La vidéosurveillance fait désormais partie du quotidien - des caméras installées dans les magasins et les centres commerciaux aux systèmes de contrôle d’accès, en passant par les dashcams et les réseaux urbains intelligents. Bien que la technologie soit largement similaire à travers le monde, les règles juridiques qui régissent la vidéosurveillance varient considérablement. Les grandes lois sur la protection des données, telles que le RGPD européen, le UK GDPR, le CCPA/CPRA en Californie, la LGPD au Brésil et la POPIA en Afrique du Sud, considèrent les images vidéo comme des données personnelles lorsque les individus sont identifiables [1][6][7][8]. Cette analyse explique comment ces cadres réglementaires encadrent la vidéosurveillance et quelles obligations s’imposent aux responsables du traitement. Ce texte est informatif et ne constitue pas un avis juridique.
Toutes les lois modernes sur la protection des données reposent sur la même idée : si une personne peut être identifiée à partir d’un enregistrement, celui-ci constitue des données personnelles.
Le RGPD définit les données personnelles comme toute information concernant une personne physique identifiée ou identifiable, ce qui inclut les images permettant d’identifier quelqu’un [1]. Le UK GDPR suit la même approche. Le régulateur britannique ICO indique que la plupart des images issues de caméras CCTV ou de caméras-piétons constituent des données personnelles lorsqu’une personne peut y être reconnue [2][3]. Des définitions similaires apparaissent dans la LGPD brésilienne et la POPIA sud-africaine [7][8].
Les usages les plus courants incluent les caméras fixes dans les magasins et centres commerciaux, la reconnaissance automatique des plaques d’immatriculation (ANPR/LPR), les interphones vidéo, les systèmes de contrôle d’accès, les caméras embarquées pour les agents de sécurité et les réseaux urbains intelligents. Même lorsqu’elle sert principalement à assurer la sécurité, la vidéosurveillance est considérée par les autorités comme un traitement de données nécessitant proportionnalité, transparence et gestion des droits des personnes.
Le RGPD et son équivalent britannique sont les cadres réglementaires les plus détaillés en matière de vidéosurveillance. Les autorités européennes publient des lignes directrices complètes sur le sujet.
Les responsables du traitement doivent déterminer une base légale, telle que l’intérêt légitime lié à la prévention des vols, la sécurité, le respect d’une obligation légale ou, plus rarement, le consentement [1]. Le consentement est rarement jugé valide pour une surveillance continue dans des lieux publics.
L’article 35 du RGPD impose une analyse d’impact (DPIA) pour les traitements susceptibles d’entraîner un risque élevé, notamment la surveillance systématique de zones accessibles au public [1].
L’ICO exige une signalisation claire, un avis de confidentialité accessible et des procédures pour traiter les demandes d’accès, d’opposition et d’effacement [2][3].
Le CCPA et le CPRA régulent les vidéos lorsqu’elles peuvent être associées à un consommateur ou à un foyer [4][5].
Le CCPA définit largement les données personnelles, y compris les images montrant des visages, silhouettes ou plaques d’immatriculation [4]. Le CPRA accorde une attention particulière aux « informations personnelles sensibles », telles que la géolocalisation ou les identifiants biométriques [5].
Les entreprises doivent divulguer les catégories de données collectées et les finalités, y compris la vidéosurveillance. Lorsque des enregistrements sont partagés avec des prestataires, cela doit être documenté [4][5].
Les consommateurs disposent de droits d’accès et de suppression. Pour les enregistrements, il est souvent nécessaire de flouter les tiers avant divulgation [4][5].
La LGPD brésilienne et la POPIA sud-africaine étendent l’approche de type RGPD à deux grandes juridictions.
La LGPD s’applique à tout traitement de données au Brésil ou concernant des personnes situées au Brésil [7]. Des rapports d’impact similaires à une DPIA peuvent être exigés pour les systèmes de vidéosurveillance étendus.
Les images CCTV sont soumises aux « conditions for lawful processing » de la POPIA, notamment la spécification des finalités, la transparence, la sécurité et la participation des personnes concernées [8][9].
Les régulateurs adoptent de plus en plus des stratégies d’application inspirées du RGPD [7][8][9].
Malgré des approches variées, les réglementations mondiales présentent de nombreuses convergences lorsqu’il s’agit de vidéosurveillance.
Toutes les lois exigent une justification claire des finalités et de la nécessité [1][7][8]. Le CCPA/CPRA met l’accent sur la transparence et non sur des bases légales strictes [4][5].
Les droits d’accès existent dans le RGPD, la LGPD et la POPIA, et de manière fonctionnelle dans le CCPA/CPRA. Ils nécessitent souvent de flouter les tiers [1][4][7][8].
Le RGPD et la LGPD jugent le consentement des employés rarement valable, POPIA exige proportionnalité et équité [1][7][8]. En Californie, le CPRA étend les droits des employés [5].
La mise en œuvre pratique est souvent plus difficile que l’interprétation des textes.
Les autorités exigent un inventaire complet des caméras, des finalités, des délais de conservation et des accès [1][7][8].
Les autorités telles que l’ICO et l’EDPB exigent le masquage des tiers [2][3]. Les organisations utilisent souvent des outils comme Gallio PRO, qui automatisent le floutage des visages, plaques et objets sensibles.
Les régulateurs exigent des politiques formalisées, des journaux d’accès, des DPIA ou rapports d’impact et des audits réguliers [1][2][7][8].
Dans la plupart des cas oui, si les personnes sont identifiables.
Généralement non - l’intérêt légitime est plus courant.
Il n’existe pas de norme mondiale ; la conservation doit être justifiée.
Oui, généralement sous réserve de floutage des tiers.
Oui, en particulier la reconnaissance faciale et l’analyse émotionnelle.
