Appendice : Analyse d’impact relative à la protection des données

Conformément à l’article 35 du RGPD, une analyse d’impact relative à la protection des données est nécessaire si la surveillance

est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement doit effectuer, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel.

Le responsable du traitement doit consulter l’autorité de contrôle préalablement au traitement lorsqu’une analyse d’impact relative à la protection des données effectuée au titre de l’article 35 indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque (consultation préalable, article 36 du RGPD).

Créer et tenir à jour une analyse d’impact relative à la protection des données, un avis aux personnes concernées. Ce document :

  • Décrit les fins de la surveillance
  • Est conservé par le responsable du traitement
  • Définit les politiques de conservation

Une analyse d’impact relative à la protection des données doit être mise en place avant l’installation et la mise en œuvre des systèmes de vidéosurveillance dès qu’elle ajoute de la valeur aux démarches de l’institution pour respecter ses obligations. L’objectif de l’analyse de l’impact des opérations de traitement est de déterminer l’impact du système proposé sur la protection de la vie privée et d’autres droits fondamentaux des individus et d’identifier des mesures pour diminuer ou éviter des effets négatifs.

Conformément à l’article 35 (7) du RGPD, l’analyse doit au moins contenir :

  • Une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement

  • Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités

  • Une évaluation des risques pour les droits et libertés des personnes concernées conformément à l’article 35 (1) du RGPD :

    Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel. Une seule et même analyse peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires.

  • Les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du RGPD, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées

L’effort nécessaire pour investir dans une analyse d’impact relative à la protection des données varie en fonction des circonstances. Un système de vidéosurveillance comportant des risques élevés ou soulevant des questions complexes ou nouvelles, justifie de plus grands efforts qu’un système ayant un impact limité sur la protection de la vie privée et d’autres droits fondamentaux des individus, tels qu’un système CCTV statique conventionnel exécuté à des fins de sécurité habituelles.

En tout état de cause et dans tous les cas, que ce soit dans le cadre d’une analyse relative à l’impact sur la protection des données formelle ou autrement, les organisations doivent évaluer et justifier le recours à la vidéosurveillance, la manière d’implanter, de sélectionner et de configurer leurs systèmes, ainsi que la manière de mettre en œuvre les garanties en matière de protection des données.

En outre, il se peut qu’une institution propose un système non conventionnel. Dans ce cas, l’institution doit évaluer soigneusement les différences prévues par rapport aux recommandations énoncées, en discuter avec leur responsable de la protection des données et les autres parties prenantes puis documenter son évaluation par écrit, que ce soit dans une analyse d’impact relative à la protection des données protocolaire ou autre. Les analyses du système menées par l’organisation doivent également aborder la légalité de la personnalisation du système.

Enfin, en raison de leur complexité, nouveauté, spécificité ou risque inhérent, il est vivement recommandé de mener une analyse d’impact relative à la protection des données dans les cas suivants :

  • Surveillance vidéo à des fins autres que la sécurité (y compris à des fins d’enquête)
  • Vidéosurveillance des espaces publics
  • Surveillance des employés
  • Surveillance des territoires d’un État membre et dans des pays tiers
  • Catégories de données spéciales
  • Zones sous un plus grand respect de leur vie privée
  • Vidéosurveillance de haute technologie et/ou intelligente
  • Systèmes interconnectés
  • Enregistrement audio

L’analyse d’impact relative à la protection des données peut être effectuée en interne ou par un prestataire indépendant. L’analyse doit être menée dès le début du projet. En fonction des résultats de l’analyse d’impact relative à la protection des données, une institution peut décider de :

  • s’abstenir ou modifier la surveillance planifiée et/ou
  • mettre en place des mesures de protection supplémentaires.

Risques associés à l’utilisation d’un VMS

Lorsque vous effectuez l'analyse d'impact relative à la protection des données, vous devez prendre en compte les risques inhérents à l'utilisation d'un VMS.

L’analyse d’impact relative à la protection des données doit être soigneusement documentée. Par principe, un rapport de l’analyse d’impact relative à la protection des données doit préciser clairement les risques pour la vie privée et/ou pour les autres droits fondamentaux qui ont été identifiés par l’institution, ainsi que les mesures de protection supplémentaires proposées. Il est nécessaire de prendre en compte les risques suivants qui enfreignent les droits individuels :

  • Entreprise/employeur qui utilise des flux vidéo, alarmes ou journaux d’activité :
    • Surveiller les heures de travail des employés sur le site évalué, comme les heures d’arrivée et de départ
    • Surveiller l’efficacité des employés en surveillant où ils passent leur temps, le nombre de temps passé à la machine à café, aux toilettes, combien de temps ils travaillent à leurs différentes tâches
    • Surveiller ce que les employés regardent sur leurs ordinateurs
    • Surveiller si les employés respectent les exigences en matière de travail et de sécurité, comme sur les sites de construction
    • Montrer des enregistrements vidéo d’employés à d’autres employés ou responsables pour intimider l’employé ou menacer d’autres employés de faire de même
    • Vérifier si les agents et opérateurs de la sécurité exécutent bien leurs tâches, par exemple, en vérifiant s’ils utilisent activement les clients, sélectionnent des caméras, effectuent des relectures, etc.
  • Entreprise/propriétaire/opérateur/gardes qui utilisent des flux vidéo pour :
    • Partager des enregistrements vidéo de personnes (employés de l’entreprise ou public en général) dans des situations embarrassantes ou sensibles sur les réseaux sociaux
    • Utiliser des caméras PTZ pour faire un zoom avant sur des personnes et obtenir d’eux et à leur insu des enregistrements de près intimes/inappropriés
  • Entreprise/propriétaire/opérateur/gardes
    • Exporter de la vidéo ou autoriser l’accès à de la vidéo enregistrée sans discernement à quiconque demande

Sources supplémentaires pour identifier un risque :

  • Le Guide de durcissement Milestone fournit la structure de gestion des cyberrisques, qui décrit les six étapes recommandées pour la classification, sélection, mise en place, évaluation, autorisation et surveillance des risques. Le Milestone guide de durcissement fournit une série de risques techniques ainsi que les mises en place recommandées pour les diminuer. Ceux-ci incluent, sans se limiter, la protection de la confidentialité du VMS dans le contexte de risques d’une série d’atteintes à la protection des données et d’accès non autorisés dus à des failles dans la configuration technique, la conception et les opérations de maintenance. Pour plus d’informations sur comment sécuriser vos installations VMS XProtect contre les cyberattaques, voir le guide de durcissement.
  • Le (présent) Guide relatif au respect de la vie privée Milestone fournit des recommandations sur le traitement des risques opérationnels non techniques, y compris le traitement des droits et demandes des personnes concernées, les rôles et les responsabilités d’un VMS, des modèles pour un avertissement immédiat, les Politiques en matière de vidéosurveillance et les Accords de traitement des données.
  • La formation en ligne sur la confidentialité de la vie privée des utilisateurs finaux de Milestone offre une formation de sensibilisation pour les opérations du VMS et les superviseurs sur comment traiter, dans les opérations du quotidien, les risques concernant la protection de la vie privée liés au VMS. Consultez plus d’informations sur le Milestone site Web conforme au RGPD.