Depuis le 25 mai 2018, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après : « le RGPD »), trouve application.
Contrairement à la loi modifiée du 2 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel (abrogée par la Loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données), le RGPD ne définit pas la notion de « surveillance ». De plus, une des conséquences directes du RGPD est qu’il n’est plus nécessaire de demander l’autorisation préalable de la CNPD pour installer un système de vidéosurveillance.
Si l’obligation de demander une autorisation préalable à la CNPD a disparu, les responsables du traitement sont maintenant obligés de tenir un registre des traitements de données à caractère personnel qui sont effectués sous leur responsabilité et ce, conformément à l’article 30 du RGPD. Le traitement de données à caractère personnel découlant de la vidéosurveillance devra dès lors y figurer et inclure les informations exigées par l’article 30 du RGPD.
Sans vouloir prétendre à l’exhaustivité, la CNPD tient en outre à rappeler certains principes et certaines obligations applicables en matière de vidéosurveillance.