Zone de vidéosurveillance : affichage et obligations AEPD

·

La vidéosurveillance est l'un des traitements de données à caractère personnel les plus répandus et, dans le même temps, l'un de ceux qui suscitent le plus d'interrogations pratiques. Toute entreprise, copropriété ou établissement qui installe des caméras de sécurité collecte des images de personnes physiques et est donc soumis au Règlement (UE) 2016/679 (RGPD) ainsi qu'à la Loi organique 3/2018 du 5 décembre relative à la protection des données à caractère personnel et à la garantie des droits numériques (LOPDGDD). L'une des obligations les plus visibles — et des plus fréquemment non respectées — est celle d'apposer un panneau d'information de zone de vidéosurveillance. Cet article explique ce que doit contenir ce panneau, comment structurer l'information en couches et où le placer physiquement, en suivant le modèle et les lignes directrices de l'Agencia Española de Protección de Datos (AEPD — Agence espagnole de protection des données).

Pourquoi le panneau de zone de vidéosurveillance est-il obligatoire ?

L'article 13 du RGPD établit l'obligation d'informer la personne concernée lorsque des données à caractère personnel sont collectées directement auprès d'elle. Les images captées par une caméra de sécurité sont des données à caractère personnel dans la mesure où elles permettent d'identifier une personne physique ; le responsable du traitement doit donc informer de manière préalable, claire et accessible sur ce traitement. Dans le contexte de la vidéosurveillance, le respect de l'art. 13 du RGPD s'effectue par le biais du panneau d'information, qui constitue le mécanisme d'information au moment où une personne entre dans la zone couverte par les caméras.

L'article 22 de la LOPDGDD réglemente spécifiquement le traitement des données au moyen de systèmes de vidéosurveillance et exige que les zones couvertes soient dûment signalées. Cette exigence est antérieure au RGPD — elle existait déjà sous le régime de l'instruction 1/2006 de l'AEPD —, mais le cadre actuel lui confère un contenu plus substantiel : un simple pictogramme de caméra ne suffit pas ; le panneau doit inclure des informations spécifiques ou y renvoyer.

Si votre organisation a besoin d'un examen de son système de caméras et de la documentation associée, Summum Consultoría accompagne la mise en conformité des systèmes de vidéosurveillance avec le RGPD pour les entreprises de Castille-et-León et des Îles Canaries.

Le modèle de panneau de l'AEPD : information en couches

L'AEPD a publié le modèle de panneau de zone de vidéosurveillance, qui intègre le système d'information en couches développé à partir du RGPD. Ce système divise l'information en deux niveaux :

Cette approche répond au principe de transparence énoncé à l'art. 5.1.a) du RGPD, selon lequel les données à caractère personnel doivent être traitées de manière transparente à l'égard de la personne concernée, ainsi qu'au considérant 60 du même règlement, qui admet que lorsque la quantité d'informations à fournir est importante, des formats en couches peuvent être adoptés.

Contenu minimal du panneau (première couche)

La première couche du panneau de zone de vidéosurveillance doit inclure, au minimum, les éléments suivants :

  1. Le pictogramme de caméra de vidéosurveillance, reconnaissable et identifiable.
  2. La mention expresse que « Cette zone est placée sous vidéosurveillance » ou une expression équivalente.
  3. L'identité du responsable du traitement : le nom ou la raison sociale de l'entreprise ou de l'organisation qui gère les caméras.
  4. La finalité du traitement : en termes généraux, que les images sont captées à des fins de sécurité, de contrôle d'accès ou d'autres finalités légitimes dûment déterminées.
  5. La possibilité d'exercer les droits prévus par le RGPD (accès, effacement et autres), avec une indication sur la manière de le faire ou l'endroit où obtenir des informations complémentaires.
  6. Un renvoi à la politique de confidentialité complète ou à l'endroit où consulter les informations détaillées (deuxième couche), qui peut se concrétiser par un code QR, une URL ou l'indication du lieu physique où elles sont disponibles.

Contenu de la deuxième couche (informations complètes)

Les informations détaillées devant être disponibles dans la deuxième couche comprennent tous les éléments de l'art. 13 du RGPD qui ne peuvent raisonnablement figurer sur le panneau physique :

Tableau comparatif : première et deuxième couche du panneau

Élément d'information Première couche (panneau) Deuxième couche (politique complète)
Pictogramme de caméra Obligatoire Sans objet
Mention « zone de vidéosurveillance » Obligatoire Sans objet
Identité du responsable Nom / raison sociale Nom complet, numéro d'identification fiscale et adresse
Coordonnées du DPO Facultatif (recommandé si un DPO existe) Obligatoire si un DPO a été désigné
Finalité Description brève (sécurité, contrôle d'accès…) Description détaillée de chaque finalité
Base juridique Non requise sur le panneau Obligatoire (art. 13.1.c RGPD)
Durée de conservation Non requise sur le panneau Obligatoire (max. 1 mois en règle générale)
Transmission à des tiers Non requise sur le panneau Obligatoire si elle a lieu
Droits et modalités d'exercice Mention générale + renvoi Description complète de chaque droit
Droit de réclamation auprès de l'AEPD Non requis sur le panneau Obligatoire (art. 13.2.d RGPD)

Où le panneau doit-il être placé ?

L'emplacement du panneau est aussi important que son contenu. La personne doit pouvoir voir la signalisation avant d'entrer dans la zone couverte par les caméras, afin de pouvoir décider en connaissance de cause si elle y accède. Quelques critères pratiques que l'AEPD a réitérés dans ses résolutions et guides :

Une erreur fréquente consiste à placer le panneau dans un endroit discret ou peu visible pour ne pas « gâcher » l'esthétique de l'établissement. Cela n'est pas acceptable du point de vue réglementaire : la signalisation doit être facilement perceptible par le public qui accède à la zone.

Données du responsable devant figurer sur le panneau

L'identification du responsable est l'un des éléments le plus fréquemment omis ou inclus de façon incomplète. L'article 13.1.a) du RGPD exige que soient fournis l'identité et les coordonnées du responsable du traitement. Sur le panneau (première couche), le nom ou la raison sociale est suffisant ; dans les informations complètes (deuxième couche), le numéro d'identification fiscale, l'adresse postale et au moins un moyen de contact électronique ou téléphonique doivent également figurer.

Lorsque le responsable a désigné un délégué à la protection des données (DPO), l'art. 13.1.b) du RGPD impose également de communiquer ses coordonnées dans les informations fournies à la personne concernée. Cela ne signifie pas que le nom du DPO doit apparaître sur le panneau physique, mais il doit figurer dans la politique de confidentialité de deuxième couche.

Si le traitement est effectué par un sous-traitant (par exemple, une entreprise de sécurité privée qui gère le système de caméras pour le compte de l'entreprise cliente), le responsable du traitement reste l'entreprise qui commande le service ; le panneau doit identifier cette dernière, et non l'entreprise de sécurité. La relation avec le sous-traitant doit être régie par le contrat de sous-traitance correspondant prévu à l'art. 28 du RGPD.

Base juridique du traitement par vidéosurveillance

La base juridique habilitant le traitement des images captées par des caméras de sécurité varie selon la finalité et le titulaire de l'installation :

La base juridique n'apparaît pas sur le panneau de première couche, mais elle doit figurer dans la politique de confidentialité complète et dans le registre des activités de traitement que le responsable est tenu de maintenir conformément à l'art. 30 du RGPD.

Durée de conservation des images

L'article 22.3 de la LOPDGDD dispose que les images captées par des caméras de vidéosurveillance doivent être supprimées dans un délai maximal d'un mois à compter de leur captation, sauf lorsqu'elles doivent être conservées pour prouver la commission d'actes portant atteinte à l'intégrité des personnes ou des biens ou pour d'autres finalités justifiant leur conservation. Dans ces cas, les images doivent être mises à la disposition des forces de l'ordre ou des juridictions compétentes.

Ce délai d'un mois constitue un apport notable par rapport au régime antérieur. Avant la LOPDGDD, l'instruction 1/2006 de l'AEPD fixait déjà la durée maximale de conservation à un mois pour les caméras de sécurité privée, délai qui a désormais valeur de loi organique. En pratique, de nombreux systèmes de vidéosurveillance sont configurés avec des cycles d'enregistrement de 7, 15 ou 30 jours : tous sont conformes, mais la limite absolue est de 30 jours.

Si vous devez vérifier la configuration technique de votre système de caméras pour vous assurer que les cycles de suppression sont conformes à la LOPDGDD, l'équipe de mise en conformité de la vidéosurveillance avec le RGPD de Summum Consultoría peut vous accompagner dans cette démarche sans interrompre votre activité.

Droits des personnes concernées en matière de vidéosurveillance

Les personnes captées par des caméras de vidéosurveillance sont des personnes concernées à toutes fins utiles au regard du RGPD et peuvent exercer leurs droits à l'encontre du responsable du traitement. Les droits les plus pertinents dans ce contexte sont :

Le responsable doit établir une procédure claire pour traiter ces demandes et répondre dans un délai d'un mois à compter de la réception (art. 12.3 RGPD), prorogeable de deux mois supplémentaires dans les cas complexes.

Erreurs les plus fréquentes dans les panneaux de vidéosurveillance

Sur la base des résolutions et des procédures antérieures de l'AEPD, les manquements les plus courants liés à la signalisation de vidéosurveillance sont :

Le régime de sanctions de l'art. 83 du RGPD peut atteindre, pour les infractions relatives aux principes du traitement (art. 5) et aux conditions de consentement et d'information (art. 13), jusqu'à 20 000 000 EUR ou 4 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu, pour les infractions les plus graves. Les infractions moins graves peuvent être sanctionnées jusqu'à 10 000 000 EUR ou 2 % du chiffre d'affaires annuel. Le niveau précis dépend des circonstances de chaque cas et des critères de l'art. 83.2 du RGPD (nature, gravité, durée, degré de coopération, catégories de données concernées, etc.).

Questions fréquentes

Le panneau de zone de vidéosurveillance doit-il être présent à toutes les entrées de l'établissement ?

Oui. L'AEPD exige que la signalisation soit effective, ce qui implique que toute personne susceptible d'être captée par les caméras ait eu la possibilité de voir le panneau avant d'entrer dans la zone surveillée. Si l'établissement possède plusieurs entrées ou si les caméras couvrent des zones distinctes au sein du même espace, chaque accès doit disposer de son propre panneau. Un seul panneau à l'entrée principale ne suffit pas si d'autres zones de l'établissement sont équipées de caméras et sont accessibles par des portes différentes.

Est-il suffisant d'apposer uniquement le pictogramme de caméra sans autre information ?

Non. Un simple pictogramme sans données du responsable ni indication sur la manière d'exercer les droits est insuffisant au regard du RGPD et de la LOPDGDD. L'article 13 du RGPD exige de fournir des informations sur l'identité du responsable, la finalité du traitement et les droits de la personne concernée ; en matière de vidéosurveillance, cela s'articule par le modèle d'information en couches, dans lequel le panneau physique doit inclure au moins l'identité du responsable et un renvoi aux informations complètes.

Combien de temps les enregistrements des caméras de sécurité peuvent-ils être conservés ?

L'article 22.3 de la LOPDGDD fixe une durée maximale d'un mois à compter de la captation des images. Passé ce délai, les enregistrements doivent être supprimés, sauf s'ils doivent être conservés pour prouver la commission d'actes portant atteinte à des personnes ou à des biens, auquel cas ils seront mis à la disposition des autorités compétentes. Les systèmes courants avec des cycles de 7, 15 ou 30 jours sont conformes à cette exigence, à condition que l'écrasement ou la suppression automatique intervienne dans le délai d'un mois.

Que se passe-t-il si l'entreprise de sécurité contractée gère les images ?

Lorsqu'une entreprise confie la gestion du système de vidéosurveillance à une société de sécurité privée, cette société de sécurité agit en tant que sous-traitant au sens de l'art. 28 du RGPD. Le responsable du traitement reste l'entreprise donneuse d'ordre, qui détermine les finalités et les moyens du traitement. Le panneau doit identifier l'entreprise donneuse d'ordre — et non la société de sécurité — comme responsable, et la relation entre les deux doit être régie par un contrat de sous-traitance incluant les garanties de l'art. 28 du RGPD : finalités, mesures de sécurité, sous-traitance ultérieure, restitution ou destruction des données à la fin du service, et obligation de notifier les violations de données sans retard injustifié.