La vidéosurveillance est l'un des traitements de données à caractère personnel les plus répandus et, dans le même temps, l'un de ceux qui suscitent le plus d'interrogations pratiques. Toute entreprise, copropriété ou établissement qui installe des caméras de sécurité collecte des images de personnes physiques et est donc soumis au Règlement (UE) 2016/679 (RGPD) ainsi qu'à la Loi organique 3/2018 du 5 décembre relative à la protection des données à caractère personnel et à la garantie des droits numériques (LOPDGDD). L'une des obligations les plus visibles — et des plus fréquemment non respectées — est celle d'apposer un panneau d'information de zone de vidéosurveillance. Cet article explique ce que doit contenir ce panneau, comment structurer l'information en couches et où le placer physiquement, en suivant le modèle et les lignes directrices de l'Agencia Española de Protección de Datos (AEPD — Agence espagnole de protection des données).
Pourquoi le panneau de zone de vidéosurveillance est-il obligatoire ?
L'article 13 du RGPD établit l'obligation d'informer la personne concernée lorsque des données à caractère personnel sont collectées directement auprès d'elle. Les images captées par une caméra de sécurité sont des données à caractère personnel dans la mesure où elles permettent d'identifier une personne physique ; le responsable du traitement doit donc informer de manière préalable, claire et accessible sur ce traitement. Dans le contexte de la vidéosurveillance, le respect de l'art. 13 du RGPD s'effectue par le biais du panneau d'information, qui constitue le mécanisme d'information au moment où une personne entre dans la zone couverte par les caméras.
L'article 22 de la LOPDGDD réglemente spécifiquement le traitement des données au moyen de systèmes de vidéosurveillance et exige que les zones couvertes soient dûment signalées. Cette exigence est antérieure au RGPD — elle existait déjà sous le régime de l'instruction 1/2006 de l'AEPD —, mais le cadre actuel lui confère un contenu plus substantiel : un simple pictogramme de caméra ne suffit pas ; le panneau doit inclure des informations spécifiques ou y renvoyer.
Si votre organisation a besoin d'un examen de son système de caméras et de la documentation associée, Summum Consultoría accompagne la mise en conformité des systèmes de vidéosurveillance avec le RGPD pour les entreprises de Castille-et-León et des Îles Canaries.
Le modèle de panneau de l'AEPD : information en couches
L'AEPD a publié le modèle de panneau de zone de vidéosurveillance, qui intègre le système d'information en couches développé à partir du RGPD. Ce système divise l'information en deux niveaux :
- Première couche (panneau physique) : informations de base et essentielles, visibles à première vue à l'entrée de la zone de vidéosurveillance.
- Deuxième couche (informations complètes) : informations détaillées disponibles dans un endroit accessible (par exemple, à la réception, dans l'établissement ou via un code QR renvoyant à la politique de confidentialité).
Cette approche répond au principe de transparence énoncé à l'art. 5.1.a) du RGPD, selon lequel les données à caractère personnel doivent être traitées de manière transparente à l'égard de la personne concernée, ainsi qu'au considérant 60 du même règlement, qui admet que lorsque la quantité d'informations à fournir est importante, des formats en couches peuvent être adoptés.
Contenu minimal du panneau (première couche)
La première couche du panneau de zone de vidéosurveillance doit inclure, au minimum, les éléments suivants :
- Le pictogramme de caméra de vidéosurveillance, reconnaissable et identifiable.
- La mention expresse que « Cette zone est placée sous vidéosurveillance » ou une expression équivalente.
- L'identité du responsable du traitement : le nom ou la raison sociale de l'entreprise ou de l'organisation qui gère les caméras.
- La finalité du traitement : en termes généraux, que les images sont captées à des fins de sécurité, de contrôle d'accès ou d'autres finalités légitimes dûment déterminées.
- La possibilité d'exercer les droits prévus par le RGPD (accès, effacement et autres), avec une indication sur la manière de le faire ou l'endroit où obtenir des informations complémentaires.
- Un renvoi à la politique de confidentialité complète ou à l'endroit où consulter les informations détaillées (deuxième couche), qui peut se concrétiser par un code QR, une URL ou l'indication du lieu physique où elles sont disponibles.
Contenu de la deuxième couche (informations complètes)
Les informations détaillées devant être disponibles dans la deuxième couche comprennent tous les éléments de l'art. 13 du RGPD qui ne peuvent raisonnablement figurer sur le panneau physique :
- Identité complète et coordonnées du responsable du traitement.
- Coordonnées du délégué à la protection des données (DPO), s'il en a été désigné un.
- Finalités spécifiques du traitement et la base juridique sur laquelle il repose (généralement, l'intérêt légitime du responsable en vertu de l'art. 6.1.f) du RGPD, ou le respect d'une obligation légale).
- Durée de conservation des images (l'art. 22.3 de la LOPDGDD fixe une durée maximale de conservation d'un mois dans les installations de sécurité ordinaires, sauf lorsqu'elles doivent être conservées pour prouver la commission d'actes portant atteinte à l'intégrité des personnes, des biens ou pour d'autres finalités justifiant leur conservation).
- Si des images sont transmises à des tiers (forces de l'ordre, par exemple) et dans quelles circonstances.
- Les droits de la personne concernée : accès, rectification, effacement, limitation du traitement, portabilité et opposition, ainsi que le droit d'introduire une réclamation auprès de l'AEPD.
Tableau comparatif : première et deuxième couche du panneau
| Élément d'information | Première couche (panneau) | Deuxième couche (politique complète) |
|---|---|---|
| Pictogramme de caméra | Obligatoire | Sans objet |
| Mention « zone de vidéosurveillance » | Obligatoire | Sans objet |
| Identité du responsable | Nom / raison sociale | Nom complet, numéro d'identification fiscale et adresse |
| Coordonnées du DPO | Facultatif (recommandé si un DPO existe) | Obligatoire si un DPO a été désigné |
| Finalité | Description brève (sécurité, contrôle d'accès…) | Description détaillée de chaque finalité |
| Base juridique | Non requise sur le panneau | Obligatoire (art. 13.1.c RGPD) |
| Durée de conservation | Non requise sur le panneau | Obligatoire (max. 1 mois en règle générale) |
| Transmission à des tiers | Non requise sur le panneau | Obligatoire si elle a lieu |
| Droits et modalités d'exercice | Mention générale + renvoi | Description complète de chaque droit |
| Droit de réclamation auprès de l'AEPD | Non requis sur le panneau | Obligatoire (art. 13.2.d RGPD) |
Où le panneau doit-il être placé ?
L'emplacement du panneau est aussi important que son contenu. La personne doit pouvoir voir la signalisation avant d'entrer dans la zone couverte par les caméras, afin de pouvoir décider en connaissance de cause si elle y accède. Quelques critères pratiques que l'AEPD a réitérés dans ses résolutions et guides :
- À l'entrée de chaque zone de vidéosurveillance, à une hauteur et d'une taille suffisantes pour être lisibles sans avoir à s'approcher.
- Le nombre de panneaux doit être proportionnel à la taille de l'espace et à la disposition des caméras : si un établissement possède plusieurs entrées, chacune doit avoir son propre panneau.
- Dans les espaces extérieurs ou à trafic intense (parkings, zones de chargement), le panneau doit être de dimensions plus importantes et placé à hauteur des yeux.
- Si les caméras couvrent des zones distinctes au sein d'un même établissement (zone de caisse, zone de stockage, etc.), chaque espace doit être signalisé indépendamment.
- Le panneau ne peut pas être placé à l'intérieur de la zone déjà couverte par la caméra : il doit se trouver sur le périmètre d'accès, et non à l'intérieur.
Une erreur fréquente consiste à placer le panneau dans un endroit discret ou peu visible pour ne pas « gâcher » l'esthétique de l'établissement. Cela n'est pas acceptable du point de vue réglementaire : la signalisation doit être facilement perceptible par le public qui accède à la zone.
Données du responsable devant figurer sur le panneau
L'identification du responsable est l'un des éléments le plus fréquemment omis ou inclus de façon incomplète. L'article 13.1.a) du RGPD exige que soient fournis l'identité et les coordonnées du responsable du traitement. Sur le panneau (première couche), le nom ou la raison sociale est suffisant ; dans les informations complètes (deuxième couche), le numéro d'identification fiscale, l'adresse postale et au moins un moyen de contact électronique ou téléphonique doivent également figurer.
Lorsque le responsable a désigné un délégué à la protection des données (DPO), l'art. 13.1.b) du RGPD impose également de communiquer ses coordonnées dans les informations fournies à la personne concernée. Cela ne signifie pas que le nom du DPO doit apparaître sur le panneau physique, mais il doit figurer dans la politique de confidentialité de deuxième couche.
Si le traitement est effectué par un sous-traitant (par exemple, une entreprise de sécurité privée qui gère le système de caméras pour le compte de l'entreprise cliente), le responsable du traitement reste l'entreprise qui commande le service ; le panneau doit identifier cette dernière, et non l'entreprise de sécurité. La relation avec le sous-traitant doit être régie par le contrat de sous-traitance correspondant prévu à l'art. 28 du RGPD.
Base juridique du traitement par vidéosurveillance
La base juridique habilitant le traitement des images captées par des caméras de sécurité varie selon la finalité et le titulaire de l'installation :
- Intérêt légitime (art. 6.1.f RGPD) : il s'agit de la base habituelle pour les entreprises privées qui installent des caméras à des fins de sécurité ou de contrôle d'accès. Elle exige de réussir un test d'équilibre : l'intérêt du responsable doit l'emporter sur les droits et libertés des personnes concernées, compte tenu des attentes raisonnables de ces dernières.
- Respect d'une obligation légale (art. 6.1.c RGPD) : lorsque la réglementation sectorielle impose l'installation de systèmes de vidéosurveillance (établissements de jeux, établissements financiers, infrastructures critiques, etc.).
- Mission d'intérêt public (art. 6.1.e RGPD) : pour les organismes publics qui installent des caméras dans l'exercice de leurs missions de sécurité publique ou d'ordre public, dans le cadre additionnel de la Loi organique 4/1997 et de la législation sur la sécurité privée.
La base juridique n'apparaît pas sur le panneau de première couche, mais elle doit figurer dans la politique de confidentialité complète et dans le registre des activités de traitement que le responsable est tenu de maintenir conformément à l'art. 30 du RGPD.
Durée de conservation des images
L'article 22.3 de la LOPDGDD dispose que les images captées par des caméras de vidéosurveillance doivent être supprimées dans un délai maximal d'un mois à compter de leur captation, sauf lorsqu'elles doivent être conservées pour prouver la commission d'actes portant atteinte à l'intégrité des personnes ou des biens ou pour d'autres finalités justifiant leur conservation. Dans ces cas, les images doivent être mises à la disposition des forces de l'ordre ou des juridictions compétentes.
Ce délai d'un mois constitue un apport notable par rapport au régime antérieur. Avant la LOPDGDD, l'instruction 1/2006 de l'AEPD fixait déjà la durée maximale de conservation à un mois pour les caméras de sécurité privée, délai qui a désormais valeur de loi organique. En pratique, de nombreux systèmes de vidéosurveillance sont configurés avec des cycles d'enregistrement de 7, 15 ou 30 jours : tous sont conformes, mais la limite absolue est de 30 jours.
Si vous devez vérifier la configuration technique de votre système de caméras pour vous assurer que les cycles de suppression sont conformes à la LOPDGDD, l'équipe de mise en conformité de la vidéosurveillance avec le RGPD de Summum Consultoría peut vous accompagner dans cette démarche sans interrompre votre activité.
Droits des personnes concernées en matière de vidéosurveillance
Les personnes captées par des caméras de vidéosurveillance sont des personnes concernées à toutes fins utiles au regard du RGPD et peuvent exercer leurs droits à l'encontre du responsable du traitement. Les droits les plus pertinents dans ce contexte sont :
- Droit d'accès (art. 15 RGPD) : la personne concernée peut demander une copie des images sur lesquelles elle apparaît. La difficulté pratique réside dans le fait que les enregistrements incluent généralement des images de tierces personnes ; le responsable doit faciliter l'accès en respectant la vie privée de ces tiers (par exemple, en floutant les autres individus).
- Droit à l'effacement (art. 17 RGPD) : la personne concernée peut demander la suppression de ses images. Bien qu'il ne soit pas toujours techniquement possible d'isoler les images d'une personne précise, le responsable doit examiner chaque demande et répondre avec une motivation.
- Droit d'opposition (art. 21 RGPD) : si la base juridique est l'intérêt légitime, la personne concernée peut s'opposer au traitement pour des raisons tenant à sa situation particulière. Le responsable ne peut continuer à traiter les données que s'il démontre des motifs légitimes impérieux qui prévalent sur les intérêts de la personne concernée.
- Droit de réclamation auprès de l'AEPD : toute personne concernée peut introduire une réclamation auprès de l'Agence espagnole de protection des données si elle estime que le traitement de ses images enfreint le RGPD ou la LOPDGDD.
Le responsable doit établir une procédure claire pour traiter ces demandes et répondre dans un délai d'un mois à compter de la réception (art. 12.3 RGPD), prorogeable de deux mois supplémentaires dans les cas complexes.
Erreurs les plus fréquentes dans les panneaux de vidéosurveillance
Sur la base des résolutions et des procédures antérieures de l'AEPD, les manquements les plus courants liés à la signalisation de vidéosurveillance sont :
- Absence totale du panneau d'information.
- Panneau comportant uniquement le pictogramme de caméra, sans aucune donnée d'identification du responsable ni indication sur la manière d'exercer les droits.
- Informations de deuxième couche inexistantes ou inaccessibles (la politique de confidentialité ne mentionne pas la vidéosurveillance).
- Panneau placé à l'intérieur de la zone déjà couverte par la caméra, plutôt qu'à l'accès de la zone.
- Identification incorrecte du responsable (l'entreprise de sécurité est mentionnée comme responsable au lieu de l'entreprise titulaire de l'installation).
- Omission de la durée de conservation des images dans les informations de deuxième couche.
- Utilisation de panneaux de l'ancienne réglementation (instruction 1/2006) n'incluant pas les informations exigées par le RGPD et la LOPDGDD.
Le régime de sanctions de l'art. 83 du RGPD peut atteindre, pour les infractions relatives aux principes du traitement (art. 5) et aux conditions de consentement et d'information (art. 13), jusqu'à 20 000 000 EUR ou 4 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu, pour les infractions les plus graves. Les infractions moins graves peuvent être sanctionnées jusqu'à 10 000 000 EUR ou 2 % du chiffre d'affaires annuel. Le niveau précis dépend des circonstances de chaque cas et des critères de l'art. 83.2 du RGPD (nature, gravité, durée, degré de coopération, catégories de données concernées, etc.).
Questions fréquentes
Le panneau de zone de vidéosurveillance doit-il être présent à toutes les entrées de l'établissement ?
Oui. L'AEPD exige que la signalisation soit effective, ce qui implique que toute personne susceptible d'être captée par les caméras ait eu la possibilité de voir le panneau avant d'entrer dans la zone surveillée. Si l'établissement possède plusieurs entrées ou si les caméras couvrent des zones distinctes au sein du même espace, chaque accès doit disposer de son propre panneau. Un seul panneau à l'entrée principale ne suffit pas si d'autres zones de l'établissement sont équipées de caméras et sont accessibles par des portes différentes.
Est-il suffisant d'apposer uniquement le pictogramme de caméra sans autre information ?
Non. Un simple pictogramme sans données du responsable ni indication sur la manière d'exercer les droits est insuffisant au regard du RGPD et de la LOPDGDD. L'article 13 du RGPD exige de fournir des informations sur l'identité du responsable, la finalité du traitement et les droits de la personne concernée ; en matière de vidéosurveillance, cela s'articule par le modèle d'information en couches, dans lequel le panneau physique doit inclure au moins l'identité du responsable et un renvoi aux informations complètes.
Combien de temps les enregistrements des caméras de sécurité peuvent-ils être conservés ?
L'article 22.3 de la LOPDGDD fixe une durée maximale d'un mois à compter de la captation des images. Passé ce délai, les enregistrements doivent être supprimés, sauf s'ils doivent être conservés pour prouver la commission d'actes portant atteinte à des personnes ou à des biens, auquel cas ils seront mis à la disposition des autorités compétentes. Les systèmes courants avec des cycles de 7, 15 ou 30 jours sont conformes à cette exigence, à condition que l'écrasement ou la suppression automatique intervienne dans le délai d'un mois.
Que se passe-t-il si l'entreprise de sécurité contractée gère les images ?
Lorsqu'une entreprise confie la gestion du système de vidéosurveillance à une société de sécurité privée, cette société de sécurité agit en tant que sous-traitant au sens de l'art. 28 du RGPD. Le responsable du traitement reste l'entreprise donneuse d'ordre, qui détermine les finalités et les moyens du traitement. Le panneau doit identifier l'entreprise donneuse d'ordre — et non la société de sécurité — comme responsable, et la relation entre les deux doit être régie par un contrat de sous-traitance incluant les garanties de l'art. 28 du RGPD : finalités, mesures de sécurité, sous-traitance ultérieure, restitution ou destruction des données à la fin du service, et obligation de notifier les violations de données sans retard injustifié.