Les objets connectés et les solutions de télésurveillance (parfois désignées sous les appellations vidéoprotection ou vidéosurveillance) font désormais partie de notre quotidien. Ces technologies captent en permanence des quantités importantes de données personnelles, grâce aux caméras et aux micros. Quels traitements et utilisations en font les opérateurs et constructeurs ? Les données peuvent-elles être utilisées à votre insu ? Est-il possible d’effectuer une intervention pour les récupérer ? Existe-t-il un cadre juridique protecteur ? Découvrez les réponses à ces questions légitimes.
Télésurveillance et vidéoprotection en entreprise : quel cadre juridique ?
Tous les textes législatifs français et européens sur le sujet sont unanimes. Plusieurs démarches sont à effectuer au préalable avant d’envisager l’installation de systèmes de caméras de surveillance. Il s’agit de réconcilier les dispositifs de télésurveillance et la sécurité des données.
Le code de la sécurité intérieure prévoit ainsi une demande d’autorisation auprès des services de la Préfecture. En parallèle, les responsables du projet (employeur, commune, etc.) devront réaliser une étude d’impact ayant pour sujet la préservation des droits et libertés de chacun, potentiellement menacés par les nouvelles installations.
Dans un second temps, il faut informer le public de l’installation des caméras. La communication doit porter sur plusieurs niveaux d’information, tels que la durée de conservation des images et le rappel des droits des usagers, comme la possibilité de saisir la CNIL.
Dès que le système est opérationnel, il appartient au responsable de procéder à la sécurisation, puis à la destruction des enregistrements une fois le délai légal de conservation expiré. Ce dernier doit également répondre à toute demande d’accès en respectant les droits des tiers.
La législation relative aux objets connectés
Les objets connectés, comme la télésurveillance, font partie des solutions pour les entreprises et les particuliers les plus innovantes du moment. Pourtant, le législateur s’interroge depuis plusieurs années à leur sujet (installations, prestations ou encore prévention et protection des droits).
Le tout premier cadre juridique a été établi par la loi Informatique et Libertés en date du 6 janvier 1978. Celle-ci a évolué au fil du temps, sous l’impulsion des différents ministères et du Parlement européen. La mesure la plus significative est sans doute l’introduction du RGPD (Règlement Général sur la Protection des Données) à tous les États membres le 25 mai 2018.
Qu’en est-il des données personnelles ?
Le législateur français impose un principe de loyauté à tout collecteur de données via des objets connectés. Celui-ci s’accompagne alors d’un devoir d’information de l’utilisateur. Au niveau européen, deux autres principes se dégagent :
- Le “Privacy by design” : dès la conception du projet, les notions de protection et de confidentialité des données doivent être définies.
- Le “Privacy by default” : impose une récolte d’information minimaliste afin de protéger au mieux l’utilisateur.