![[ESPAGNE] Sanction d'une entreprise de systèmes de vidéosurveillance](https://static.dastra.eu/content/6d5268da-9efe-4eda-8589-89fbfc98868d/concrete-25627811280-1000.webp)
L'autorité espagnole de protection des données a sanctionné une entreprise de systèmes de vidéosurveillance pour avoir violé les articles 6 et 13 du Règlement Général sur la Protection des Données (RGPD).
L'organisation avait installé un panneau informant de la mise en place d'un système de vidéosurveillance. Cependant, celui-ci n'indiquait pas l'identité du responsable de traitement. De plus, d'après le document portant l'étiquette « Engagement de confidentialité des employés », fourni par l'entreprise pour signature par ses employés, la collecte ne concernait que la visualisation de l'image du travailleur, ce qui n'était pas le cas en pratique.
La possibilité de mettre en place un système de vidéosurveillance
L'image physique et la voix d'une personne, au sens de l'article 4.1 du RGPD, sont des données à caractère personnel. Les images et la voix capturées par une caméra ou un système de caméra vidéo sont bien des données personnelles : leur traitement est donc soumis à la loi sur la protection des données.
Les personnes physiques ou morales, publiques ou privées, peuvent mettre en place un système de vidéosurveillance dans le but de préserver la sécurité des personnes et des biens, ainsi que de leurs installations, conformément à l'article 6.1 du RGPD. Toutefois, les caméras et les appareils photo installés à des fins de sécurité ne peuvent pas obtenir d'images de la voie publique, sauf si cela est indispensable à cette fin ou s'il est impossible de l'éviter en raison de l'emplacement des caméras. Et, dans un tel cas extraordinaire, les caméras ne peuvent capter que la partie minimale nécessaire pour préserver la sécurité des personnes et des biens, ainsi que de leurs installations.
L'obligation d'information des personnes concernées
L'article 12.1 du RGPD indique que quiconque effectue un traitement de données à caractère personnel, tel que la capture d'images par un système de vidéosurveillance, doit fournir aux personnes concernées les informations indiquées aux articles 13 et 14 du RGPD.
La base des informations nécessaires doit au moins faire référence à l'existence du traitement (vidéosurveillance), à l'identité du responsable du traitement, à la possibilité d'exercer les droits prévus aux articles 15 à 22 du RGPD et à l'endroit où obtenir des informations supplémentaires sur le traitement des données à caractère personnel.
En outre, l'autorité espagnole de protection des données a constaté que l’entreprise n’avait pas fourni suffisamment d’informations sur la vidéosurveillance, y compris des informations sur le traitement, l’identité du responsable du traitement et l’exercice des droits des personnes concernées.
De plus, il n'existe aucune preuve dans la procédure que le responsable du traitement a informé les clients et les employés de la collecte de leurs données personnelles concernant la voix des personnes concernées.
💡 Retrouvez nos modèles de traitement relatifs à la sécurité des biens et des personnes par un système de vidéosurveillance installé dans un lieu public ou ouvert au public et implanté dans des locaux non-accessibles au public.