La vidéosurveillance dans les établissements médicaux et le RGPD désignent l’ensemble des exigences juridiques, organisationnelles et techniques applicables à l’enregistrement d’images au sein des hôpitaux, cliniques, cabinets médicaux, centres de soins et autres structures de santé, dans le respect des règles relatives à la protection des données à caractère personnel. En pratique, il s’agit de déterminer dans quels cas et selon quelles modalités il est possible d’enregistrer l’image des patients, du personnel, des visiteurs et des autres personnes présentes dans l’établissement, ainsi que la manière de sécuriser ces enregistrements et d’en limiter l’usage.
Dans le secteur médical, la vidéosurveillance présente un niveau de risque élevé pour la vie privée. L’image du visage constitue une donnée à caractère personnel dès lors qu’elle permet d’identifier une personne, conformément à l’article 4, point 1, du RGPD : « les données à caractère personnel désignent toute information se rapportant à une personne physique identifiée ou identifiable ». Dans les établissements de santé, un enregistrement peut aussi révéler indirectement des informations sur l’état de santé, le recours à des soins, le lieu d’hospitalisation ou le lien d’un patient avec un service ou une spécialité médicale donnée. Cela crée un risque de traitement de données sensibles au sens de l’article 9, paragraphe 1, du RGPD, ainsi qu’un risque d’atteinte au secret médical, notamment visé par les dispositions relatives aux droits du patient.
Dans le contexte des photos et vidéos, la conformité au RGPD ne signifie pas l’interdiction d’utiliser des caméras. Elle implique la nécessité de limiter la finalité, le champ de vision, la durée de conservation, le cercle des destinataires et le niveau d’identification des personnes. Si les images doivent être communiquées, analysées à des fins de formation, transmises à un sous-traitant ou utilisées en dehors de leur finalité initiale de sécurité, une anonymisation vidéo ou, à tout le moins, une pseudonymisation des enregistrements devient souvent nécessaire. En pratique, pour les contenus vidéo, on applique principalement le floutage des visages et des plaques d’immatriculation, tandis que d’autres éléments, comme les documents, badges ou écrans visibles dans le champ, nécessitent généralement une retouche manuelle.
Base juridique de la vidéosurveillance dans les établissements médicaux
L’appréciation de la légalité de la vidéosurveillance en milieu médical ne repose pas sur un seul texte, mais sur plusieurs régimes juridiques complémentaires. Pour le délégué à la protection des données, il est essentiel de distinguer la finalité de sécurité de la finalité médicale et de la finalité pédagogique. Les bases légales, la portée des données traitées et la durée de conservation varient selon le cas.
Les principaux textes et documents de référence sont les suivants :
- Le RGPD – Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.
- La législation applicable aux activités de soins et au fonctionnement des établissements de santé.
- Les dispositions relatives aux droits des patients et à la confidentialité des informations médicales.
- Le droit du travail, lorsque la vidéosurveillance concerne également les salariés.
- Les Lignes directrices 3/2019 du CEPD sur le traitement des données à caractère personnel au moyen de dispositifs vidéo, adoptées le 29 janvier 2020.
- La jurisprudence de la CJUE et des juridictions administratives nationales relative à la notion de donnée à caractère personnel et au principe de proportionnalité.
Les Lignes directrices 3/2019 du CEPD soulignent que la vidéosurveillance suppose de démontrer sa nécessité et sa proportionnalité. Dans les établissements médicaux, cela signifie notamment qu’il convient d’éviter l’installation de caméras dans les espaces où la vie privée du patient bénéficie de la protection la plus forte, comme les salles d’examen, les salles de soins, les vestiaires ou les sanitaires, sauf base juridique tout à fait exceptionnelle et mise en place de garanties renforcées.
Importance du secret médical et des données sensibles dans les enregistrements
Dans un hôpital ou un cabinet médical, le simple fait d’entrer dans une zone précise peut révéler des informations relatives à la santé. L’enregistrement d’une personne attendant devant un service d’oncologie, de psychiatrie, d’addictologie ou de maladies infectieuses peut permettre de tirer des conclusions sur son état de santé. C’est pourquoi l’analyse des risques liée à la vidéosurveillance médicale doit prendre en compte non seulement l’identification du visage, mais aussi le contexte de lieu, de temps et d’interaction.
Les sources de risque les plus fréquentes dans une vidéo sont les suivantes :
- le visage du patient et du personnel,
- les plaques d’immatriculation des véhicules sur le parking ou à proximité du service des urgences,
- les plaques signalétiques sur les portes des cabinets et les noms des services,
- les bracelets d’identification des patients, les badges du personnel et les notes d’information,
- les écrans affichant des données médicales susceptibles d’apparaître dans le cadre,
- l’enregistrement audio, si le système capte également le son.
En pratique, le secret médical ne concerne pas uniquement le dossier médical. Il peut aussi être violé par la divulgation ou la sécurisation insuffisante d’un enregistrement montrant un patient dans des circonstances permettant d’établir le fait d’un traitement, d’une hospitalisation ou de la nature des soins reçus.
Anonymisation des enregistrements et des images de vidéosurveillance médicale
Si un enregistrement provenant d’un établissement médical doit être utilisé au-delà de sa finalité initiale de sécurité, il convient d’évaluer si une anonymisation des données visuelles est nécessaire. En pratique, cela concerne le plus souvent la transmission de la vidéo dans le cadre d’un audit d’incident, de la formation du personnel, d’une procédure interne, de la publication d’un support illustratif ou d’un partage avec un organisme externe.
Dans les contenus vidéo, l’anonymisation consiste généralement à réduire de manière durable et irréversible la possibilité d’identifier les personnes. Pour les visages et les plaques d’immatriculation, on utilise la détection automatique et le floutage. Ce processus peut reposer sur des modèles d’IA fondés sur le deep learning, car la détection doit fonctionner avec différents angles de visage, des occultations partielles, des variations d’éclairage, du mouvement, des reflets et une qualité d’image réduite. Le modèle est d’abord entraîné sur de grands jeux de données, puis utilisé en inférence, c’est-à-dire pour détecter les objets sur une vidéo donnée et y appliquer un masque de flou ou de pixellisation.
Il faut toutefois distinguer l’anonymisation automatique des visages et des plaques d’une occultation complète de tous les éléments identifiants de l’image. Gallio PRO floute automatiquement uniquement les visages et les plaques d’immatriculation. Il ne détecte pas automatiquement les logos d’entreprise, les tatouages, les badges nominatifs, les documents ni les écrans. Ces éléments peuvent être masqués manuellement dans l’éditeur. Ce point est particulièrement important dans les établissements médicaux, où les données des patients apparaissent souvent sur des bracelets, des écrans et des documents imprimés visibles dans le champ.
Paramètres clés pour évaluer un système d’anonymisation vidéo
Pour évaluer un outil, il ne suffit pas qu’il annonce « flouter les visages ». Dans le secteur médical, il faut des indicateurs permettant d’apprécier le risque d’oubli d’un objet ou, à l’inverse, d’un masquage excessif. Ces paramètres doivent être vérifiés sur ses propres jeux d’essai, car l’efficacité dépend de la qualité des caméras et de la scène filmée.
Paramètre | Signification pratique | Remarques pour les établissements médicaux
|
|---|---|---|
Rappel de détection | Pourcentage de visages ou de plaques détectés par le modèle | Essentiel pour réduire au minimum les patients non détectés sur l’enregistrement |
Précision de détection | Pourcentage de détections correctes parmi l’ensemble des détections | Influe sur le nombre de masques erronés et sur la lisibilité du contenu après anonymisation |
Taux de faux négatifs (FN rate) | Pourcentage d’objets non détectés | Métrique la plus importante du point de vue du risque de violation de données |
Temps de traitement | Temps nécessaire pour anonymiser le contenu | Gallio PRO n’effectue pas l’anonymisation en temps réel ni sur flux vidéo en direct |
Mode de déploiement | On-premise ou cloud | Un déploiement on-premise limite le transfert des vidéos médicales hors de l’organisation |
Périmètre de journalisation | Événements enregistrés par le système | Important pour éviter que les journaux ne contiennent des données personnelles ou des données sensibles |
Dans l’évaluation des risques, on peut utiliser un indicateur simple de couverture de l’anonymisation : efficacité = 1 - taux de faux négatifs. Si, sur un échantillon de 1 000 visages, le système en a omis 8, alors le taux de faux négatifs est de 0,008 et l’efficacité de couverture atteint 99,2 %. Un tel résultat exige néanmoins une appréciation qualitative, car il importe de savoir quels visages ont été omis et dans quel contexte clinique ils apparaissent.
Organisation d’un processus conforme au RGPD
Dans un établissement médical, la conformité ne dépend pas uniquement de l’algorithme lui-même. Les règles d’accès, de conservation, de communication et de documentation des opérations de traitement sont tout aussi importantes. Le niveau élevé de risque pour les droits des patients peut justifier la réalisation d’une AIPD, c’est-à-dire d’une analyse d’impact relative à la protection des données, conformément à l’article 35 du RGPD.
Un dispositif minimal de sécurité devrait comprendre :
- la définition de la finalité de la vidéosurveillance et de sa base juridique,
- l’analyse des zones couvertes par les caméras et l’exclusion des espaces particulièrement sensibles,
- la fixation de la durée de conservation des enregistrements et des règles d’écrasement,
- un contrôle d’accès fondé sur les rôles,
- une procédure d’export des vidéos et de leur anonymisation avant tout usage ultérieur,
- un registre des destinataires et des cas de communication des contenus,
- la vérification des contrats de sous-traitance lorsque le processus implique un prestataire externe.
Dans un modèle on-premise, le contenu reste dans l’infrastructure de l’organisation, ce qui simplifie généralement le contrôle des transferts de données. Cela revêt une importance particulière pour les enregistrements provenant d’hôpitaux et de cabinets médicaux, où chaque copie supplémentaire augmente le risque d’atteinte à la confidentialité.
Applications pratiques de la vidéosurveillance et de l’anonymisation dans les établissements médicaux
Les usages légitimes les plus fréquents de la vidéosurveillance dans les établissements médicaux concernent la sécurité des personnes et des biens, le contrôle d’accès aux zones restreintes, l’analyse d’incidents et la protection des infrastructures. Toutefois, si un enregistrement doit être intégré à un support de formation, une présentation, un audit externe ou transmis à un éditeur de logiciel, le niveau d’identification des personnes doit être réduit.
Exemples concrets d’utilisation de l’anonymisation :
- préparation d’un support de formation à partir d’images des urgences avec floutage des visages des patients et des plaques des véhicules,
- transmission d’un enregistrement de couloir à une entreprise chargée d’analyser un incident de sécurité après occultation préalable des données visibles dans le cadre,
- mise à disposition d’un extrait de vidéosurveillance pour un audit interne qualité sans révéler l’identité des tiers présents,
- conservation d’un élément de preuve issu du parking d’un hôpital avec anonymisation des plaques d’immatriculation pour les destinataires ne disposant pas d’un droit d’identification complet.
Il convient de rappeler qu’en Europe, le statut des plaques d’immatriculation comme données à caractère personnel peut être apprécié selon le contexte. D’un côté, les recommandations des autorités de protection des données, du CEPD et une partie de la jurisprudence européenne conduisent à une approche prudente et à leur masquage. De l’autre, certaines décisions considèrent que les plaques, prises isolément, ne constituent pas toujours des données personnelles. En pratique, pour les établissements médicaux, une approche conservatrice est plus sûre, notamment en cas de communication ultérieure des images.
Références normatives et sources
Les sources ci-dessous constituent une base essentielle pour interpréter les exigences applicables à la vidéosurveillance dans les établissements de santé et à l’anonymisation des enregistrements :
- RGPD – Règlement (UE) 2016/679, JOUE L 119 du 4.05.2016.
- CEPD, Lignes directrices 3/2019 sur le traitement des données à caractère personnel au moyen de dispositifs vidéo, adoptées le 29.01.2020.
- Textes relatifs aux droits des patients et au secret médical.
- Textes régissant l’activité des établissements de santé.
- Droit du travail applicable à la surveillance des salariés.
- Norme ISO/IEC 27001:2022 – système de management de la sécurité de l’information, comme point de référence pour les contrôles organisationnels et techniques.
- Norme ISO/IEC 27701:2019 – extension dédiée au management des informations relatives à la vie privée, utile pour concevoir des processus de protection des données.