La règle est simple: toute personne a le droit de décider si elle veut être photographiée ou filmée et de fixer les limites de l’utilisation de ces prises de vue. C’est ce que l’on appelle communément le droit à l’image, droit qui n’est autre qu’un attribut du droit à la protection de la vie privée.
Pour parler de droit à l’image, encore faut-il qu’une personne soit identifiable: par son visage bien sûr mais éventuellement aussi par un détail la rendant reconnaissable parmi d’autres (tatouage, physionomie particulière, etc.). Tel n’est pas le cas d’une image floue ou d’une silhouette dans une photo d’ambiance.
Dès lors qu’une personne physique est identifiable, la prise de son image et sa diffusion constituent un traitement de données à caractère personnel tombant sous le champ d’application du GDPR (lui encore?!). L’organisateur devra ainsi veiller à respecter les droits des personnes concernées, et notamment leur droit à l’information préalable. Mais comment faire en pratique pour informer les participants à un «event» du traitement qui sera fait de leurs données? La CNPD propose de faire figurer cette information sur l’invitation ou alors via un affichage sur place. Combiner les deux semble opportun, de même que profiter du formulaire d’inscription pour fournir l’information détaillée requise. Reste à documenter le recours à ces bonnes pratiques.
Une fois réglé ce point de l’information préalable, reste le cœur du problème, celui de la légitimité du traitement des images. De prime abord, sous GDPR, un tel traitement pourrait être justifié par l’intérêt légitime de l’organisateur à conserver une documentation interne de ses événements, sans qu’il soit nécessaire d’obtenir un consentement. C’est alors sans compter avec les règles posées par la jurisprudence en matière de droit à l’image qui impose, sauf exception, un consentement non seulement aux prises de vue mais également à la publication de ces captations.
À l’égard des prises de vue, le consentement peut être implicite pour autant qu’il résulte d’un comportement positif. Ainsi, par exemple, lorsque les sujets de la photographie ou du film prennent la pose. Mais consentement à la prise de photographies ou de films n’emporte pas autorisation de diffusion. Une autorisation explicite devra être obtenue au préalable, sauf dans de rares cas où la liberté d’expression et d’information est de mise. Ainsi, des événements d’actualité auxquels participe une personnalité publique ou une personne «lambda», mais seulement le temps où cet événement demeure d’actualité ou alors un peu plus tard lorsqu’il aura acquis une portée historique. C’est généralement là que le bât blesse: une fois diffusées sur internet, les images ne sont généralement pas supprimées après une date de péremption (qui n’est d’ailleurs pas clairement déterminée non plus).
Que faire alors en pratique pour recueillir un consentement valable? En théorie, l’autorisation à la diffusion des images peut être simplement orale, mais alors comment prouver que le consentement a été spécifiquement donné pour les usages multiples envisagés par l’organisateur? L’écrit semble alors s’inviter à la table. L’usage de cases à cocher distinctes sur le bulletin d’invitation par exemple (publication sur le site internet de l’organisateur, publication sur les réseaux sociaux, usage sur les brochures, newsletters, etc.) peut alors sembler une bonne idée… à condition en pratique de pouvoir identifier la personne concernée… Or, bien souvent, l’organisateur ne la connaîtra pas et a fortiori ne la reconnaîtra pas. Ce n’est alors que le début du casse-tête chinois puisque l’absence de réponse à une demande de consentement équivaut à un refus et que le consentement donné au préalable peut en outre être retiré à tout moment… ce qui implique alors soit de ne plus diffuser la photo, soit de flouter les visages concernés. Comment alors gérer en pratique ces différentes hypothèses? Comment trier les images des personnes ayant consenti ou ayant retiré leur consentement des autres? En l’absence de pratiques consacrées en la matière, la tâche peut s’avérer ardue…
Aussi, face à cette complexité et aux risques auxquels l’organisateur s’expose (rappelons-le, jusqu’à 20 millions d’amende ou 4% du chiffre d’affaires mondial d’amende, outre des dommages-intérêts potentiels), la prudence est de rigueur. Sauf dans les (rares) cas où l’organisateur sera capable de gérer les consentements qu’il aura obtenus, on ne saurait trop recommander aux organisateurs de limiter l’usage des photographies prises lors des événements à leurs opérations de communication en lien direct avec ceux-ci. Le risque et la complexité que nous venons d’évoquer visent en effet avant tout la réutilisation des images pour d’autres usages marketing postérieurs. Il revient donc à chacun de faire un ménage régulier parmi les photos publiées sur internet ou les réseaux sociaux et de mettre en place des processus appropriés pour gérer les demandes des personnes concernées.