FAQ GDPR

Protection des données personnelles > FAQ GDPR 

Cette FAQ reprend (pour l'instant) la problèmatique des caméras de surveillance, des photos des travailleurs ainsi que le respect du RGPD lors des élections sociales. 

Afin de rester lisible, tous les éléments d'une question ne sont pas analysés en profondeur et sont énoncés de manière synthétique. Si vous avez besoin d'un avis plus ciblé ou de précisions, n'hésitez pas à prendre contact avec laure-anne.gultens@icb-institute.be

Comment utiliser des caméras dans une entreprise de manière conforme ?

Utiliser des caméras dans une entreprise, et donc filmer des personnes, est considéré comme étant un traitement de données à caractère personnel. Il est en effet possible d'identifier des personnes sur les images filmées. 

Il convient de faire une distinction entre les caméras qui filment seulement les travailleurs et celles qui filment à la fois les travailleurs et le public. A cet égard, plusieurs législations peuvent être d'application : 

  • La CCT n°68 relative à la protection de la vie privée des travailleurs à l'égard de la surveillance par caméras sur le lieu de travail ;
  • Le règlement européen général sur la protection des données (ou RGDP/GDPR) ;
  • La loi réglant l'installation et l'utilisation de caméras de surveillance du 21 mars, mise à jour au 31/08/2018.

Comment appliquer simultanément ces législations ? Nous tentons de vous aider à y voir plus clair.

Caméras qui ne filment que les travailleurs sur le lieu de travail

  • Si les caméras ne filment que les travailleurs, l'employeur est tenu de respecter les prescriptions de la CCT n°68 et du RGPD.  

Le lieu de travail n'est pas défini par la CCT. Nous estimons que ce terme doit être envisagé de manière large, incluant également la vidéosurveillance dans le bus ou le car du chauffeur.

La surveillance sur le lieu de travail est autorisée moyennant le respect d'un certain nombre de conditions. 

En premier lieu, le contrôle doit poursuivre une des finalités légitimes définies par la loi. Il doit s'agir soit : 

  • D'assurer la sécurité et la santé des travailleurs ;
  • De protéger les biens de l'entreprise ;
  • De contrôler le processus de production ;
  • De contrôler le travail du travailleur. Attention les caméras ne peuvent pas fonder les décisions et évaluations concernant le travailleur. 

Ensuite, le contrôle doit toujours être proportionné : la surveillance doit atteindre un des but précités ci-dessus et ne pas être excessive.

Le contrôle doit également être transparent : l'employeur doit notamment donner des informations sur la conservation ou non des images, sur la durée de conservation, le nombre de caméras et leur emplacement, les périodes pendant lesquelles les caméras fonctionnent, les droits des travailleurs, ... Si le travail est contrôlé (4ème but légitime), les modalités de surveillance doivent être mentionnées dans le règlement de travail.

Pour se conformer au RGPD, il est important de mentionner le traitement « surveillance caméra » dans le registre des traitements (voyez notre modèle). Cela remplace l'obligation de déclaration auprès de l'Autorité de protection des données. Le RGPD impose également à l'employeur de veiller à la confidentialité des informations traitées. De plus, le travailleur a la possibilité de demander l'accès aux données le concernant. 

Caméras qui filment les travailleurs et les clients, les visiteurs, les fournisseurs,...

Dans cette situation, il faut tenir compte de la CCT n° 68, du RGPD ainsi que de la loi réglant l'installation et l'utilisation de caméras de surveillance. Pour le respect de la CCT n° 68, nous renvoyons à ce qui est exposé plus haut.

Pour le reste, les différentes obligations sont : 

  • Une déclaration électronique doit être faite aux services de police via le site www.declarationcamera.be. Cet enregistrement doit être fait pour chaque lieu surveillé et doit être revalidé annuellement. Étant donné la nouveauté de cette mesure, une période de transition de 2 ans est prévue. Les déclarations devront être faites pour le 25 mai 2020 au plus tard.
  • Un registre des activités de traitement d'images doit être tenu. Vous pouvez utiliser le modèle que nous proposons sur notre site mais il conviendra d'y ajouter certaines informations.
  • Un pictogramme signalant la présence de caméras de surveillance doit être apposé. Les pictogrammes doivent reprendre ces informations (attention, les pictogrammes existants doivent être adaptés avant le 11 décembre 2018) :
  1. « Surveillance par caméra - Loi du 21 mars 2007 »
  2. Le nom de la personne physique ou morale responsable du traitement : c'est la personne qui a décidé d'installer des caméras de surveillance et qui en a fixé les limites. Il s'agira le plus souvent de l'employeur.
  3. L'adresse postale, et le cas échéant, l'adresse électronique, ou le numéro de téléphone, du responsable du traitement : les personnes filmées doivent avoir un moyen de contacter le responsable afin d'exercer leurs droits
  4. Le cas échéant, les coordonnées du délégué à la protection des données (DPO).
  5. Le cas échéant, le site internet du responsable, où les personnes peuvent consulter toutes les informations sur le traitement d'images au moyen des caméras de surveillance.
  • Les informations ne peuvent être conservées que si elles sont "pertinentes" au niveau de la preuve de faits nuisibles ou constitutifs d'une infraction ou si elles permettent d'identifier l'auteur d'une infraction, un témoin ou une victime. Les autres images, qualifiées de non pertinentes, ne peuvent être conservées plus d'un mois.

Comment compléter le registre des traitements en cas d'utilisation de caméras de surveillance ?

La loi prévoit que le responsable du système de vidéosurveillance (l'employeur le plus souvent) doit tenir un registre écrit reprenant les activités de traitement d'images de caméras. Ce registre devra être présenté sur demande des services de police ou de l'Autorité de protection des données.

Vous pouvez trouver un modèle de registre sur notre site, dans la partie « Protection des données personnelles » que vous pouvez utiliser dans le cas de traitement d'images de vidéosurveillance mais il conviendra d'y ajouter les informations suivantes :

  • La base légale du traitement : Loi du 21 mars 2007 réglant l'installation et l'utilisation de caméras ;
  • L'indication du type de lieu : lieu ouvert ou lieu fermé (accessible au public) + adresse ;
  • La description technique des caméras : caméras fixes (temporaires ou non) ou caméras mobiles, description technique des caméras (modèle, marque, résolution...), emplacement des caméras si elles sont fixes ;
  • Si ce sont des caméras de surveillance temporaires ou mobiles : description du périmètre d'utilisation des caméras ainsi que la période (plages horaires) ;
  • Le mode d'information au sujet du traitement : déclaration aux services de police, pictogramme réglementaire ;
  • Le lieu du traitement : vous devez préciser où les images sont visionnées et/ou conservées ;
  • Le fait qu'un visionnage en temps réel est organisé : si des personnes surveillent de manière permanente les lieux, précisez comment c'est organisé (qui ? quand ? où ?).

Avec le GDPR, quid des photos des travailleurs ?

Il arrive qu'un employeur utilise les photos de ses travailleurs : badges, « who is who », photos lors d'évènements d'entreprises, relations avec l'extérieur (site de l'entreprise).

L'idéal pour l'entreprise est de demander le consentement de la personne concernée. Pour être valable, le RGPD exige que ce consentement soit libre, spécifique, univoque et éclairé (on ne peut déduire un consentement d'un silence). 

L'intérêt légitime de l'entreprise pourrait également servir de base au traitement des photos des travailleurs, pour autant qu'il ne soit pas porté atteinte de manière excessive aux intérêts de la personne photographiée. 

Pour avoir plus d'informations sur les différents fondements possibles au traitement de données, consultez notre document explicatif dans la partie « Protection des données personnelles ».

Comment utiliser les deux fondements mentionnés ? 

Le consentement

Le consentement doit pourvoir être démontré. Cela implique d'en garder une trace. L'employeur doit prévoir une déclaration de consentement qui doit être spécifique, éclairée, signée ou acceptée électroniquement (case à cocher). Cette déclaration doit également préciser pourquoi la photo est prise et pourquoi elle est traitée.  

L'Autorité de protection des données (l'APD) considère que le consentement est le fondement le plus approprié pour les photos qu'elle qualifie de « nice to have ». Il s'agit par exemple des photos qui sont publiées sur un site internet pour permettre aux clients de savoir qui sont leur contact, des photos qui sont prises afin de permettre de bonnes relations au travail (par exemple afficher une photo d'un chauffeur qui fête son anniversaire dans les vestiaires/la cantine, prendre des photos lors d'un team building pour les partager entre collègues par après, envoyer une photo du chauffeur pour permettre au groupe de le reconnaître lors de la prise en charge,...). Ces photos ne sont pas strictement nécessaires mais elles sont utiles pour un environnement de travail agréable, une certaine cohésion.

L'intérêt légitime

L'employeur devra être en mesure de prouver qu'il a un intérêt légitime à posséder des photos des travailleurs. Il devra également veiller à respecter un équilibre proportionné entre son intérêt légitime et le respect de la vie privée des personnes concernées. 

Ces situations sont très limitées. Nous pensons par exemple à une photo sur un badge qui permet d'assurer la sécurité dans l'entreprise. L'APD parle alors de photos « need to have ». Dans cette situation, la sécurité de l'entreprise prévaut sur les intérêts de la personne photographiée. L'employeur a nécessairement besoin d'une photo afin d'atteindre l'objectif de sécurité. 


Comment respecter le GDPR dans le cadre des élections sociales ?

Les traitements effectués dans le cadre des élections sociales doivent bien entendu être mentionnés dans le registre. Dans le tableau suivant vous trouverez la base légale pour chaque traitement ainsi que la période de conservation minimale et la base légale de conservation. Il est possible de prévoir des périodes de conservation plus longues si elles sont motivées.

Dans son avis sur la modification de la loi sur les élections sociales, l'Autorité de protection des données a souligné que l'employeur ne pouvait pas diffuser les listes électorales (phase X) par e-mail. Une publication ouverte sur le site web interne de l'entreprise (avec téléchargement possible) devrait également être évitée. Les listes électorales devraient être disponibles électroniquement sur une plate-forme fermée ou sur un intranet protégé par l'employeur et accessible uniquement aux travailleurs de l'entreprise. Cela n'empêche pas l'envoi d'un e-mail aux travailleurs contenant un lien vers une telle plate-forme ou un tel intranet, à condition que seuls les employés de l'entreprise y aient accès.