Depuis le début de la pandémie de la Covid-19, les autorités publiques et entités privées ont eu recours à des caméras intelligentes. Ces dernières sont utilisées afin, par exemple, de contrôler le port du masque. Quant aux caméras thermiques, elles sont utilisées à des fins de contrôle de la température des personnes accédant à des lieux comme les aéroports ou à leur lieu de travail.
Quel est le cadre juridique ?
La loi réglant l’installation et l’utilisation de caméras de surveillance du 21 mars 2017 a été modifiée en 2018 afin de tenir compte de l’évolution technologique des caméras de surveillance. La caméra de surveillance intelligente y est définie comme une caméra de surveillance qui comprend également des composantes ainsi que des logiciels qui, couplés ou non à des registres ou à des fichiers, peuvent traiter de manière autonome ou non les images recueillies. Cette définition comprend différents types de caméras, comme celles capables de détecter des bruits ou des mouvements ou celles qui peuvent reconnaitre des visages ou des plaques minéralogiques.
A l’heure actuelle, il existe un seul type d’utilisation des caméras intelligentes défini par le législateur. Il s’agit de l’utilisation des caméras intelligentes, qu’elles soient fixes ou mobiles, couplées à des registres ou à des fichiers de données à caractère personnel ayant pour objectif la reconnaissance automatique des plaques d’immatriculation. Le responsable de traitement doit traiter ces registres ou ces fichiers en conformité avec la règlementation en matière de protection des données.
Les autres types de caméras intelligentes ainsi que les caméras thermiques ne semblent pas visées par cette législation. Par conséquent, leur utilisation semble illégale vu l’absence de cadre juridique les visant spécifiquement.
Quelle est la position de l’APD sur les caméras intelligentes ?
En juillet 2020, des caméras intelligentes devaient être installées à la côte belge afin d’y mesurer l’affluence des personnes dans le cadre des mesures sanitaires. L’APD a ouvert une enquête spontanée concernant cette utilisation.
Par sa décision du 19 février 2021, l’APD a condamné partiellement l’autorité publique à l’origine de l’installation de ces caméras intelligentes. Selon l’APD, le fondement du traitement des données, la norme à la base de la mission d’intérêt public, devrait préciser les éléments suivants :
- les finalités de ce traitement ;
- l’identité du responsable de traitement ;
- les catégories de données et de personnes concernées ;
- le délai de conservation ;
- les catégories de destinataires ;
- les éventuelles limitations aux droits des personnes concernées.
Toutefois, le responsable de traitement a démontré qu’aucune mesure moins intrusive n’était envisageable. En outre, il a pris les mesures techniques et organisationnelles adéquates pour limiter au maximum les risques pour les personnes concernées. Parmi ces mesures, on peut citer :
- le floutage quasi immédiat des images ;
- l’absence d’enregistrement ;
- la limitation dans l’espace et dans le temps ;
- la protection et le traçage de l’accès aux images ;
- une désactivation (lorsque cela est possible) des fonctionnalités du logiciel qui ne sont pas nécessaires.
Quelles sont les obligations du responsable de traitement ?
Outre les recommandations déjà citées faites par l’APD dans la décision précitée, le responsable de traitement a d’autres obligations.
Tout d’abord, il doit analyser le fonctionnement de ces caméras afin de déterminer leur finalité. Est-ce le comptage des personnes ou alors leur identification ?
Ensuite, il doit procéder à une analyse d’impact dans certaines hypothèses. Par exemple, dans le cadre de la surveillance de masse dans un espace public à l’aide d’appareils électroniques.
Enfin, chaque responsable de traitement doit examiner la condition de proportionnalité. Il doit se demander si le recours à ces caméras constitue la manière la moins intrusive de compter les personnes.
Quid des caméras thermiques et des données sensibles ?
Le recours à des caméras thermiques implique la captation d’images thermiques. Dans certaines situations, ces captations peuvent conduire à l’identification des personnes. La prise de température par le biais d’un procédé numérique perfectionné constitue un traitement automatisé en vertu du RGPD.
Ces données ne sont pas uniquement des données à caractère personnel. Il s’agit également des données de santé dont l’utilisation est strictement encadrée par l’article 9 du RGPD.
Le traitement des données de santé se justifie dans les situations suivantes :
- Des motifs d’intérêt public importants
- Des motifs d’intérêt public dans le domaine de la santé publique
- Dans l’hypothèse du consentement de la personne concernée
Ce consentement doit être libre. Or, le refus de se soumettre au dispositif peut entrainer des conséquences. Par exemple, l’interdiction d’accès à un service ou aux locaux d’un bâtiment.
Le droit d’opposition mis en péril
L’utilisation des caméras thermiques et intelligentes peut porter atteinte au droit d’opposition. Ce droit permet à chaque personne de s’opposer à faire l’objet d’une captation de son image dans l’espace public. L’entreprise qui a recours à ce type de caméras, en tant que responsable de traitement, doit garantir ce droit d’opposition. En particulier, lorsque le responsable de traitement fonde son traitement sur un intérêt public ou son intérêt légitime.
En pratique, ces caméras captent automatiquement toutes les personnes qui se trouvent dans leur champ de vision. Par conséquent, toute personne qui souhaiterait exercer son droit d’opposition sera néanmoins sur l’image. Ces dernières pourront tout au plus obtenir la suppression de leurs données et non éviter leur collecte.
Eu égard aux difficultés d’obtenir le consentement des personnes et de recourir au droit d’opposition, un cadre normatif spécifique devrait être adopté. Ce cadre permettrait de déterminer la proportionnalité de la mesure par rapport à l’objectif poursuivi et de mettre en place des garanties. Parmi ces garanties, on peut citer l’adoption de mesures de pseudonymisation ou d’anonymisation ou l’absence de suivi individuel.
Quelle est la position française sur les caméras intelligentes ?
En date du 10 mars 2021, un décret français est entré en vigueur permettant aux exploitants et gestionnaires de services de transport public de recourir à des caméras intelligentes pour mesurer le taux de port du masque dans le contexte de la crise sanitaire.
Ce dispositif a pour objectif :
- de produire des évaluations statistiques sur le respect de l’obligation de port du masque ;
- d’adapter leurs actions d’information et de sensibilisation du public.
Le dispositif mis en place n’a pas pour objectif de sanctionner les infractions à la réglementation relative au port du masque. En outre, ce dispositif n’a pas vocation à traiter des données biométriques et ne constitue pas davantage un dispositif de reconnaissance faciale.
La CNIL, autorité de protection des données française, avait rendu un avis sur ce décret. Les principales recommandations de la CNIL concernaient la nécessité d’apporter des précisions suffisantes sur la finalité et les caractéristiques essentielles des traitements envisagés et le caractère impératif de l’information des personnes.
Dans ce décret, le droit d’opposition est écarté et justifié par des objectifs de santé publique et de protection des personnes.
Les données ne font toutefois l’objet ni de stockage ni de transmission à des tiers.
Enfin, il est intéressant de constater que le décret autorise de limiter certains droits. Il s’agit du droit d’accès, de rectification, d’opposition ainsi que les droits à l’effacement et à la limitation.
Notre conseil :
Avant de recourir à des caméras intelligentes et/ou caméras thermiques, il importe tout d’abord de vérifier le cadre juridique en vigueur. Il y a lieu également de vérifier si le recours à ces caméras est conforme aux obligations du RGPD.
En l’absence de cadre juridique suffisamment clair, n’hésitez pas à vous faire assister par un conseil compétent !