Depuis le 25 mai 2018, le RGPD trouve application. Une des conséquences directes du RGPD est qu’il n’est plus nécessaire de demander l’autorisation préalable de la CNPD pour installer un système de vidéosurveillance.
Bien que l’obligation de demander une autorisation préalable à la CNPD ait été abrogée, les responsables du traitement qui installent ou font installer une vidéosurveillance sont obligés de respecter les principes et obligations qui découlent du RGPD, dont notamment l’obligation de tenir un registre des traitements de données à caractère personnel qui sont effectués sous leur responsabilité[1]. Le traitement de données à caractère personnel découlant de la vidéosurveillance devra dès lors figurer dans ce registre et inclure toutes les informations exigées par l’article 30 du RGPD.
Par ailleurs, contrairement à la loi modifiée du 2 août 2002[2] (abrogée), le RGPD ne définit plus la notion de « surveillance ». Néanmoins, l’installation d’un système de vidéosurveillance qui viserait des salariés est toujours à considérer comme un traitement de données à caractère personnel à des fins de surveillance dans le cadre des relations de travail au sens de l’article L. 261-1 du Code du travail qui doit être respecté par l’employeur.
Sans vouloir prétendre à l’exhaustivité, la CNPD tient en outre à rappeler certains des principes et obligations applicables en matière de vidéosurveillance.