Résumé

Le RGPD est une règlement qui gouverne déjà la gestion des données, y compris les données vidéo, des institutions.

Au minimum, chaque institution qui traite des données à caractère personnel doit désigner une ou plusieurs personnes responsables de garantir une gestion des données à caractère personnel conforme au RGPD et aux politiques de l’entreprise (le nombre de heures de main d’œuvre affectées variera en fonction de la taille de l’institution et de la quantité de données à caractère personnel collectées et traitées). En outre, pour certaines institutions, le RGPD exigera la désignation d’un délégué à la protection des données pour exécuter ces tâches.

Des changements auront également lieu au niveau du processus administratif. Conformément au RGPD, les institutions doivent posséder un Rapport des activités de traitement des données détaillé et précis. Pour un exemple de modèle d’un registre des activités de traitement, voir le modèle Registre des activités de traitement. Un éventail d’informations doit être enregistré, dont, entre autres :

• À quelle catégorie de personnes les données à caractère personnel appartiennent-elles (par exemple, les clientes, employés, visiteurs des magasins, etc.)
• À quelles fins les données à caractère personne sont-elles utilisées
• Si les données à caractère personnel vont être transférées (à d’autres entreprises et/ou en dehors de l’U.E.)
• La durée de rétention des données à caractère personnel
• Les mesures prises par l’institution par rapport à chaque activité du traitement des données afin de garantir la conformité au RGPD

Toutes ces informations sont importantes concernant la conservation de la vidéosurveillance et elles sont définies dans la Politique de la vidéosurveillance (voir Appendice : Politique de vidéosurveillance).

Les institutions ont l’obligation d’expliquer l’emplacement des caméras vidéo ainsi que ce qu’elles filment et à quelle fin. Dans le cas de la de vidéosurveillance, une signalisation appropriée dans et autour de la zone où est utilisée la vidéosurveillance doit être utilisées pour fournir ces informations.

Le responsable du traitement peut avoir l’obligation de mener une analyse d’impact sur la protection des données (voir Appendice : Analyse d’impact relative à la protection des données) lors de la configuration d’une caméra dans un lieu public. Une analyse d’impact doit inclure :

• Une description systématique des opérations de traitement prévues et les finalités de ce traitement
• Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités (cela peut nécessiter une aide extérieure)
• Une évaluation des risques pour les droits et libertés des personnes concernées
• Les mesures envisagées pour faire face aux risques, y compris les garanties et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et le bon respect du RGPD (compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées)

Un des éléments principaux du RGPD est que les personnes sous surveillance doivent être entièrement informées des données conservées les concernant ainsi que de leur utilisation. Le droit à l’information informe les personnes concernées : des finalités de la surveillance, de qui conserve les données collectées les concernant (responsable du traitement / sous-traitant de données) et des politiques de rétention. Pour un exemple de modèle d’avis sur place, voir Milestone Avis sur place : modèle.

Les institutions qui conservent de la vidéo ont des responsabilités claires concernant la conservation de données à caractère personnel et doivent mettre en place des mesures fortes pour empêcher tout accès non autorisé. En d’autres termes, il est important de définir, par écrit, qui a accès aux caméras et aux enregistrements.

Les institutions doivent également mettre en place une procédure pour les cas où une personne concernée choisit d’exercer son droit d’accès aux données à caractère personnel ou demande leur suppression. Cela leur permettra de rester dans la fenêtre d’un mois au cours de laquelle elles doivent respecter ces demandes conformément au RGPD. Lors d’une requête, il est raisonnable d’attendre le demandeur que le demandeur fournisse les informations nécessaires à la localisation des données, par exemple, une période de temps approximative et un emplacement où a été capturée la vidéo. Autrement dit, la personne concernée doit fournir la preuve de leur identité avec des papiers d’identité officiels et l’institution doit enregistrer les enregistrements dévoilés ou fournis à la personne concernée. De plus, les autres personnes figurant sur la vidéo doivent être masquées par le biais d’outils tiers.

Les institutions doivent utiliser des mesures fortes pour empêcher tout accès non autorisé aux données à caractère personnel conservées. Les tactiques utilisées par chaque institution seront spécifiques aux problèmes qu’elles affrontent. Cependant, dans toutes les instances, les institutions doivent employer des contrôles de sécurité robustes, rester à jour avec les meilleures pratiques de cybersécurité et garantir qu’elles travaillent avec des partenaires de confiance, qui fournissent du matériel et des logiciels sécurisés ainsi qu’un suivi rigoureux.

Gestion des données à caractère personnel

La gestion des données à caractère personnel implique les principes suivants :

• Accès : Avoir connaissance des informations à caractère personnel conservées dans vos fichiers et sur vos ordinateurs.
• Minimisation : Conserver uniquement le nécessaire pour votre entreprise.
• Protection : Protéger les informations conservées.
• Suppression : Effacer ce qui n’est plus nécessaire.
• Réponse : Rapporter immédiatement les failles de sécurité actuelles ou suspectées.