[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"$fdvbT32Omyqz2IJ-Mf7dUBBcc3ZZk1lFC6FsPDqXWPNk":3},{"tableOfContents":4,"markDownContent":5,"htmlContent":6,"metaTitle":7,"metaDescription":7,"wordCount":8,"readTime":9,"title":10,"nbDownloads":11,"excerpt":7,"lang":12,"url":13,"intro":14,"featured":4,"state":15,"author":16,"authorId":17,"datePublication":23,"dateCreation":24,"dateUpdate":24,"mainCategory":25,"categories":40,"metaDatas":46,"imageUrl":47,"imageThumbUrls":48,"id":56},false,"Dans une décision [rendue le 28 avril 2022](https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9777996), la CNIL italienne a sanctionné la société Amiu spa, société de gestion des déchets de la commune de Tarente en Italie, qui agissait en tant que sous-traitant de la commune (détenue à 100% par la commune).\r\n \r\n## Les faits\r\n \r\nAmiu spa a installé des caméras de [vidésurveillance](https://www.dastra.eu/fr/data-processing/referentials/ea4f477a-1c35-4953-bd0f-faf1ea6f2cc4) dans la zone municipale afin de lutter contre le dépot sauvage de déchets.\r\n \r\nIl lui a été reproché de procéder à la publication des vidéos de dépots sauvages sur Facebook. La diffusion de ces vidéos a été contestée par les organisations syndicales.\r\n \r\nLa mise en place de ce système datait de 2012 et a été résolu en 2022 !\r\n \r\n## Les manquements\r\n \r\nIl était reproché plusieurs manquements à ce [sous-traitant](https://www.dastra.eu/fr/guide/sous-traitant/388).\r\n \r\n### Appel à un sous-traitant sans l'autorisation de la commune\r\n \r\nUn sous-traitant ultérieur avait été missionné par la société Amiu spa pour la mise en place et la maintenance du dispositif de vidéosurveillance. Or, cette société n'avait pas fait l'objet d'une autorisation de la part de la commune. De plus, aucun contrat au sens de l'article 28 du RGPD n'avait été formulé entre la commune et la société de gestion des déchets.  \r\n A l'issue de la procédure d'enquête, un contrat a été mis en place prévoyant l'intervention de ce sous-traitant ultérieur mais le manquement était néanmoins constitué.\r\n \r\n### Absence de base juridique et détournement de finalité par diffusion de vidéos et photos sur facebook\r\n \r\nEn diffusant les vidéos et photos sur Facebook des incivibilités, la société de gestion des déchets a voulu bien faire en sensibilisant le public via les réseaux.\r\n \r\nOr, cette diffusion n'entrait pas dans les finalités du traitement lié à la vidéosurveillance, à savoir, la prévention des dépots sauvages et l'acquisition des moyens de preuve pour constater et contester les infractions administratives découlant de la violation des réglementations municipales sur l'élimination des déchets. Cette dernière finalité pouvait reposer sur la mission de service public de la société, à savoir la gestion des déchets.\r\n \r\nOr, la diffusion ultérieure des vidéos sur Facebook ne reposait sur aucune [base juridique](https://www.dastra.eu/fr/guide/bases-legales-rgpd/2495) légitime identifiée ce qui constitue un manquement à l'article 6 du RGPD.\r\n \r\nIl ne ressortait pas non plus des documents fournis à l'autorité de contrôle qu'une [compatibilité des finalités ultérieures](https://www.dastra.eu/fr/guide/la-compatibilite-des-finalites-en-cas-de-traitement-ulterieur/40065) était démontrée et donc, la réutilisation des données à des fins de diffusion sur les réseaux constituait une atteinte au [principe de limitation des finalités](https://www.dastra.eu/fr/guide/finalite-traitement-de-donnees/358) (article 5 1. b) du RGPD).\r\n\r\n> En cas de réutilisation des données ultérieures, il est nécessaire que les finalités soient compatibles. Un test de compatibilité peut être effectué pour répondre à cette question. Vous pouvez vous appuyer sur le modèle [réalisé par Dastra](https://www.dastra.eu/fr/guide/la-compatibilite-des-finalites-en-cas-de-traitement-ulterieur/40065).\r\n\r\n#### Les images de vidéosurveillance constituent des données à caractère personnel\r\n \r\nEn effet, bien que les images ne puissent pas nécessairement réveler l'identité des personnes, il convient d'être particulièrement diligent sur la notion d'anonymisation. En effet, il suffit que les personnes soient identifiables soit par identification, corrélation ou déduction pour que les images constituent des [données à caractère personnel](https://www.dastra.eu/fr/guide/donnee-a-caractere-personnel/382).\r\n \r\n### Une erreur par un agent interne engage l'organisation\r\n \r\nLa société avait beau plaider l'erreur humaine d'un agent interne sur l'absence de floutage d'une séquence vidéo, la responsabilité est bien portée par l'organisation et il lui revient de maîtriser les processus internes et limiter les risques pour les personnes concernées par les traitements.\r\n \r\n### Absence de désignation d'un DPO\r\n \r\nLa société n'avait pas désigné de DPO. Or, la société en mettant un traitement de vidéosurveillance faisait un suivi régulier et systématique à grande échelle de données personnelles à des fins de constation et de vérification d'infractions ce qui constitue une [exigence de l'article 37 du RGPD](https://www.dastra.eu/fr/guide/designation-obligatoire-ou-facultative-dun-dpo/48289).\r\n \r\n## Une sanction de 200 000 euros pour le sous-traitant\r\n \r\nLa société a écopée d'une sanction financière de 200 000 euros pour la violation des articles 5, 6, 28, 37 du RGPD.\r\n\r\n> A savoir, la municipalité de Tarente a été [condamnée](https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9777974) à une amende de 150 000 euros pour absence de transparence sur le traitement de vidéosurveillance, pour non détermination du responsable de traitement entre la commune et la société de gestion des déchets à travers notamment la convention qui les lie (ce qui a constitué un manquement à l'article 28 du RGPD et à l'absence de réalisation d'un [AIPD](https://www.dastra.eu/fr/guide/guide-pratique-analyse-impact-protection-des-donnees/499) sur ce traitement (qui aurait résolu tous ces problèmes !).","\u003Cp>Dans une décision \u003Ca href=\"https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9777996\" rel=\"nofollow\">rendue le 28 avril 2022\u003C/a>, la CNIL italienne a sanctionné la société Amiu spa, société de gestion des déchets de la commune de Tarente en Italie, qui agissait en tant que sous-traitant de la commune (détenue à 100% par la commune).\u003C/p>\r\n\u003Ch2>Les faits\u003C/h2>\r\n\u003Cp>Amiu spa a installé des caméras de \u003Ca href=\"https://www.dastra.eu/fr/data-processing/referentials/ea4f477a-1c35-4953-bd0f-faf1ea6f2cc4\">vidésurveillance\u003C/a> dans la zone municipale afin de lutter contre le dépot sauvage de déchets.\u003C/p>\r\n\u003Cp>Il lui a été reproché de procéder à la publication des vidéos de dépots sauvages sur Facebook. La diffusion de ces vidéos a été contestée par les organisations syndicales.\u003C/p>\r\n\u003Cp>La mise en place de ce système datait de 2012 et a été résolu en 2022 !\u003C/p>\r\n\u003Ch2>Les manquements\u003C/h2>\r\n\u003Cp>Il était reproché plusieurs manquements à ce \u003Ca href=\"https://www.dastra.eu/fr/guide/sous-traitant/388\">sous-traitant\u003C/a>.\u003C/p>\r\n\u003Ch3>Appel à un sous-traitant sans l'autorisation de la commune\u003C/h3>\r\n\u003Cp>Un sous-traitant ultérieur avait été missionné par la société Amiu spa pour la mise en place et la maintenance du dispositif de vidéosurveillance. Or, cette société n'avait pas fait l'objet d'une autorisation de la part de la commune. De plus, aucun contrat au sens de l'article 28 du RGPD n'avait été formulé entre la commune et la société de gestion des déchets.\u003Cbr />\r\nA l'issue de la procédure d'enquête, un contrat a été mis en place prévoyant l'intervention de ce sous-traitant ultérieur mais le manquement était néanmoins constitué.\u003C/p>\r\n\u003Ch3>Absence de base juridique et détournement de finalité par diffusion de vidéos et photos sur facebook\u003C/h3>\r\n\u003Cp>En diffusant les vidéos et photos sur Facebook des incivibilités, la société de gestion des déchets a voulu bien faire en sensibilisant le public via les réseaux.\u003C/p>\r\n\u003Cp>Or, cette diffusion n'entrait pas dans les finalités du traitement lié à la vidéosurveillance, à savoir, la prévention des dépots sauvages et l'acquisition des moyens de preuve pour constater et contester les infractions administratives découlant de la violation des réglementations municipales sur l'élimination des déchets. Cette dernière finalité pouvait reposer sur la mission de service public de la société, à savoir la gestion des déchets.\u003C/p>\r\n\u003Cp>Or, la diffusion ultérieure des vidéos sur Facebook ne reposait sur aucune \u003Ca href=\"https://www.dastra.eu/fr/guide/bases-legales-rgpd/2495\">base juridique\u003C/a> légitime identifiée ce qui constitue un manquement à l'article 6 du RGPD.\u003C/p>\r\n\u003Cp>Il ne ressortait pas non plus des documents fournis à l'autorité de contrôle qu'une \u003Ca href=\"https://www.dastra.eu/fr/guide/la-compatibilite-des-finalites-en-cas-de-traitement-ulterieur/40065\">compatibilité des finalités ultérieures\u003C/a> était démontrée et donc, la réutilisation des données à des fins de diffusion sur les réseaux constituait une atteinte au \u003Ca href=\"https://www.dastra.eu/fr/guide/finalite-traitement-de-donnees/358\">principe de limitation des finalités\u003C/a> (article 5 1. b) du RGPD).\u003C/p>\r\n\u003Cblockquote>\r\n\u003Cp>En cas de réutilisation des données ultérieures, il est nécessaire que les finalités soient compatibles. Un test de compatibilité peut être effectué pour répondre à cette question. Vous pouvez vous appuyer sur le modèle \u003Ca href=\"https://www.dastra.eu/fr/guide/la-compatibilite-des-finalites-en-cas-de-traitement-ulterieur/40065\">réalisé par Dastra\u003C/a>.\u003C/p>\r\n\u003C/blockquote>\r\n\u003Ch4>Les images de vidéosurveillance constituent des données à caractère personnel\u003C/h4>\r\n\u003Cp>En effet, bien que les images ne puissent pas nécessairement réveler l'identité des personnes, il convient d'être particulièrement diligent sur la notion d'anonymisation. En effet, il suffit que les personnes soient identifiables soit par identification, corrélation ou déduction pour que les images constituent des \u003Ca href=\"https://www.dastra.eu/fr/guide/donnee-a-caractere-personnel/382\">données à caractère personnel\u003C/a>.\u003C/p>\r\n\u003Ch3>Une erreur par un agent interne engage l'organisation\u003C/h3>\r\n\u003Cp>La société avait beau plaider l'erreur humaine d'un agent interne sur l'absence de floutage d'une séquence vidéo, la responsabilité est bien portée par l'organisation et il lui revient de maîtriser les processus internes et limiter les risques pour les personnes concernées par les traitements.\u003C/p>\r\n\u003Ch3>Absence de désignation d'un DPO\u003C/h3>\r\n\u003Cp>La société n'avait pas désigné de DPO. Or, la société en mettant un traitement de vidéosurveillance faisait un suivi régulier et systématique à grande échelle de données personnelles à des fins de constation et de vérification d'infractions ce qui constitue une \u003Ca href=\"https://www.dastra.eu/fr/guide/designation-obligatoire-ou-facultative-dun-dpo/48289\">exigence de l'article 37 du RGPD\u003C/a>.\u003C/p>\r\n\u003Ch2>Une sanction de 200 000 euros pour le sous-traitant\u003C/h2>\r\n\u003Cp>La société a écopée d'une sanction financière de 200 000 euros pour la violation des articles 5, 6, 28, 37 du RGPD.\u003C/p>\r\n\u003Cblockquote>\r\n\u003Cp>A savoir, la municipalité de Tarente a été \u003Ca href=\"https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9777974\" rel=\"nofollow\">condamnée\u003C/a> à une amende de 150 000 euros pour absence de transparence sur le traitement de vidéosurveillance, pour non détermination du responsable de traitement entre la commune et la société de gestion des déchets à travers notamment la convention qui les lie (ce qui a constitué un manquement à l'article 28 du RGPD et à l'absence de réalisation d'un \u003Ca href=\"https://www.dastra.eu/fr/guide/guide-pratique-analyse-impact-protection-des-donnees/499\">AIPD\u003C/a> sur ce traitement (qui aurait résolu tous ces problèmes !).\u003C/p>\r\n\u003C/blockquote>\r\n",null,836,5,"Limitation des finalités : sanction pour publication d'images de vidéosurveillance sur Facebook  ",0,"fr","limitation-des-finalites-sanction-pour-publication-dimages-de-videosurveillance","La CNIL italienne a sanctionné de 200 000 euros un sous-traitant d'une commune pour diffusion d'images de vidéosurveillance sur Facebook ","Published",{"id":17,"displayName":18,"avatarUrl":19,"bio":20,"blogUrl":21,"color":7,"userId":17,"creationDate":22},31,"Jérôme de Mercey","https://static.dastra.eu/tenant-10/avatar/31/Zuh7XFZe5EnnTo/design-sans-titre-2-150.png","COO/cofounder","https://www.dastra.eu","2021-11-15T12:57:57","2022-06-08T13:53:00","2022-06-09T08:53:54.3114284",{"id":26,"name":27,"description":28,"url":29,"color":30,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":31},2,"Blog","A list of curated articles provided by the community","blog","#28449a",[32,34,37],{"lang":12,"name":27,"description":33},"Une liste d'articles rédigés par la communauté",{"lang":35,"name":27,"description":36},"es","Una lista de artículos escritos por la comunidad",{"lang":38,"name":27,"description":39},"de","Eine Liste von Artikeln, die von der Community verfasst wurden",[41],{"id":26,"name":27,"description":28,"url":29,"color":30,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":42},[43,44,45],{"lang":12,"name":27,"description":33},{"lang":35,"name":27,"description":36},{"lang":38,"name":27,"description":39},[],"https://static.dastra.eu/content/a4163bdf-974c-42f5-b325-2247b5a41a26/capture-dcran-2022-06-08-163759-1000.png",[49,50,51,52,53,54,55],"https://static.dastra.eu/content/a4163bdf-974c-42f5-b325-2247b5a41a26/capture-dcran-2022-06-08-163759-1000.webp","https://static.dastra.eu/content/a4163bdf-974c-42f5-b325-2247b5a41a26/capture-dcran-2022-06-08-163759.webp","https://static.dastra.eu/content/a4163bdf-974c-42f5-b325-2247b5a41a26/capture-dcran-2022-06-08-163759-1500.webp","https://static.dastra.eu/content/a4163bdf-974c-42f5-b325-2247b5a41a26/capture-dcran-2022-06-08-163759-800.webp","https://static.dastra.eu/content/a4163bdf-974c-42f5-b325-2247b5a41a26/capture-dcran-2022-06-08-163759-600.webp","https://static.dastra.eu/content/a4163bdf-974c-42f5-b325-2247b5a41a26/capture-dcran-2022-06-08-163759-300.webp","https://static.dastra.eu/content/a4163bdf-974c-42f5-b325-2247b5a41a26/capture-dcran-2022-06-08-163759-100.webp",52256]