Données personnelles

Covid 19 : installation illégale de caméras thermiques | 3 juillet 2020

 Après avoir jugé illégal l’usage de drones au-dessus de la capitale, le Conseil d’Etat, saisi en référé par la Ligue des droits de l’homme a jugé que la commune de Lisses (Essonne), en installant des caméras thermiques mobiles, a porté une atteinte manifestement illégale au droit au respect de la vie privée des élèves et du personnel, qui comprend le droit à la protection des données personnelles et la liberté d’aller et venir.

Traitement de données personnelles au sens du RGDP

Concernant une première caméra fixe situé à l’entrée de l’établissement, le juge des référés a relevé que les personnes entrant dans les locaux municipaux ont le choix de se placer ou non dans l’espace permettant la prise de température et qu’un refus n’empêche pas l’accès aux locaux. En cas de prise de température, celle-ci ne donne lieu à aucun enregistrement, et aucun agent de la commune ne manipule la caméra ni a accès aux résultats. En conséquence, le juge des référés a estimé que cette caméra ne donnait pas lieu à un traitement de données à caractère personnel au sens du règlement général sur la protection des données (RGPD) et a rejeté la demande tendant à ce qu’il soit mis fin à leur utilisation.

S’agissant en revanche des caméras thermiques portables utilisées dans les écoles, le juge des référés a constaté que les élèves, les enseignants et les personnels devaient obligatoirement se soumettre à cette prise de température pour accéder à l’établissement et qu’un résultat anormal entrainait l’obligation pour eux de quitter l’établissement. Cette collecte de données de santé constituait bien un traitement automatisé de données personnelles au sens du RGPD. En l’absence notamment de texte justifiant l’utilisation de ces caméras pour des raisons de santé publique et en l’absence de consentement des élèves et du personnel, les conditions ne sont pas remplies pour permettre un tel traitement des données.

Caméras thermiques et/ou intelligentes : ce que dit la CNIL

Certes avec un masque, le risque de reconnaissance faciale est limité mais tout de même, la liberté de circuler est en jeu et des règles précises s’appliquent. Au préalable, faire non de la tête en passant devant une caméra n’est pas une modalité (crédible) du droit de s’opposer à la collecte de ses données (l’image faciale est une donnée personnelle).

En premier lieu, lorsque les images thermiques des personnes captées par ces caméras peuvent permettre l’identification des personnes (visage ou corps), il s’agit non seulement de données à caractère personnel mais surtout de données de santé et donc de données sensibles soumises à un régime restrictif. Le traitement de ces données est en principe interdit sauf si l’une des exceptions prévues à l’article 9.2 du RGPD est remplie. Le traitement de données de santé peut notamment être justifié par i) des motifs d’intérêt public importants (article 9.2.g) du RGPD) ; ii) ou spécifiquement des motifs d’intérêt public dans le domaine de la santé publique (article 9.2.i) du RGPD). Dans ce cas, un texte spécifique (de l’Union européenne ou de l’État) doit donc venir autoriser de tels dispositifs. Des données de santé peuvent également être traitées si la personne y a consenti (article 9.2.a du RGPD).

En second lieu, de source CNIL, un tel dispositif présente également un risque de ne pas repérer les personnes infectées puisque certaines sont asymptomatiques et que le dispositif peut, en outre, être contourné par la consommation de produits antipyrétiques (médicaments permettant de diminuer la température corporelle, sans pour autant traiter les causes de la fièvre).

En second lieu, les droits des personnes sur leurs données personnelles doivent être respectés. L’un de ces droits essentiels est celui pour toute personne de s’opposer à faire l’objet d’une captation de son image dans l’espace public (article 21 du RGPD). Ce droit d’opposition doit être garanti par le responsable de traitement lorsque celui-ci se fonde sur un intérêt public ou son intérêt légitime.

Or la mise en œuvre de tels dispositifs dans l’espace public ou ouverts au public se heurte à l’obligation de prendre en compte et de respecter de manière effective ce droit d’opposition. En effet, les dispositifs vidéo captent automatiquement l’image des personnes passant dans leur spectre de balayage, sans possibilité d’éviter les personnes ayant exprimé préalablement leur opposition. En pratique, ces personnes pourront uniquement obtenir la suppression de leurs données et non éviter leur collecte.

Ainsi, si le droit d’opposition ne peut pas être appliqué en pratique, les dispositifs concernés doivent être spécifiquement autorisés par un cadre légal spécifique prévu soit par l’Union européenne, soit par le droit français.

Quid des caméras intelligentes ?  

Dans le contexte de déconfinement suite à l’épidémie de COVID-19, de nouveaux dispositifs de caméras vidéo dites « intelligentes » sont déployés, notamment dans l’espace public ou dans des lieux ouverts au public. En pratique, il s’agit : i) soit de l’ajout d’une couche logicielle à des systèmes de vidéoprotection préexistants ; ii) soit du déploiement de dispositifs de prise de température automatique (caméras thermiques), de détection du port de masque, de respect des mesures de distanciation sociale, etc.  Ces dispositifs doivent apporter des garanties au regard du RGPD : i) la démonstration de leur proportionnalité ; ii) une durée de conservation limitée ; iii) des mesures de pseudonymisation ou d’anonymisation ; iv) l’absence de suivi individuel ; etc.

Le recours à des caméras « intelligentes » n’est aujourd’hui prévu par aucun texte particulier.

Les garanties minimales suivantes doivent être respectées :

Si des données sensibles sont traitées, telle que la captation d’informations personnelles de santé ou d’informations biométriques, ou si le droit d’opposition n’est pas possible (du fait, par exemple, du « balayage vidéo » de la caméra dans une rue), il est nécessaire de mettre en place un cadre légal adapté qui respecte l’article 9 et/ou l’article 23 du RGPD.

Si les objectifs généralement assignés à ces dispositifs, c’est-à-dire participer à la lutte contre la propagation du virus ou veiller à la salubrité publique, sont le plus souvent légitimes, la CNIL a rappelé que leur déploiement risque de généraliser un sentiment de surveillance chez les citoyens, de créer un phénomène d’accoutumance et de banalisation de technologies intrusives, et d’engendrer une surveillance accrue, susceptible de porter atteinte au bon fonctionnement de notre société démocratique. Les dispositifs légalement mis en œuvre dans cette période doivent être considérés comme exceptionnels et rester proportionnés aux objectifs particuliers de cette période.

Les organismes qui décident de déployer ce type de dispositifs, même à titre expérimental, doivent avoir clairement caractérisé les finalités poursuivies et la base légale appropriée aux traitements de données (comme, par exemple, l’exécution d’une mission d’intérêt public pour les autorités publiques ou l’intérêt légitime des organismes privés dans les conditions prévues à l’article 6 du RGPD).

Les traitements qui seraient mis en œuvre par une autorité compétente, au sens de l’article 3 de la directive « Police-Justice » et à des fins de prévention et de détection des infractions pénales, doivent faire l’objet d’une analyse d’impact relative à la protection des données (AIPD) soumise à consultation obligatoire de la CNIL et à l’adoption d’un texte réglementaire.

La nécessité et la proportionnalité doivent être avérées.  Les dispositifs en cause doivent n’être déployés qu’avec le consentement des personnes filmées ou s’ils sont « nécessaires » aux objectifs poursuivis. Ils doivent également répondre au principe de « proportionnalité », c’est à dire ne pas porter une atteinte disproportionnée à la vie privée.

Le caractère nécessaire et proportionné du recours à des dispositifs de caméras « intelligentes » doit être notamment démontré au regard : i) de l’absence de moyens moins intrusifs pour les droits et libertés des personnes concernées permettant d’atteindre les finalités envisagées, ii) de l’importance des données traitées, iii) du périmètre de déploiement des dispositifs dans l’espace et dans le temps (nombre de caméras concernées, étendue de leur champ, durée de leur déploiement, etc.), iv) des remontées d’informations aux responsables de traitement. Télécharger la décision

Haut
error: Content is protected !!