L’article 35 du RGPD requiert qu’une « AIPD » soit effectuée « Lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ».
Le paragraphe 3 de l’article 35 du RGPD prévoit en outre 3 cas dans lesquels une « AIPD » est particulièrement requise. L’un de ces 3 cas vise la « surveillance systématique à grande échelle d’une zone accessible au public ». Dans certaines situations, l’installation d’un système de vidéosurveillance pourrait tomber dans ce cas.
En outre, les Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD)[1] du groupe de travail européen (G29) précisent les 9 critères qu’il y a lieu de prendre en compte pour évaluer si un traitement de données est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, et donc, s’il faut ou non effectuer une « AIPD ». En fonction de l’endroit et du contexte dans lesquels sont mises en œuvre les caméras de vidéosurveillance, plusieurs de ces critères pourraient être remplis, comme par exemple celui du traitement de « données concernant des personnes vulnérables » (salariés, enfants, personnes âgées, etc.), celui de la collecte à large échelle, celui de la « surveillance systématique » ou encore le critère de l’ « utilisation innovante ou [l’]application de solutions technologiques ou organisationnelles ».
La CNPD tient également à attirer l’attention des responsables du traitement sur les lignes directrices 3/2019 de sur le traitement des données à caractère personnel par des dispositifs vidéo, qui précisent que :
« Compte tenu des finalités courantes de la vidéosurveillance (protection de personnes et de biens, détection, prévention et contrôle des infractions, collecte de preuves et identification biométrique des suspects), il est raisonnable de supposer qu’une analyse d’impact relative à la protection des données sera nécessaire dans de nombreux cas de recours à la vidéosurveillance. Par conséquent, il appartient aux responsables du traitement de consulter attentivement ces documents afin de déterminer s’il convient de prévoir une analyse d’impact et de procéder à celle-ci le cas échéant.
Le résultat de l’analyse effectuée devrait orienter le choix du responsable du traitement quant aux mesures de protection des données mises en œuvre. »[2]
---------------------------------------------------------------------------------
[1] Lignes directrices du Groupe de Travail « Article 29 » concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679 (WP 248 rev.01), disponibles à l’adresse suivante : https://ec.europa.eu/newsroom/article29/items/611236
[2] Point 137 des Lignes directrices 3/2019 du Comité européen de la protection des données sur le traitement des données à caractère personnel par des dispositifs vidéo. Disponibles à l’adresse suivante : https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32019-processing-personal-data-through-video_fr