par Pierre Moreau, avocat au barreau de Paris, auditeur de l’INHES
Vidéosurveillance, géolocalisation et biométrie font désormais partie de la panoplie sécuritaire des espaces privés ou publics. Des systèmes dont l’utilisation est appelée à se multiplier, notamment dans les entreprises. Dans ce sens, il est indispensable que clients et prestataires maîtrisent l’environnement juridique qui encadre la mise en place de ces technologies. Repères.
Protéger, oui ; espionner, non ! Tel pourrait être le principe qui doit régir les relations entre les organisations utilisatrices de systèmes de surveillance et de contrôle et les publics concernés par cette surveillance. Un principe dont les fondements juridiques diffèrent en fonction des technologies privilégiées.
Vidéosurveillance : protéger en toute légalité et dans le respect de la vie privée
Quelle loi appliquer dans le cadre de la vidéosurveillance ? Comment s’y retrouver ? Encadrée par la loi du 21 janvier 1995 d’orientation et de programmation relative à la sécurité, précisée par le décret du 17 octobre 1996, la vidéosurveillance échappe en tant que telle à la compétence de la CNIL par la loi du 6 janvier 1978… sauf si les données collectées font l’objet d’un traitement nominatif. Lorsqu’elle répond à un objectif de prévention du terrorisme la vidéosurveillance est régie par la loi du 23 janvier 2006.
Le régime juridique applicable dépend de plusieurs paramètres : absence de conservation ou conservation des images, lieu recevant du public ou lieu privé, lutte contre la délinquance ordinaire ou contre le terrorisme. Il convient donc de distinguer quatre hypothèses :
1°/ Présence d’une caméra sans conservation ou stockage des images
Un premier constat s’impose : toute caméra ne constitue pas un système de vidéosurveillance. C’est notamment le cas des systèmes de transmission installés dans certains commerces de détails qui permettent au responsable de surveiller les mouvements tout en servant ses clients. Ce système ne requière aucune autorisation administrative ni aucune déclaration à la CNIL. La seule obligation est une obligation d’information du public sur l’existence de caméras eu égard à la protection de la vie privée.
A l’origine de la vidéosurveillance et en 1995, la compétence de la CNIL n’était que résiduelle, le développement de la vidéosurveillance via Internet, permettant l’alimentation de fichiers informatiques et un traitement des données par des requêtes, la déclaration à la CNIL est devenue la règle.
2°/ Présence d’un dispositif de vidéosurveillance pour la prévention de la délinquance ordinaire dans un lieu ouvert au public
Cette hypothèse requière une distinction supplémentaire liée à la constitution (ou non) d’un fichier nominatif. Si le système de vidéosurveillance n’est pas associé à la constitution d’un fichier nominatif, seule une autorisation administrative est requise. En revanche, si le système de vidéosurveillance est associé à la constitution d’un fichier nominatif, alors, à l’autorisation administrative s’ajoute la déclaration du fichier à la CNIL.
L’installation d’un système de vidéosurveillance dans un lieu ouvert au public (banque, grands magasins …) suppose une autorisation délivrée par le préfet du département (à Paris : le Préfet de Police) après avis d’une commission départementale présidée par un magistrat de l’ordre judiciaire, gardien traditionnel des libertés individuelles. Cette autorisation est subordonnée à la démonstration d’une exposition particulière à des risques de vols ou d’agression, en raison de l’isolement, de l’ouverture tardive (stations service, centres commerciaux…), de la valeur des marchandises (banques, bijouteries…) ou de leur nature (pharmacies…). Le public doit être informé de façon claire et permanente de l’existence du système de vidéosurveillance et de l’identité de la personne qui en est responsable. Attention toutefois : au nom de la protection de la vie privée, les dispositifs de vidéosurveillance autorisés ne doivent pas permettre de visualiser les images de l’intérieur des immeubles d’habitation environnants ou de leurs entrées. Enfin, lorsque le système de vidéosurveillance est associé à la constitution d’un fichier nominatif, seules les dispositions de la loi de 1978 sont applicables (voir hypothèse 3).
3°/ Implantation d’un système de vidéosurveillance dans un lieu privé
Par lieu privé, on entend les endroits dans lesquels le public n’est pas habituellement reçu, c’est le cas par exemple des entreprises ou des établissements scolaires Dans cette hypothèse, seule la loi de 1978 est applicable dès lors que le dispositif permet une conservation des images sous une forme numérique (constitution d’un fichier nominatif informatisé). L’entreprise utilisatrice doit déclarer ce fichier auprès de la CNIL, à l’aide des formulaires téléchargeables proposés sur le site de la Commission. Les salariés et leurs représentants doivent être préalable informés
4°/ Implantation d’un système de vidéosurveillance pour la prévention des actes de terrorisme
La loi du 23 janvier 2006 étend l’utilisation de la surveillance à la prévention du terrorisme et assouplit les conditions de mise en œuvre de cette technique de surveillance. Les lieux et établissements ouverts au public et susceptibles “d’être exposés à des actes de terrorisme” peuvent désormais installer – pour ce motif – un système de vidéosurveillance. Lorsque le risque est imminent (urgence) ou l’exposition au risque de terrorisme majeure, le dispositif de surveillance peut être installé, avec une autorisation provisoire mais sans avis préalable de la commission départementale (qui doit cependant être recueilli a postériori dans un délai de quatre mois). Les services de police et de gendarmerie peuvent accéder aux enregistrements visuels en dehors de toute procédure judiciaire en cours.
Localiser, oui ; espionner, non !
De nombreuses entreprises de transport, de dépannage, de taxis… utilisent des systèmes de géolocalisation (de type GSM /GPS) qui permettent principalement à l’employeur de connaître la position d’un véhicule. Mais ces systèmes peuvent révéler d’autres informations : itinéraire suivi, temps de pause, vitesse… Or, ces données associées à un utilisateur identifié constituent un traitement de données à caractère personnel qui fait l’objet d’un contrôle de la CNIL.
Par conséquent, il revient à l’employeur (c’est-à-dire à celui qui utilise le système de géolocalisation) d’effectuer une déclaration auprès de la CNIL. Dans sa déclaration, il doit indiquer les objectifs auxquels répond le dispositif permettant la localisation de ses salariés (gestion des interventions auprès du client, facturation, vol des véhicules et des marchandises transportées …). Le traitement des informations doit être proportionné à la finalité déclarée, c’est-à-dire s’effectuer de façon adéquate, pertinente, non excessive et strictement nécessaire à l’objectif poursuivi. C’est le principe de proportionnalité.
Comme pour tous les traitements informatisés, la déclaration à la CNIL doit être préalable à la mise en œuvre du système de géolocalisation Elle peut être effectuée en ligne par téléchargement du formulaire de déclaration d’adhésion à une norme simplifiée (norme simplifiée n°51 du 16 mars 2006 sur la géolocalisation des véhicules utilisés par les salariés publics et privés). Concrètement, l’employeur doit ensuite attendre d’avoir reçu le récépissé de sa déclaration avant de mettre en service le système.
Attention !
Les dispositifs de localisation supposent le plus souvent le recours à un prestataire extérieur qui en assure l’installation et la maintenance. Cette circonstance n’exonère pas l’employeur, qui est seul responsable du traitement de la déclaration du traitement à la CNIL.
Biométrie : pas de régime juridique unique
Placés sous le contrôle de la CNIL, les procédés biométriques sont soumis à un encadrement juridique plus ou moins contraignant. En effet, il n’existe pas un régime juridique unique. Le contrôle exercé par la CNIL est gradué et varie en fonction du procédé biométrique utilisé, des conditions de stockage des données recueillies et de la finalité de sa mise en œuvre.
- A propos du procédé biométrique utilisé : la reconnaissance du contour de la main ne laisse pas de traces susceptibles d’être captées à l’insu de la personne identifiée et d’être ainsi utilisée à des fins étrangères à la finalité assignée au dispositif. Il n’en va pas de même pour l’empreinte digitale, la reconnaissance faciale, de l’iris de l’œil,
- A propos du mode de stockage des données recueillies : le support individuel (carte à puce, clef USB) dont la personne visée a le contrôle exclusif permet de garantir que les données ne seront pas captées à l’insu de cette personne. Il n’en va pas de même pour un stockage dans une base centralisée ou sur un lecteur.
- A propos de la finalité poursuivie : le contrôle de l’accès dans les locaux de l’entreprise (ou dans une cantine scolaire) ou le contrôle des horaires de travail du salarié sont reconnus comme motifs licites.
A l’inverse, le recours à la biométrie (empreintes digitales) a été refusé à un grand hôtel parisien pour l’accès aux chambres (décision de la CNIL du 30 mai 2006). En d’autres termes, plus le procédé, le mode de conservation ou la finalité sont intrusifs, plus la procédure de contrôle est interventionniste.
Dans ce sens, deux types de procédures coexistent (bien que la terminologie utilisée par la CNIL prête à confusion) : un régime déclaratif et un régime d’autorisation.
La procédure de déclaration s’applique dès lors que le dispositif biométrique respecte les prescriptions définies par la CNIL dans l’une des ses 3 autorisations du 27 avril 2006 :
-
1° Délibération n°2006-101 du 27 avril 2006 portant autorisation unique de mise en œuvre de dispositifs biométriques reposant sur la reconnaissance du contour de la main et ayant pour finalités le contrôle d’accès ainsi que la gestion des horaires et de la restauration sur les lieux de travail (décision d’autorisation unique n°AU-007).
-
2° Délibération n°2006-103 du 27 avril 2006 portant autorisation unique de mise en œuvre de traitements automatisés de données à caractère personnel reposant sur l’utilisation d’un dispositif de reconnaissance du contour de la main et ayant pour finalité l’accès au restaurant scolaire (décision d’autorisation unique n°AU-009).
-
3° Délibération n°2006-102 du 27 avril 2006 portant autorisation unique de mise en œuvre de dispositifs biométriques reposant sur la reconnaissance de l’empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l’accès aux locaux sur les lieux de travail (décision d’autorisation unique n°AU-008.
La personne responsable fait alors une déclaration sous la forme d’un engagement de conformité à l’autorisation qui la concerne. Il s’agit bien d’un régime déclaratif, le déclarant s’engageant à respecter le code de déontologie fixé par l’autorisation correspondant à la prise de données biométriques.
La procédure d’autorisation s’applique quant à elle aux données biométriques les plus sensibles ou dans le cadre de la création d’un fichier pour des finalités autres que celles limitativement énumérées par les différentes autorisations susvisées. Certaines autorisations sont délivrées directement par la CNIL. D’autres autorisations, concernant le secteur public exclusivement, sont délivrées par décret en Conseil d’État ou par arrêté, après avis de la CNIL.
Aucun commentaire:
Enregistrer un commentaire