En plus des principes énoncés dans les présentes lignes directrices, l’entièreté des dispositions du RGPD restent, bien entendu, applicables au traitement de données à caractère personnel que constitue la vidéosurveillance.
Ainsi, la CNPD tient notamment à rappeler que si le responsable du traitement a recours à un prestataire de services pour installer ou gérer le dispositif de vidéosurveillance (par exemple, une société de gardiennage), ce prestataire de services sera à considérer comme un sous-traitant au sens de l’article 4, 8) du RGPD, s’il traite des données à caractère personnel pour le compte du responsable du traitement. Dans ce cas, un contrat de sous-traitance répondant aux critères de l’article 28 du RGPD devra être conclu entre le responsable du traitement et le sous-traitant.
Par ailleurs, la CNPD souhaite attirer l’attention des responsables du traitement et des sous-traitants sur l’obligation découlant de l’article 32 du RGPD de mettre en place des mesures techniques et organisationnelles adéquates afin de garantir la sécurité et la confidentialité des données faisant l’objet d’un traitement. Cela signifie notamment que :
- l’accès aux données collectées via le système de vidéosurveillance doit être limité aux seules personnes qui, dans le cadre de leurs fonctions, ont légitimement besoin d’y avoir accès, au vu des finalités poursuivies.
- l’accès aux données doit être sécurisé (moyennant, par exemple, un mot de passe fort et un identifiant) et chaque personne ayant accès aux données doit bénéficier d’un compte d’accès individuel. Un journal des accès doit en outre être disponible, de sorte qu’il soit possible de retracer les personnes ayant accédé aux données, ainsi que les données qui ont été consultées par ces personnes, en cas d’abus.
Pour de plus amples recommandations, y compris concernant les droits des personnes concernées, la CNPD se réfère aux lignes directrices 3/2019 du CEPD sur le traitement des données à caractère personnel par des dispositifs vidéo[1].
En outre, la CNPD tient à rappeler que si un sous-traitant est impliqué (par exemple, une société de gardiennage) dans le cadre de la vidéosurveillance, un contrat de sous-traitance répondant aux critères de l’article 28 du RGPD devra être conclu. Des informations supplémentaires concernant la sous-traitance sont disponibles sur le site de la CNPD[2].
La CNPD souhaite enfin attirer l’attention des responsables du traitement sur l’importance de la question du pays dans lequel sont stockées les images captées par le système de vidéosurveillance, que ce stockage soit réalisé par le responsable du traitement lui-même ou par son sous-traitant (p.ex. en cas de recours vers un sous-traitant proposant une solution avec stockage des images dans le cloud). En effet, si les images sont transférées vers un pays en dehors de l’Union européenne, le responsable du traitement doit respecter les exigences du RGPD en matière de transferts de données vers des pays tiers. D’avantage d’informations sont disponibles sur le site de la CNPD[3].
--------------------------------------------------------------------------------------------------------
[1] Lignes directrices 3/2019 du Comité européen de la protection des données sur le traitement des données à caractère personnel par des dispositifs vidéo, disponibles à l’adresse suivante : https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32019-processing-personal-data-through-video_fr.
[2] https://cnpd.public.lu/fr/professionnels/obligations/soustraitants.html
[3] https://cnpd.public.lu/fr/dossiers-thematiques/transferts-internationaux-donnees-personnelles.html