[ESPAGNE] Sanction d'une entreprise de systèmes de vidéosurveillance

[ESPAGNE] Sanction d'une entreprise de systèmes de vidéosurveillance
Maëva Vidal

L'autorité espagnole de protection des données a sanctionné une entreprise de systèmes de vidéosurveillance pour avoir violé les articles 6 et 13 du Règlement Général sur la Protection des Données (RGPD).

L'organisation avait installé un panneau informant de la mise en place d'un système de vidéosurveillance. Cependant, celui-ci n'indiquait pas l'identité du responsable de traitement. De plus, d'après le document portant l'étiquette « Engagement de confidentialité des employés », fourni par l'entreprise pour signature par ses employés, la collecte ne concernait que la visualisation de l'image du travailleur, ce qui n'était pas le cas en pratique.

La possibilité de mettre en place un système de vidéosurveillance

L'image physique et la voix d'une personne, au sens de l'article 4.1 du RGPD, sont des données à caractère personnel. Les images et la voix capturées par une caméra ou un système de caméra vidéo sont bien des données personnelles : leur traitement est donc soumis à la loi sur la protection des données.

Les personnes physiques ou morales, publiques ou privées, peuvent mettre en place un système de vidéosurveillance dans le but de préserver la sécurité des personnes et des biens, ainsi que de leurs installations, conformément à l'article 6.1 du RGPD. Toutefois, les caméras et les appareils photo installés à des fins de sécurité ne peuvent pas obtenir d'images de la voie publique, sauf si cela est indispensable à cette fin ou s'il est impossible de l'éviter en raison de l'emplacement des caméras. Et, dans un tel cas extraordinaire, les caméras ne peuvent capter que la partie minimale nécessaire pour préserver la sécurité des personnes et des biens, ainsi que de leurs installations.

L'obligation d'information des personnes concernées

L'article 12.1 du RGPD indique que quiconque effectue un traitement de données à caractère personnel, tel que la capture d'images par un système de vidéosurveillance, doit fournir aux personnes concernées les informations indiquées aux articles 13 et 14 du RGPD.

La base des informations nécessaires doit au moins faire référence à l'existence du traitement (vidéosurveillance), à l'identité du responsable du traitement, à la possibilité d'exercer les droits prévus aux articles 15 à 22 du RGPD et à l'endroit où obtenir des informations supplémentaires sur le traitement des données à caractère personnel.

En outre, l'autorité espagnole de protection des données a constaté que l’entreprise n’avait pas fourni suffisamment d’informations sur la vidéosurveillance, y compris des informations sur le traitement, l’identité du responsable du traitement et l’exercice des droits des personnes concernées.

De plus, il n'existe aucune preuve dans la procédure que le responsable du traitement a informé les clients et les employés de la collecte de leurs données personnelles concernant la voix des personnes concernées.


💡 Retrouvez nos modèles de traitement relatifs à la sécurité des biens et des personnes par un système de vidéosurveillance installé dans un lieu public ou ouvert au public et implanté dans des locaux non-accessibles au public.


newsletter

Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution *

*Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.

Renforcement de la cybersécurité en Europe par la Directive NIS 2

La Directive NIS2 sur la cybersécurité vise à harmoniser les règles nationales en matière de cybersécurité et à établir un cadre réglementai...

Maëva Vidal

Nouvelle version 1.5.1 : planification et domaines e-mails

L'équipe R&D de Dastra s'est focalisée sur de nombreuses nouveautés.

Antoine Bidault

La protection des données personnelles : une défense nécessaire pour l'individu en cas d'abus

L'AEPD a sanctionné un syndicat de copropriété pour avoir inclus, sans le consentement de la personne concernée, le numéro de téléphone dans...

Maëva Vidal

Procédure simplifiée de la CNIL : les premières sanctions déjà en 2022 !

La CNIL inflige les premières sanctions sur la base de la procédure simplifiée.

Jérôme  de Mercey

Envie de vous lancer ?

Découvrez Dastra en créant un compte en quelques minutes et commencez à cartographier vos traitements, faire des audits... Vous pouvez également nous contacter pour une démonstration adaptée à vos besoins.

Essayez gratuitement Demander une démo

Essai gratuit 30 jours - Sans carte bleue - Sans engagement