Videoprotection des collectivites et RGPD : encadrer la surveillance de l’espace public

La videoprotection est devenue un outil incontournable pour les collectivites territoriales en matiere de securite publique. Cameras de voie publique, surveillance des batiments municipaux, controle d’acces : ces dispositifs generent des volumes considerables de donnees personnelles sous forme d’images. Leur deploiement est encadre a la fois par le Code de la securite interieure et par le RGPD, ce qui impose aux collectivites une double vigilance.

Cadre legal : CSI et RGPD

La videoprotection de la voie publique releve du Code de la securite interieure (CSI), qui impose une autorisation prefectorale prealable. Les cameras installees dans les lieux non ouverts au public (bureaux, reserves, archives) relevent directement du RGPD. Dans les deux cas, les principes de protection des donnees s’appliquent : finalite determinee, proportionnalite du dispositif, information des personnes, limitation de la conservation et securite des images. La CNIL et les services prefectoraux exercent un controle complementaire sur ces dispositifs.

Finalites autorisees et proportionnalite

Les cameras de voie publique ne peuvent etre installees que pour des finalites limitativement enumerees par le CSI : protection des batiments publics, prevention des atteintes a la securite des personnes et des biens, prevention du terrorisme, regulation du trafic routier. Le nombre et le positionnement des cameras doivent etre proportionnes aux risques identifies. Une analyse prealable des besoins est indispensable : il ne suffit pas d’installer des cameras partout, chaque camera doit repondre a un objectif precis et documente.

Duree de conservation : 30 jours maximum

Les images de videoprotection de la voie publique doivent etre conservees 30 jours maximum, sauf procedure judiciaire en cours. Cette duree est fixee par le CSI et ne peut etre prolongee par decision de la collectivite. En pratique, de nombreuses collectivites parametrent une conservation de 15 a 20 jours. Les images faisant l’objet d’une requisition judiciaire sont extraites et conservees separement, pour la duree de la procedure. Les enregistrements doivent etre supprimes automatiquement a l’expiration du delai, et le systeme doit etre configure pour garantir cette purge automatique.

Information du public

L’information des personnes filmees est une obligation essentielle. Des panneaux doivent etre affiches de maniere visible aux abords de chaque zone filmee, mentionnant l’existence du dispositif, la finalite poursuivie, la duree de conservation, l’identite du responsable de traitement et les modalites d’exercice des droits. Pour les cameras installees dans les batiments municipaux, l’information doit egalement etre accessible aux agents et aux visiteurs. Un affichage insuffisant constitue un manquement frequemment releve lors des controles.

Acces aux images et habilitations

L’acces aux images doit etre strictement limite aux personnes habilitees. Dans une collectivite, il s’agit generalement du responsable de la securite, des agents du centre de supervision urbain (CSU) et, le cas echeant, des forces de l’ordre dans le cadre de leurs missions. La liste des personnes habilitees doit etre formalisee par arrete du maire. Chaque acces doit etre trace (identifiant, date, heure, motif de la consultation). Les agents habilites doivent etre soumis a une obligation de confidentialite et formes aux regles de protection des donnees.

Analyse d’impact obligatoire

La videoprotection figure sur la liste des traitements pour lesquels une analyse d’impact relative a la protection des donnees (AIPD) est obligatoire, publiee par la CNIL. Cette analyse doit etre realisee avant le deploiement du dispositif et mise a jour en cas de modification significative. Elle doit evaluer la necessite et la proportionnalite du dispositif, identifier les risques pour les droits et libertes des personnes filmees, et definir les mesures destinees a attenuer ces risques. Le DPO de la collectivite doit etre consulte dans le cadre de cette analyse.

Sous-traitance et hebergement des images

Lorsque la collectivite fait appel a un prestataire pour l’installation, la maintenance ou l’hebergement du systeme de videoprotection, ce prestataire est un sous-traitant au sens du RGPD. Un contrat conforme a l’article 28 doit etre conclu, precisant les conditions d’acces aux images, les mesures de securite, l’interdiction de reutilisation des images et la notification des incidents. L’hebergement des images dans le cloud impose une vigilance particuliere sur la localisation des serveurs (Union europeenne) et le chiffrement des flux.

Votre collectivite deploie ou modernise son systeme de videoprotection ? DPO France vous accompagne dans la realisation de l’analyse d’impact et la mise en conformite RGPD.

Decouvrir DPO France

Videoverbalisation et intelligence artificielle

Certaines collectivites utilisent la videoprotection pour la videoverbalisation des infractions routieres. Ce traitement, qui implique la capture de plaques d’immatriculation et leur rapprochement avec le systeme d’immatriculation des vehicules, est soumis a un encadrement specifique. L’utilisation de l’intelligence artificielle (detection de comportements anormaux, comptage de personnes, reconnaissance faciale) est strictement encadree par la loi et la CNIL. La reconnaissance faciale en temps reel dans l’espace public est interdite en France, sauf exceptions prevues par la loi. Tout projet integrant des fonctionnalites d’IA doit faire l’objet d’une analyse d’impact approfondie.

Gerez votre registre de videoprotection et vos analyses d’impact avec DPO Suite, la plateforme de conformite RGPD des collectivites.

Decouvrir DPO Suite

Laurent de Cavel, DPO certifie

A lire aussi sur le meme sujet :