FAQ GDPR

Protection des données personnelles > FAQ GDPR

Cette FAQ a pour but de vous éclairer de manière simple et efficace sur divers sujets qui sont impactés par le GDPR sans pour autant être exhaustive. Afin de rester lisibles, tous les éléments d'une question ne sont pas analysés en profondeur et sont énoncés de manière synthétique. C'est pourquoi, si vous avez besoin d'un avis plus ciblé ou de précisions, n'hésitez pas à prendre contact : eloise.meert@icb-institute.be

Avec le GDPR, comment utiliser des caméras dans une entreprise de manière conforme ?

Le fait de filmer des personnes est considéré comme un traitement de données personnelles. En effet, il est possible d'identifier des personnes sur les images filmées. Avec le GDPR, la législation a quelque peu été modifiée.

Il faut faire une distinction entre les caméras qui filment seulement les travailleurs et celles qui filment à la fois les travailleurs et le public. Plusieurs législations s'appliquent :

  • La CCT n°68 relative à la protection de la vie privée des travailleurs à l'égard de la surveillance par caméras sur le lieu de travail ;
  • Le règlement européen général sur la protection des données (ou RGDP/GDPR) ;
  • La loi réglant l'installation et l'utilisation de caméras de surveillance du 21 mars, mise à jour au 31/08/2018.

Comment appliquer simultanément ces législations ? Nous tentons de vous aider à y voir plus clair.

Caméras qui ne filment que les travailleurs sur le lieu de travail

Si les caméras ne filment que les travailleurs, l'employeur est tenu de respecter les prescriptions de la CCT n°68 mais également du GDPR.

Le lieu de travail n'est pas défini par la CCT. Nous pensons que ce dernier doit être envisagé de manière large, c'est-à-dire incluant la vidéosurveillance dans le bus ou le car du chauffeur.

La surveillance sur le lieu de travail est autorisée moyennant le respect d'un certain nombre de conditions :

  • Le contrôle doit être fait dans un but légitime : ces finalités sont délimitées par la loi, il doit s'agir :
  • D'assurer la sécurité et santé des travailleurs ;
  • De protéger les biens de l'entreprise ;
  • De contrôler le processus de production ;
  • De contrôler le travail du travailleur. Attention les caméras ne peuvent pas fonder les décisions et évaluations concernant le travailleur.
  • Le contrôle doit être proportionné : la surveillance doit atteindre un des but précités ci-dessus et ne pas être excessive.
  • Le contrôle doit être transparent : l'employeur doit notamment donner des informations sur le fait que les images sont conservées ou non, sur la durée de conservation, le nombre de caméras et leur emplacement, les périodes pendant lesquelles les caméras fonctionnent, les droits des travailleurs, ... Si le travail est contrôlé (4ème but légitime), les modalités de surveillance doivent être mentionnées dans le règlement de travail.

Ensuite, avec le GDPR, il convient maintenant de mentionner le traitement « surveillance caméra » dans le registre des traitements (voyez notre modèle). Cela remplace l'obligation de déclaration auprès de la Commission vie privée (devenue entre-temps l'Autorité de protection des données). Le GDPR impose à l'employeur de veiller à la confidentialité des informations traitées et permettre au travailleur d'avoir accès aux données le concernant.

Caméras qui filment les travailleurs et les clients, les visiteurs, les fournisseurs....

Dans cette situation, il faut tenir compte de la CCT n° 68, du GDPR ainsi que de la loi caméras. Pour le respect de la CCT n° 68, nous renvoyons à ce qui est exposé plus haut.

Voici les différentes obligations à respecter dans ce cas de figure :

  • Une déclaration électronique doit être faite aux services de police via le site www.declarationcamera.be. Cet enregistrement doit être fait pour chaque lieu surveillé et doit être revalidé annuellement. Étant donné la nouveauté de cette mesure, une période de transition de 2 ans est prévue. Les déclarations devront être faites pour le 25 mai 2020 au plus tard.
  • Un registre des activités de traitement d'images doit être tenu. Vous pouvez utiliser le modèle que nous proposons sur notre site mais il conviendra d'y ajouter certaines informations.
  • Un pictogramme signalant la présence de caméras de surveillance doit être apposé. Les pictogrammes doivent reprendre ces informations (adaptation suite au GDPR) :
  • « Surveillance par caméra - Loi du 21 mars 2007 »
  • Le nom de la personne physique ou morale responsable du traitement : c'est la personne qui a décidé d'installer des caméras de surveillance et qui en a fixé les limites. Il s'agira le plus souvent de l'employeur.
  • L'adresse postale, et le cas échéant, l'adresse électronique, ou le numéro de téléphone, auxquels le responsable du traitement : les personnes filmées doivent avoir un moyen de contacter le responsable afin d'exercer leurs droits
  • Le cas échéant, les coordonnées du délégué à la protection des données (DPO).
  • Le cas échéant, le site internet du responsable, où les personnes peuvent consulter toutes les informations sur le traitement d'images au moyen des caméras de surveillance.
  • Attention ! Les pictogrammes existants doivent être adaptés à la nouvelle réglementation avant le 11 décembre 2018.
  • Les informations ne peuvent être conservées que si elles sont pertinentes au niveau de la preuve de faits nuisibles ou constitutifs d'une infraction, ou si elles permettent d'identifier l'auteur d'une infraction, un témoin ou une victime. Les autres images, qualifiées de non pertinentes, ne peuvent être conservées plus d'un mois.


Comment compléter le registre des traitements en cas d'utilisation de caméras de surveillance ?

Auparavant, la Commission vie privée tenait un registre public recensant les différentes caméras. Maintenant, la loi prévoit que le responsable du système de vidéosurveillance (l'employeur le plus souvent) doit tenir un registre écrit reprenant les activités de traitement d'images de caméras. Ce registre devra être présenté sur demande des services de police ou l'autorité de protection des données (anciennement Commission vie privée).

Vous pouvez trouver un modèle de registre sur notre site, dans la partie « Protection des données personnelles » que vous pouvez utiliser dans le cas de traitement d'images de vidéosurveillance mais il conviendra d'y ajouter les informations suivantes :

  • La base légale du traitement : Loi du 21 mars 2007 réglant l'installation et l'utilisation de caméras ;
  • L'indication du type de lieu : lieu ouvert ou lieu fermé (accessible au public) + adresse ;
  • La description technique des caméras : caméras fixes (temporaires ou non) ou caméras mobiles, description technique des caméras (modèle, marque, résolution...), emplacement des caméras si elles sont fixes ;
  • Si ce sont des caméras de surveillance temporaires ou mobiles : description du périmètre d'utilisation des caméras ainsi que la période (plages horaires) ;
  • Le mode d'information au sujet du traitement : déclaration aux services de police, pictogramme réglementaire ;
  • Le lieu du traitement : vous devez préciser où les images sont visionnées et/ou conservées ;
  • Le fait qu'un visionnage en temps réel est organisé : si des personnes surveillent de manière permanente les lieux, précisez comment c'est organisé (qui ? quand ? où ?).


Avec le GDPR, quid des photos des travailleurs ?

Il arrive qu'un employeur utilise les photos de ses travailleurs : badges, « who is who », photos lors d'évènements d'entreprises, relations avec l'extérieur (site de l'entreprise).

Même avant l'arrivée du GDPR, une personne devait donner son consentement pour que son image soit utilisée. Une ancienne jurisprudence considérait que lorsqu'une personne posait pour une photo, elle avait implicitement donné son accord pour un usage ultérieur. Cette jurisprudence ne peut plus être appliquée étant donné que le GDPR exige maintenant que le consentement soit libre, spécifique, univoque et éclairé. Cela implique qu'on ne peut déduire un consentement d'un silence ! L'intérêt légitime de l'entreprise pourrait également, prévaloir sur les intérêts de la personne photographiée mais le traitement de la photo doit être aux fins de cet intérêt légitime.

Pour avoir plus d'informations sur les différents fondements possibles au traitement de données, consultez notre document explicatif dans la partie « Protection des données personnelles ».

Comment utiliser correctement ces deux fondements ?

Le consentement

Le consentement doit être prouvé. Cela implique d'en garder une trace. L'employeur doit prévoir une déclaration de consentement spécifique, éclairée, signée ou acceptée électroniquement (case à cocher) qui précise pourquoi la photo est prise et traitée.

L'Autorité de protection des données (l'APD) considère que le consentement est le fondement le plus appropriée pour les photos qu'elle qualifie de « nice to have ». Il s'agit par exemple des photos qui sont publiées sur un site internet pour permettre aux clients de savoir qui sont leur contact, des photos qui sont prises afin de permettre des bonnes relations au travail (par exemple afficher une photo d'un chauffeur qui fête son anniversaire dans les vestiaires/la cantine, prendre des photos lors d'un team building pour les partager entre collègues par après, envoyer une photo du chauffeur pour permettre au groupe de le reconnaître lors de la prise en charge). En soi, ces photos ne sont pas strictement nécessaires, l'employeur n'en a besoin à tout prix mais plutôt pour assurer un environnement de travail agréable, une certaine cohésion.

Les intérêts légitimes

Dans ce cas, l'employeur devra fournir des informations : pourquoi la photo doit-elle être prise, combien de temps sera-t-elle conservée, comment sera-t-elle stockée, etc. Dans ce cas, la personne ne peut pas refuser d'être photographiée.

En outre, l'employeur devra être en mesure de prouver que ses intérêts prévalent.

Ces situations seront très limitées. Nous pensons par exemple à une photo sur un badge qui permet d'assurer la sécurité dans l'entreprise. L'APD parle alors de photos « need to have ». Dans cette situation, la sécurité de l'entreprise prévaut sur les intérêts de la personne photographiée. L'employeur a alors nécessairement besoin d'une photo afin d'atteindre l'objectif de sécurité.