FICHES PRATIQUES

Les 10 commandements en matière de vidéosurveillance

Vous exploitez un restaurant, une boutique, vous dirigez une entreprise ou un Service Public, vous êtres copropriétaire et vous souhaitez utiliser un dispositif de vidéosurveillance.
                                                                                                                             Voici ce que vous devez savoir !!!

1 – Une formalité préalable tu effectueras
Toute entité souhaitant mettre en place un système de vidéosurveillance, doit impérativement déposer auprès de la Commission, soit :

-> Une demande d’autorisation dans le cas de personnes physiques ou morales de droit privé relevant de l’article 6 de la Loi n° 1.165, ou d’organismes de droit privé investis d’une mission d’intérêt général ou concessionnaires d’un service public régis par l’article 7 ;

Attention : Une autre demande devra également impérativement être jointe à la demande, à savoir la décision de l’Assemblée des copropriétaires lorsque le système de caméras est mis en œuvre dans des immeubles d’habitation constituant des copropriétés, ou, dans tous les autres cas, l’autorisation du Ministre d’Etat.

-> Une demande d’avis s’agissant des personnes morales de droit public ou des Autorités publiques ;

-> Une déclaration ordinaire dans le cas de particuliers ayant recours à des systèmes de vidéo-protection afin de sécuriser leur domicile privé, notamment contre les cambriolages, dès lors que des employés ou des prestataires non occasionnels (nounous, personnel médical, livreurs…) interviennent dans ledit domicile.

2 – Une justification tu fourniras
Conformément à l’article 10-2 de la Loi n° 1.165, tout traitement automatisé d’informations nominatives relatif à un dispositif de vidéosurveillance doit être justifié.

Le plus souvent il sera justifié par la réalisation d’un intérêt légitime poursuivi par le responsable de traitement (par exemple : protéger sa boutique et les biens de valeur qu’elle contient contre les risques de vol ainsi que son personnel contre les risques d’agression).

Le système de vidéosurveillance peut également être justifié par une obligation légale à laquelle est soumise le responsable de traitement ou par la réalisation d’un but d’intérêt public poursuivi par les organismes privés concessionnaires d’un service public ou investis d’une mission d’intérêt général (ex : obligation dans le cahier des charges de mettre des caméras pour surveiller les guichets bancaires).

Attention : Le consentement de la personne concernée peut également être invoqué mais cette justification sera appréciée de manière très stricte par la Commission et devra être étayée et expliquée.

3 – Tes voisins tu n’espionneras pas
Compte tenu du caractère intrusif des dispositifs de vidéosurveillance, ceux-ci ne peuvent être mis en place que dans le cadre des fonctionnalités suivantes :
-  assurer la sécurité des personnes ;
-  assurer la sécurité des biens ;
-  permettre le contrôle d’accès ;
-  permettre la constitution de preuve en cas d’infraction.

Toute autre fonctionnalité sera examinée de manière très attentive par la Commission.

Attention : La Commission n’autorise pas les systèmes de vidéosurveillance lorsque ceux-ci :
- ont pour but de contrôler le travail ou le temps de travail du personnel ;
- conduisent à un contrôle permanent et inopportun des personnes concernées.

Par ailleurs, elle demande qu’aucune caméra ne soit installée :
- dans les vestiaires, les cabinets d’aisance, les bains-douches, les cabines d’essayage ;
- dans les bureaux ainsi que les lieux privatifs mis à la disposition des salariés à des fins de détente ou de pause déjeuner ;
- dans les couloirs d’accès aux appartements ;
- en direction des tables des clients dans les salles de restauration ;
- en direction de la voie publique.

4 – Les conversations d’autrui tu n’écouteras pas
Conformément aux dispositions de l’article 10-1 de la Loi n° 1.165 les informations collectées doivent être « adéquates, pertinentes et non excessives » au regard de la finalité du traitement.

Dans ce cadre la Commission considère que les informations suivantes peuvent être collectées et traitées :
- informations relatives à l’identification de la personne concernée : image, visage, silhouette ;
- informations temporelles ou horodatage : lieux, identification des caméras, date et heure de la prise de vue ;
- données d’identification électronique : logs de connexion des personnels habilités à avoir accès aux images et au traitement (login et mot de passe) ;
- données de connexion : logs, traces d’exécution, horodatage, fichiers journaux.

En revanche, concernant la collecte de la voix dans le cas de l’exploitation d’un système de vidéosurveillance, la Commission considère le plus souvent qu’une telle collecte est manifestement excessive au regard des fonctionnalités du traitement. En effet, la collecte de la voix en vue, par exemple,  d’assurer la sécurité des biens et des personnes, peut conduire à une surveillance inopportune à l’égard des personnes concernées. La Commission sera donc particulièrement vigilante à la justification apportée par le responsable de traitement.

5 – Les personnes concernées tu informeras
Conformément à l’article 13 de la Loi n° 1.165 tout système de vidéosurveillance doit être préalablement porté à la connaissance des personnes concernées. Ces personnes sont toutes celles susceptibles d’entrer dans le champ de vision des caméras. Il peut donc s’agir des clients, des salariés, des résidents, des visiteurs, des gardiens, des prestataires et/ou encore des fournisseurs.

Si le responsable de traitement est libre de choisir le moyen d’information qu’il estime le plus adapté à sa structure ou à son activité, la Commission demande toutefois que l’information soit dispensée, dans tous les cas, par le biais d’un panneau d’affichage mentionnant de manière visible, lisible, claire et permanente l’existence de ce dispositif et comportant, a minima :
-    un pictogramme représentant une caméra ;
-    le nom du service auprès duquel s’exerce le droit d’accès en Principauté.

6 – Un droit d’accès tu donneras
Le droit d’accès est le droit pour toute personne concernée d’obtenir de l’entité ayant mis en place le système de vidéosurveillance la confirmation que des informations la concernant ont été collectées et la communication de ces informations sous une forme écrite, non codée et conforme au contenu des enregistrements.

Si l’entité est libre de choisir les modalités selon lesquelles les personnes concernées peuvent la contacter pour exercer leur droit d’accès (par voie postale, par courrier électronique, par téléphone, sur place…), il est impératif, en matière de vidéosurveillance, que la réponse à une demande de droit d’accès, à savoir le visionnage des images, s’effectue uniquement sur place.

De plus le responsable de traitement devra veiller à ce que seule la personne ayant exercé son droit d’accès soit reconnaissable sur les images.

7 – Les accès internes tu délimiteras
Les images enregistrées ne doivent pas être librement accessibles à l’ensemble des employés ou des clients.

S’agissant de dispositifs soumis à demande d’autorisation, le responsable de traitement doit, conformément à l’article 17-1 de la Loi n°1.165,  «  déterminer nominativement la liste de personnes autorisées qui ont seules accès, pour les stricts besoins de l’accomplissement de leurs missions, aux locaux et aux installations utilisés pour les traitements, de même qu’aux informations traitées. »

Cette liste nominative des personnes ayant accès au traitement doit être tenue à jour.

Par ailleurs, pour chacune des catégories de personnes habilitées à avoir accès aux informations (direction, vendeurs, prestataire informatique…), l’entité doit déterminer avec précision les droits dont ces catégories disposent (consultation au fil de l’eau, consultation en différé, suppression, maintenance, tous droits…).

La Commission apporte une attention particulière aux catégories de personnes ayant accès aux informations.

8 – Des mesures de sécurité tu prendras
Conformément à l’article 17 de la Loi n° 1.165 les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation de ce traitement.

Par ailleurs, les différentes architectures de vidéosurveillance doivent reposer sur des équipements de raccordement de serveurs et périphériques qui doivent être protégés par un login et un mot de passe réputé fort et les ports non utilisés doivent être désactivés.

9 – Les communications et les accès distants tu protégeras
Les images issues des caméras sont susceptibles d’être communiquées  à la Direction de la Sûreté Publique et aux Tribunaux Monégasques pour les besoins d’une enquête judiciaire ou encore aux assureurs dans le cadre de l’instruction de dossiers d’indemnisation.

Il est donc important que la copie ou l’extraction d’informations issues de ce traitement soit chiffrée sur son support de réception (CD, clé USB…).

En outre, les accès distants, lorsque ceux-ci sont prévus, doivent être protégés. La Commission demande ainsi que les équipements permettant de tels accès soient impérativement protégés par un mot de passe réputé fort ainsi que par des protocoles de type SSL (https, VPN, etc…).

Par ailleurs, elle demande qu’ils soient également paramétrés afin de se verrouiller automatiquement au-delà d’une courte période d’inactivité.

Enfin, en ce qui concerne plus particulièrement les « smartphones », tablettes et ordinateurs portables, la Commission demande que l’accès à l’application permettant de visionner les images se fasse lui-aussi par le biais d’un mot de passe réputé fort.

10 – Les durées de conservations tu limiteras
Conformément à l’article 10-1 de la Loi n°1.165, les données ne doivent être conservées que « pendant une durée n’excédant pas celle nécessaire à la réalisation de la finalité pour laquelle elles sont collectées », à savoir un mois, à l’exception des données d’identification électronique qui sont conservées le temps de la durée de travail.

En règle générale, conserver les images juste quelques jours suffit à effectuer les vérifications nécessaires en cas d’incident et permet d’enclencher d’éventuelles procédures pénales.

Lorsque cela est techniquement possible, une durée maximale de conservation des images d’un mois doit être paramétrée dans le système.