Normes RGPD et vidéosurveillance : droits des uns, devoirs des autres
Pourtant entré en vigueur en 2018, le RGPD n’avait fait qu’une timide apparition. Mais depuis mi-2019, les complications sérieuses qu’il peut entraîner en cas de non application commencent à réellement inquiéter les entreprises.
La protection des données personnelles et le respect de la vie privée comptent désormais parmi les droits humains prioritaires du 21e siècle. Les individus s’attendent donc à ce que les organisations à qui ils confient leurs données personnelles agissent au mieux avec éthique et, a minima dans le cadre des lois. Le RGPD est donc une composante essentielle de confiance pour toute relation professionnelle.
PME ou Grands Groupes : tous concernés par le RGPD
Alors qu’à sa mise place, on avait tendance à croire qu’il ne concernerait que les GAFAM (Google, Amazon, Apple, Facebook & Microsoft), on se rend compte que les amendes tombent surtout sur les PME.
Comme en témoignait Alexandra Barberis du Barreau de Marseille*, si le premier objectif du texte était surtout de limiter l’intrusion de ces GAFAM dans nos vies personnelles, “Google n’a pas été le seul à être condamné. En revanche, il a été le premier. L’amende, conséquente, sans être dissuasive, de 50 M€ était fondée sur le défaut de transparence. Les autres entreprises qui ont été sanctionnées sont surtout des PME et des TPE : un bar en Autriche à cause de son système de vidéosurveillance (10.000 €) ».
Toutes les entreprises sont donc potentiellement concernées : en témoignent les 2 044 notifications de violation de données enregistrées en France en un an et 89 271 au niveau européen selon le rapport de la CNIL.
Les grands axes du RGPD – Source : Medinsoft 2018
RGPD et Vidéosurveillance : Quelles formalités selon la CNIL ?
La vidéosurveillance et la vidéoprotection au travail sont aussi dans le giron de la CNIL. Les formalités dépendent du type d’établissement mis sous vidéosurveillance.
Ainsi, pour les systèmes de vidéosurveillance qui filment un lieu non ouvert au public comme les salles des coffres, zones dédiées au personnel, lieux de stockage… aucune déclaration à la CNIL n’est nécessaire. Il est cependant conseillé de solliciter l’assistance du DPO lorsqu’il y en a un, afin de vérifier si une analyse d’impact sur la protection des données (PIA) est nécessaire.
Quoi qu’il en soit, il faudra inscrire le fichier dans le Registre des activités de traitement et informer les collaborateurs comme les visiteurs des conditions dans lesquelles leurs données sont traitées. Ce qui implique de prévoir des mesures de sécurité adaptées au regard des risques éventuels.
S’agissant des systèmes vidéoprotection qui filment un lieu ouvert au public, « l’organisme doit déposer une demande d’autorisation à la préfecture du lieu d’implantation du système » précise la CNIL. Sont concernés : les espaces d’entrée et de sortie du public, les zones marchandes, les comptoirs, les caisses ou les surfaces de vente…
Et dans ce cas, « si le dispositif conduit à la surveillance systématique à grande échelle d’une zone accessible au public, une analyse d’impact doit être effectuée. »
Ranc Développement a mis le RGPD au cœur de ses préoccupations : n’hésitez pas à nous contacter pour adapter vos systèmes déjà en place.
* interview à ReachOut Communication en octobre 2019.