Videoprotection vs Videosurveillance

Petit rappel sur les obligations en matière de Vidéoprotection et de Vidéosurveillance.

Ces dispositifs, sensibles pour la vie privée des personnes sont soumis à la loi et au contrôle de la CNIL. On parle de Vidéoprotection pour les lieux ouverts au public et de vidéosurveillance pour les lieux fermés et privés.

La finalité la plus commune reste la sécurité des biens et des personnes. Les traitements vidéos sont régis par le code pénal (art 228) : on ne peut effectuer de surveillance à l’insu des personnes.

Obligation de confidentialité :

  • Habilitations : elles concernent les personnes qui visionne les images qui doivent être habilitées,
  • Durée de conservation 1 mois (30 jours),
  • Périmètre : uniquement filmer les espaces communs,
  • Système de reconnaissance faciale interdit (sauf dérogation),
  • Sécurité : les images doivent être sécurisées (accès, stockage),
  • Sous traitance : l’exploitation par un tiers nécessite des clauses de ST blindées

Formalités RGPD :

  • Vidéoprotection :
    • Autorisation préfectorale – formulaire cerfa, en principe pour les autorités publiques
    • Registre (rapport de présentation + plan (masse + détail ou périmètre) + si complexe description du dispositif (transmission, enregistrement, traitement des images, agrément si tiers, liste si plus de 4 personnes) + attestation de conformité au système
    • Panneau d'information
  • Vidéosurveillance :
    • plus de déclaration mais récupérer NS20 pour registre si existant pour les bailleurs sociaux.

Attention : les enregistrements vidéos (et encore plus avec le son) sont rapidement des données à caractères sensibles. Ne pas les prendre en compte dans un PIA selon la finalité est considéré comme une faute lourde.

Infractions & sanctions

  • Type d’infraction:
    • Non information
    • Non déclaration
    • Durée excessive
    • Position et/ou nombre des caméras (non respect du principe de proportionnalité)
    • Sécurité insuffisante
    • Pas de clause de sous-traitance
  • Les sanctions: 
    • Injonction de cesser le traitement
    • Mise en demeure (interpellation formelle d’exécuter une obligation)
    • Avertissement
    • Sanction financière (avant RGPD 15.000€ - avec RGPD 1 million d'euros ou 2% du CA mondial annuel, la somme retenue étant la plus élevée)
    • Publication de la sanction.