Les professionnels de la vidéo surveillance à l’heure du RGPD

En vigueur depuis mai 2018, le RGPD vient renforcer un socle légal déjà applicable en France. Les systèmes de vidéosurveillance installés dans les entreprises, sont impactés par la mise en application de ce règlement européen. Fort de ce constat, et au vu de la modification de la réglementation, Nexecur assume un devoir de conseil auprès de ses clients.

Après deux ans de chantier, le nouveau Règlement Général sur la Protection des Données personnelles (RGPD) est entré en vigueur le 25 mai 2018. Adopté à l’échelle européenne, il entraîne une modification de la réglementation nationale. Toutefois, grâce à sa loi relative à l’informatique, aux fichiers et aux libertés, la France tenait déjà depuis quarante ans un rôle de précurseur à l’échelle mondiale. Promulgué le 6 janvier 1978 et plus connu sous le nom de « loi informatique et libertés », ce texte réglementait déjà la liberté de traitement des données personnelles notamment dans l’écosystème informatique : une vigilance de l’État complétée par une autorité administrative indépendante, la Commission Nationale de l’Informatique et des Libertés (CNIL). Celle-ci a en effet pour mission de veiller à ce que l’informatique soit au service du citoyen et ne porte pas atteinte à la vie privée, à l’identité humaine, aux droits de l’Homme, aux libertés individuelles ou publiques.

« Le RGPD nous offre un cadre juridique unifié pour l’ensemble des membres de l’Union Européenne », explique Caroline Thonier, Responsable juridique du groupe NEXECUR. Elle salue le RGPD face à l’accumulation des data de plus en plus importante sans maîtrise de leur potentielle exploitation. « C’est un premier pas pour nous protéger face à des entreprises qui pourraient tout savoir de nous, si ça n’est pas déjà fait », ajoute-t-elle.

Être rappelé

De nouveaux outils de conformité à maîtriser

Depuis l’adoption du RGPD, on assiste à une modification des formalités : les obligations déclaratives sont supprimées et remplacées par la tenue d’un registre. Au surplus, si le traitement des données représente un risque pour la vie privée des personnes, une nouvelle procédure consistant à étudier l’impact sur la vie privée doit être appliquée (DPIA).

En résumé, les nouveaux outils de conformité mis en place sont les suivants :

• Nécessité de nommer un DPO (Data Protection Officer) pour les responsables de traitement et les sous-traitants (avant le RGPD, 5 000 CIL -Correspondants Informatiques et Libertés- avaient été nommés, contre 13 000 DPO depuis mai 2018),
• Obligation de tenir un registre de traitements des données à caractère personnel,
• Obligation d’établir des analyses d’impact relatives à la protection des données (DPIA) pour tous les traitements dits à risque ou sensibles, notamment concernant les données qui relèvent relatives aux opinions religieuses, politiques, de la santé, de l’orientation sexuelle, de la génétique et de la biométrie, ainsi que d’origine raciale ou ethnique…,

Caroline Thonier précise ainsi : « Maintenant, on a un certain nombre d’obligations comminatoires : déclarer toute faille de sécurité à la CNIL dans les 72 heures, avoir un dispositif de mise en place de la gestion de crise et être capable de réparer et de régler les problèmes dans les délais les plus brefs. »

Une réglementation en partie révisée pour la vidéo surveillance

Toutes ces évolutions du cadre légal influencent la réglementation sur la vidéo surveillance. « Dans ce cas, les changements se font directement au niveau de nos clients professionnels, déclare Romain Hachet, le responsable du bureau d’études de NEXECUR. Si l’un d’eux choisit notre kit de vidéo surveillance pour filmer dans un lieu fermé au public, les démarches administratives ont évolué. Dans le cas de systèmes de vidéosurveillance déployés en entreprises, il fallait que l’employeur fasse une déclaration à la CNIL auparavant. Depuis l’adoption du RGPD, il n’en a plus besoin. (…) En revanche, il est obligé de constituer un registre des activités de traitement des données et de le tenir à jour rigoureusement. »

D’autres mesures déjà en place avant le RGPD sont toujours à l’ordre du jour : les caméras de vidéosurveillance ne peuvent pas être disposées partout (pas au-dessus d’un poste de travail, dans les lieux de pause ou dans des locaux syndicaux par exemple). « Et quand un professionnel fait de la vidéo surveillance, il doit d’abord consulter le comité d’entreprise et le CSE, ensuite informer individuellement les salariés de l’existence de ce système, puis apposer un affichage dans l’entreprise pour informer que les locaux sont sous vidéo protection », confirme la responsable juridique du groupe. « Pour ce qui est de la vidéo surveillance dans un lieu public, il faut toujours faire une demande d’autorisation auprès de la préfecture du département où l’entreprise est basée », confirme Romain Hachet.

 « Les commerciaux ont été formés au RGPD et à ses enjeux »

Face à cette nouvelle règlementation, le conseil tient une place primordiale dans les échanges professionnels. En qualité d’installateur et de fournisseur de kits de vidéo surveillance, Nexecur fait de l’information règlementaire une priorité. Caroline Thonier est par ailleurs formelle : « Ce conseil, nous l’apportons puisque lorsque nous sommes questionnés, que nous recevons un courriel sur la boîte DPO, nous répondons de manière adaptée à chaque fois. » Romain Hachet renchérit : « Nous avons mis en place des outils pédagogiques à destination de notre force commerciale afin qu’elle puisse informer nos partenaires. Tous nos commerciaux peuvent ainsi sensibiliser l’ensemble de nos clients et répondre à leurs éventuelles interrogations sur les nouvelles réglementations. » La nouvelle DPO de NEXECUR, Élodie Grumez, le confirme : « Les commerciaux ont été formés au RGPD et à ses enjeux. » C’est aussi le cas de l’intégralité des managers lors d’une journée dédiée le 14 mai 2018. Depuis, il leur a été remis un support simplifié pour qu’à leur tour, ils puissent former leurs propres collaborateurs. L’objectif est clair et affirmé : « Sensibiliser 100% de la population de l’entreprise cette année au RGPD », certifie la responsable juridique.

Et de conclure : « On met en place la documentation pour que les nouveaux entrants puissent être informés par le service RH. Il faudra évidemment faire des piqûres de rappel régulièrement. Tous les ans, Élodie Grumez, en qualité de DPO, y veillera. »

Demander un rendez-vous gratuit

i Pour aller plus loin : https://www.service-public.fr/particuliers/vosdroits/F34474