Notification d’une violation de données vidéo (art. 33 du RGPD) : définition
La notification d’une violation de données vidéo est une information formelle adressée à l’autorité de contrôle en cas de violation de données à caractère personnel, lorsque l’incident concerne des photos ou des vidéos et qu’il est susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Dans l’Union européenne, la base juridique est l’article 33 du règlement (UE) 2016/679, c’est-à-dire le RGPD. En France, la notification est adressée à la CNIL.
Dans le contexte des images et des enregistrements, il s’agit avant tout de situations dans lesquelles la confidentialité, la disponibilité ou l’intégrité de contenus permettant de reconnaître des personnes a été compromise. Cela concerne par exemple des enregistrements de vidéosurveillance, de la documentation vidéo d’inspection, des photos de travail, des éléments de preuve visuels ou des archives multimédias avant anonymisation. Si des visages, des plaques d’immatriculation ou d’autres éléments permettant d’identifier indirectement une personne sont visibles dans l’image, le contenu peut constituer une donnée à caractère personnel. L’analyse ne s’arrête donc pas au simple fait qu’un fichier ait fuité. Le point essentiel est de savoir si une personne peut être identifiée par des moyens raisonnablement susceptibles d’être utilisés, conformément au considérant 26 du RGPD.
L’article 33, paragraphe 1, du RGPD impose de notifier la violation « dans les meilleurs délais », et si possible 72 heures au plus tard après en avoir pris connaissance, sauf s’il est peu probable qu’elle engendre un risque pour les droits et libertés des personnes physiques. Une fuite ne signifie pas automatiquement qu’il faut informer les personnes concernées. Il s’agit d’une obligation distincte prévue à l’article 34 du RGPD, qui s’applique en cas de risque élevé.
Quand une fuite de vidéos ou de photos impose une notification à la CNIL
En pratique, dans une démarche de conformité, la difficulté principale consiste à distinguer un incident technique d’une violation de données personnelles nécessitant une notification. Pour les contenus visuels, il faut examiner non seulement l’origine de l’incident, mais aussi le contenu de l’image, le degré d’identifiabilité et la possibilité d’une réutilisation des données.
L’obligation de notification à la CNIL naît en principe lorsque deux éléments sont réunis : une violation de données personnelles s’est produite, et il existe au minimum un risque pour les droits et libertés des personnes physiques. Parmi les situations typiques :
- divulgation non autorisée d’enregistrements non anonymisés où les visages sont visibles,
- envoi de photos ou de fichiers vidéo au mauvais destinataire,
- vol d’un support contenant une archive multimédia,
- attaque par ransomware visant un dépôt de contenus photo et vidéo,
- publication erronée d’un contenu dans lequel les visages ou les plaques d’immatriculation n’ont pas été floutés,
- perte de contrôle sur des copies de travail exportées pour un traitement externe.
Si le contenu avait été anonymisé de manière effective avant l’incident, le risque peut être sensiblement réduit, voire inexistant. Cela ne vaut toutefois que si l’anonymisation est irréversible selon un modèle de menace raisonnablement probable. Un simple floutage partiel de mauvaise qualité ou un masquage défectueux ne produit pas automatiquement cet effet.
Délai de 72 heures et moment de la constatation de la violation
Le délai prévu par l’article 33 du RGPD court à partir du moment où la violation est constatée, et non à partir du moment où l’événement s’est produit. Dans ses lignes directrices sur la notification des violations, le Comité européen de la protection des données indique que le responsable du traitement considère la violation comme constatée lorsqu’il dispose d’un degré suffisant de certitude qu’un incident de sécurité a entraîné une violation de données à caractère personnel.
En pratique, pour les contenus vidéo, il est utile de distinguer trois repères temporels :
Étape | Portée opérationnelle | Portée juridique
|
|---|---|---|
Détection de l’incident | Signalement d’un problème potentiel | Ne déclenche pas toujours le délai |
Confirmation de la violation | Constat qu’il s’agit bien de données personnelles | Le délai de 72 h court le plus souvent à partir de ce moment |
Complément d’analyse | Précision de l’ampleur et des conséquences | Notification par étapes possible conformément à l’article 33, paragraphe 4 |
Si toutes les informations ne sont pas disponibles dans les 72 heures, le responsable du traitement peut effectuer une notification partielle, puis transmettre les éléments manquants ultérieurement sans retard injustifié.
Contenu de la notification d’une violation de données vidéo
Le contenu de la notification découle directement de l’article 33, paragraphe 3, du RGPD. Pour les incidents concernant des photos et des vidéos, il est nécessaire de décrire à la fois les aspects juridiques et techniques. Une formule générale du type « fuite de vidéos » est insuffisante.
La notification doit comprendre au minimum :
- la nature de la violation, par exemple la divulgation non autorisée de fichiers MP4 et JPG comportant des visages visibles,
- les catégories et le nombre approximatif de personnes concernées,
- les catégories et le nombre approximatif d’enregistrements de données à caractère personnel,
- le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact,
- une description des conséquences probables pour les personnes physiques,
- une description des mesures prises ou proposées pour remédier à la violation et en atténuer les effets.
Pour les contenus visuels, il est utile de préciser les paramètres techniques, car ils influencent l’évaluation du risque. Sont notamment pertinents : la résolution, la durée de l’enregistrement, le nombre de caméras, la possibilité de lire les plaques d’immatriculation, la présence de son, la géolocalisation, les métadonnées EXIF, les horodatages, la durée de conservation des copies et le niveau de chiffrement du support.
Évaluation du risque pour les photos et enregistrements avant anonymisation
L’évaluation du risque ne peut pas être abstraite. Une vidéo comporte souvent une charge identificatoire plus forte qu’un simple enregistrement textuel, car elle combine l’image, le contexte du lieu, le temps et la séquence de comportement. Cela vaut en particulier pour les enregistrements réalisés avant le floutage des visages et des plaques d’immatriculation.
Les attributs suivants sont utiles dans l’analyse :
Attribut | Impact sur le risque | Exemple
|
|---|---|---|
Identifiabilité du visage | Une haute résolution augmente le risque de reconnaissance | 4K, gros plan sur le visage |
Identifiabilité du véhicule | Possibilité de lire la plaque et de la relier à une personne | Parking d’entreprise |
Contexte situationnel | Révèle des habitudes, un lieu de travail, un trajet, des relations | Entrée d’un établissement de santé |
Ampleur de l’incident | Influe sur la priorité et l’étendue des actions à mener | 10 fichiers contre 10 000 fichiers |
Efficacité de l’anonymisation | Réduit le risque uniquement si l’irréversibilité est réelle | Masquage permanent dans l’export final |
Dans les environnements de traitement d’image, on utilise des modèles d’IA fondés sur l’apprentissage profond pour détecter les visages et les plaques d’immatriculation, puis des algorithmes de floutage ou de masquage. Le modèle de détection n’est pas en soi une anonymisation. Il s’agit d’une étape d’identification de l’objet. Le risque de violation ne diminue qu’après application correcte du masque et vérification du résultat. Si des visages ou des plaques non floutés subsistent avant l’export, le contenu contient toujours des données à caractère personnel.
Pratique organisationnelle et mesures pour limiter les effets de la violation
Une bonne notification doit montrer que le responsable du traitement comprend l’origine de l’incident et a mis en œuvre des mesures correctives. Dans le domaine photo-vidéo, celles-ci couvrent généralement le contrôle des accès, la segmentation des dépôts, le chiffrement, la conservation des données et les procédures de vérification de l’anonymisation avant publication ou transmission du contenu.
En pratique, il est utile de documenter :
- si le contenu était traité localement dans un environnement on-premise ou en dehors de celui-ci,
- si les fichiers étaient chiffrés au repos et pendant le transfert,
- si les accès étaient attribués selon le principe du moindre privilège,
- si un contrôle qualité du floutage des visages et des plaques d’immatriculation a été effectué,
- si les copies de travail et les exports temporaires ont été supprimés ou isolés,
- si un registre des violations a été tenu conformément à l’article 33, paragraphe 5, du RGPD.
La documentation interne a une valeur probatoire. Même lorsque le responsable du traitement conclut qu’une notification à la CNIL n’est pas requise, il doit être en mesure de démontrer le raisonnement suivi et le fondement de cette décision.
Références normatives et interprétatives
Le cadre repose sur les textes applicables et les lignes directrices officielles. Pour les données visuelles, les sources européennes ainsi que la pratique nationale de l’autorité de contrôle sont particulièrement importantes.
- Règlement (UE) 2016/679, article 4, point 12, article 33, article 34, considérant 26 — Parlement européen et Conseil, 2016.
- Lignes directrices du Groupe de travail « Article 29 » sur la notification des violations de données à caractère personnel en vertu du règlement 2016/679, WP250 rev.01, adoptées le 6 février 2018, approuvées par le CEPD.
- Lignes directrices 01/2021 du CEPD concernant les exemples de violation de données à caractère personnel, version 2.0, adoptées le 14 décembre 2021.
- Ressources et formulaires de notification de la CNIL relatifs à la notification des violations de données personnelles.