Retrouvez tous vos contenus sur mobile avec l'application du Point Vétérinaire.
Téléchargez gratuitement l'application !
Retrouvez tous vos contenus sur mobile avec l'application du Point Vétérinaire.
Téléchargez gratuitement l'application !
NUMÉRIQUE
ENTREPRISE
Auteur(s) : FABRICE JAFFRÉ
Fonctions : président de Kena conseil, titulaire du certificat de spécialisation de délégué à la protection des données du Conservatoire national des arts et métiers de Paris
LA MISE EN PLACE D’UNE VIDÉOPROTECTION DANS LA CLINIQUE RÉPOND À UN BESOIN LÉGITIME DE SÉCURITÉ. SOUMISE À DE NOMBREUSES RÈGLES TECHNIQUES ET JURIDIQUES, D’AUTANT PLUS QUE LA CNIL S’EST MONTRÉE TRÈS VIGILANTE SUR LE SUJET, ET CE BIEN AVANT LA MISE EN PLACE DU RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES (RGPD).
On parle de vidéosurveillance au sens strict quand la caméra filme une zone non accessible aux clients, tels le local de stockage des médicaments, les espaces dédiés au personnel, etc. La vidéoprotection concerne les zones ouvertes au public, par exemple la salle d’attente ou la salle de consultation. Un établissement vétérinaire peut donc être amené à installer à la fois des systèmes de vidéosurveillance stricte et de vidéoprotection. Mais seule la vidéoprotection exige une autorisation préfectorale.
Avant l’installation du système de vidéoprotection, un dossier doit être déposé auprès de la préfecture du lieu du cabinet vétérinaire, par exemple auprès de la Préfecture de police à Paris. Un formulaire1 sur le site du ministère de l’Intérieur permet d’effectuer cette déclaration en ligne.
Il faudra préciser, entre autres, la finalité du système, le lieu d’implantation des caméras, les caractéristiques techniques du système, les personnes habilitées à consulter les images, les mesures matérielles prises pour contrôler l’accès aux images, les mesures pour la sauvegarde et la protection des enregistrements, les modalités de destruction des enregistrements, le nombre et la localisation des affiches ou des panonceaux d’information, la personne auprès de laquelle s’exerce le droit d’accès.
Le choix d’un installateur certifié NF service et APSAD va alléger le dossier : une simple attestation préalable de conformité dans ce cas suffira, à la place d’un questionnaire à compléter pour justifier de la conformité de l’installation aux normes (définies par l’arrêté technique du 3 août 2007). En revanche ce n’est pas à l’installateur de remplir la déclaration. Son rôle est seulement d’assister le vétérinaire dans le remplissage de la partie technique. Et seul l’arrêté d’autorisation (reçu au bout de quelques semaines) permet l’installation du dispositif de vidéosurveillance dans la clinique. À noter qu’il faudra renouveler la demande tous les cinq ans.
À l’inverse de la vidéoprotection, un système de vidéosurveillance au sens strict (par exemple surveillance du chenil non accessible aux clients) n’est pas soumis à une déclaration préfectorale.
Sur le principe de la responsabilisation (« accountability » dans le RGPD) du responsable de traitement (le vétérinaire), aucune formalité administrative n’est nécessaire auprès de la CNIL. Une fiche dédiée à la vidéosurveillance doit cependant être créée dans le registre des traitements (qui rassemble l’ensemble des traitements de données à caractère personnel effectués au sein de la clinique), puisque l’identité des personnes peut être déduite des images. La fiche reprendra de nombreux éléments du dossier envoyé à la préfecture2. À noter que même une simple vidéosurveillance au sens strict doit faire l’objet d’une fiche dans le registre puisqu’on peut y filmer le personnel.
Tout traitement de données personnelles doit avoir une finalité précise. Pour la vidéosurveillance, il s’agit de la sécurité des personnes, de la prévention des atteintes aux biens, et éventuellement de la lutte contre la démarque inconnue. On ne pourra utiliser la vidéosurveillance pour d’autres finalités, comme le contrôle des horaires des salariés. Ce mésusage, appelé détournement de finalité, est en effet lourdement sanctionné. Un second registre, moins connu, doit être spécifiquement mis en place pour la vidéoprotection. Il permet d’assurer la traçabilité des exportations d’extraits de vidéos (en cas d’exercice du droit d’accès d’un client ou de réquisition judiciaire). Ce registre comportera les enregistrements réalisés, la date de destruction des images et, le cas échéant, la date de leur transmission au Parquet. Ce registre doit être présenté à toute réquisition du Parquet.
Outre ces deux registres à créer et maintenir, la législation impose également de nombreuses règles dans l’installation, le paramétrage et l’utilisation des caméras. Ces dernières ne peuvent ainsi filmer la voie publique
- il faudra si nécessaire flouter ou masquer par logiciel une partie de l’image -, les zones de repos des salariés, les vestiaires ou les toilettes. De manière générale, les paramètres techniques (zoom, angle de rotation, floutage automatique, etc.) devront être choisis en fonction du rôle de chaque caméra. Les images enregistrées doivent respecter un niveau de qualité minimum (annexe 1 de l’arrêté du 3 août 2007).
Il y a également interdiction de filmer en permanence un employé sur un poste de travail. Si une caméra est orientée vers l’accueil par exemple, la caméra doit davantage filmer la caisse que l’assistante. En juin 2019, la CNIL a ainsi condamné à 20 000 € une TPE de 9 personnes qui filmait ses employés à leur poste sans interruption. Enfin l’enregistrement du son est considéré comme disproportionné par principe. On peut cependant imaginer une tolérance concernant la caméra située dans le chenil : pour recueillir des signes de réveil ou de souffrance par exemple. Enfin les caméras ne doivent pas être dissimulées.
Le stockage des flux vidéos doit permettre de déterminer l’heure précise à laquelle a été prise l’image ainsi que l’emplacement de la caméra. À noter que les systèmes utilisant plus de 7 caméras doivent obligatoirement utiliser un support de stockage numérique.
L’obligation de sécurité de l’accès aux images enregistrées s’est vue renforcée avec la mise en place du RGPD. Des mesures tant techniques qu’organisationnelles ou juridiques doivent être mises en place afin de garantir un niveau de sécurité adapté au risque, et assurer le triptyque sécuritaire : confidentialité - les images ne doivent pouvoir être visionnées que par un nombre limité de personnes ayant été spécifiquement habilitées par l’employeur ; intégrité - les images doivent être conformes aux images originelles et ne pas pouvoir être modifiées ; et disponibilité - les images doivent être disponibles en cas d’exercice de droit d’accès ou de réquisition judiciaire.
L’accès physique au disque dur où sont stockées les images doit être strictement limité aux personnes habilitées par le responsable de la clinique (par badge, code d’accès, clé, etc.). Ces personnes doivent être sensibilisées aux règles de mise en œuvre et d’exploitation d’un système de vidéosurveillance. Si les images sont accessibles à distance - par exemple sur ordinateur depuis le domicile ou sur un smartphone -, cet accès doit être sécurisé par l’utilisation de mots de passe robustes, d’une connexion sécurisée, etc.
2. Un exemple de fiche peut être téléchargé à l’adresse : ww.bit.ly/3nPbvdM
Dans notre prochain numéro sera publiée la seconde partie de cet article. Y sera abordée l’information obligatoire à dispenser, tant aux visiteurs qu’au personnel, concernant l’existence de la vidéosurveillance, la durée de conservation des images et les droits des personnes filmées.