Juristendance Informatique et libertés n° 85 – 2019

Juristendance Informatique et Libertés 85Voici un résumé de ce qui s’est passé ces dernières semaines (à retrouver dans notre Juristendance Informatique et libertés bimestrielle) :

  • Vidéoprotection et vidéosurveillance : quelle distinction pour quels régimes ?
  • Blockchain et RGPD : les premiers éléments d’analyse de la Cnil
  • Réseaux sociaux : qui est propriétaire des données collectées ?
  • Données de géolocalisation: mises en demeure FIDZUP et SINGLESPOT
  • Système de géolocalisation de salariés : conditions de mise en place
  • RGPD : les labels Cnil attribués au cabinet Lexing en 2018
  • Algorithmes autoapprenants interdits de prise de décision
  • La sécurité européenne n’est pas négociable
  • Le statut de lanceur d’alerte reconnu aux inspecteurs du travail
  • La réécriture de la loi Informatique et libertés par ordonnance

Restez au cœur de l’actualité législative et jurisprudentielle en ce début d’année avec également :

Les articles Juristendance sont mis en ligne gratuitement. Pour recevoir notre lettre électronique : inscription en ligne.

Lettre Juristendance Informatique et libertés n°85 Janvier-Février 2019.

N’hésitez pas à nous suivre également sur nos réseaux sociaux et notre site internet




Les impacts du RGPD dans les métiers de la sécurité

RGPD dans les métiers de la sécuritéEric Le Quellenec, invité d’honneur de Préventica, présente les impacts du RGPD dans les métiers de la sécurité pour ce salon des professionnels de la sécurité tant en France qu’en Afrique.

Eric Le Quellenec est intervenu aux côtés de Luc Jouve président de la fédération GPMSE Télésurveillance sur les impacts du RGPD dans les métiers de la sécurité : du vendeur de caméras de vidéo-surveillance ou vidéo-protection, en passant par le cabinet d’études et l’installateur.

A la lumière du guide du sous-traitant publié en 2017 par la Cnil, la question de la qualification de la sous-traitance a d’abord été évoquée.

Animée par Virginie Cadieu, cette table-ronde a également permis de mettre en lumière les bonnes pratiques contractuelles et organisationnelles pour chacune de ces professions.

Enfin, les sanctions encourues à différents niveaux ont été abordées.

Il est à noter qu’Eric Le Quellenec participe actuellement aux travaux du GPMSE sur un guide juridique pratique sur ces enjeux.

Eric Bonnet
Directeur du Département Communication juridique

Voir la vidéo : « Les impacts du RGPD dans les métiers de la sécurité »  tournée à l’occasion du salon Préventica, référence des professionnels de la sécurité, congrès de Strasbourg du 8 novembre 2017.




Cadre législatif de l’utilisation des caméras piétons

caméras piétonsL’usage de caméras piétons fait l’objet d’une expérimentation par la police et la gendarmerie qui a débuté en 2012. Ces caméras ont pour but de filmer les interventions des agents de la police nationale et des militaires de la gendarmerie nationale. Leur utilisation fait l’objet d’un encadrement législatif depuis 2016.

En effet, elle est spécifiquement régie par l’article L. 241-1 du Code de la sécurité intérieure, issu de la loi n°2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale. Cette loi a été complétée par un décret du 23 décembre 2016 (1).

Etendue de l’utilisation des caméras piétons

Les forces de l’ordre peuvent procéder à l’enregistrement de leurs interventions :

  • en tous lieux ;
  • dans le cadre de leurs missions de police administrative ou judiciaire ;
  • en fonction de leur appréciation des circonstances de l’intervention et du comportement des personnes concernées.

Avant l’adoption du décret (1) portant application de l’article L. 241-1 du Code la sécurité intérieure, la Cnil a été consultée.

Dans sa délibération du 8 décembre 2016 (2), après avoir relevé la possibilité pour les policiers et gendarmes d’utiliser les caméras piétons « en tous lieux », la Cnil avait précisé que :

« le ministère devrait prévoir des règles spécifiques lorsque celles-ci sont utilisées au sein de lieux d’habitation, comme restreindre la possibilité de le faire à certaines circonstances et garantir une information individuelle systématique de la personne concernée, le cas échéant, à l’issue de l’intervention ».

Ces recommandations n’ont pas été suivies par le ministère de l’intérieur qui a toutefois promis qu’une « doctrine d’emploi » des caméras piétons serait élaborée.

Finalités et contenu des enregistrements

Les caméras-piétons sont utilisées aux fins de :

  • prévention des incidents au cours des interventions ;
  • constat des infractions et poursuite de leurs auteurs par la collecte de preuves ;
  • formation des agents.

Les données et informations qui sont enregistrées par les caméras piétons sont :

  • les images et le son de l’incident ;
  • le jour et les plages horaires d’enregistrement ;
  • l’identification de l’agent ou du militaire portant la caméra ainsi que du lieu où ont été collectées les données.

Protection des personnes filmées

Dans le but de protéger les personnes concernées par un enregistrement, les caméras doivent être portées de manière apparente, généralement sur l’uniforme au niveau du torse. Les personnes filmées doivent également être informées du déclenchement de l’enregistrement, sauf si les circonstances l’interdisent.

Protection des données enregistrées

Afin de les protéger, ces informations ne peuvent être consultées qu’à l’issue de l’intervention et uniquement par le chef du service, le commandant de l’unité ou les agents et militaires individuellement habilités. En outre, elles ne peuvent être conservées que pendant six mois à compter du jour de leur enregistrement, hors le cas où elles sont utilisées dans le cadre d’une procédure judiciaire, administrative ou disciplinaire.

Droit d’accès aux enregistrements

Les personnes concernées ont un droit d’accès indirect aux informations enregistrées, effectué par l’intermédiaire d’un magistrat de la Cnil.

Dans sa délibération du 8 décembre 2016 (2), la Cnil a fait part du souhait d’un droit d’accès direct, considérant que le droit d’accès indirect n’est pas fondé, ni nécessaire au regard des finalités du traitement.

Le caractère indirect de l’accès est en effet en principe fondé sur le caractère non communicable de tout ou partie des données concernées, ce qui n’est pas le cas en l’espèce.

En outre, il est à craindre qu’en raison de la durée de conservation des données et de l’absence de centralisation des traitements, l’effectivité réelle du droit d’accès indirect aux images ne puisse être garantie.

Déclenchement automatique des caméras piétons lors des contrôles d’identité

L’article L. 241-1 du Code de la sécurité intérieure ne prévoyant pas un enregistrement permanent par les caméras piéton, leur déclenchement dépend du policier ou du militaire qui en dispose. Cependant, pour les contrôles d’identité le législateur souhaite systématiser le déclenchement des caméras piéton.

Ainsi une loi du 27 janvier 2017 (3) prévoit une expérimentation d’une durée de un an à compter du 1er mars 2017, consistant en l’enregistrement systématique des contrôles d’identité effectués dans 23 zones de sécurité prioritaires (ZSP).

Généralisation de l’utilisation des caméras piétons

Le ministère de l’intérieur souhaite étendre l’utilisation des caméras piétons à d’autres agents.

Pour ce faire un deuxième décret du 23 décembre 2016 (4) a prévu la mise en place d’une nouvelle expérimentation concernant leur utilisation par les agents de la police municipale, dans des conditions similaires, jusqu’au 3 juin 2018 et une instruction du 1er mars 2017 (5) présente les règles et modalités d’emploi de ce dispositif au sein des forces de police et de gendarmerie.

De même, le ministère a étendu la possibilité d’utiliser des caméras piétons aux agents des services internes de sécurité de la SNCF et de la RATP (6 et 7), à titre expérimental, pour une durée de trois ans à compter du 1er janvier 2017.

Virginie Bensoussan-Brulé
Raphaël Liotier
Département Pénal numérique

(1) Décret n°2016-1860 du 23 décembre 2016 relatif aux conditions de l’expérimentation de l’usage de caméras individuelles par les agents de police municipale dans le cadre de leurs interventions
(2) Délibération n° 2016-385 du 8 décembre 2016 portant avis sur un projet de décret en Conseil d’Etat portant application de l’article L. 241-1 du code de la sécurité intérieure et relatif à la mise en œuvre de traitements de données à caractère personnel provenant des caméras individuelles des agents de la police nationale et des militaires de la gendarmerie nationale
(3) Loi n° 2017-86 du 27 janvier 2017 relative à l’égalité et à la citoyenneté
(4) Décret n° 2016-1861 du 23 décembre 2016 relatif aux conditions de l’expérimentation de l’usage de caméras individuelles par les agents de police municipale dans le cadre de leurs interventions
(5) Instruction n° 180009 du 1er mars 2017 relative à l’emploi des « caméras piétons » mises en dotation dans les services de la police nationale et les unités de la gendarmerie nationaleInstruction n° 18009 du 1er mars 2017 relative à l’emploi des « caméras piétons » mises en dotation dans les services de la police nationale et les unités de la gendarmerie nationale
(6) Article L. 2251-4-1 du Code des transports, issu de la loi n°2016-339 du 22 mars 2016 relative à la prévention et à la lutte contre les incivilités, contre les atteintes à la sécurité publique et contre les actes terroristes dans les transports collectifs de voyageurs
(7) Décret n° 2016-1862 du 23 décembre 2016 relatif aux conditions de l’expérimentation de l’usage de caméras individuelles par les agents des services internes de sécurité de la SNCF et de la Régie autonome des transports parisiens




La technosurveillance en droit du travail : les points de vigilance

La technosurveillance en droit du travail : les points de vigilancePetit-déjeuner débat du 12 octobre 2016 sur « La technosurveillance en droit du travail : les points de vigilance » animé par Emmanuel Walle.

Les nouveaux modes de travail

L’émergence de nouveaux modes de travail (tels que le télétravail ou le BYOD) favorisés par l’introduction des nouvelles technologies a conduit les salariés à être à la disposition de leur employeur de façon quasi-permanente.

Les nouvelles technologies ont permis le développement de modes de travail innovants et parallèlement, elles ont fournis à l’employeur les moyens de surveiller les salariés. Les performances techniques de ces moyens de technosurveillance ne sont cependant pas sans conséquence.

Leurs limites doivent être déterminées, sauf à constituer des immixtions injustifiées dans la vie privée des salariés, et à outrepasser la définition du temps de travail effectif.

Le droit à la déconnexion

Le droit à la déconnexion, consacré par la loi 2016-1088 du 8 août 2016 relative au travail, est une illustration patente de la réaction du législateur face aux conséquences non contrôlées des nouvelles technologies en droit du travail. Obligatoire à compter du 1er janvier 2017, il est urgent pour l’employeur de prévoir dès à présent les modalités de mise en œuvre de ce droit.

La tendance des employeurs à la surveillance élargie des salariés est également une préoccupation majeure de la Cnil, qui a posé une interdiction de principe de la géolocalisation des salariés en dehors du temps de travail.

L’ensemble des problématiques relatives à la technosurveillance en droit du travail suppose de concilier des intérêts divergents : d’une part, les intérêts économiques de l’employeur, d’autre part, les droits fondamentaux du salarié, tels que le droit au respect de sa vie privée ou encore le droit au repos.

Les questions qui ont été abordées lors du petit-déjeuner débat sont, notamment, les suivantes :

  • Que risque l’employeur qui va au-delà de ce que la loi autorise en matière de technosurveillance des salariés ?
  • Quelles modalités l’employeur doit-il prévoir pour mettre en place de façon effective le droit à la déconnexion ?
  • Comment l’employeur peut-il faire face à des fraudes aux moyens de surveillance qu’il a installés ? Par exemple, comment réagir en cas de fraude au badgeage ?
  • Comment gérer les conséquences d’une divulgation d’informations confidentielles par une personne clé de la société ?

Le petit-déjeuner a eu lieu de 9h30 à 11h00 dans nos locaux, 58 boulevard Gouvion-Saint-Cyr, 75017 Paris.

Voir la vidéo de l’événement sur notre Chaîne Lexing YouTube

 




Terrorisme : renforcement des investigations judiciaires

Terrorisme : renforcement des investigations judiciairesLa loi 2016-731 du 3 juin 2016 vise à renforcer la lutte contre le crime organisé et le terrorisme et leur financement.

De nombreuses mesures sont instaurées par la loi du 3 juin 2016. Ainsi, le délit de consultation habituelle de sites invitant à la commission d’actes de terrorisme (article 421-2-5-2 du code pénal). Ou faisant l’apologie de ces actes (article 421-2-5-1 du code pénal). Ainsi également, le délit d’entrave au blocage de sites faisant l’apologie du terrorisme (article 421-2-5-1 du code pénal).

La loi prévoit aussi des actes entrant dans le champ de la lutte contre la criminalité et la délinquance organisées. Trois nouveaux actes d’investigation sont ainsi offerts aux enquêteurs. Il s’agit  :

  • de l’accès à distance aux correspondances électroniques accessibles au moyen d’un identifiant informatique ;
  • du recours aux IMSI-catchers ;
  • de l’accès à distance à des données stockées sur un système informatique.

Ces actes sont particulièrement attentatoires à la vie privée (article 8 de la déclaration des droits de l’Homme et du citoyen). Ils sont par conséquent strictement encadrés. Et ont d’ailleurs été soumis pour avis à la Commission nationale consultative des droits de l’Homme (CNCDH). La CNCDH souligne que « tel qu’il est pensé, le contrôle de la nouvelle Commission nationale de contrôle des techniques de renseignement (CNCTR) pourrait être largement ineffectif ». Et précise : « Celle-ci est composée de manière pléthorique ». Et ne comporte « qu’un seul scientifique spécialiste des nouvelles technologies ».

Lutte contre le terrorisme : accès à distance aux correspondances électroniques accessibles au moyen d’un identifiant informatique

La loi introduit dans le code de procédure pénale (CPP) trois nouveaux articles 706-95-1 à 706-95-3. Les deux premiers  permettent , si les nécessités de l’enquête relative à la criminalité et à la délinquance organisées l’exigent, au juge des libertés et de la détention (JLD), à la requête du procureur de la République et au juge d’instruction d’autoriser par ordonnance motivée, l’accès à distance et à l’insu de la personne visée, aux correspondances stockées par la voie des communications électroniques accessibles au moyen d’un identifiant informatique.

Cette nouvelle loi permet par exemple aux enquêteurs d’accéder aux boîtes emails d’individus faisant l’objet d’une enquête.

Les données auxquelles il a été permis d’accéder « peuvent être saisies et enregistrées ou copiées sur tout support » (art. 706-95-3). Les opérations mentionnées ci-avant doivent être  » effectuées sous l’autorité et le contrôle du magistrat qui les a autorisées ». Et elles « ne peuvent, à peine de nullité, avoir un autre objet que la recherche et la constatation des infractions visées dans la décision de ce magistrat » (art. 706-95-3) .

Afin de procéder aux opérations visées aux articles 706-95-1 et 706-95-2, le magistrat ou l’OPJ commis peut notamment « requérir tout agent qualifié d’un exploitant de réseau ou fournisseur de services de communications électroniques autorisé ».

Lutte contre le terrorisme : Interception des correspondances des communications électroniques et recueil des données techniques de connexion

La loi insère également dans le CPP les articles 706-95-4 à 706-95-10. Ceux-ci ont pour objet le renforcement de l’efficacité des interceptions de correspondances émises par communications électroniques. Ainsi que le recueil des données techniques de connexion. Ces nouveaux articles permettent ainsi le recours aux IMSI-catchers.

Les IMSI-catchers permettent de capter, par le biais d’une fausse antenne relais, des données de connexion. Celles « de toutes les personnes détenant un périphérique électronique (téléphone cellulaire, ordinateur, tablette, etc.). Ceci  dans une zone géographique déterminée » (CNCDH, avis préc.).

Les IMSI-catchers pouvaient déjà être utilisés par les services de renseignement. Ceci dans les conditions de l’ article L.852-1 du code de la sécurité intérieure. Ils sont qualifiés par la loi du 3 juin 2016 d’ « appareil ou dispositif technique mentionné au paragraphe 1° de l’article 226-3 du code pénal ». Et utilisés afin de recueillir les données techniques de connexion. celles-ci « permettant l’identification d’un équipement terminal ou du numéro d’abonnement de son utilisateur, ainsi que les données relatives à la localisation d’un équipement terminal utilisé ».

L’utilisation des IMSI-catchers peut (art. 706-95-4) être autorisée par le JLD. Le code précise dorénavant que « si les nécessités de l’enquête relative à la criminalité et à la délinquance organisées l’exigent, l’utilisation d’IMSI-catchers peut être aussi autorisée par le JLD ». et ce « à la requête du procureur de la République ». L’autorisation doit alors être délivrée « pour une durée maximale d’un mois, renouvelable une fois dans les mêmes conditions ».

Ce nouveau régime ne permet pas seulement le recueil de données de connexion. Il permet aussi et surtout de recueillir le contenu des conversations. En effet, le II. de l’article 706-95-4 prévoit que les IMSI-catchers peuvent également être utilisés. Ceci « afin d’intercepter des correspondances émises ou reçues par un équipement terminal ». Dans cette hypothèse l’autorisation est délivrée « pour une durée maximale de 48 heures, renouvelable une fois dans les mêmes conditions ».

L’utilisation des IMSI-catchers peut aussi être autorisée par le procureur de la République. En cas d’urgence résultant d’un « risque imminent de dépérissement des preuves ou d’atteinte grave aux personnes ou aux biens » (art. 706-95-4). L’autorisation « peut être délivrée par le procureur de la République ». Dans ce cas, l’autorisation doit alors être confirmée par le JLD dans un délai maximal de 24 heures.

Le JLD qui a délivré ou confirmé l’autorisation est alors informé dans les meilleurs délais par le procureur de la République des actes accomplis dans le cadre de l’utilisation d’IMSI-catchers.

Enfin, le juge d’instruction peut également autoriser l’utilisation des IMSI-catchers. Après avis du procureur de la République. Ceci si les nécessités de l’information relative à l’une des infractions entrant dans le champ de la criminalité et de la délinquance organisées l’exigent. L’autorisation est délivrée pour une durée maximale de deux mois. Elle renouvelable dans les mêmes conditions « sans que la durée totale des opérations ne puisse excéder six mois ».  Le juge d’instruction peut aussi autoriser l’utilisation d’IMSI-catchers. Afin d’intercepter des correspondances émises ou reçues par un équipement terminal. L’autorisation est alors délivrée pour une durée maximale de 48 heures, renouvelable une fois.

Les autorisations permettant l’utilisation d’IMSI-catchers font l’objet d’une « ordonnance écrite et motivée ». Celle-ci n’a pas de caractère juridictionnel et n’est susceptible d’aucun recours (article 706-95-6).

Lutte contre le terrorisme : accès à distance à des données stockées sur un système informatique

L’ancien article 706-102-1 CPP permettait la captation de données en temps réel. Les nouveaux articles 706-102-1 à 706-102-3 permettent dorénavant l’accès à distance à des données stockées sur un système informatique.

Cet accès est qualifié de dispositif ayant pour objet, « sans le consentement des intéressés, d’accéder, en tous lieux, à des données informatiques ». Et de les enregistrer, de les conserver et de les transmettre. Ceci « telles qu’elles sont stockées dans un système informatique, telles qu’elles s’affichent sur un écran pour l’utilisateur d’un système de traitement automatisé de données, telles qu’il les y introduit par saisie de caractères, ou telles qu’elles sont reçues et émises par des périphériques audiovisuels ».

La mise en place d’un tel dispositif peut être autorisée « par ordonnance motivée » du JLD. Ceci « à la requête du procureur de la République » (article 706-102-1). Ainsi que par le juge d’instruction « après avis du procureur de la République » (article 706-102-2). Une fois encore, si les nécessités de l’enquête relative à la criminalité et à la délinquance organisées l’exigent.

La décision qui autorise l’accès à distance à des données stockées sur un système informatique doit préciser (article 706-102-3) :

  • « l’infraction qui motive le recours à ces opérations ;
  • la localisation exacte ou la description détaillée des systèmes de traitement automatisé de données ;
  • la durée des opérations ».

Ceci à peine de nullité.

Cette autorisation prise par le JLD est délivrée pour une durée maximale d’un mois. Celle-ci est renouvelable une fois dans les mêmes conditions. L’autorisation prise par le juge d’instruction est délivrée pour une durée maximale de quatre mois. Elle est renouvelable dans les mêmes conditions, sans que la durée totale des opérations ne puisse excéder deux ans.

Afin d’installer ou de désinstaller le dispositif permettant l’accès à distance à des données stockées sur un système informatique, le JLD ou le juge d’instruction peuvent autoriser (article 706-102-5) :

  • l’introduction dans un véhicule ou dans un lieu privé (…) à l’insu ou sans le consentement du propriétaire ou du possesseur du véhicule ou de l’occupant des lieux ou de toute personne titulaire d’un droit sur celui-ci »;
  • la transmission par un réseau de communications électroniques de ce dispositif ».

L’accès à distance ne peut concerner les systèmes automatisés de traitement se trouvant dans un cabinet d’avocat,. Elle ne peut pas davantage être réalisée dans le véhicule, le bureau ou le domicile d’un député, sénateur, avocat ou magistrat (article 706-102-5).

Les données utiles à la manifestation de la vérité doivent être décrites ou transcrites dans un procès-verbal. Lequel doit être versé au dossier. Aucune séquence relative à la vie privée étrangère aux infractions visées dans les décisions autorisant la mesure ne peut être conservée dans le dossier de la procédure (article 706-102-8).

La mention, par l’article 706-102-5, de la notion de véhicule, peut renvoyer à l’attentat de Nice. Et ainsi poser la question de savoir si un accès à distance à des données stockées dans le système informatique d’un véhicule serait envisageable. En effet, l’informatique prend une place de plus en plus grande dans les véhicules. Celle-ci va de la facilitation de la conduite (système GPS) à l’autonomie totale (tel que le véhicule « Olli » développé par Local Motors et IBM).

Prenons l’hypothèse où un véhicule autonome serait programmé pour commettre un acte de terrorisme. Ce nouveau régime d’accès à distance permettrait, dans le cadre d’une procédure judiciaire, au JLD et au juge d’instruction d’autoriser les forces de l’ordre à accéder à distance au système informatique d’un véhicule afin d’enquêter sur une infraction passée ou d’empêcher la réalisation d’une infraction programmée.

Didier Gazagne
François Gorriez
Lexing Sécurité et Défense




Des caméras individuelles pour les forces de l’ordre

Des caméras individuelles pour les forces de l’ordreLa loi 2016-731 du 3 juin 2016 précise les conditions d’utilisation des caméras individuelles par les forces de l’ordre.

Depuis 2003, l’utilisation de caméras individuelles mobiles, dites « caméras piétons », fixées sur les agents de police et les militaires de la Gendarmerie fait l’objet d’une expérimentation (avis  présenté par M. Philippe Paul, enregistré à la présidence du Sénat le 16 mars 2016, n°476). La « caméra piéton » est positionnée au niveau de l’épaule de l’agent avec une sangle, une diode rouge allumée pour signaler que l’enregistrement est en cours. Les données sonores et vidéos collectées sont ensuite « intégrées dans un logiciel informatique [et] sont cryptées ».

Caméras individuelles : un vide juridique comblé

La loi 2016-731 est entrée en vigueur le 4 juin 2016. Avant cette date, aucun régime juridique n’encadrait l’usage des caméras individuelles par les forces de l’ordre.

Un tel dispositif, enregistrant images et paroles, est pourtant attentatoire au respect de la vie privée. Vie privée qui bénéficie d’une protection conventionnelle (article 8 de la Convention européenne des droits de l’Homme), constitutionnelle (article 2 de la Déclaration des Droits de l’Homme et du Citoyen de 1789) et légale (article 9 du Code civil).

Ce nouveau régime ne doit pas être confondu avec celui de la vidéoprotection régit par le titre V du livre II du Code de la sécurité intérieure.

Un niveau dispositif destiné à la Police nationale et la Gendarmerie

La loi 2016-731 insère un nouveau titre dans le code de la sécurité intérieure intitulé « Caméras mobiles ». Ce titre intègre l’article L. 241-1 qui précise le régime juridique applicable à l’usage de ces caméras. La loi précise ainsi que ce nouveau dispositif pourra équiper les agents de la Police nationale et les militaires de la Gendarmerie nationale.

Cet équipement sera utilisé, dans l’exercice de leurs missions de prévention des atteintes à l’ordre public, de protection de la sécurité des personnes et des biens, dans leurs missions de police judiciaire.

Les « caméras piétons » pourront être utilisées :

  • en tous lieux (zones privées : domicile privé des personnes);
  • lorsque se produit ou est susceptible de se produire un incident, eu égard aux circonstances de l’intervention ou au comportement des personnes concernées.

Ce dispositif de caméra n’est pas destiné à être utilisé lors des interventions des agents de l’administration des Douanes. Ni par l’administration pénitentiaire. Ni par les militaires déployés sur le territoire national dans le cadre de l’opération Sentinelle.

Caméras individuelles : les finalités de l’enregistrement

L’enregistrement ne doit pas être permanent. Il doit répondre à l’une des finalités suivantes :

  • la prévention des incidents au cours des interventions des agents de la police nationale et des militaires de la gendarmerie nationale ;
  • le constat des infractions ;
  • la poursuite de leurs auteurs par la collecte de preuves ;
  • la formation et la pédagogie des agents.

Comme le précise le Conseil d’Etat (CE, 28 01 2016, avis n° 391004), l’usage de « caméras piétons » pourra donc se rattacher à des missions de police administrative et judiciaire et aux procédures disciplinaires.

Les conditions d’accès aux enregistrements

Les caméras doivent être portées de façon apparente par les agents et les militaires. Un signal visuel spécifique doit aussi indiquer si la caméra enregistre. Le déclenchement de l’enregistrement fait l’objet d’une information des personnes filmées. L’enregistrement n’est pas réalisé si les circonstances l’interdisent (respect de l’intimité de la personne par exemple).

La loi reste silencieuse sur le pouvoir d’appréciation laissé à l’agent quant à l’opportunité du déclenchement de la caméra. De même que sur l’orientation de la prise de vue. Sur ce point le sénateur Daniel Reiner précise qu’« avec la disposition sur les caméras ajoutée par l’Assemblée nationale, on va au-devant de litiges ». Selon ce dernier « Le but de ces caméras est que tout s’effectue dans un cadre correct et légal ». Il précise qu’  « Il faut laisser la possibilité à celui qui interpelle de maitriser l’enregistrement. C’est du bon sens. » (Avis présenté par M. Philippe PAUL, le 16 mars 2016, n° 476, préc.).

Enfin, les personnels auxquels les caméras individuelles sont fournies ne peuvent avoir un accès direct aux enregistrements. Les enregistrements audiovisuels doivent être effacés au bout de six mois. Sauf dans le cas où ils sont utilisés dans le cadre d’une procédure judiciaire, administrative ou disciplinaire.

Un décret en Conseil d’Etat, après avis de la Cnil, précisera les modalités d’application de ce nouveau régime juridique.

L’apaisement du déroulement des opérations de police

Selon la Commission nationale consultative des droits de l’Homme (CNCDH), « le fait de filmer les interventions de maintien de l’ordre et les contrôles d’identité via le recours au dispositif de vidéo mobile (…) seraient de nature à en apaiser le déroulement ». La Commission ajoute que « ce dispositif permettrait l’objectivation des faits (image/son), notamment lors d’une procédure judiciaire, tout en protégeant les libertés individuelles ». La Commission précise que cela renforcerait «la transparence de l’action policière » (Avis présenté par M. Philippe Paul, enregistré à la présidence du Sénat le 16 mars 2016, n°476).

Un tel dispositif peut cependant être perçu par les policiers et militaires comme un moyen de contrôle. Il pourrait faire de ces derniers des cibles. Un individu pourrait par exemple chercher à s’attaquer à la caméra mobile portée sur l’agent ou le militaire (« Caméras-piéton sur les uniformes: syndicats et policiers réservent un accueil favorable au dispositif », Huffington Post, A. Oster, 29 09 2013).

Caméras individuelles : les questions en suspens

Le nouveau régime de l’article L. 241-1 laisse subsister de nombreuses interrogations juridiques.  Le décret d’application y répondra-t-il ? Demeure sans réponse, la question du droit d’accès aux enregistrements par les personnes filmées. Le droit d’accès constitue en effet une garantie essentielle du respect des droits des personnes concernées (art. 40 à 42 de la loi Informatique et libertés). Dans son rapport d’activité de 2015, la Cnil a relevé que « des questions similaires se posent pour l’ensemble des caméras mobiles utilisées par les autorités publiques ». Ces questions se posent « qu’il s’agisse de caméras embarquées sur des véhicules par exemple ou encore de drones ».

Un agent ou militaire pourrait être sanctionné dans l’hypothèse où il omettrait de déclencher l’enregistrement alors qu’un incident se déroule.

Enfin, ce nouveau régime juridique n’apporte aucune précision sur la valeur probatoire des enregistrements.  Et notamment sur le point de savoir s’ils auront une simple valeur de renseignement ou s’ils feront foi jusqu’à preuve contraire.

L’expérimentation des camérais par la police municipale

La loi 2016-731 prévoit également qu’à compter de sa promulgation, durant deux ans et à titre expérimental, les agents de police municipale pourront procéder, au moyen de caméras individuelles, à un enregistrement audiovisuel de leurs interventions. Cette expérimentation doit être réalisée sur autorisation du Gouvernement. Elle est subordonnée à plusieurs conditions. Une demande préalable du maire et à l’existence d’une convention de coordination des interventions de la police municipale et des forces de sécurité de l’Etat. Les conditions de l’expérimentation seront fixées par décret en Conseil d’Etat.

Didier Gazagne
François Gorriez
Lexing Sécurité et Défense.




Vidéosurveillance permanente de détenus : avis de la Cnil

Vidéosurveillance permanente de détenus : avis de la CnilLa Cnil a été saisi pour avis sur la mise en œuvre d’un dispositif de vidéosurveillance permanente de détenus dans certaines cellules.

L’arrêté prévoyait la mise en place d’un dispositif de vidéosurveillance permanente de détenus dont l’évasion ou le suicide pourraient avoir un impact sur « l’ordre public ou l’opinion publique ». Jusqu’alors, seule la vidéosurveillance dans les espaces collectifs des prisons et dans les cellules de protection d’urgence était encadrée par des arrêtés pris après avis de la Cnil.

Bien que la légitimité de la mise en place de ce dispositif de vidéosurveillance permanente de détenus ne soit pas contestée, le fait de filmer certaines personnes en permanence a des impacts, tant en matière de respect des libertés individuelles que du cadre juridique dans lequel il doit s’inscrire.

La Cnil a donc demandé au Gouvernement d’assortir ce dispositif de garanties substantielles.

Restriction du périmètre.

Le projet d’arrêté faisait référence aux personnes « dont l’évasion et le suicide pourraient avoir un impact important sur l’ordre public eu égard aux circonstances particulières à l’origine de leur incarcération et l’impact de celles-ci sur l’opinion publique ». La Cnil a considéré que cette formule était imprécise. Le ministère de la Justice a donc restreint le périmètre en le limitant aux personnes placées en détention provisoire et faisant l’objet d’un mandat de dépôt criminel. En outre, seule les personnes faisant l’objet d’une mesure d’isolement peuvent être concernées par ces mesures de vidéosurveillance permanente de détenus qui doivent, en tout état de cause, rester exceptionnel.

Réduction des durées de conservation.

Le projet de loi prévoyait une durée de conservation des images de 1 mois puis une durée supplémentaire de 6 mois en base d’archive intermédiaire. La Cnil a considéré que la finalité poursuivie par ce dispositif ne justifiait pas de conserver les images de vidéosurveillance plus d’un mois. Le délai supplémentaire de 6 mois a donc été supprimé.

Renforcement des garanties.

L’instruction du dossier a enfin permis à la Cnil d’insister sur certains points :

  • Installation d’un panneau d’occultation placé devant les sanitaires, afin de garantir l’intimité corporelle du détenu,
  • Installation visible des caméras de vidéosurveillance afin que l’information des personnes concernées soit effective.

Lexing Alain Bensoussan Avocats
Lexing Informatique et libertés

1. Arrêté du 9 juin 2016 portant création de traitements de données à caractère personnel relatifs à la vidéoprotection de cellules de détention.
2. Délibération n°2016-159 du 19 mai 2016 portant avis sur un projet d’arrêté portant création de traitements de données à caractère personnel relatifs à la vidéoprotection de cellules de détention.




Proposition de loi relative la reconnaissance faciale

reconnaissance facialeLa reconnaissance faciale vient d’être introduite dans une proposition de loi simultanément au Sénat et à l’Assemblée nationale. Une proposition de loi relative à la reconnaissance faciale dans les enquêtes terroristes a été déposée le 17 juin 2016 au Sénat (1) et une proposition de loi au contenu identique relative à la reconnaissance faciale dans les enquêtes terroristes et la prévention des attentats a été enregistrée à l’Assemblée nationale le 6 juillet 2016 (2).

Qu’est-ce que la reconnaissance faciale ?

La Cnil donne une définition de la reconnaissance faciale : « En s’appuyant sur une base de photographies préenregistrées reliée à un système de vidéoprotection et à un dispositif de reconnaissance automatique des visages, il est techniquement possible d’identifier un individu dans une foule » (3).

Les dispositifs de reconnaissance faciale sont capables d’identifier des individus en fonction de l’écartement des yeux, des caractéristiques des oreilles ou encore du menton, des arêtes du nez ou de la commissure des lèvres.

L’état de l’art des dispositifs de reconnaissance faciale est en constante évolution avec notamment le développement de capteurs 3D, la reconnaissance de visages en mouvement, le traitement de visages vus de profil et la capacité à vieillir un modèle.

La qualité de l’image, la puissance de l’algorithme d’identification et l’accès à une base de données fiables sont des facteurs de réussite de la reconnaissance faciale.

La reconnaissance faciale selon la proposition de loi

La proposition de loi modifie le Code de la sécurité intérieure en y ajoutant un nouveau chapitre V « De la reconnaissance faciale ».

L’introduction par la proposition de loi d’un article L855-1 au Code de la sécurité intérieure permettrait le recueil en temps réel de l’image d’une personne à des fins d’exploitation biométrique uniquement pour des besoins de prévention du terrorisme.

Les images issues des systèmes de vidéoprotection seraient alors traitées au moyen d’un dispositif de reconnaissance automatique des visages.

Ce traitement automatisé permettrait de comparer les images aux données anthropométriques figurant sur le fichier automatisé des empreintes digitales (FAED).

La proposition de loi ne concerne que l’accès à l’identité des individus faisant l’objet d’une « fiche S » au sein du fichier des personnes recherchées (FPR), complétée par les données anthropométriques issues du fichier automatisé des empreintes digitales (FAED).

L’accès aux fichiers FPR et FAED pourrait permettre la constitution d’une base de données fiables qui serait reliée à des caméras de vidéosurveillance et exploitée par les services enquêteurs.

La restriction aux fichiers FPR et FAED permettrait de ne pas permettre sous le biais de cette proposition de loi la collecte et l’interprétation des données biométriques de la totalité de la population.

Décision du Conseil constitutionnel relative à la protection de l’identité du 22 mars 2012

Le Conseil constitutionnel s’est déjà prononcé dans sa décision 2012-652 DC du 22 mars 2012 sur la loi relative à la protection de l’identité (4) en déclarant contraire à la Constitution certaines dispositions de ladite loi et avait déjà évalué le traitement de données à caractère personnel dans le cadre de l’identification du demandeur d’un titre d’identité ou de voyage.

Ce traitement de données à caractère personnel (données biométriques) était destiné à recueillir les données relatives à la quasi-totalité de la population française.

Le Conseil constitutionnel avait considéré que la nature des données enregistrées et l’ampleur de ce traitement portaient atteinte au droit au respect de la vie privée.

Rejet de l’amendement n°16 présenté par Eric Ciotti

L’utilisation de la reconnaissance faciale avait déjà été évoquée dans le cadre des discussions autour du projet de loi portant sur la modernisation de la justice du 21ème siècle.

Le député Eric Ciotti avait déposé un amendement n°16 (5) sur la mise en œuvre d’un procédé de reconnaissance faciale permettant le recoupement des images de vidéosurveillance et le fichier automatisé des empreintes digitales (FAED).

Le député Eric Ciotti expliquait que chaque fiche du fichier des empreintes digitales comporte une photo prise dans un cadre normalisé et identique pour toutes, le seul exploitable par les logiciels de reconnaissance faciale.

Cet amendement a été proposé par le député Eric Ciotti afin de permettre à contribuer plus efficacement à la lutte contre le terrorisme et plus généralement à l’impératif de sécurité intérieure.

Le garde des sceaux Jean-Jacques Urvoas a précisé que cette proposition comportait des risques d’atteinte aux libertés publiques, émettant ainsi un avis défavorable à l’amendent n°16.

L’amendement n°16 ne sera finalement pas adopté.

Encadrement de la reconnaissance faciale

La proposition de loi sur cette nouvelle technique d’investigation reprend le cadre juridique élaboré par la loi relative au renseignement du 24 juillet 2015.

L’usage des dispositifs de reconnaissance faciale sera soumis à autorisation préalable du Premier ministre.

L’autorisation préalable du Premier ministre précisera le champ de la technique de la mise en œuvre du traitement automatisé des images et « Fiches S ».

L’usage des dispositifs de reconnaissance faciale sera soumis au contrôle de la Commission national de contrôle des techniques de renseignement (CNCTR).

La CNCTR émettra un avis sur la demande d’autorisation relative au traitement automatisé.

Modalités d’application

La proposition de loi ne précise pas les modalités d’application des dispositifs de reconnaissance faciale.

La nature des informations enregistrées, la durée de leur conservation et les autorités et les personnes qui y ont accès seront déterminés par décret en Conseil d’Etat pris après avis de la Cnil.

Certes le décret en Conseil d’état sera pris après avis de la Cnil mais cette dernière ne peut que rendre qu’un avis non contraignant.

Le Conseil d’Etat, dans un arrêt du 2 juillet 2007, a rappelé que la seule obligation est de « soumettre à la consultation préalable de la Cnil les projets de textes qui, sans avoir pour objet la création d’un traitement automatisé, définissent le cadre général de la protection des droits et libertés des personnes à l’égard du principe du traitement de données à caractère personnel ».

Avis de la Cnil sur la reconnaissance faciale

La Cnil précise qu’il faut être vigilant face au caractère intrusif des technologies de reconnaissance faciale, la liberté d’aller et venir anonymement pouvant progressivement être remise en cause (3).

La proposition de loi a été renvoyée à la commission des lois constitutionnelles, de la législation et de l’administration générale de la république.

 Didier Gazagne
Audrey Jouhanet
Lexing Cybersécurité Risques technologiques et Concurrence

(1) Proposition de loi relative à la reconnaissance faciale dans les enquêtes terroristes enregistrée au Sénat du 17-6-2016.
(2) Proposition de loi relative à la reconnaissance faciale dans les enquêtes terroristes et la prévention des attentats enregistrée à l’Assemblée nationale du 6-7-2016.
(3) Définition de la reconnaissance faciale par la CNIL.
(4) Décision n° 2012-652 DC du 22-3-2012 du Conseil constitutionnel.
(5) Amendement n°16 du député Eric Ciotti.




Vers une généralisation du port des caméras-piéton

Vers une généralisation du port des caméras-piétonLes caméras-piéton, petits systèmes d’enregistrement situés au niveau de la poitrine, sont amenées à se généraliser.

C’est en tout cas l’un des objectifs du projet de loi « renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale » déposé par le nouveau Garde des sceaux, Monsieur Jean-Jacques Urvoas, le 3 février 2016 à l’Assemblée nationale, dont l’article 32 vise à encadrer le recours à ce procédé en vue de leur prochain développement.

Comme l’énonce ledit article 32, les « caméras-piéton » ont une vocation très large puisqu’il s’agit pêle-mêle de « prévenir les incidents au cours des interventions des agents de la police nationale et des militaires de la Gendarmerie nationale, constater les infractions et la poursuite de leurs auteurs par la collecte de preuves, s’assurer du respect par les agents et militaires des obligations leur incombant et la formation de ces agents et militaires ».

Aussi, cherchant à combler le vide juridique qui préexiste à l’utilisation de ces dispositifs – utilisés par les forces de l’ordre depuis 2013 à titre expérimental-, l’article 32 du projet tente de répondre aux deux problématiques majeures qui sous-tendent leur utilisation :

  • quelles garanties disposent les personnes filmées quant à la protection de leur vie privée ?
  • quelles procédures permettent d’assurer le respect de la réglementation sur les données à caractère personnel ?

A cette dernière question, le projet de loi répond de manière concrète que :

  • « Une information générale du public sur l’emploi de ces caméras est organisée par le ministère de l’Intérieur » ;
  • « Les personnels auxquels les caméras individuelles sont fournies ne peuvent avoir accès directement aux enregistrements auxquels ils procèdent » ;
  • « Les enregistrements audiovisuels, hors le cas où ils sont utilisés dans le cadre d’une procédure judiciaire, administrative ou disciplinaire, sont effacés au bout de six mois ».

Ces dispositions, bien que précises, omettent toutefois de mentionner si les articles 41 et 42 de la loi Informatique et libertés du 6 janvier 1978, qui déterminent le droit d’accès d’une personne concernée par un traitement intéressant la sûreté de l’État, la défense ou la sécurité publique, s’appliquent aux images prises par les « caméras-piéton ».

Le décret en Conseil d’État qui devra préciser les modalités d’application de cet article et d’utilisation des données collectées devrait apporter un éclaircissement sur ce point.

Concernant les garanties de protection du droit à la vie privée, l’article 32 du projet de loi est moins convaincant puisque comme seules garanties, il mentionne que :

  • « Les caméras sont portées de façon apparente par les agents et les militaires. Un signal visuel spécifique indique si la caméra enregistre. Le déclenchement de l’enregistrement fait l’objet d’une information des personnes enregistrées, sauf si les circonstances l’interdisent » ;
  • « L’enregistrement n’est pas permanent. Il est déclenché lorsqu’un incident se produit ou, eu égard aux circonstances de l’intervention ou du comportement des personnes concernées, est susceptible de se produire ».

L’utilisation des caméras-piéton ainsi que l’information des personnes enregistrées sont ainsi laissées au libre-arbitre des policiers et gendarmes, sans que rien ne précise quelles sont les « circonstances » justifiant le déclenchement de l’enregistrement et, a fortiori, l’absence d’informations des personnes enregistrées.

Enfin, le projet de loi fait l’impasse sur la valeur probatoire que revêt de tels enregistrements. Ont-ils valeur de simples renseignements, comme la plupart des procès-verbaux de police constatant un délit ? Ou, à l’inverse, font-ils foi jusqu’à preuve contraire, comme les procès-verbaux en matière de circulation routière ?

Si aucune précision ne vient compléter les dispositions de l’article 32 du projet de loi « renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale », les « caméras-piéton », à n’en pas douter, seront à l’origine d’un contentieux qui n’est pas prêt de s’achever.

Virginie Bensoussan-Brulé
Julien Kahn
Lexing Droit pénal numérique

(1) Projet de loi renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale, n° 3473 du 3-2-2016.




Un système de vidéoprotection utilisé à des fins non autorisées

Un système de vidéoprotection utilisé à des fins non autoriséesLa Cour d’appel de Paris a, dans un arrêt du 24 février 2015, fait application de l’article L.254-1 du Code de la sécurité intérieure qui réprime notamment le fait d’utiliser des images d’un système de vidéoprotection à d’autres fins que celles pour lesquelles elles sont autorisées.

Dans cette affaire, le directeur d’un restaurant avait notamment déclaré un système de vidéosurveillance – installé dans un espace non ouvert au public du restaurant (cuisines, réserves, bureaux) – auprès de la Cnil. Le dispositif avait pour finalité « d’améliorer la sécurité, de dissuader toutes sortes de dégradations, et de disposer d’images en cas d’intrusion de toute personne non autorisée ».

Certaines caméras avaient également été installées « en terrasse et à l’entrée du restaurant, de la brasserie, du bar, de l’office, du sous-sol et de la cave ».

Dans le cadre d’un litige prud’homal opposant un salarié du restaurant à son employeur, ledit salarié ayant été licencié et arguant d’une absence de cause réelle et sérieuse, l’employeur avait fait état de photographies issues du système de surveillance de l’établissement. Ces photographies n’avaient finalement pas été produites lors de l’instance mais le restaurant et son directeur avaient tout de même été cités devant le Tribunal correctionnel pour avoir utilisé des images de vidéoprotection à d’autres fins que celles pour lesquelles elles sont autorisées, en application de l’article L.254-1 du Code de la sécurité intérieure relatif à la vidéoprotection.

Si le jugement de première instance avait relaxé l’employeur des fins de la poursuite, pour la Cour d’appel, les deux photographies incriminées étaient issues d’un système de vidéoprotection qui avait été « autorisé uniquement pour améliorer la sécurité de l’établissement, dissuader les tiers de se livrer à des dégradations et disposer d’images en cas d’intrusion de personnes non autorisées ». Or, en transmettant les photographies issues du système de vidéoprotection en vue de leur utilisation dans le cadre de l’instance prud’homale, le propriétaire du restaurant avait communiqué les images à des fins de surveillance de ses salariés, finalités qui n’étaient pas autorisées.

La Cour estime par ailleurs que la seule communication des images litigieuses suffit à caractériser l’infraction, peu important que lesdites images n’aient pas été produites et donc exploitées par le conseil des prud’hommes pour motiver sa décision.

En effet, l’article L.254-1 du Code de la sécurité intérieure réprime le seul fait d’utiliser des images à d’autres fins que celles pour lesquelles elles sont autorisées, cette infraction étant punie de trois ans d’emprisonnement et 45 000 euros d’amende (amende pouvant être portée au quintuple lorsque la personne déclarée responsable pénalement est une personne morale).

Le restaurant ainsi que son directeur sont donc déclarés coupables de détournement de la finalité d’un système de vidéoprotection (les juges d’appel les dispensant toutefois de peine).

Cet arrêt est l’occasion de rappeler qu’une distinction doit être effectuée entre les dispositifs dits de « vidéosurveillance » et ceux de « vidéoprotection ».

Céline Avignon
Alain Bensoussan
Lexing Droit informatique et libertés Contentieux




Livre blanc vidéoprotection présenté à Expoprotection 2014

Livre blanc vidéoprotection présenté à Expoprotection 2014Vidéoprotection – Alain Bensoussan a participé à une conférence organisée par le Salon Expoprotection, le 4 novembre 2014, à l’occasion de laquelle il a présenté le « Livre blanc vidéoprotection : mieux comprendre le cadre réglementaire et les réalités d’installation et d’usage » (1).


Ce livre blanc est l’aboutissement d’une concertation et d’un travail commencé mené par le travail créé en avril 2013 (2), par les membres du GPMSE (Groupement Professionnel des Métiers de Sécurité Electronique), les équipes d’Aasset Security-TKH, et d’Alain Bensoussan – Avocats.

Il a eut pour but d’apporter des éclaircissements, mais aussi de susciter des réflexions afin de :

  • présenter un état des lieux de la réglementation de la vidéoprotection ;
  • faciliter le travail des acteurs du marché au sens large (fabricants, prestataires et utilisateurs) ;
  • faire des propositions visant à compléter le référencement légal.

Actuellement, les règles relatives à l’installation d’un dispositif de vidéoprotection relèvent de textes distincts selon son lieu d’implantation :

  • sur la voie publique et dans les lieux ouverts au public ;
  • dans les lieux non ouverts au public.

Mais certains dispositifs peuvent dans un même espace avoir deux périmètres distincts, l’un étant soumis à autorisation préfectorale pour les parties ouvertes au public et l’autre à une saisine de la Cnil pour les parties non accessibles au public.

Le livre blanc vise à apporter une meilleure connaissance du droit et des fondamentaux de la sécurité.

La conférence animée par Alain Bensoussan et les membres du groupe de travail a présenté quelques unes des réflexions menées durant plus d’un an sur la réglementation de la vidéoprotection :

  • présenter un état des lieux de la réglementation de la vidéoprotection ;
  • faciliter le travail des acteurs du marché au sens large (fabricants, prestataires et utilisateurs) ;
  • faire des propositions visant à compléter le référentiel légal.

(1) « Livre blanc vidéoprotection : mieux comprendre le cadre règlementaire et les réalités d’installation et d’usage » (Disponible en accès libre).
(2) Post du 5-4-2013.




Vidéosurveillance illicite dans un supermarché : mise en demeuredela Cnil

VidéosurveillanceComme prévu dans son programme des contrôles pour l’année 2013, la Cnil s’intéresse de près aux systèmes de vidéosurveillance et de vidéoprotection. En effet, elle a prononcé en juillet 2013 (1), à l’encontre d’un centre commercial une mise en demeure pour avoir mis en œuvre un dispositif de vidéosurveillance non conforme aux dispositions applicables en matière de protection des données à caractère personnel.

Dans le cadre d’un contrôle sur place dans les locaux d’un supermarché, la Cnil s’est attachée à examiner les traitements vidéos mis en œuvre. Suite à ce contrôle, elle a relevé les manquements suivants à l’obligation :

  • d’effectuer des formalités préalables auprès de la Cnil s’agissant du dispositif de vidéosurveillance ;
  • de traiter les données de manière compatible avec les finalités pour lesquelles elles ont été collectées, la Cnil ayant constaté que le dispositif ne visait pas uniquement, comme indiqué par le responsable des lieux et dans le règlement intérieur, la sécurité et la protection des biens et des personnes, mais également le contrôle des horaires des salariés ;
  • de veiller à l’adéquation, à la pertinence et au caractère non excessif des données, compte tenu du nombre et de l’emplacement des caméras permettant de couvrir la quasi-totalité des locaux de l’entreprise et conduisant ainsi à une mise sous surveillance permanente des salariés, ou encore de la visualisation continue de certains postes de travail et des accès à certains locaux, tels que les sanitaires, le cabinet médical, les salles de pauses, ainsi que les locaux du comité d’entreprise ;
  • de définir une durée de conservation des données proportionnée à la finalité du traitement, les extractions vidéos effectuées en cas d’événement particulier (accrochage dans le parking, vol à l’étalage, altercations, etc.) étant conservées sans limitation de durée ;
  • d’informer les personnes concernées, la mention d’information insérée dans le règlement intérieur n’étant pas conforme aux dispositions applicables et aucune affichette n’étant apposée aux entrées du magasin ;
  • d’assurer la sécurité et la confidentialité des données (application de visualisation et d’extraction des vidéos accessible sans mot de passe, possibilité de visualiser les images depuis le téléphone mobile personnel de l’épouse du directeur n’exerçant pas de fonctions de direction ou de sécurité, etc.).

Compte tenu de l’importance des manquements relevés, la Cnil laisse trois mois au magasin pour prendre les mesures correctrices nécessaires à la mise en conformité de son dispositif de Vidéosurveillance et tenter ainsi d’éviter une sanction.

Céline Avignon
Alain Bensoussan
Lexing Droit Marketing électronique

(1)Cnil, délibération 2013-029 du 12-7-2013