’une personne est flouté, le reste de l’image n’a plus d’importance. Or, d’autres identifiants visuels peuvent subsister et nécessiter une retouche manuelle. La cinquième erreur consiste à confondre un outil d’anonymisation avec un système fonctionnant en direct. Il convient de le rappeler : Gallio PRO n’effectue pas d’anonymisation en temps réel et n’anonymise pas les flux vidéo.

Ce qu’il vaut la peine de mettre en place comme standard opérationnel

Pour l’accueil et le personnel administratif, la solution la plus efficace reste un standard simple. Chaque enregistrement de vidéosurveillance doit être évalué avant toute transmission. Si la vidéo contient des tiers, une copie de travail avec floutage des visages est préparée. Si des plaques d’immatriculation sont visibles, l’établissement peut envisager leur floutage comme mesure de précaution. Si le cadre contient des identifiants non détectés automatiquement, une édition manuelle est appliquée. L’ensemble devrait être décrit dans une procédure courte et compréhensible, y compris pour du personnel sans formation juridique.

FAQ - vidéosurveillance dans les cabinets médicaux et les centres de santé

Un centre médical peut-il installer une vidéosurveillance dans la salle d’attente ?

En principe oui, à condition d’avoir une finalité définie et de respecter les obligations d’information. Toutefois, l’existence même du dispositif ne signifie pas qu’il soit librement possible de publier les enregistrements. Toute utilisation ultérieure du contenu doit faire l’objet d’une évaluation distincte au regard du RGPD [1].

Un patient peut-il demander une copie d’un enregistrement de l’accueil ?

Le patient peut formuler une demande relative à ses données, mais l’établissement doit généralement aussi tenir compte des droits des autres personnes visibles sur les images. En pratique, cela signifie souvent la remise d’une version avec anonymisation des visages des autres personnes, ou une autre forme d’accès limité [1][2].

Faut-il flouter les visages sur un enregistrement de la salle d’attente ?

Dans la majorité des cas, oui, si l’enregistrement doit être communiqué à un tiers ou publié. Dans un établissement de santé, le visage d’un patient permet très souvent une identification et doit être protégé [1].

Faut-il flouter les plaques d’immatriculation près d’un centre médical ?

La réponse n’est pas totalement univoque. Une approche de précaution est toutefois souvent justifiée, notamment lorsque l’enregistrement peut être relié à une visite dans un établissement de santé. On ne peut pas non plus considérer que les plaques d’immatriculation ne constituent jamais des données à caractère personnel.

Gallio PRO floute-t-il l’intégralité de la personne ?

Non. Gallio PRO floute automatiquement uniquement les visages et les plaques d’immatriculation. Il ne floute pas les silhouettes entières.

Gallio PRO détecte-t-il automatiquement les documents, les tatouages et les écrans d’ordinateur ?

Non. La détection automatique couvre exclusivement les visages et les plaques d’immatriculation. Les documents, tatouages, logos, badges nominatifs et contenus visibles sur les écrans nécessitent un masquage manuel dans l’éditeur.

Le logiciel enregistre-t-il des logs contenant les données de détection ?

Non. Conformément aux informations communiquées, Gallio PRO ne collecte pas de logs contenant les détections de visages et de plaques d’immatriculation et ne collecte pas non plus de logs contenant des données à caractère personnel ni des catégories particulières de données.