Proteccion de datos

Vidéosurveillance et protection des données

Installer des caméras sans respecter le RGPD et la LOPDGDD 3/2018 expose votre entreprise à des sanctions de l'Agence espagnole de protection des données (AEPD). Nous vous accompagnons dans la mise en conformité complète : panneau d'information, registre des activités, base de licéité, durées de conservation et procédure de gestion des droits des personnes filmées.

Droit applicableRGPD (UE) 2016/679 · LOPDGDD 3/2018 (arts. 22 et 89)
ProfilHôtellerie, commerce, copropriétés, PME et entreprises
ModePrésentiel et à distance · Castilla y León et Îles Canaries

La vidéosurveillance capture des images de personnes identifiées ou identifiables : il s'agit d'un traitement de données personnelles dès l'instant où la caméra enregistre. L'article 22 de la LOPDGDD 3/2018 encadre spécifiquement le traitement à des fins de sécurité et de surveillance et impose des obligations concrètes : apposer le panneau d'information obligatoire en un lieu visible avant d'accéder à l'espace filmé, limiter la conservation des enregistrements à un mois au maximum à titre général (sauf s'ils constituent la preuve d'un acte illicite), et s'assurer que seules les personnes habilitées peuvent accéder aux images.

En milieu de travail, l'article 89 de la LOPDGDD ajoute une couche supplémentaire : l'employeur peut installer des systèmes de vidéosurveillance pour contrôler le respect des obligations professionnelles, mais doit en informer préalablement les travailleurs et, lorsqu'il existe, la représentation syndicale. Les caméras ne peuvent être placées dans les zones de repos, les vestiaires ni les sanitaires. Le non-respect de ces exigences rend les enregistrements irrecevables comme preuve dans les procédures disciplinaires et constitue une infraction autonome devant l'AEPD.

Summum Consultoria accompagne les hôteliers, commerçants, copropriétés et entreprises de toutes tailles dans la mise en conformité de leurs systèmes de vidéosurveillance. Nous ne nous substituons pas à l'AEPD et ne garantissons pas l'issue d'une procédure de sanction, mais nous construisons avec vous la documentation, les processus et les mesures organisationnelles qui démontrent que vous agissez avec diligence et responsabilité proactive face à tout contrôle réglementaire.

Le processus Vidéosurveillance et protection des données.

Le processus · quatre étapes
01

Diagnostic du système existant

Nous examinons les caméras installées, leur emplacement, le type d'images captées, les personnes ayant accès aux enregistrements, les durées de conservation et l'existence éventuelle de documentation préalable. Nous identifions les manquements au regard de l'article 22 LOPDGDD, de l'article 89 LOPDGDD lorsque des salariés sont filmés, et des lignes directrices de l'AEPD.

02

Base de licéité et registre des activités

Nous déterminons la base de licéité applicable — dans la plupart des cas, l'intérêt légitime du responsable du traitement au sens de l'article 6, paragraphe 1, point f) du RGPD — et créons ou mettons à jour la fiche de traitement vidéosurveillance dans le Registre des Activités de Traitement (RAT) exigé par l'article 30 RGPD.

03

Mise en place des mesures documentaires

Nous rédigeons le panneau d'information normalisé conformément au modèle de l'AEPD, mentionnant l'identité du responsable du traitement, la finalité du traitement et les modalités d'exercice des droits. Dans les environnements professionnels, nous rédigeons la communication préalable aux salariés et, le cas échéant, à la représentation syndicale, conformément à l'article 89 LOPDGDD.

04

Protocole droits des personnes et violations

Nous établissons la procédure interne pour traiter les demandes d'accès, de rectification et d'effacement présentées par les personnes filmées. Nous définissons le protocole de notification des violations de données à l'AEPD dans le délai maximum de 72 heures (article 33 RGPD) et la communication aux personnes concernées lorsque le risque est élevé (article 34 RGPD).

Ce qui est inclus

Ce qu'inclut Vidéosurveillance et protection des données.

Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.

  • Panneau d'information normalisé

    Élaboration du panneau obligatoire conformément à l'article 22 LOPDGDD et au modèle de l'AEPD : identité du responsable, finalité, durée de conservation, droits des personnes concernées et voies d'exercice. Vérification de son emplacement en zone visible avant l'accès à l'espace filmé.

  • Registre des activités de traitement — fiche vidéosurveillance

    Fiche de traitement spécifique pour la vidéosurveillance au titre de l'article 30 RGPD : description des caméras, données captées, base de licéité, durées de conservation, destinataires et mesures de sécurité appliquées.

  • Caméras en milieu de travail (art. 89 LOPDGDD)

    Vérification de l'emplacement des caméras pour s'assurer qu'elles ne filmaient pas les zones de repos, vestiaires ni sanitaires. Rédaction de la communication préalable aux salariés et, le cas échéant, à la représentation syndicale. Adaptation du contrat de travail ou du règlement intérieur si nécessaire.

  • Durées de conservation des enregistrements

    Mise en place de la procédure de suppression automatique conformément à l'article 22.3 LOPDGDD : un mois au maximum à titre général. Documentation de la procédure d'exception lorsque les images doivent être conservées comme preuve d'un acte illicite, avec notification aux forces de l'ordre ou à l'autorité judiciaire compétente.

  • Contrôle d'accès aux enregistrements

    Définition des personnes pouvant accéder aux images enregistrées, dans quelles conditions et avec quelle traçabilité. Révision des contrats avec les entreprises de sécurité privée ou les fournisseurs du système d'enregistrement en qualité de sous-traitants au sens de l'article 28 RGPD.

  • Protocole de violation de données

    Procédure interne de détection, de confinement et de notification à l'AEPD dans les 72 heures (article 33 RGPD). Lorsque la violation présente un risque élevé pour les personnes filmées, protocole de communication individuelle conformément à l'article 34 RGPD.

Cluster Summum

Comment il se connecte aux sœurs.

La mise en conformité de la vidéosurveillance au RGPD fait partie d'un système plus global de protection des données personnelles. Lorsque le système d'enregistrement est connecté à des réseaux ou à des plateformes en nuage, la cybersécurité et la gestion des accès techniques sont tout aussi critiques, et Summum Sistemas peut vous accompagner sur ce volet.

Questions fréquentes sur Vidéosurveillance et protection des données.

Est-il obligatoire d'afficher un panneau d'information si je dispose de caméras de sécurité ?

Oui. L'article 22 de la LOPDGDD 3/2018 impose d'apposer un panneau suffisamment visible, avant d'accéder à l'espace filmé, indiquant l'existence d'une vidéosurveillance, l'identité du responsable du traitement et les modalités d'exercice des droits d'accès, de rectification, d'effacement et d'opposition. L'AEPD dispose d'un modèle orientatif, mais le panneau doit être adapté aux données réelles du responsable. L'absence du panneau obligatoire est l'une des infractions les plus fréquemment constatées lors des contrôles.

Combien de temps puis-je conserver les enregistrements vidéo ?

L'article 22.3 de la LOPDGDD fixe une durée maximale d'un mois à titre général à compter de la date de captation des images. Passé ce délai, elles doivent être supprimées ou, le cas échéant, bloquées. La seule exception concerne les enregistrements devant être conservés pour attester la commission d'un acte illicite : dans ce cas, ils doivent être mis à la disposition des forces de l'ordre ou de l'autorité judiciaire compétente dans le délai qu'elles indiquent. Conserver des enregistrements au-delà d'un mois sans justification constitue une infraction au RGPD.

Puis-je installer des caméras pour surveiller mes employés au travail ?

Oui, dans les limites fixées par l'article 89 de la LOPDGDD. L'employeur peut installer des systèmes de vidéosurveillance pour contrôler le respect des obligations professionnelles, mais sous deux conditions préalables : informer les salariés de l'existence et des caractéristiques essentielles des dispositifs, et informer également la représentation syndicale lorsqu'elle existe. Les caméras ne peuvent être placées dans les zones de repos, les vestiaires, les cantines ni les sanitaires. Le non-respect de ces exigences rend les enregistrements irrecevables comme preuve dans les procédures disciplinaires et constitue une infraction autonome.

Quelle est la base de licéité applicable au traitement des images de vidéosurveillance ?

La base la plus courante est l'intérêt légitime du responsable du traitement au sens de l'article 6, paragraphe 1, point f) du RGPD, lorsque la finalité est la sécurité des personnes, des biens et des installations et qu'il existe un besoin réel et proportionné. Un test de proportionnalité doit être réalisé : la mesure doit être adéquate, nécessaire et équilibrée au regard des droits des personnes filmées. En milieu de travail, l'article 89 LOPDGDD ajoute la relation contractuelle de travail comme base supplémentaire. Le consentement n'est pas la base habituelle pour la vidéosurveillance, car conditionner l'accès à un établissement à un consentement ne satisfait généralement pas à l'exigence de liberté.

Que se passe-t-il si quelqu'un demande à accéder aux images sur lesquelles il apparaît ?

Les personnes filmées sont titulaires des droits reconnus par le RGPD : accès, rectification, effacement et opposition. Elles doivent pouvoir les exercer en contactant le responsable du traitement par les voies indiquées sur le panneau d'information. Le responsable dispose d'un mois pour répondre (article 12 RGPD), avec la possibilité d'une prolongation de deux mois dans les cas complexes. Si les images ont déjà été supprimées à l'expiration de la durée de conservation, le responsable doit en informer le demandeur. Tout refus doit être motivé juridiquement.

Une copropriété qui installe des caméras doit-elle se conformer au RGPD ?

Oui. Une copropriété qui installe des caméras dans les parties communes — hall d'entrée, parking, piscine, ascenseur — est responsable du traitement à tous égards au titre du RGPD. Elle doit apposer le panneau d'information, inclure le traitement dans son registre des activités, définir les durées de conservation et établir les contrôles d'accès aux enregistrements. La décision de l'assemblée des copropriétaires autorisant l'installation ne vaut pas mise en conformité au RGPD : la conformité documentaire est une étape supplémentaire et obligatoire.

Suis-je tenu de notifier l'AEPD si mon système d'enregistrement est piraté ?

Si la violation de données affecte les enregistrements stockés et est susceptible d'engendrer un risque pour les droits des personnes filmées, oui : l'article 33 du RGPD impose de la notifier à l'AEPD dans un délai maximum de 72 heures à compter du moment où le responsable en prend connaissance. Si le risque est élevé — par exemple, si les images peuvent être utilisées pour surveiller ou faire chanter des personnes identifiables — l'article 34 RGPD impose également d'en informer directement les personnes concernées. Disposer d'un protocole de gestion des violations préparé à l'avance est la seule façon de respecter le délai de 72 heures dans la pratique.