Droits et devoirs de la vidéosurveillance
En France, la protection des libertés individuelles dicte sa loi sur les systèmes de surveillance en entreprise. Et ça n’est que le début.
Ces dernières années, les entreprises ont pris conscience que la sécurité n’était pas seulement un coût mais une véritable nécessité. Mettre en place un dispositif de vidéosurveillance suppose toutefois de respecter un certain nombre de règles : information du personnel, déclaration à la Cnil, demande d’une autorisation préfectorale si l’espace public est filmé. En matière de contrôle d’accès, la Cnil se montre particulièrement vigilante pour les dispositifs intégrant de la biométrie. Avec l’entrée en vigueur en 2018 du RGPD (règlement européen sur la protection des données personnelles), les entreprises seront par ailleurs responsables de la sécurisation des systèmes de sécurité eux-mêmes.
Suite aux attentats qui ont touché la France, beaucoup d’entreprises ont réalisé la nécessité d’assurer leur sécurité et celle de leurs employés. “Après ces événements, certains de nos clients nous ont dit clairement avoir pris conscience du risque et ont installé une protection à la hauteur”, rapporte Thierry Bobineau, directeur marketing chez Horoquartz, éditeur et intégrateur de solutions pour le contrôle d’accès, la vidéosurveillance et la détection-intrusion. “Il y a eu une prise de conscience que se protéger n’est plus optionnel, que les risques sont élevés et qu’investir dans la sûreté est une bonne façon de protéger ses actifs
et son personnel.” Selon un sondage réalisé par En Toute Sécurité pour son Atlas 2017, les chantiers prioritaires des directeurs sécurité pour 2018 sont le renforcement de la vidéosurveillance et la sécurisation accrue des bâtiments. Mais tout n’est pas permis en matière de vidéosurveillance et de contrôle d’accès. Il faut donc s’assurer de respecter la réglementation. “En France, tout ce qui est relatif aux données personnelles des salariés est très encadré par rapport à d’autres pays où nous déployons aussi des installations”, remarque Thierry Bobineau. Tout d’abord, il est interdit de se servir d’un dispositif de vidéosurveillance pour contrôler ou piéger un salarié à son insu. “L’exemple classique est celui d’une grande surface qui avait mis une caméra au-dessus d’une caissière et qui a voulu l’utiliser par rapport aux pratiques de cette caissière. La Cnil (Commission nationale de l’informatique et des libertés) a demandé que cette caméra soit orientée différemment de façon à ce que la sécurité de la caissière soit assurée sans que son travail ne soit contrôlé”, rapporte Stéphanie Tucoulet, secrétaire générale du syndicat Sûreté, vidéoprotection et détection incendie (SVDI), qui représente près de 600 entreprises.
La vie privée avant tout
L’installation d’un dispositif de vidéosurveillance dans l’enceinte privée de l’entreprise doit “être communiquée au délégué du personnel, voire au CHSCT (comité d’hygiène, de sécurité et des conditions de travail), et faire l’objet d’une déclaration auprès de la Cnil”, énumère Stéphanie Tucoulet. Le public doit également en être informé s’il a accès à ce lieu. Par ailleurs, l’entreprise doit justifier pourquoi elle met en place de la vidéosurveillance,
limiter l’accès aux images à des personnes habilitées, et ne pas conserver les images plus d’un mois. “C’est extrêmement encadré afin de trouver un équilibre entre le besoin de sécurité de l’entreprise et la protection de la vie privée des salariés”, résume Thierry Bobineau. Si la vidéosurveillance se fait en partie sur l’espace public, sur une rue par exemple, l’entreprise doit obtenir une autorisation préfectorale. “Il faut déposer un dossier qui sera étudié dans les commissions préfectorales. Si vous faites appel à une entreprise d’installation certifiée, notamment par Bureau Veritas Certification, vous pouvez bénéficier d’une procédure allégée et plus rapide”, précise Stéphanie Tucoulet. “Il faut être très vigilant sur la visualisation extérieure, prévient Mickaël Fer, responsable du bureau d’études chez Eryma, intégrateur de solutions de sûreté. Pour empêcher de visualiser une partie publique, on peut intégrer un
masque dans l’image.” Autre option : l’utilisation d’une caméra thermique, qui pourra discerner une forme humaine, un véhicule ou un animal, mais pas identifier une personne en particulier. Le développement de l’intelligence artificielle permet d’augmenter les possibilités en matière de sécurité sans risquer de porter atteinte à la vie privée des salariés ou du public. “La vidéosurveillance peut par exemple permettre de faire du comptage. C’est très utilisé en cas d’incendie, pour savoir exactement combien de personnes il faut évacuer. Il n’y a pas d’atteinte à la liberté personnelle puisque les algorithmes différencient une personne d’un chariot, mais pas un individu d’un autre”, explique Stéphanie Tucoulet. L’intelligence artificielle ouvre d’ailleurs un champ très vaste d’usage
de la vidéosurveillance, qui va bien
au-delà de la sûreté. “Une caméra surveillant un rayon peut également faire de la business intelligence : dire combien de temps en moyenne les clients sont restés devant la tête de gondole, quelle zone du rayon est la plus fréquentée, etc.”,
indique Mickaël Fer.
La question de la protection des données personnelles se pose surtout
pour la biométrie. “Le contrôle d’accès basique avec un simple badge ne pose pas de problème. Il est simplement
interdit d’utiliser les données de contrôle d’accès à des fins de ressources humaines, par exemple pour le pointage horaire,
souligne Mickaël Fer. Pour ce qui est de la biométrie, la Cnil interdit de stocker les données biométriques dans une base de données, qu’il s’agisse de l’empreinte digitale, du réseau veineux de la main, d’une reconnaissance faciale ou de l’iris, afin de protéger les utilisateurs.” La Cnil exige aussi une véritable justification à la mise en place d’un contrôle d’accès biométrique et préférera une autre solution si possible. “Dans un parc de lecteurs d’une entreprise, le contrôle d’accès biométrique ne
concerne souvent qu’une petite partie, comme par exemple l’accès à la salle des serveurs informatiques, où il est utilisé comme un second facteur d’authentification, souligne Martial Gonzalez, directeur des ventes Europe du sud
chez HID Global. Pour l’instant, cela reste un marché de niche même si l’on voit les demandes des entreprises augmenter.” Thierry Bobineau remarque “un changement de perception des salariés envers ces systèmes. Auparavant, ils pouvaient voir la mise en place d’une identification biométrique ou d’un système de vidéosurveillance comme une contrainte. Aujourd’hui, ils sont beaucoup plus réceptifs car ils comprennent qu’il ne s’agit pas seulement de protéger l’entreprise, mais que eux aussi bénéficieront de cette protection”.
RGPD, la responsabilitép des entreprises renforcée
L’entrée en vigueur dans toute l’Union européenne du règlement général sur la protection des données personnelles (RGPD) le 25 mai 2018 viendra encore renforcer les droits des salariés. “Le RGPD dit que tout le monde peut être victime d’une atteinte à sa vie privée simplement parce que les systèmes ne sont pas sécurisés”, explique Stéphanie Tucoulet, en prenant l’exemple d’un hacker qui volerait des images de vidéosurveillance pour les exposer ou faire chanter les personnes concernées. “Or jusqu’ici, la sécurisation des systèmes n’a pas du tout été prise en compte.” Pour la secrétaire
générale du SVDI, il faut donc agir à
trois niveaux: “au niveau de l’installation elle-même, afin que le système soit sécurisé dès sa conception, au niveau du client qui devra nommer un référent Cnil, et enfin au niveau de l’entreprise d’installation qui devra sécuriser les données en interne.” Un vaste chantier
pour le secteur.