Le partage des enregistrements de vidéosurveillance au regard du RGPD désigne l’ensemble des règles qui déterminent dans quelles situations le responsable du traitement peut transmettre une vidéo ou des photos issues d’un système de surveillance à un autre organisme, ainsi que les mesures de protection qu’il doit mettre en place pour ne pas porter atteinte aux droits des personnes visibles sur les images. En pratique, il s’agit d’une opération de traitement de données à caractère personnel au sens de l’article 4, point 2, du Règlement (UE) 2016/679, car un enregistrement contenant le visage, la silhouette, le comportement, le contexte de lieu et de temps, et parfois aussi les plaques d’immatriculation, peut permettre d’identifier une personne physique.
Dans le cas des photos et des vidéos, la simple transmission d’un fichier n’est pas une opération technique neutre. C’est une communication de données à un destinataire externe. Elle nécessite donc une base légale au titre de l’article 6, paragraphe 1, du RGPD, une limitation de la finalité, une minimisation des données conformément à l’article 5, paragraphe 1, points b et c, du RGPD, ainsi que la mise en œuvre de mesures de sécurité prévues à l’article 32 du RGPD. Si le contenu doit être transmis à un tiers qui n’a pas besoin de l’image complète et non anonymisée, le responsable du traitement doit envisager au préalable le floutage des visages et des plaques d’immatriculation, ou la préparation d’une copie limitée à l’extrait strictement nécessaire.
En matière de vidéosurveillance, il est également essentiel de distinguer la communication des données de la sous-traitance du traitement. Si l’organisme externe agit pour ses propres finalités, par exemple la police dans le cadre d’une enquête, il s’agit d’un destinataire distinct des données. En revanche, si l’entreprise qui assure la maintenance du système de vidéosurveillance CCTV agit exclusivement sur instruction du responsable du traitement, elle est en principe un sous-traitant et une convention de sous-traitance conforme à l’article 28 du RGPD est nécessaire.
Quand le partage d’enregistrements de vidéosurveillance est-il légal ?
La licéité dépend de la finalité de la transmission, du statut du destinataire et de l’étendue des images concernées. Il n’existe pas une seule base légale valable pour tous les cas. L’évaluation doit être documentée et liée à une demande concrète ou à une obligation précise.
Les bases les plus fréquemment utilisées sont présentées dans le tableau ci-dessous.
Destinataire | Base typique | Condition | Étendue de la transmission
|
|---|---|---|---|
Police, parquet, tribunal | article 6, paragraphe 1, point c, du RGPD ou point f du RGPD | demande fondée sur une disposition légale ou une autre habilitation procédurale | images nécessaires à la procédure |
Assureur | article 6, paragraphe 1, point f, du RGPD ou disposition spécifique | démonstration d’un intérêt légitime ou d’une obligation légale | extrait lié au sinistre |
Partie à une procédure civile | évaluation individuelle, généralement point f ou exécution d’une obligation légale | nécessité de faire valoir ou de défendre des droits en justice | portée limitée, souvent après anonymisation des tiers |
Personne concernée | article 15 du RGPD | mise en œuvre du droit d’accès, dans le respect des droits d’autrui | copie des données ou consultation, généralement après anonymisation des autres personnes |
La transmission d’enregistrements complets « au cas où », sans vérification de la finalité ni limitation de l’étendue, n’est pas conforme au RGPD. Constitue également une violation le fait de remettre les images à un particulier au seul motif qu’il affirme « apparaître sur la vidéo », si le responsable du traitement ne vérifie pas son identité et ne protège pas les données des autres personnes.
Anonymisation et floutage avant le partage des enregistrements
Dans la pratique de la conformité, il est essentiel de préparer une version des images adaptée à la finalité poursuivie. Si le destinataire n’a pas besoin de l’identification complète de toutes les personnes et de tous les véhicules, les données doivent être limitées. Pour les vidéos, cela signifie le plus souvent le floutage des visages et le floutage des plaques d’immatriculation, ainsi que la suppression des séquences temporelles inutiles.
Le floutage automatique des visages et des plaques d’immatriculation repose généralement sur des modèles de détection d’objets entraînés à l’aide de méthodes de deep learning. Un modèle d’IA n’« anonymise » pas au sens juridique du terme, mais facilite l’application technique du principe de minimisation ou de pseudonymisation des images avant leur communication. Pour qu’un tel modèle fonctionne, il doit d’abord être entraîné sur des jeux de données contenant des visages ou des plaques correctement annotés. Il est ensuite utilisé pour détecter les objets image par image et appliquer un masque de flou ou d’occultation. L’efficacité du processus dépend de la qualité des images, de l’éclairage, de l’angle de prise de vue, de la compression et du nombre de détections manquées.
Dans l’environnement Gallio PRO, le traitement automatique ne concerne que les visages et les plaques d’immatriculation. Le logiciel ne floute pas les silhouettes entières, ne réalise pas d’anonymisation du flux vidéo ni d’anonymisation en temps réel. Il ne détecte pas non plus automatiquement les logos, tatouages, badges nominatifs, documents ou contenus affichés sur les écrans de contrôle. Ces éléments peuvent être masqués manuellement dans l’éditeur. C’est un point important lors du partage d’enregistrements, car le responsable du traitement doit vérifier si, au-delà du visage et de la plaque, d’autres identifiants apparaissent sur les images et nécessitent un masquage manuel.
Police, assureur et parties à la procédure : règles pratiques
La plupart des erreurs surviennent lorsque le responsable du traitement traite toutes les demandes de la même manière. Or, l’étendue admissible de la communication dépend du statut du destinataire et de la base légale applicable.
En pratique, il est recommandé d’appliquer les règles suivantes :
- à la police ou au parquet, on transmet les images correspondant à la demande, en consignant la date, la base juridique et l’étendue de la transmission,
- l’assureur ne doit recevoir que les images nécessaires au règlement d’un sinistre précis, et non l’archive complète issue de plusieurs caméras,
- à une partie à une procédure civile, il est souvent possible de remettre une copie après anonymisation des tiers, lorsque leur identification n’est pas nécessaire à la finalité probatoire,
- à la personne filmée, il ne convient pas de remettre automatiquement le fichier brut, car l’exercice du droit d’accès prévu à l’article 15 du RGPD doit tenir compte des droits et libertés des autres personnes.
Constituent notamment des violations la publication de l’enregistrement sur Internet, son envoi via une messagerie non sécurisée, la transmission des images sans vérification de l’identité du destinataire ou sans suppression des données concernant des tiers. Dans ses Lignes directrices 3/2019 sur le traitement des données à caractère personnel au moyen de dispositifs vidéo, le Comité européen de la protection des données indique que les droits des autres personnes présentes sur l’enregistrement peuvent justifier une limitation de l’accès ou le recours à des mesures techniques telles que le masquage de l’image.
Paramètres clés et contrôle du risque lors du partage des enregistrements
Pour évaluer le processus, il est utile de recourir à des critères mesurables. Tous ne découlent pas directement des textes, mais ils sont nécessaires pour démontrer la diligence requise et l’efficacité des mesures de sécurité.
Paramètre | Importance pratique | Objectif de contrôle typique
|
|---|---|---|
plage temporelle de l’enregistrement | minimisation des données | uniquement la période liée à l’incident |
nombre de caméras incluses dans l’export | limitation des données superflues | seules les caméras pertinentes pour l’affaire |
pourcentage d’images avec visage ou plaque correctement floutés | évaluation de l’efficacité du masquage | contrôle qualité avant remise |
durée de conservation de la copie de travail | sécurité opérationnelle | suppression après atteinte de la finalité |
mode de transfert | confidentialité et intégrité | support chiffré ou canal sécurisé |
Lorsqu’un floutage automatique est utilisé, le responsable du traitement doit prévoir un contrôle des erreurs de type false negative, c’est-à-dire des visages ou des plaques non détectés. Pour des images de faible qualité, l’automatisation seule peut être insuffisante et une validation manuelle devient nécessaire. Cela revêt une importance probatoire et en matière de conformité, car un seul visage omis peut entraîner la divulgation de données à caractère personnel à une personne non autorisée.
Références normatives et divergences d’interprétation
Les principales sources sont le RGPD — Règlement (UE) 2016/679 du 27 avril 2016 —, les Lignes directrices 3/2019 du CEPD relatives au traitement des données à caractère personnel au moyen de dispositifs vidéo et, en Pologne, également les dispositions sectorielles encadrant la vidéosurveillance, par exemple le Code du travail après la réforme de 2018 ainsi que la loi du 10 mai 2018 sur la protection des données à caractère personnel. En matière civile et pénale, les règles procédurales relatives à la conservation et à la remise des preuves jouent aussi un rôle important.
S’agissant des plaques d’immatriculation, il existe une divergence d’interprétation. Dans la pratique européenne et dans les positions des autorités de protection des données, il est souvent admis qu’un numéro d’immatriculation peut constituer une donnée à caractère personnel s’il permet, dans un contexte concret, d’identifier le propriétaire ou l’utilisateur du véhicule. Le CEPD adopte une approche prudente, de même que la jurisprudence de la CJUE relative à la notion large d’identifiabilité. À l’inverse, la jurisprudence administrative polonaise comporte aussi des positions selon lesquelles une plaque d’immatriculation, à elle seule, ne constitue pas toujours une donnée à caractère personnel. Du point de vue de la gestion du risque lors du partage d’enregistrements, il est donc plus sûr de traiter les plaques comme un identifiant nécessitant une évaluation et, souvent, un floutage.
En ce qui concerne les visages, la situation est plus claire. L’image d’une personne fixée sur un enregistrement constitue en principe une donnée à caractère personnel, et sa diffusion est également soumise aux restrictions prévues par le Code civil et par la loi sur le droit d’auteur et les droits voisins. Les exceptions concernent généralement une personne publique dans l’exercice de ses fonctions, le détail d’un ensemble plus large, ainsi que la situation dans laquelle la personne a reçu une rémunération convenue pour poser.