Protection des données : vidéosurveillance - ce dont il faut désormais tenir compte
La nouvelle loi sur la protection des données en Suisse est en vigueur depuis le 1er septembre 2023. Qu'est-ce que cela signifie pour la vidéosurveillance ? L'avocat Jürg Schneider fait le point.
Quel est l'impact de la nouvelle loi sur la protection des données sur la vidéosurveillance ?
Jürg Schneider, docteur en droit, avocat, Walder Wyss AG : Avec la nouvelle loi sur la protection des données (LPD), les données personnelles sont mieux protégées. Cela s'applique bien entendu aussi à la vidéosurveillance et couvre toutes les données qui se rapportent à une personne physique identifiée ou identifiable. La LPD s'applique au traitement des données. Par traitement, on entend toute manipulation de données personnelles : dès que l'on peut identifier une personne sur un enregistrement vidéo, il s'agit de données personnelles. Même l'effacement ou l'anonymisation de telles données relève de la notion de traitement de données personnelles. En cas de doute, il faut toujours partir du principe qu'il s'agit de données personnelles et que la LPD s'applique donc.
Qu'en est-il de la notion de principes de traitement dans la nouvelle LPD ?
Les principes de traitement obligent les entreprises, mais aussi les autorités, à respecter certains principes dès la planification d'une installation de vidéosurveillance, comme par exemple la proportionnalité, la finalité, la transparence ou la sécurité des données, et à veiller à leur respect (voir encadré ci-dessous "Respecter certains principes").
Que signifie l'obligation d'informer prévue par la nouvelle LPD en matière de vidéosurveillance ?
L'article 19 LPD stipule qu'il existe un devoir général d'information et que les responsables doivent informer les personnes concernées de manière adéquate lorsque des données personnelles les concernant sont traitées. Pour donner un exemple concret : Si une personne peut être enregistrée par un système de vidéosurveillance, cette personne doit recevoir des informations sur ce traitement de données - en général au moyen d'une déclaration de protection des données. Dans un premier temps, l'information est fournie par l'exploitant de l'installation, par exemple au moyen d'un panneau "Vidéosurveillance" (voir illustration) : Le nom de l'exploitant responsable et le but de la vidéosurveillance doivent impérativement figurer sur le panneau. Pour de plus amples informations, il convient de renvoyer sur le panneau, pour ainsi dire dans un deuxième temps, à la déclaration de protection des données sur le site web. Cette déclaration de protection des données doit contenir les informations requises par l'article 19 LPD.
Que se passe-t-il si je n'informe pas correctement ou à temps ?
Le préposé fédéral à la protection des données pourrait par exemple ouvrir une enquête. Cela pourrait conduire à devoir adapter ses informations. Celui qui informe intentionnellement de manière erronée, incomplète ou ne donne pas d'informations peut être sanctionné pénalement sur demande. La ou les personnes responsables au sein de l'entreprise risquent alors une amende pouvant aller jusqu'à 250 000 francs. Conclusion : il est recommandé de prendre au sérieux les obligations d'information en matière de protection des données, notamment en ce qui concerne les installations de vidéosurveillance.
A quoi une entreprise de sécurité doit-elle faire attention lorsqu'elle installe et exploite un système de vidéosurveillance pour un tiers ?
Lorsqu'une entreprise de sécurité installe un système de vidéosurveillance pour un client final, qu'elle l'exploite pour le compte de ce dernier et qu'elle a accès à des données personnelles, l'entreprise de sécurité est, selon la LPD, ce qu'on appelle un sous-traitant. Dans ce cas, un contrat de traitement des données de commande (également appelé Data Processing Agreement ou DPA) doit impérativement être conclu entre le client final et l'entreprise de sécurité. Ce DPA doit régler clairement les instructions et les exigences de sécurité du client final que l'entreprise de sécurité doit suivre, ce que l'entreprise de sécurité peut faire avec les données personnelles et où se situent les limites du traitement. Si un contrat de traitement des commandes fait défaut, cela peut également être sanctionné pénalement sur demande.
Quelles sont les particularités à prendre en compte en matière de vidéosurveillance ?
Quiconque exploite une installation et emploie 250 collaborateurs ou plus doit établir et tenir à jour un registre des traitements. Ce registre indique par exemple quelles catégories de données personnelles sont traitées et dans quel but, et à qui les données sont éventuellement transmises. Dans certains cas, le registre de traitement doit être tenu même si l'entreprise compte moins de 250 collaborateurs, à savoir lorsque des données personnelles sensibles sont traitées à grande échelle ou lorsqu'un profilage à haut risque est effectué. Un autre point important est l'analyse d'impact sur la protection des données (art. 22 LPD). Elle doit être établie lorsque le traitement des données personnelles peut entraîner un risque élevé pour la personnalité ou les droits fondamentaux. Un tel risque s'applique par exemple dans le cas de la vidéosurveillance dans des lieux publics, tels que le hall d'une gare, si des données personnelles sont traitées dans ce cadre.
Quelle est la différence entre le régime de protection des données en Suisse et dans l'UE ?
La nouvelle loi sur la protection des données en Suisse applique en principe le principe d'autorisation. Cela signifie que le traitement des données personnelles est autorisé, sauf s'il est interdit. Dans le règlement général de l'UE sur la protection des données (RGPD), l'approche est exactement inverse : le traitement des données personnelles est interdit, sauf s'il est autorisé. Dans la pratique, les exigences en matière de protection des données en Suisse et dans l'UE sont toutefois très similaires, même si l'approche est différente.
Qu'en est-il de ce que l'on appelle le motif justificatif ?
Dans le cas de la vidéosurveillance, le motif justificatif signifie ce qui suit : Si une entreprise a un intérêt prépondérant à la vidéosurveillance, cela constitue généralement un motif justificatif. Dans ce cas, la vidéosurveillance est possible même sans le consentement de la personne concernée. L'intérêt prépondérant est donc par exemple la prévention de délits (p. ex. vol) chez un détaillant ou dans un magasin de montres et de bijoux. J'aimerais encore préciser qu'en cas de vidéosurveillance de collaborateurs - ou si des collaborateurs sont également filmés lors de la vidéosurveillance de tiers - des exigences supplémentaires du droit du travail doivent être respectées, comme c'était le cas jusqu'à présent. Une surveillance vidéo permanente des collaborateurs sur le lieu de travail est en règle générale interdite pour des raisons de santé.
Combien de temps un opérateur peut-il conserver des données de vidéosurveillance ?
Il faut ici à nouveau se référer au principe de proportionnalité déjà mentionné ainsi qu'à l'obligation de détruire ou d'anonymiser les données personnelles dès qu'elles ne sont plus nécessaires au but du traitement. Il y a quelques années, le préposé fédéral à la protection des données a déclaré qu'un enregistrement vidéo ne devait en principe pas être conservé plus de 24 heures. Mais dans la pratique, il s'agit d'un délai très court et le principe de proportionnalité autorise tout à fait une conservation plus longue des données personnelles - notamment lorsqu'il s'agit de prévenir des délits et que, par exemple, les enregistrements vidéo ne doivent être exploités qu'après un acte de vandalisme.
Qui peut avoir accès aux données vidéo ?
En principe, seules les personnes qui doivent travailler avec les données de vidéosurveillance doivent avoir accès à ces dernières. Dans une entreprise de 500 personnes, il s'agit peut-être du responsable de la sécurité et de la direction. Cette règle peut également être déduite du principe de proportionnalité - car le cercle des personnes qui peuvent accéder aux données personnelles doit être aussi restreint que possible.
Que se passe-t-il avec les installations de vidéosurveillance existantes qui ne sont pas encore conformes à la nouvelle LPD ?
La nouvelle loi sur la protection des données est en vigueur depuis le 1er septembre 2023 et doit être respectée à partir de cette date. Il est important de vérifier la conformité des installations de vidéosurveillance existantes et de leur exploitation avec la nouvelle loi sur la protection des données. Les éventuelles lacunes doivent être comblées par l'exploitant. Par exemple, les panneaux d'information et les déclarations de protection des données manquants doivent être installés et rédigés sans délai.
Respecter certains principes
L'exploitant d'une installation de vidéosurveillance doit toujours prendre des mesures de protection techniques et organisationnelles appropriées. Les articles 6 et 8 de la LPD énoncent ces principes :
Transparence : Il doit être reconnaissable que l'on collecte des données personnelles.
Affectation à un but précis : Un traitement de données personnelles doit être effectué dans un but précis. Dans le cas d'une installation de vidéosurveillance dans une bijouterie, il peut s'agir par exemple de la prévention d'un délit.
Proportionnalité : Un traitement de données personnelles doit toujours être approprié et nécessaire à la réalisation de la finalité.
Légalité : Ce principe se réfère à d'autres dispositions juridiques qui ne doivent pas être violées lors d'un traitement de données personnelles - par exemple l'art. 179quater CP, qui interdit entre autres les enregistrements de faits relevant du domaine secret d'une personne sans son consentement.
l'exactitude des données : Les données personnelles doivent toujours être correctes. Si l'on constate par exemple que des données personnelles existantes ne sont pas (plus) correctes, elles doivent être corrigées en conséquence.
la sécurité des données : L'exploitant d'une installation de vidéosurveillance doit par exemple veiller à ce que les données personnelles ne tombent pas entre de mauvaises mains. A l'heure où la cybercriminalité se développe, la sécurité des données revêt une grande importance.