FICHES PRATIQUES

Souriez, vous êtes filmés ou comment remplir les formalités auprès de la Commission pour votre système de vidéosurveillance

De plus en plus de caméras de surveillance sont aujourd’hui installées dans les lieux privés comme publics afin, entre autres, de prévenir les actes de malveillance. Ces dispositifs conduisent souvent à recueillir des informations permettant d’identifier une personne physique déterminée ou déterminable, soulevant ainsi des problèmes particuliers en matière de protection des informations nominatives.

La Commission soumet en conséquence ces dispositifs au régime de la demande d’autorisation dès lors qu’ils sont mis en place à des fins de surveillance par des personnes physiques ou morales de droit privé (article 6 de la Loi n° 1.165), des organismes de droit privé investis d’une mission d’intérêt général ou des concessionnaires d’un service public (article 7 de la Loi n° 1.165).

Par ailleurs, elle soumet ces dispositifs au régime de demande d’avis dès lors qu’ils sont mis en œuvre par des personnes morales de droit public ou des autorités publiques (article 7 de la Loi n°1.165).

Il est important de noter toutefois qu’en l’absence de tout enregistrement des données (simple visualisation au fil de l’eau), le responsable de traitement n’est alors soumis à aucune formalité.

Un préalable obligatoire : l’Autorisation du Ministre d’Etat ou la décision de l’Assemblée des copropriétaires

Conformément à l’article 10-1 de la Loi n° 1.165, « les informations nominatives doivent être collectées et traitées loyalement et licitement. » La Commission demande donc, comme préalable obligatoire à sa saisie, qu’un responsable de traitement ait obtenu soit l’autorisation du Ministre d’Etat lorsque le dispositif de vidéosurveillance est mis en œuvre par des personnes physiques ou morales de droit privé, des organismes de droit privé investis d’une mission d’intérêt général ou des concessionnaires d’un service public, soit la décision de l’Assemblé des copropriétaires lorsque ce même dispositif est mis en œuvre dans des immeubles d’habitation constituant des copropriétés.

Ce document qui atteste de la licéité du traitement doit impérativement être joint au formulaire de demande déposé auprès de la Commission.

Ce préalable obligatoire ne s’applique toutefois pas aux dispositifs de vidéosurveillance mis en place par des personnes morales de droit public ou des autorités publiques.

Les personnes concernées

Les personnes concernées par un système de vidéosurveillance sont toutes les personnes susceptibles d’entrer dans le champ de vision des caméras. Il peut donc s’agir des clients, des salariés, des résidents, des visiteurs, des gardiens, des prestataires et/ou encore des fournisseurs.

Les fonctionnalités

Compte tenu du caractère intrusif des dispositifs de vidéosurveillance mis en place, ceux-ci ne peuvent être exploités que dans le cadre des fonctionnalités suivantes :

  • assurer la sécurité des personnes ;
  • assurer la sécurité des biens (par ex : démarque inconnue) ;
  • permettre le contrôle d’accès ;
  • permettre la constitution de preuve en cas d’infraction.

A celles-ci peuvent s’ajouter des fonctionnalités propres à l’activité du responsable de traitement concerné comme par exemple permettre d’évaluer le matériel et les effectifs sur le chantier lorsque ledit responsable de traitement est une société de travaux publics.

La justification

Conformément à l’article 10-2 de la Loi n° 1.165, tout traitement automatisé d’informations nominatives relatif à un dispositif de vidéosurveillance doit être justifié.

Le plus souvent il sera justifié par la réalisation d’un intérêt légitime essentiel poursuivi par le responsable de traitement (par exemple : protéger sa boutique et les biens de valeur qu’elle contient contre les risques de vol ainsi que son personnel contre les risques d’agression).

Le système de vidéosurveillance peut également être justifié  par une obligation légale à laquelle est soumis le responsable de traitement ou par la réalisation d’un but d’intérêt public poursuivi par les organismes privés concessionnaires d’un service public ou investis d’une mission d’intérêt général (ex : obligation dans le cahier des charges de mettre des caméras dans des lieux sensibles).

Le consentement de la personne peut également être évoqué mais cette justification sera appréciée de manière très stricte par la Commission et devra être étayée et expliquée, notamment en cas subordination.

Par ailleurs, il appartient au responsable de traitement de démontrer que les droits et libertés des personnes concernées seront protégés.

La Commission demande ainsi au responsable de traitement de préciser que le dispositif de vidéosurveillance mis en œuvre :

  • ne permet pas de contrôler le travail ou le temps de travail du personnel ;
  • ne conduit pas un contrôle permanent et inopportun des personnes concernées.

Par ailleurs, il devra confirmer, s’il y a lieu, qu’aucune caméra n’a été installée dans :

  • les vestiaires, les cabinets d’aisance, les bains-douches, les cabines d’essayage ;
  • les bureaux ainsi que les lieux privatifs mis à la disposition des salariés à des fins de détente ou de pause déjeuner ;
  • les couloirs d’accès aux appartements ;
  • en direction de la voie publique.

Les données collectées et traitées

Conformément aux dispositions de l’article 10-1 de la Loi n° 1.165, les informations collectées doivent être « adéquates, pertinentes et non excessives » au regard de la finalité du traitement.

La Commission considère donc que les informations suivantes peuvent être collectées et traitées :

  • identité : image, visage et silhouette des personnes ;
  • données d’identification électronique : logs de connexion  des personnes habilitées à avoir accès aux images ;
  • informations temporelles et horodatage : lieu et identification de la caméra, date et heure de la prise de vue.

Concernant la collecte de la voix dans le cas de l’exploitation d’un système de vidéosurveillance, la Commission considère le plus souvent qu’une telle collecte est manifestement excessive au regard des fonctionnalités du traitement. En effet, la collecte de la voix en vue, par exemple,  d’assurer la sécurité des biens et des personnes peut conduire à une surveillance pouvant être inopportune à l’égard des personnes concernées. La Commission est donc particulièrement vigilante à la justification apportée par le responsable de traitement.

Origine et durée de conservation des données

Les données ont pour origine le système de vidéosurveillance lui-même.

Par ailleurs, conformément à l’article 10-1 de la Loi n°1.165, les données ne doivent être conservées que « pendant une durée n’excédant pas celle nécessaire à la réalisation de la finalité pour laquelle elles sont collectées », à savoir un mois.

Destinataires des informations

Les informations collectées sont susceptibles d’être communiquées  à la Direction de la Sûreté Publique et aux Tribunaux Monégasques pour les besoins d’une enquête judiciaire.

Par ailleurs, lorsque l’installation d’un dispositif de vidéosurveillance répond à une demande de l’assurance du responsable de traitement, elles peuvent également être transmises aux assureurs dans le cadre de l’instruction des dossiers d’indemnisation.

Enfin, compte tenu de l’activité particulière de certains responsables de traitement, des entités spécifiques bien déterminées peuvent être également être rendues destinataires des informations pour permettre la réalisation de leurs missions et/ou la bonne exécution des prestations (par exemple : le maître d’œuvre et le maître d’ouvrage lorsque le responsable de traitement est une société de travaux publics).

Modalités d’information des personnes concernées

Conformément à l’article 13 de la Loi n°1.165, tout système de vidéosurveillance doit être porté à la connaissance des personnes concernées.

Si le responsable de traitement est libre de choisir le moyen d’information qu’il estime le plus adapté à sa structure ou activité, la Commission demande toutefois que l’information soit dispensée, dans tous les cas, par le biais d’un panneau d’affichage mentionnant de manière visible, lisible, claire et permanente l’existence de ce dispositif et comportant, a minima :

  • un pictogramme représentant une caméra ;
  • le nom du service auprès duquel s’exerce le droit d’accès.








Exercice du droit d’accès

Si le responsable de traitement est libre de choisir les modalités selon lesquelles les personnes concernées peuvent exercer leur droit d’accès, il est impératif, en matière de vidéosurveillance, que la réponse à une demande de droit d’accès s’effectue sur place.

Personnes ayant accès aux informations

Conformément à l’article 17-1 de la Loi n°1.165, le responsable de traitement doit «  déterminer nominativement la liste de personnes autorisées qui ont seules accès, pour les stricts besoins de l’accomplissement de leurs missions, aux locaux et aux installations utilisés pour les traitements, de même qu’aux informations traitées. »

Cette liste nominative des personnes ayant accès au traitement doit être tenue à jour.

Le responsable de traitement, toutefois, n’a plus à fournir le nom de chaque personne lorsqu’il remplit le formulaire. Il doit juste indiquer la catégorie des personnes habilitées à avoir accès aux informations (direction, vendeurs, prestataire informatique…) et  préciser les droits dont ils disposent (inscription, modification, consultation, maintenance, tous droits…)

Annexes sécurité : Les questions à se poser

Conformément à l’article 17 de la Loi n° 1.165, précitée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par le traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation de ce traitement.

Par ailleurs, les différentes architectures de vidéosurveillance doivent reposer sur des équipements de raccordement de serveurs et périphériques qui doivent être protégés par un login et un mot de passe réputé fort et les ports non utilisés doivent être désactivés.

Enfin,  la copie ou l’extraction d’informations issues de ce traitement devra être chiffrée sur son support de réception.

Aussi, afin de remplir au mieux les annexes de sécurité, il convient de se poser les questions suivantes :

  • le serveur se trouve-t-il dans un local fermé, accessible uniquement aux personnes habilitées à y avoir accès ?
  • quelle politique d’habilitation a été mise en place ?
  • le serveur est-il protégé par un identifiant de connexion et un mot de passe propres à chaque personne habilitée à y avoir accès ?
  • les personnes habilitées ont-elles uniquement accès au serveur ou ont-elles également accès aux caméras ?
  • y’a-t-il une interconnexion avec internet ? Si oui, l’accès se fait-il par le Système d’Information ou par un accès dédié ?
  • existe-t-il des accès distants (tablettes, smartphones….) ? Si oui, ces accès sont-ils protégés par un identifiant de connexion et mot de passe propres à chaque utilisateur ? Sont-ils chiffrés ?
  • les caméras sont-elles mobiles ? Une fonctionnalité micro ?
  • en cas d’extraction des données :
  • sur quel support se fait l’extraction (clé USB, CD…) ?
  • ce support est-il chiffré ? L’information est-elle chiffrée ?

En complément de ces informations, deux schémas doivent également être impérativement joints à la demande :

  • un schéma de l’architecture technique qui identifie le serveur, les caméras et toute autre connexion et qui explique la façon dont se font les flux de données ;
  • un schéma d’implantation des caméras qui identifie toutes les caméras et mentionne leur emplacement ainsi que leur angle de vue.

Cas particulier des caméras installées au domicile privé de personnes physiques

De nombreux particuliers ont aujourd’hui recours à des systèmes de vidéo-protection afin de sécuriser leur domicile, notamment contre les cambriolages.

Si une personne physique n’est soumise à aucune formalité lorsqu’elle installe des caméras dans sa propriété privée à des fins exclusivement personnelles, elle doit toutefois déclarer ce traitement auprès de la Commission dès lors que des employés ou des prestataires (nounous, personnel médical, livreurs…) interviennent à son domicile et que les images font l’objet d’un enregistrement. En effet, ce système ne doit pas permettre de contrôler le travail ou le temps de travail d’un salarié, ni conduire à un contrôle permanent et inopportun des personnes concernées.

Il incombera ainsi au responsable de traitement d’informer toutes les personnes susceptibles d’intervenir à son domicile de l’installation de caméras et de leur but.

Par ailleurs, l’implantation des caméras devra être réalisée de manière à ne filmer que les espaces privés concernés, en veillant tout particulièrement à ce que le voisinage ou la voie publique (par les fenêtres, baies vitrées…) ne soit pas exposé à ladite vidéo-protection.

Pour plus d'informations, trois délibérations de la Commission sont disponibles sur notre site internet :

  • délibération n°2010-13 du 3 mai 2010 portant recommandation sur les dispositifs de vidéosurveillance mis en œuvre par les personnes physiques ou morales de droit privé ;
  • délibération n°2011-83 du 15 novembre 2011 portant recommandation sur les dispositifs de vidéosurveillance mis en œuvre dans les immeubles d’habitation ;
  • délibération n°2015-33 du 25 mars 2015 portant recommandation sur les traitements automatisés d’informations nominatives ayant pour finalité « Vidéo-protection du domicile » exclusivement mis en œuvre par les personnes physiques ayant recours à des personnels de maison ou des prestataires non occasionnels.