Qu’est-ce que l’exportation d’enregistrements au regard du RGPD ?

Exportation d’enregistrements et RGPD - définition

L’exportation d’enregistrements au regard du RGPD désigne l’ensemble des exigences juridiques et organisationnelles applicables lorsque des vidéos ou des photos contenant des données personnelles sont transférées en dehors de l’Espace économique européen (EEE). En pratique, cela couvre le transfert de fichiers, de copies de travail, de sauvegardes, de contenus destinés à l’analyse, de jeux de données d’entraînement pour des modèles d’IA ou encore l’accès à distance à un système, dès lors que le destinataire ou l’infrastructure de traitement se situe hors de l’EEE.

Dans le contexte de l’image et de la vidéo, les données personnelles comprennent avant tout l’image du visage et, selon le contexte d’identification, les plaques d’immatriculation. Le cadre juridique repose sur l’article 4, point 1, et les articles 44 à 49 du Règlement (UE) 2016/679, c’est-à-dire le RGPD, ainsi que sur la jurisprudence de la Cour de justice de l’Union européenne, notamment l’arrêt C-311/18 du 16 juillet 2020, connu sous le nom de Schrems II. Le transfert n’est autorisé que si le responsable du traitement garantit un niveau de protection adéquat dans le pays tiers ou met en place un mécanisme prévu au chapitre V du RGPD.

Pour les contenus vidéo, la distinction entre anonymisation et pseudonymisation est essentielle. Si un visage ou une plaque d’immatriculation a été flouté de manière réversible, et que le responsable du traitement conserve la version source ou la clé permettant d’annuler cette opération, il s’agit toujours de données personnelles. En revanche, si l’identification d’une personne devient irréversiblement impossible au moyen de procédés raisonnablement susceptibles d’être utilisés, le contenu peut cesser d’entrer dans le champ d’application du RGPD. Cette position découle du considérant 26 du RGPD ainsi que de l’Avis 05/2014 du Groupe de travail « Article 29 » sur les techniques d’anonymisation.

Quand l’exportation d’enregistrements hors de l’EEE constitue un transfert de données personnelles

Toute exportation de fichier au sens technique n’est pas juridiquement neutre. Pour le RGPD, ce qui importe n’est pas le nom de l’opération, mais le fait qu’un destinataire situé hors de l’EEE obtienne l’accès à des données personnelles ou la possibilité de les traiter. Cela concerne également les environnements cloud, les services de support, les outils d’annotation de données et les sous-traitants entraînant des modèles de détection.

Sont généralement considérées comme un transfert hors de l’EEE les situations suivantes :

• l’envoi d’un enregistrement à une entité établie en dehors de l’EEE,
• le stockage d’un enregistrement sur une infrastructure localisée hors de l’EEE,
• l’accès à distance d’un responsable du traitement, d’un sous-traitant ou d’un autre destinataire situé hors de l’EEE à un contenu hébergé dans l’EEE,
• la mise à disposition d’un ensemble de photos ou d’images extraites d’une vidéo pour entraîner ou tester un modèle d’IA en dehors de l’EEE,
• la réplication de sauvegardes vers un centre de données situé hors de l’EEE.

Le Comité européen de la protection des données, dans ses Lignes directrices 05/2021, retient une interprétation large de la notion de transfert. En pratique, cela signifie que le simple fait de donner accès à des enregistrements depuis un pays tiers peut déclencher les obligations prévues aux articles 44 à 49 du RGPD.

Mécanismes permettant de légaliser le transfert d’enregistrements hors de l’EEE

Si une vidéo ou une photo contient des personnes identifiables, le responsable du traitement doit d’abord déterminer si le transfert est réellement nécessaire. Ce n’est qu’ensuite qu’il convient de choisir le mécanisme juridique approprié. Le RGPD prévoit une hiérarchie des solutions.

Depuis l’arrêt Schrems II, la seule signature de clauses contractuelles types peut se révéler insuffisante. Il est souvent nécessaire de réaliser une évaluation de l’incidence du transfert sur la protection des données, afin de déterminer si le droit du pays importateur ne compromet pas la protection garantie par ces clauses. Cette approche est confirmée par les Recommandations 01/2020 du CEPD, mises à jour le 18 juin 2021.

Quand l’anonymisation des enregistrements est nécessaire ou pratiquement indispensable

Dans le cas des photos et des vidéos, l’anonymisation des données constitue la solution la plus sûre lorsque le responsable du traitement souhaite réduire le risque lié au transfert ou exclure totalement le contenu du champ d’application du chapitre V du RGPD. Encore faut-il que le procédé soit techniquement efficace et irréversible.

L’anonymisation devient particulièrement importante lorsque :

• les enregistrements doivent être transmis à un prestataire hors de l’EEE pour analyse, montage ou archivage,
• le contenu doit servir à entraîner des modèles d’IA détectant les visages ou les plaques d’immatriculation,
• le responsable du traitement n’est pas en mesure de démontrer l’efficacité de mesures complémentaires pour le transfert,
• la finalité du traitement ne nécessite pas de conserver une image identifiable de la personne.

En pratique, cela implique de flouter les visages et, selon le contexte ainsi que la finalité de publication ou de partage, de flouter les plaques d’immatriculation. Dans de nombreux pays européens, les plaques d’immatriculation sont considérées au minimum comme des informations pouvant conduire à une identification indirecte, même si l’appréciation dépend des circonstances. En Pologne également, la situation n’est pas totalement univoque : dans la pratique des autorités et dans une partie de la jurisprudence, la possibilité d’une identification indirecte est soulignée, alors que certaines décisions judiciaires ont également estimé qu’une plaque d’immatriculation, à elle seule, ne constitue pas toujours une donnée personnelle.

Aspect technique de l’anonymisation des photos et vidéos avant exportation

Dans les contenus vidéo, une anonymisation efficace exige la détection des objets dans chaque image ainsi que le maintien de la continuité du suivi. En pratique, on utilise des modèles de deep learning pour détecter les visages et les plaques d’immatriculation, puis des algorithmes de suivi afin que la zone de floutage ne disparaisse pas en cas de changement d’angle, d’éclairage ou d’occlusion partielle de l’objet.

La chaîne technique type comprend :

• la détection d’objets - face detection, license plate detection,
• le suivi inter-images - maintien de l’identifiant de l’objet dans le temps,
• la rédaction visuelle - flou, pixellisation ou masque irréversible,
• le contrôle qualité - examen des false negatives, c’est-à-dire des visages ou plaques non détectés,
• l’exportation du fichier final sans conserver de couche permettant d’inverser la rédaction.

Pour la conformité, les métriques de qualité du modèle sont déterminantes. Dans les usages de conformité, le rappel (recall) et le taux de faux négatifs (false negative rate) sont souvent plus importants que la vitesse moyenne. Le rappel peut être exprimé ainsi : recall = TP / (TP + FN), où TP désigne les objets correctement détectés et FN les objets omis. En matière d’anonymisation, le risque réglementaire augmente avec la hausse des FN, car chaque visage non détecté peut entraîner une divulgation de données personnelles. Une précision élevée ne suffit pas si le système omet une partie des objets.

Gallio PRO floute automatiquement uniquement les visages et les plaques d’immatriculation. Il ne détecte pas automatiquement les logos, tatouages, badges nominatifs, documents ni le contenu affiché sur les écrans de moniteurs. Ces éléments peuvent être masqués manuellement dans l’éditeur. Le logiciel ne réalise pas d’anonymisation en temps réel ni d’anonymisation de flux vidéo.

Obligations clés du responsable du traitement lors de l’exportation d’enregistrements

Le simple choix d’un prestataire ou d’un canal de transmission ne clôt pas l’analyse de conformité. Le responsable du traitement doit être en mesure de démontrer sa responsabilité et de documenter ses décisions. Cela est particulièrement important lorsque le contenu concerne la vidéosurveillance, des événements routiers, des enregistrements réalisés sur le lieu de travail ou des photos de tiers.

L’ensemble minimal des actions à mener comprend généralement :

• la définition de la finalité de l’exportation et de la base juridique du traitement au titre de l’article 6 du RGPD,
• la vérification que le contenu comporte des données personnelles et que l’anonymisation avant transfert est possible,
• le choix du mécanisme de transfert prévu aux articles 45 à 49 du RGPD,
• l’évaluation des risques et, si nécessaire, la réalisation d’une AIPD conformément à l’article 35 du RGPD,
• la conclusion d’un contrat de sous-traitance conforme à l’article 28 du RGPD,
• la mise en place de mesures de sécurité prévues à l’article 32 du RGPD, notamment le chiffrement et le contrôle d’accès,
• la définition des règles de conservation et de suppression des copies de travail et des sauvegardes.

Références normatives et pratique interprétative

Pour évaluer l’exportation d’enregistrements, il est utile de s’appuyer sur les sources primaires. Elles offrent une base plus stable que les contenus secondaires ou les pratiques de marché.

• Règlement (UE) 2016/679, en particulier les articles 4, 28, 32, 35, 44 à 49 ainsi que le considérant 26 - Parlement européen et Conseil, 27 avril 2016.
• Arrêt de la CJUE C-311/18, Data Protection Commissioner contre Facebook Ireland et Maximillian Schrems - 16 juillet 2020.
• CEPD, Lignes directrices 05/2021 sur l’interaction entre l’article 3 et les dispositions relatives aux transferts internationaux de données - version adoptée le 14 février 2023.
• CEPD, Recommandations 01/2020 sur les mesures complétant les outils de transfert - version 2.0 du 18 juin 2021.
• Groupe de travail « Article 29 », Avis 05/2014 sur les techniques d’anonymisation - 10 avril 2014.