FAQ GDPR

Protection des données personnelles > FAQ GDPR

Cette FAQ a pour but de vous éclairer de manière simple et efficace sur divers sujets qui sont impactés par le GDPR sans pour autant être exhaustive. Afin de rester lisibles, tous les éléments d'une question ne sont pas analysés en profondeur et sont énoncés de manière synthétique. C'est pourquoi, si vous avez besoin d'un avis plus ciblé ou de précisions, n'hésitez pas à prendre contact : eloise.meert@icb-institute.be

Comment utiliser des caméras dans une entreprise de manière conforme ?

Le fait de filmer des personnes est considéré comme un traitement de données personnelles. En effet, il est possible d'identifier des personnes sur les images filmées. Avec le GDPR, la législation a quelque peu été modifiée.

Il faut faire une distinction entre les caméras qui filment seulement les travailleurs et celles qui filment à la fois les travailleurs et le public. Plusieurs législations s'appliquent :

  • La CCT n°68 relative à la protection de la vie privée des travailleurs à l'égard de la surveillance par caméras sur le lieu de travail ;
  • Le règlement européen général sur la protection des données (ou RGDP/GDPR) ;
  • La loi réglant l'installation et l'utilisation de caméras de surveillance du 21 mars, mise à jour au 31/08/2018.

Comment appliquer simultanément ces législations ? Nous tentons de vous aider à y voir plus clair.

Caméras qui ne filment que les travailleurs sur le lieu de travail

Si les caméras ne filment que les travailleurs, l'employeur est tenu de respecter les prescriptions de la CCT n°68 mais également du GDPR.

Le lieu de travail n'est pas défini par la CCT. Nous pensons que ce dernier doit être envisagé de manière large, c'est-à-dire incluant la vidéosurveillance dans le bus ou le car du chauffeur.

La surveillance sur le lieu de travail est autorisée moyennant le respect d'un certain nombre de conditions :

  • Le contrôle doit être fait dans un but légitime : ces finalités sont délimitées par la loi, il doit s'agir :
  • D'assurer la sécurité et santé des travailleurs ;
  • De protéger les biens de l'entreprise ;
  • De contrôler le processus de production ;
  • De contrôler le travail du travailleur. Attention les caméras ne peuvent pas fonder les décisions et évaluations concernant le travailleur.
  • Le contrôle doit être proportionné : la surveillance doit atteindre un des but précités ci-dessus et ne pas être excessive.
  • Le contrôle doit être transparent : l'employeur doit notamment donner des informations sur le fait que les images sont conservées ou non, sur la durée de conservation, le nombre de caméras et leur emplacement, les périodes pendant lesquelles les caméras fonctionnent, les droits des travailleurs, ... Si le travail est contrôlé (4ème but légitime), les modalités de surveillance doivent être mentionnées dans le règlement de travail.

Ensuite, avec le GDPR, il convient maintenant de mentionner le traitement « surveillance caméra » dans le registre des traitements (voyez notre modèle). Cela remplace l'obligation de déclaration auprès de la Commission vie privée (devenue entre-temps l'Autorité de protection des données). Le GDPR impose à l'employeur de veiller à la confidentialité des informations traitées et permettre au travailleur d'avoir accès aux données le concernant.

Caméras qui filment les travailleurs et les clients, les visiteurs, les fournisseurs....

Dans cette situation, il faut tenir compte de la CCT n° 68, du GDPR ainsi que de la loi caméras. Pour le respect de la CCT n° 68, nous renvoyons à ce qui est exposé plus haut.

Voici les différentes obligations à respecter dans ce cas de figure :

  • Une déclaration électronique doit être faite aux services de police via le site www.declarationcamera.be. Cet enregistrement doit être fait pour chaque lieu surveillé et doit être revalidé annuellement. Étant donné la nouveauté de cette mesure, une période de transition de 2 ans est prévue. Les déclarations devront être faites pour le 25 mai 2020 au plus tard.
  • Un registre des activités de traitement d'images doit être tenu. Vous pouvez utiliser le modèle que nous proposons sur notre site mais il conviendra d'y ajouter certaines informations.
  • Un pictogramme signalant la présence de caméras de surveillance doit être apposé. Les pictogrammes doivent reprendre ces informations (adaptation suite au GDPR) :
  • « Surveillance par caméra - Loi du 21 mars 2007 »
  • Le nom de la personne physique ou morale responsable du traitement : c'est la personne qui a décidé d'installer des caméras de surveillance et qui en a fixé les limites. Il s'agira le plus souvent de l'employeur.
  • L'adresse postale, et le cas échéant, l'adresse électronique, ou le numéro de téléphone, auxquels le responsable du traitement : les personnes filmées doivent avoir un moyen de contacter le responsable afin d'exercer leurs droits
  • Le cas échéant, les coordonnées du délégué à la protection des données (DPO).
  • Le cas échéant, le site internet du responsable, où les personnes peuvent consulter toutes les informations sur le traitement d'images au moyen des caméras de surveillance.
  • Attention ! Les pictogrammes existants doivent être adaptés à la nouvelle réglementation avant le 11 décembre 2018.
  • Les informations ne peuvent être conservées que si elles sont pertinentes au niveau de la preuve de faits nuisibles ou constitutifs d'une infraction, ou si elles permettent d'identifier l'auteur d'une infraction, un témoin ou une victime. Les autres images, qualifiées de non pertinentes, ne peuvent être conservées plus d'un mois.

Comment compléter le registre des traitements en cas d'utilisation de caméras de surveillance ?

Auparavant, la Commission vie privée tenait un registre public recensant les différentes caméras. Maintenant, la loi prévoit que le responsable du système de vidéosurveillance (l'employeur le plus souvent) doit tenir un registre écrit reprenant les activités de traitement d'images de caméras. Ce registre devra être présenté sur demande des services de police ou l'autorité de protection des données (anciennement Commission vie privée).

Vous pouvez trouver un modèle de registre sur notre site, dans la partie « Protection des données personnelles » que vous pouvez utiliser dans le cas de traitement d'images de vidéosurveillance mais il conviendra d'y ajouter les informations suivantes :

  • La base légale du traitement : Loi du 21 mars 2007 réglant l'installation et l'utilisation de caméras ;
  • L'indication du type de lieu : lieu ouvert ou lieu fermé (accessible au public) + adresse ;
  • La description technique des caméras : caméras fixes (temporaires ou non) ou caméras mobiles, description technique des caméras (modèle, marque, résolution...), emplacement des caméras si elles sont fixes ;
  • Si ce sont des caméras de surveillance temporaires ou mobiles : description du périmètre d'utilisation des caméras ainsi que la période (plages horaires) ;
  • Le mode d'information au sujet du traitement : déclaration aux services de police, pictogramme réglementaire ;
  • Le lieu du traitement : vous devez préciser où les images sont visionnées et/ou conservées ;
  • Le fait qu'un visionnage en temps réel est organisé : si des personnes surveillent de manière permanente les lieux, précisez comment c'est organisé (qui ? quand ? où ?).

Avec le GDPR, quid des photos des travailleurs ?

Il arrive qu'un employeur utilise les photos de ses travailleurs : badges, « who is who », photos lors d'évènements d'entreprises, relations avec l'extérieur (site de l'entreprise).

Même avant l'arrivée du GDPR, une personne devait donner son consentement pour que son image soit utilisée. Une ancienne jurisprudence considérait que lorsqu'une personne posait pour une photo, elle avait implicitement donné son accord pour un usage ultérieur. Cette jurisprudence ne peut plus être appliquée étant donné que le GDPR exige maintenant que le consentement soit libre, spécifique, univoque et éclairé. Cela implique qu'on ne peut déduire un consentement d'un silence ! L'intérêt légitime de l'entreprise pourrait également, prévaloir sur les intérêts de la personne photographiée mais le traitement de la photo doit être aux fins de cet intérêt légitime.

Pour avoir plus d'informations sur les différents fondements possibles au traitement de données, consultez notre document explicatif dans la partie « Protection des données personnelles ».

Comment utiliser correctement ces deux fondements ?

Le consentement

Le consentement doit être prouvé. Cela implique d'en garder une trace. L'employeur doit prévoir une déclaration de consentement spécifique, éclairée, signée ou acceptée électroniquement (case à cocher) qui précise pourquoi la photo est prise et traitée.

L'Autorité de protection des données (l'APD) considère que le consentement est le fondement le plus appropriée pour les photos qu'elle qualifie de « nice to have ». Il s'agit par exemple des photos qui sont publiées sur un site internet pour permettre aux clients de savoir qui sont leur contact, des photos qui sont prises afin de permettre des bonnes relations au travail (par exemple afficher une photo d'un chauffeur qui fête son anniversaire dans les vestiaires/la cantine, prendre des photos lors d'un team building pour les partager entre collègues par après, envoyer une photo du chauffeur pour permettre au groupe de le reconnaître lors de la prise en charge). En soi, ces photos ne sont pas strictement nécessaires, l'employeur n'en a besoin à tout prix mais plutôt pour assurer un environnement de travail agréable, une certaine cohésion.

Les intérêts légitimes

Dans ce cas, l'employeur devra fournir des informations : pourquoi la photo doit-elle être prise, combien de temps sera-t-elle conservée, comment sera-t-elle stockée, etc. Dans ce cas, la personne ne peut pas refuser d'être photographiée.

En outre, l'employeur devra être en mesure de prouver que ses intérêts prévalent.

Ces situations seront très limitées. Nous pensons par exemple à une photo sur un badge qui permet d'assurer la sécurité dans l'entreprise. L'APD parle alors de photos « need to have ». Dans cette situation, la sécurité de l'entreprise prévaut sur les intérêts de la personne photographiée. L'employeur a alors nécessairement besoin d'une photo afin d'atteindre l'objectif de sécurité. 

Comment respecter le GDPR dans le cadre des élections sociales ?

Les traitements effectués dans le cadre des élections sociales doivent bien entendu être mentionnés dans le registre. Dans le tableau suivant vous trouverez la base légale pour chaque traitement ainsi que la période de conservation minimale et la base légale de conservation. Il est possible de prévoir des périodes de conservation plus longues si ces elles sont motivées.

Données personnelles et phase de procédure Base légale du traitement Période de conservation minimale Base légale de conservation
Détenteur d'une fonction de direction ou de cadre (Avis X-60) Article 10 Loi ES 4/12/2007 25 jours après les élections sauf si recours Article 68 Loi ES 4/12/2007
Détenteur d'une fonction de cadre (Avis X-35) Article 12 Loi ES 25 jours après les élections sauf si recours Article 80 Loi ES
Détenteur d'une fonction de direction (Avis X-35) Article 12 Loi ES Jusqu'aux prochaines élections sociales Article 80 Loi ES
Détenteur d'une fonction de direction ou de cadre/listes électorales/responsable de l'envoi des convocations électorales (Avis X) Article 14 Loi ES Y+84 Article 45 Loi ES
Liste de candidats/témoins/plaintes et modification des listes (X+35 - X+76) Article 33,37, 38 et 44 Loi ES Y+84 Article 45 Loi ES
Composition du bureau de vote et répartition des électeurs (X+60) Article 43 Loi ES Y+84 Article 45 Loi ES
Listes preuve d'envois des convocations électorales (X+80) Article 47 Loi ES 25 jours après les élections sauf si recours Article 68 Loi ES
Liste présence bureau de vote/votes par corresponsance (Y) Article 59 Loi ES 25 jours après les élections sauf si recours Article 68 Loi ES
Bulletins de vote, enveloppes vote par correspondance (Y) Articles 50 et 57 Loi ES 25 jours après les élections sauf si recours Article 68 Loi ES
Procès-verbal (X+79 et Y) Articles 68 et 78 Loi ES Toute la législature Article 38 Loi ES

Dans son avis sur la modification de la loi sur les élections sociales, l'Autorité de la protection des données a souligné que l'employeur ne pouvait pas diffuser les listes électorales (phase X) par e-mail. Une publication ouverte sur le site web interne de l'entreprise (avec téléchargement possible) devrait également être évitée. Les listes électorales devraient être disponibles électroniquement sur une plate-forme fermée ou sur un intranet protégé par l'employeur et accessible uniquement aux travailleurs de l'entreprise. Cela n'empêche pas l'envoi d'un e-mail aux travailleurs contenant un lien vers une telle plate-forme ou un tel intranet, à condition que seuls les employés de l'entreprise y aient accès.