L’été dernier, une non identifiée pour avoir utilisé une caméra de surveillance sans en avoir suffisamment informé les personnes concernées et pour avoir filmé certaines d’entre elles en continu. Cette décision fait suite à une enquête qui a débuté en février 2019. Les banques doivent évidemment disposer de caméras de surveillance et de systèmes de sécurité pour protéger leurs biens et leurs employés. Mais comment peuvent-elles concilier la sécurité avec la protection de la vie privée et des données?
«Tout d’abord, il n’y a pas de règles spécifiques liées aux banques, et le même régime s’applique aux banques qu’à tout autre type d’entité qui souhaiterait mettre en place une vidéosurveillance», explique Alain Hermann, commissaire de la CNPD. «Lorsqu’une entreprise souhaite mettre en place une vidéosurveillance, elle doit disposer d’une base légale.»
«Une question de proportionnalité»
Le règlement général sur la protection des données est une loi sur la protection de la vie privée et la sécurité dans l’Union européenne qui est entrée en vigueur en mai 2018. Il réglemente la manière dont les organisations ciblent ou collectent les données liées aux personnes dans l’UE, et décrit comment les organisations doivent protéger et traiter les données de manière sécurisée.
Le RGPD énonce deux de la surveillance: les obligations légales ou l’intérêt légitime. L’intérêt légitime est «généralement» la base juridique utilisée par une entreprise pour effectuer de la vidéosurveillance, déclare M. Hermann.
Pour toute entité qui souhaite mettre en place une , celle-ci doit se faire dans le respect des droits des personnes filmées, et en particulier des employés, précise M. Hermann. Les caméras peuvent être installées de manière à assurer la sécurité, mais elles ne doivent pas filmer les employés en permanence, par exemple. Les endroits où les employés peuvent manger et se reposer sont «généralement interdits», ajoute-t-il. «C’est toujours une question de proportionnalité.»
Comment les banques abordent-elles cette question?
Delano a contacté deux banques luxembourgeoises, sélectionnées au hasard, la Spuerkeess et ING, pour connaître leur point de vue sur le sujet.
Les banques doivent établir des politiques et des procédures claires pour la collecte, le traitement et le stockage des données des employés.
«Les banques doivent établir des politiques et des procédures claires pour la collecte, le traitement et le stockage des données des employés. Il s’agit notamment de préciser l’objectif des caméras de surveillance et des systèmes de sécurité, la manière dont ils seront utilisés et les personnes qui auront accès aux données. Les employés doivent recevoir des informations transparentes sur ces politiques et sur leurs droits, comme le droit d’accéder à leurs données personnelles, ainsi que sur l’objectif et la base juridique du traitement de ces données. Les banques, comme tous les autres responsables du traitement des données, ne peuvent jamais mettre en œuvre des mesures de surveillance cachées», commente Catherine Alter, vice-présidente et responsable de la conformité réglementaire de l’unité commerciale, responsable de la protection des données pour la Spuerkeess.
Les données personnelles doivent être traitées de manière licite et loyale.
ING Luxembourg, la deuxième banque contactée par Delano sur le thème de la surveillance et de la protection des données, souligne l’importance du traitement licite et loyal des données personnelles qui sont collectées pour des «finalités déterminées, explicites et légitimes», conformément à la loi du 1er août 2018. Il est également important que la collecte et le traitement des données soient adéquats, pertinents et non excessifs, et que les données soient traitées de manière sécurisée, déclare ING.
Principe de «minimisation des données»
Dans sa réponse à Delano, Mme Alter (Spuerkeess) a également mentionné le principe de «minimisation des données» du RGPD, «qui exige que le responsable du traitement des données (ici: la banque) traite aussi peu de données que nécessaire pour atteindre l’objectif visé (ici: la sécurité et la protection des personnes et des biens). Cela conduit à n’enregistrer que les zones où la sécurité est une préoccupation, comme les entrées et les sorties, et à ne pas enregistrer les zones où la vie privée est censée être respectée, comme les toilettes ou les salles de pause».
Les employés ont le droit de ne pas être soumis à une surveillance continue et permanente.
«Les employés ont le droit de ne pas être soumis à une surveillance continue et permanente. Le principe de proportionnalité, également exigé par le RGPD, signifie que la surveillance automatique et permanente des employés doit être évitée», indique Mme Alter.
«Cela signifie également que l’installation d’une vidéosurveillance à l’intérieur d’un bureau où un ou plusieurs employés travaillent en permanence serait considérée comme disproportionnée par rapport à l’objectif visé et constituerait une ingérence excessive dans la vie privée de l’employé dans le cadre de son travail. Dans de tels cas, les droits et libertés fondamentaux des employés doivent prévaloir sur les intérêts légitimes poursuivis par l’employeur.»
Traitement des données à des «fins commerciales spécifiques»
ING traite les données de surveillance pour des «finalités spécifiques», note la banque, dont l’une est la protection de la «propriété» de la banque et de ses clients, qui comprend non seulement les biens matériels, mais aussi «les droits de propriété intellectuelle, le savoir-faire commercial et toute autre information à laquelle est attachée la confidentialité».
Il informe également «les clients des finalités pour lesquelles leurs données personnelles sont traitées» et de la division d’ING responsable du traitement, permet aux clients et aux employés d’avoir un aperçu de leurs données personnelles et de corriger, supprimer ou bloquer leurs données personnelles, et protège les données personnelles contre «la perte, l’altération, la divulgation ou l’accès non autorisé», déclare ING.
Toutes ces informations sont indiquées dans une déclaration de confidentialité «facilement accessible», souligne ING, qui dispose également d’un «département dédié [à] la protection des données personnelles, chargé de veiller à ce que la banque respecte ses obligations réglementaires de manière continue».
Passer de «l’autorisation à la responsabilité» après le RGPD
Mais les règles de contrôle des données étaient déjà en place au Luxembourg avant même le RGPD, note M. Hermann de la CNPD. De 2002 à 2018 – lorsque le RGPD est entré en vigueur – les systèmes de vidéosurveillanceau Grand-Duché étaient soumis à des autorisations de la CNPD luxembourgeoise. «Les entités devaient remplir une demande d’autorisation pour pouvoir installer un système de vidéosurveillance», explique-t-il, en remplissant un formulaire dans lequel elles devaient détailler les objectifs de la surveillance.
«Après le RGPD, le système a changé», déclare M; Hermann. «Nous sommes passés d’un régime d’autorisation à un régime de responsabilité. Cela signifie donc que chaque entité est responsable de s’assurer que ce qu’elle installe est conforme à la loi. Ensuite, c’est à nous de contrôler potentiellement les systèmes qui sont installés.»
Pour la CNPD, la vidéosurveillance n’est donc «pas un sujet nouveau» pour M. Hermann. «C’est même un sujet très ancien. Nous avons de très bonnes connaissances sur ce sujet.» La CNPD a publié des lignes directrices sur la surveillance sur le lieu de travail, avant et après l’entrée en vigueur du GDPR. L’amende imposée en juillet 2022 n’était «pas la première amende pour vidéosurveillance que nous avons donnée à des entreprises au Luxembourg».
Le RGPD a-t-il eu un impact significatif ?
«Le RGPD a remplacé une directive de l’UE qui avait été traduite en droit luxembourgeois en 2002», indique Mme Alter. «Sur la base de cette loi, nous avions déjà beaucoup de choses en place: un registre des activités de traitement, des avis d’information aux clients sur le traitement des données, une personne en charge de ce sujet, des règles et des politiques de sécurité concernant l’accès aux données des clients en fonction des rôles et des tâches, une communication régulière avec la CNPD, des campagnes de sensibilisation pour rappeler constamment au personnel à quel point la confidentialité et le secret professionnel sont cruciaux pour nos clients.»
Tout le monde, personnel et clients, est aujourd’hui sensibilisé aux règles de protection des données.
«Le RGPD a surtout apporté beaucoup de formalisation et de publicité à ce qui précède. Tout le monde, le personnel et les clients, est aujourd’hui conscient des règles de protection des données. Pour la Spuerkeess, les principaux impacts étaient plus de nature organisationnelle – nommer un DPD, rédiger et publier des procédures internes, examiner la conformité des produits et services avec toutes les dispositions du RGPD, informer le public par le biais d’une politique de protection des données disponible en ligne, en complément de ce qui existait déjà dans nos conditions générales – que fondamentale», déclare Mme Alter.
«La transparence est aussi une bonne chose»
Le commissaire de la CNPD a également évoqué la transparence en matière de vidéosurveillance comme un facteur potentiel de dissuasion de la criminalité. Lorsqu’on entre dans une zone de vidéosurveillance, «un simple panneau avec une caméra» ne suffit pas à informer les gens qu’ils sont surveillés. En vertu du RGPD, lorsqu’un traitement de données a lieu – dans ce cas, la surveillance des personnes – des informations telles que l’objectif de ce traitement, le responsable du traitement et l’endroit où les personnes peuvent exercer leurs droits doivent être mises à disposition, dit M. Hermann.
«Je pense que cette transparence est également une bonne chose», a-t-il ajouté, «car si les gens savent qu’ils sont filmés à des fins de sécurité dans certains endroits, ils n’agiront peut-être pas mal. C’est une information qui peut empêcher certains individus de commettre des actes répréhensibles».
Comment les inspections sont-elles déclenchées?
L’amende qui a lancé ce sujet sur la vidéosurveillance et la vie privée est le résultat d’une enquête menée par la CNPD. Comment ces enquêtes sont-elles déclenchées?
Il existe deux possibilités de déclenchement des contrôles des systèmes de vidéosurveillance, explique M. Hermann. «La première est que nous – au niveau des commissaires – décidons de faire des contrôles au hasard, ou que nous décidons de mettre en place une campagne de contrôle dans un secteur spécifique.»
La deuxième méthode consiste à recevoir une plainte «de la part des personnes concernées». Il peut s’agir, par exemple, d’employés qui ont l’impression d’être surveillés toute la journée, ou de tiers qui demandent des informations.
M. Hermann conclut en ajoutant que la CNPD n’est pas uniquement concernée par la vidéosurveillance. «Nous sommes l’autorité chargée de faire respecter la protection des données. Cela signifie que tout traitement de données à caractère personnel est soumis à notre contrôle. Cela s’applique à tous les secteurs, car les données personnelles sont présentes presque partout aujourd’hui. Nous sommes donc très occupés.»
La CNPD compte une soixantaine d’employés «et s’agrandit chaque année».
Cet article a été rédigé par en anglais, traduit et édité par Paperjam en français.