Désormais, les responsables de traitement ne sont plus tenus de demander l’autorisation préalable de la CNPD pour installer un système de vidéosurveillance. Cependant, ils sont tenus de prouver leur conformité avec le RGPD.
Principes et obligations applicables en matière de vidéosurveillance
Sans vouloir prétendre à l’exhaustivité, l’autorité de contrôle luxembourgeoise a rappelé certains principes et obligations applicables en matière de vidéosurveillance. Il s’agit notamment des principes suivants :
- Principe de licéité du traitement ;
- Principe de finalité, à titre d’exemple, la surveillance par caméras vidéo peut avoir pour finalités :
- de sécuriser les accès au bâtiment,
- d’assurer la sécurité du personnel et des clients,
- de détecter et d’identifier des comportements potentiellement suspects ou dangereux susceptibles de provoquer des accidents ou incidents,
- de repérer avec précision l’origine d’un incident, de protéger les biens (bâtiments, installations, matériel, marchandes, liquidités, etc.),
- d’organiser et d’encadrer une évacuation rapide des personnes en cas d’incident,
- de pouvoir alerter en temps utile les services de secours, d’incendie ou des forces de l’ordre ainsi que de faciliter leur intervention.
Avant l’installation d’un système de vidéosurveillance, le responsable du traitement devra définir, de manière précise, la ou les finalités qu’il souhaite atteindre en recourant à un tel système, et ne pourra pas l’utiliser ensuite à d’autres fins ;
- Principe de transparence ;
- Principe de nécessité et de proportionnalité (minimisation des données) ;
- L’article L. 261-1 nouveau du Code du travail : l’employeur qui souhaite installer une vidéosurveillance doit, en plus du respect des obligations générales prévues par ces lignes directrices, veiller au respect des règles spécifiques de l’article L. 261-1 du Code du travail. La vidéosurveillance doit faire l’objet d’une codécision entre l’employeur et la délégation du personnel (ou comité mixte) et ce, conformément aux articles L. 211-8, L. 414-9 et L. 423-1 du Code de travail, lorsqu’elle est mise en œuvre pour les finalités suivantes :
- pour les besoins de sécurité et de santé des salariés, ou
- pour le contrôle de production ou des prestations du salarié, lorsqu’une telle mesure est le seul moyen pour déterminer le salaire exact, ou
- dans le cadre d’une organisation de travail selon l’horaire mobile conformément au Code du travail.
- DPIA quand c’est nécessaire ;
- Autres obligations à respecter en vertu du RGPD, comme par exemple, mettre en place des mesures techniques et organisationnelles adéquates afin de garantir la sécurité et la confidentialité des données faisant l’objet d’un traitement et rédiger un contrat avec les sous-traitants.