Vidéosurveillance sur le lieu de travail et RGPD : définition
La vidéosurveillance sur le lieu de travail au regard du RGPD désigne l’ensemble des règles juridiques et organisationnelles qui précisent dans quelles conditions un employeur peut enregistrer l’image des salariés ainsi que d’autres personnes présentes dans l’enceinte de l’entreprise, pendant combien de temps il peut conserver les enregistrements et de quelle manière il doit limiter le traitement des données à caractère personnel. En pratique, il s’agit principalement de la vidéosurveillance reposant sur des caméras CCTV, et, dans le contexte des photos et des vidéos, de la captation, de la consultation, de la sécurisation et, dans certains cas, de l’anonymisation de l’image des personnes.
En Pologne, la base juridique nationale est l’article 222 du Code du travail, introduit par la loi du 10 mai 2018 relative à la protection des données personnelles. Cette disposition autorise la vidéosurveillance lorsqu’elle est nécessaire pour garantir la sécurité des salariés, protéger les biens, contrôler la production ou préserver la confidentialité d’informations dont la divulgation pourrait causer un préjudice à l’employeur. En parallèle, le RGPD s’applique également, notamment ses articles 5, 6, 13, 24, 25, 32 et 35 du règlement (UE) 2016/679. Les lignes directrices 3/2019 du Comité européen de la protection des données relatives au traitement des données personnelles au moyen de dispositifs vidéo, adoptées le 29 janvier 2020, sont également importantes.
L’image d’une personne captée par une caméra constitue une donnée à caractère personnel si elle permet d’identifier cette personne directement ou indirectement. Pour cette raison, la vidéosurveillance au travail ne peut pas être mise en place sur la seule base d’une décision générale de l’employeur. Une base juridique concrète est nécessaire, de même qu’une évaluation de la nécessité et de la proportionnalité, le respect de l’obligation d’information et une limitation de la durée de conservation des enregistrements. Dans les supports photo et vidéo publiés, transmis à des tiers ou utilisés dans l’analyse d’incidents, il est souvent pertinent de flouter les visages et parfois aussi les plaques d’immatriculation.
Base juridique de la vidéosurveillance des salariés
Dans le cadre professionnel, le consentement du salarié n’est en principe pas la base juridique privilégiée pour légitimer la vidéosurveillance. Cela s’explique par le déséquilibre entre les parties dans la relation de travail et par la difficulté de considérer ce consentement comme librement donné. En pratique, la base juridique repose le plus souvent sur une obligation légale ou sur l’intérêt légitime du responsable du traitement, le Code du travail polonais jouant un rôle central pour la vidéosurveillance des salariés.
Les principales conditions d’utilisation de la vidéosurveillance sont les suivantes :
- définir la finalité de la vidéosurveillance avant la mise en service du système,
- démontrer que la vidéosurveillance est nécessaire et non simplement pratique,
- décrire les règles applicables dans une convention collective, le règlement de travail ou un avis, conformément à l’article 222, paragraphe 6, du Code du travail,
- informer les salariés au plus tard 2 semaines avant la mise en place de la vidéosurveillance,
- signaler de manière visible et lisible les locaux et zones placés sous vidéosurveillance au plus tard 1 jour avant son activation,
- ne pas utiliser de caméras dans des locaux où la vidéosurveillance porterait atteinte à la dignité et aux autres droits de la personnalité du salarié, sauf si la loi prévoit expressément une exception et que des conditions supplémentaires sont remplies.
Conformément à l’article 222, paragraphe 2, du Code du travail, la vidéosurveillance ne couvre en principe ni les sanitaires, ni les vestiaires, ni les cantines, ni les espaces fumeurs. Une exception n’est possible que si elle est indispensable à la réalisation de la finalité poursuivie, qu’elle ne porte pas atteinte à la dignité ni aux autres droits de la personnalité du salarié, et que des techniques empêchant l’identification des personnes ont été mises en œuvre, par exemple un cadrage approprié ou l’anonymisation de l’image.
Information des salariés et transparence du traitement
Le RGPD impose la transparence. Toute personne faisant l’objet d’une vidéosurveillance doit savoir qui traite ses données, à quelle fin, sur quelle base juridique et pendant combien de temps. Un simple pictogramme de caméra ne suffit pas. Une information en plusieurs niveaux est nécessaire : une information concise à l’entrée de la zone surveillée et une information complète dans la clause d’information.
En pratique, cette clause devrait inclure au minimum :
- les coordonnées du responsable du traitement et celles du délégué à la protection des données, s’il a été désigné,
- les finalités de la vidéosurveillance,
- la base juridique,
- la durée de conservation des enregistrements,
- les catégories de destinataires des données,
- une information sur les droits des personnes concernées,
- une indication précisant si les enregistrements peuvent être transmis à des autorités publiques ou à des juridictions.
Durée de conservation des enregistrements et conformité au RGPD
La durée de conservation des enregistrements ne peut pas être fixée librement. Le Code du travail prévoit que les enregistrements vidéo sont traités par l’employeur exclusivement pour les finalités pour lesquelles ils ont été collectés et conservés pendant une période n’excédant pas 3 mois à compter de la date d’enregistrement. Si un enregistrement constitue une preuve dans le cadre d’une procédure prévue par la loi, ou si l’employeur a connaissance du fait qu’il peut constituer une telle preuve, ce délai est prolongé jusqu’à la clôture définitive de la procédure.
Cela signifie que la conservation doit être configurée comme un paramètre technique du système. Pour assurer la conformité, les éléments suivants sont particulièrement importants :
Paramètre | Importance pour la conformité | Pratique courante
|
|---|---|---|
Retention period | Met en œuvre le principe de limitation de la conservation prévu à l’article 5, paragraphe 1, point e) du RGPD | Suppression automatique après 3 mois ou avant |
Access control | Limite l’accès aux enregistrements aux seules personnes autorisées | Rôles, comptes nominatifs, authentification multifacteur |
Auditability | Permet de démontrer la responsabilité et la traçabilité | Registre des accès et des opérations administratives |
Export policy | Limite la copie non contrôlée des contenus | Export uniquement en cas d’incident et avec justification |
Anonymisation des photos et des enregistrements de vidéosurveillance
Dans le contexte de la vidéosurveillance sur le lieu de travail, l’anonymisation des vidéos et des photos ne remplace pas la base juridique nécessaire à l’enregistrement lui-même. En revanche, elle constitue une mesure importante de minimisation des données lors d’une réutilisation du contenu, par exemple lors de la transmission d’un enregistrement à un mandataire, un assureur, un auditeur ou dans le cadre d’un support de formation. Dans de tels cas, il convient de limiter l’identifiabilité des personnes qui ne sont pas nécessaires à la finalité poursuivie.
Sur le plan technique, le floutage des visages repose généralement sur la détection d’objets et leur suivi d’une image à l’autre. Les systèmes modernes utilisent des modèles de deep learning entraînés sur de vastes ensembles de données visuelles afin d’obtenir une forte sensibilité de détection des visages dans différentes conditions d’éclairage, à différentes échelles et selon différents angles de tête. Le modèle d’IA n’est pas une fin en soi. Il s’agit d’un composant nécessaire à la détection automatique des visages ou des plaques d’immatriculation, qui sont ensuite masqués. L’efficacité de ce processus est généralement évaluée à l’aide de la précision de détection, du recall et du nombre d’objets omis dans le contenu traité.
En pratique, les outils d’anonymisation peuvent flouter automatiquement les visages et les plaques d’immatriculation, mais ils ne détectent pas toujours les logos, tatouages, badges, documents ou contenus affichés sur des écrans. Ces éléments peuvent nécessiter un masquage manuel dans un éditeur. Cet aspect est important du point de vue de l’AIPD et de l’analyse des risques, car le responsable du traitement doit savoir quelles catégories de données sont couvertes par l’automatisation et lesquelles ne le sont pas.
Évaluation des risques et AIPD pour la vidéosurveillance
La vidéosurveillance des salariés peut nécessiter la réalisation d’une analyse d’impact relative à la protection des données si elle est susceptible d’engendrer un risque élevé pour les droits ou libertés des personnes physiques. Cela découle de l’article 35 du RGPD. C’est notamment le cas lors d’une surveillance systématique à grande échelle couvrant les lieux de travail, les zones d’entrée et les axes de circulation.
Dans une AIPD, il est utile d’évaluer :
- l’étendue du champ de vision des caméras et le risque de surveillance excessive,
- la possibilité de limiter la zone filmée par le cadrage ou par des masques de confidentialité,
- la durée de conservation et la procédure de suppression des enregistrements,
- les procédures d’exportation et d’anonymisation des contenus,
- le risque d’erreurs dans la détection des visages ou des plaques d’immatriculation si un floutage automatique est utilisé,
- les mesures techniques de sécurité conformes à l’article 32 du RGPD.
Références normatives et divergences pratiques
Les principales sources sur ce sujet sont : le règlement (UE) 2016/679, le Code du travail polonais — articles 222 et 223, les lignes directrices 3/2019 du CEPD relatives aux dispositifs vidéo, ainsi que les explications nationales de l’UODO. En cas de publication ou de diffusion ultérieure d’images issues de la vidéosurveillance, la protection de l’image découlant du Code civil et de la loi sur le droit d’auteur et les droits voisins peut également être pertinente.
S’agissant des plaques d’immatriculation, il existe des divergences d’interprétation. En Pologne, la jurisprudence a indiqué qu’une plaque d’immatriculation ne constitue pas toujours, à elle seule, une donnée à caractère personnel. À l’inverse, l’approche des autorités de protection des données et la pratique dans de nombreux pays d’Europe occidentale sont plus prudentes et considèrent le numéro d’immatriculation comme une information permettant une identification indirecte. C’est pourquoi, lors de la transmission d’enregistrements en dehors du cercle strict des destinataires autorisés, il est pertinent d’envisager le floutage des plaques d’immatriculation.