Partage de vidéos conforme à la vie privée : définition
Le partage de vidéos conforme à la vie privée désigne la communication légale, documentée et sécurisée d’enregistrements vidéo ou de photos à des tiers, de manière à ce que l’étendue des données personnelles transmises soit adéquate, limitée à la finalité poursuivie et protégée par des mesures techniques et organisationnelles. Dans le contexte des contenus visuels, cette notion concerne principalement l’image du visage, les numéros de plaque d’immatriculation ainsi que d’autres éléments permettant d’identifier, directement ou indirectement, une personne physique.
L’évaluation repose sur le RGPD, en particulier sur l’article 5, paragraphe 1, points a), b), c) et f), ainsi que sur les articles 6, 24, 25 et 32 du règlement (UE) 2016/679. Les lignes directrices du Comité européen de la protection des données relatives au traitement des données au moyen de dispositifs vidéo, publiées sous le titre Guidelines 3/2019 et adoptées dans leur version finale le 29 janvier 2020, sont également déterminantes, tout comme la jurisprudence de la CJUE relative à l’interprétation large de la notion de données à caractère personnel. En pratique, le partage de vidéos conforme à la vie privée signifie qu’avant toute transmission du contenu, il convient de déterminer la base juridique, les destinataires, la finalité de la divulgation, la durée de conservation et la nécessité éventuelle d’une rédaction du contenu, notamment par floutage des visages ou des plaques d’immatriculation.
Si l’objectif du partage peut être atteint sans révéler l’image complète d’une personne ni les identifiants du véhicule, la rédaction est en principe requise en vertu du principe de minimisation des données et du privacy by design. En ce sens, la rédaction n’est pas un simple complément technique, mais une mesure de conformité. Pour les photos et les vidéos, cela implique le plus souvent une anonymisation ou une pseudonymisation visuelle. En pratique opérationnelle, on applique un floutage ou un masquage des visages et des plaques d’immatriculation et, pour les éléments qui ne sont pas détectés automatiquement, une rédaction manuelle.
Quand la rédaction d’un enregistrement est requise avant partage
L’évaluation de la nécessité d’une rédaction dépend de la finalité du partage et de la nécessité, ou non, pour le tiers de voir des données identifiantes. Le simple fait de détenir légalement un enregistrement ne signifie pas encore qu’il peut être transmis dans son intégralité. Dans les contenus vidéo, le risque d’identification est élevé, car les données agissent de manière combinée : visage, plaque, contexte du lieu, heure, vêtements ou véhicule.
En pratique, la rédaction est généralement nécessaire dans les situations suivantes :
- partage d’un enregistrement avec un prestataire externe chargé d’analyser un incident, lorsque l’identification des personnes tierces n’est pas nécessaire ;
- transmission du contenu aux médias, à un sous-traitant, à un auditeur ou à un assureur, si la finalité ne requiert pas la divulgation complète des données visuelles ;
- publication d’un contenu de formation, de preuve ou de référence au sein de l’organisation, lorsqu’il est possible de limiter l’étendue des données ;
- transmission d’un enregistrement en réponse à une demande, si le contenu inclut des tiers sans lien avec la finalité de la divulgation.
S’agissant des visages, l’obligation de protection découle non seulement du RGPD, mais aussi de la protection des droits de la personnalité et des règles applicables à la diffusion de l’image. En principe, l’image doit être anonymisée, sauf dans l’un des cas d’exception prévus par la loi : lorsque la personne est connue du public et représentée dans l’exercice de fonctions publiques, lorsque l’image ne constitue qu’un détail d’un ensemble tel qu’un rassemblement, un paysage ou un événement public, ou encore lorsqu’il s’agit d’une personne n’apparaissant qu’à titre accessoire dans un ensemble au sens de l’article 81 de la loi polonaise sur le droit d’auteur et les droits voisins.
Concernant les plaques d’immatriculation, la situation est plus complexe. Dans de nombreux pays européens, la pratique et les interprétations conduisent à l’obligation de les masquer lors du partage de contenus. En Pologne, les interprétations divergent. D’une part, les lignes directrices des autorités de protection des données et la pratique européenne tendent à considérer le numéro d’immatriculation comme une information pouvant mener à l’identification. D’autre part, une partie de la jurisprudence administrative a estimé qu’une plaque d’immatriculation ne constitue pas toujours, en elle-même, une donnée à caractère personnel. En matière de conformité, l’approche la plus sûre consiste, en pratique, à s’appuyer sur une analyse de risque et à masquer par défaut les plaques lorsqu’elles ne sont pas indispensables à la finalité du partage.
Comment comprendre l’anonymisation et la rédaction dans les contenus vidéo
Dans le domaine des photos et des enregistrements, il convient de distinguer l’anonymisation complète de la rédaction visant à réduire le risque d’identification. L’anonymisation complète au sens du RGPD suppose de rompre de manière irréversible le lien entre le contenu et une personne physique, en tenant compte de tous les moyens d’identification raisonnablement susceptibles d’être utilisés. Dans la pratique des vidéos, atteindre un tel résultat peut s’avérer difficile, car l’identification peut également résulter de caractéristiques indirectes, de l’arrière-plan ou des métadonnées.
C’est pourquoi, dans les opérations courantes, on recourt souvent à une rédaction visuelle. Elle comprend la détection automatique des visages et des plaques d’immatriculation, leur suivi d’une image à l’autre, ainsi que l’application d’un masque de floutage ou d’occultation. Une telle approche réduit l’exposition des données, mais ne signifie pas toujours une anonymisation complète de l’ensemble du contenu. La documentation doit donc indiquer avec précision si le résultat est un contenu rédigé, pseudonymisé ou anonymisé.
Technologies utilisées pour le partage de vidéos conforme à la vie privée
Une rédaction efficace des contenus visuels nécessite des méthodes de vision par ordinateur. Pour les visages et les plaques d’immatriculation, on utilise le plus souvent des modèles de détection fondés sur le deep learning. L’apprentissage profond est nécessaire lors de la création du modèle d’IA, qui détecte ensuite les objets dans l’image et dans les images successives d’une vidéo. Toutefois, le processus de partage de vidéos conforme à la vie privée ne dépend pas uniquement du modèle, mais aussi du contrôle qualité, de l’édition et de l’auditabilité.
Dans une chaîne de traitement typique, on retrouve les étapes suivantes :
- détection des visages ou des plaques d’immatriculation dans les images vidéo ;
- tracking, c’est-à-dire maintien de l’identification d’un même objet d’une image à l’autre ;
- application d’un masque de floutage ou d’occultation ;
- vérification par l’opérateur et correction manuelle des éléments non détectés automatiquement ;
- export de la version rédigée avec les métadonnées du processus.
Une limite technique importante doit être soulignée : Gallio PRO masque automatiquement uniquement les visages et les plaques d’immatriculation. Il ne détecte pas automatiquement les logos d’entreprise, les tatouages, les badges nominatifs, les documents ni les contenus visibles sur des écrans. Ces éléments peuvent être masqués manuellement dans l’éditeur. Gallio PRO ne réalise ni anonymisation en temps réel ni anonymisation de flux vidéo. Le logiciel fonctionne en mode on-premise, ce qui favorise le contrôle des données et limite les transferts de contenus en dehors de l’organisation.
Comment documenter le partage légal d’un enregistrement
La simple rédaction ne suffit pas. Pour être conforme, il faut disposer d’une trace décisionnelle montrant pourquoi le contenu a été partagé, à qui et sous quelle forme. Cette documentation a une valeur probante lors d’un audit, d’un contrôle de l’autorité de surveillance ou d’une vérification interne du respect des principes de privacy by design.
L’ensemble documentaire minimal devrait inclure :
- la finalité du partage et la catégorie de destinataire ;
- la base juridique tirée de l’article 6 du RGPD ou d’une autre disposition applicable ;
- une évaluation de la nécessité : le contenu intégral était-il réellement requis ?
- une évaluation des risques pour les personnes visibles dans le contenu ;
- l’étendue de la rédaction : visages, plaques, éléments masqués manuellement ;
- le versionnage des fichiers : contenu source et contenu rédigé ;
- la date, l’opérateur, l’outil utilisé et le résultat du contrôle qualité ;
- la durée de conservation et le mode de transmission sécurisée au destinataire.
Une fiche simple de divulgation du contenu peut s’avérer utile. Elle devrait distinguer le contenu source de la copie partagée. Si l’organisation évolue dans un environnement à haut risque, il est également pertinent de consigner des paramètres de qualité du processus, tels que le nombre de corrections manuelles ou le pourcentage d’images contrôlées par l’opérateur.
Paramètres clés et métriques du partage de vidéos conforme à la vie privée
Dans un processus de partage conforme des contenus, la conformité formelle ne suffit pas : l’efficacité de la rédaction compte tout autant. Les paramètres doivent être mesurés et consignés, car un seul visage ou une seule plaque non détectés peut compromettre l’ensemble du processus.
Paramètre | Signification | Application pratique
|
|---|---|---|
Rappel de détection | Proportion de tous les visages ou plaques effectivement détectés | Essentiel pour minimiser le risque d’omission d’un objet |
Précision de détection | Proportion de détections correctes | Influe sur le nombre de masques erronés et la charge de travail de l’opérateur |
Couverture des images | Pourcentage d’images bénéficiant d’un suivi correct de l’objet | Important en cas de mouvement, d’occlusion et de changement d’angle de caméra |
Taux de faux négatifs | Proportion d’objets non détectés | Métrique la plus critique pour la conformité |
Temps de rédaction par minute de vidéo | Charge opérationnelle du processus | Aide à planifier les ressources et les SLA |
Taux de corrections manuelles | Fréquence à laquelle l’automatisation a nécessité une correction | Indicateur de la qualité du modèle et de la difficulté du contenu |
Si l’organisation définit ses propres seuils d’acceptation, il est utile de les consigner dans la procédure. En matière de conformité, un rappel élevé est généralement plus important qu’une vitesse de traitement maximale. En pratique, il vaut mieux accepter davantage de corrections manuelles que de courir le risque de laisser un visage ou une plaque non masqués.
Références normatives et interprétatives
Le partage de vidéos conforme à la vie privée doit s’appuyer sur des sources primaires. Au niveau européen, les textes et lignes directrices relatifs à la protection des données et au traitement d’images sont les plus importants.
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 - RGPD.
- CEPD, Guidelines 3/2019 on processing of personal data through video devices, version finale du 29 janvier 2020.
- CJUE, affaire C-212/13 Ryneš, arrêt du 11 décembre 2014 - interprétation large du traitement au moyen de la vidéosurveillance.
- Avis du Groupe de travail « Article 29 » 05/2014 sur les techniques d’anonymisation, 10 avril 2014 - limites et risques de l’anonymisation.
- Norme ISO/IEC 27001:2022 - système de management de la sécurité de l’information, importante pour le contrôle d’accès, la conservation et le transfert.
Il convient de noter que les divergences d’interprétation concernent principalement les plaques d’immatriculation. C’est pourquoi toute décision de les divulguer doit toujours être justifiée par la finalité poursuivie et par une analyse de risque. Le masquage préventif des plaques constitue généralement la solution la plus prudente sur le plan juridique.