Tout responsable du traitement est obligé de fournir une information aux personnes concernées du traitement de données à caractère personnel qu’il met en œuvre. Cette information doit répondre aux exigences des articles 12 et 13 du RGPD.
Conformément à l’article 12.1 du RGPD, la fourniture d’informations aux personnes concernées et les communications qui leur sont adressées doivent être réalisées d’une façon « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ».
Le mot « fournir » est crucial en l’occurrence et il « signifie que le responsable du traitement doit prendre des mesures concrètes pour fournir les informations en question à la personne concernée ou pour diriger activement la personne concernée vers l’emplacement desdites informations (par exemple au moyen d’un lien direct, d’un code QR, etc.) »[1].
Afin de faciliter la compréhension des personnes concernées sur les traitements de données effectués lors de l'utilisation d’un système de vidéosurveillance, les lignes directrices du Comité européen de la protection des données (CEPD ou EDPB) sur le traitement des données à caractère personnel par des dispositifs vidéo[2] suggèrent de mettre en place une approche à deux niveaux.
Une telle approche consiste à communiquer – dans un premier temps – une série d’informations aux personnes concernées via, par exemple, des panneaux d’affichage (voir point 3.1. Le premier niveau d’information), et puis – dans un second temps – à communiquer via d’autres moyens, l’ensemble des informations requises au titre de l’article 13 du RGPD (voir point 3.2. Le second niveau d’information).
Attention : Si la vidéosurveillance vise des salariés du responsable du traitement, la CNPD attire l’attention des responsables du traitement sur les obligations additionnelles, notamment en matière d’information collective, prévues à l’article L. 261-1 du Code du travail (voir point 5. ci-dessous).
A cet égard, il convient encore de souligner que les salariés doivent être informés individuellement et que la simple information de la délégation du personnel n’assure pas que les salariés aient été informés individuellement sur les éléments précis de l’article 13.1 et 2. du RGPD[3].
3.1. Le premier niveau d’information
Afin d’informer les personnes concernées de la présence d’un système de vidéosurveillance, la CNPD recommande de communiquer, par exemple via des panneaux d’affichages, un premier niveau d’informations contenant :
- l'identité et les coordonnées du responsable du traitement;
- la/les finalité(s) du traitement ;
- l’existence des droits dont disposent les personnes concernées ;
- la mention qu’une information plus complète existe (second niveau d’information) et les moyens d’y accéder (par exemple un hyperlien renvoyant vers le site internet du responsable du traitement, l’utilisation d’un code QR, un numéro de téléphone à appeler ou l’indication de l’emplacement où cette information plus détaillée est disponible.
Ces panneaux d’information doivent être affichés visiblement (à savoir, un panneau avec une taille suffisante) en permanence aux entrées et sorties principales ou dans les alentours du site soumis à la vidéosurveillance et doivent être aisément lisibles à hauteur de tête. Les personnes concernées doivent en principe pouvoir en prendre connaissance avant de pénétrer dans la zone surveillée. Pour une mise en garde rapide et aisée des personnes concernées, le panneau d’affichage est idéalement accompagné de pictogrammes.
3.2. Le second niveau d’information
Le second niveau d’information doit reprendre, de façon détaillée, la totalité des informations requises par l’article 13 du RGPD. Il doit répondre aux standards de l’article 12 du RGPD, et doit donc être rédigé d'une façon concise, transparente, compréhensible, et en des termes clairs et simples. Le second niveau d’information doit être mis à disposition dans un endroit facilement accessible par la personne concernée. Il pourrait éventuellement être fourni ou mis à disposition par d’autres moyens, comme par exemple un exemplaire de la politique de confidentialité envoyé par e-mail aux salariés ou un lien sur le site internet vers une notice d’information pour ce qui concerne les personnes tierces non-salariés[5]. Une version non numérique devrait toujours être disponible pour la personne concernée, par exemple via un document explicatif, qui est mis à disposition par le responsable du traitement.
Pour plus d’informations sur le principe de transparence en matière de vidéosurveillance, nous vous renvoyons au point 7 des lignes directrices 3/2019 de l’EDPB sur le traitement des données à caractère personnel par des dispositifs vidéo[6].
------------------------------------------------------------------------------------
[1] Voir à cet égard le point 33 des Lignes directrices du Groupe de Travail « Article 29 » sur la transparence au sens du règlement (UE) 2016/679 (WP260rev. 01), repris par le Comité européen de la protection des données.
[2] Lignes directrices 3/2019 du Comité européen de la protection des données sur le traitement des données à caractère personnel par des dispositifs vidéo, disponibles à l’adresse suivante : https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32019-processing-personal-data-through-video_fr.
[3] cf. La décision 14FR/2021 du 12 mai 2012 de la formation restreinte de la Commission nationale pour la protection des données, point 47.
[4] Attention : Ce document constitue un exemple (non contraignant) reprenant les informations du premier niveau. Les différentes rubriques doivent être complétées et adaptées en fonction du système de vidéosurveillance mis en œuvre par le responsable du traitement.
[5] cf. la décision 14FR/2021 du 12 mai 2021 de la formation restreinte de la Commission nationale pour la protection des données, point 54.
[6] Disponibles à l’adresse suivante : https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32019-processing-personal-data-thrniveau adapté.