A l’occasion d’une affaire mettant en cause un système de vidéosurveillance, la Cour de Justice de l’Union Européenne (CJUE) apporte plusieurs précisions sur les traitements fondés sur l’intérêt légitime du responsable de traitement.

Free picture from https://new.torange.biz/fx/sticker-warning-video-surveillance-sunrise-digital-172965

Les caméras de surveillance sont installées dans des endroits divers, que ce soit dans la rue, les magasins, les transports en commun, les bureaux ou encore les immeubles d’habitation. Les systèmes de vidéo protection visés par l’article L251-2 du Code de la sécurité intérieure sont ceux qui filment les lieux ouverts au public ou la voie publique, à la différence des systèmes de vidéosurveillance qui filment les lieux privés ou les lieux de travail non ouverts au public.

L’entrée en application du « Paquet européen de la protection des données personnelles » constitué du règlement général sur la protection des données (RGPD) et de la directive « Police-Justice », transposée en droit français, a considérablement modifié le cadre juridique que doivent respecter les responsables de traitement qui installent des systèmes de vidéo protection. Le RGPD a renforcé les obligations en matière d’information des personnes concernées par les traitements de données personnelles. Il reprend également quasiment à l’identique les six bases légales de traitement déjà listées au sein de la Directive 95/46 et vient entériner les interprétations faites à ce sujet par la CNIL et le G29 (devenu Comité Européen de la Protection des données). Le RGPD pose également un principe de minimisation des données et limitation de la durée de conservation de celles-ci.

La directive « Police-Justice » quant à elle, établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de ces menaces. Pour les responsables de traitement, la difficulté consiste à déterminer si leur dispositif relève du champ du RGPD ou du champ de la directive « Police-Justice ». La réponse à cette question dépend de l’objectif exact du système de vidéo protection envisagé.

Les particuliers ont régulièrement recours à des caméras pour sécuriser leur domicile et lutter contre les cambriolages, ces dispositifs ne relèvent pas du champ d’application de la directive « Police-Justice ». Par ailleurs, si ces dispositifs peuvent échapper aux règles de la protection des données personnelles, c’est seulement dans le cas où ils sont limités à la sphère privée. Dès lors qu’ils filment des voisins ou encore des visiteurs, les dispositifs doivent nécessairement être respectueux de la vie privée de ces personnes. La Commission Informatique et Libertés (CNIL) a donc mis en place des bonnes pratiques pour que les dispositifs installés soient respectueux du cadre légal et des droits des personnes filmés.

La CNIL précise que les particuliers ne peuvent filmer que l’intérieur de leur propriété mais il ne faut pas porter atteinte à la vie privée des personnes filmées. Si le dispositif est utilisé en dehors de la sphère strictement privée, par exemple parce que des personnes extérieures interviennent, il faut informer ces personnes sur l’existence des caméras et le but poursuivi.

Dans l’affaire du 11 décembre 2019 (CJUE, 11 déc. 2019, aff. C-708/18), l’association des copropriétaires d’un immeuble en Roumanie a adopté une décision approuvant l’installation de caméras de vidéosurveillance en raison de cambriolages dans les appartements et des parties communes. Le propriétaire d’un des appartements de l’immeuble s’est opposé à cette décision au motif que cela constituait une violation du droit au respect de la vie privée. Il a alors saisi le tribunal de Bucarest afin d’enjoindre à l’association en question de retirer les caméras, la première étant orientée vers la façade de l’immeuble, les deuxièmes et troisièmes étant installées, respectivement, dans le hall du rez-de-chaussée et dans l’ascenseur de l’immeuble. L’association a partiellement refusé et lui a transmis le procès-verbal indiquant qu’elle avait accompli la procédure lui permettant d’être enregistrée en tant que responsable de traitement des données à caractère personnel.

Le juge Roumain a posé plusieurs questions préjudicielles à la Cour concernant l’interprétation des articles 8 et 52 de la charte des droits fondamentaux de l’Union européenne et la directive 95/46 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.

Confirmant une jurisprudence constante, la Cour rappelle qu’une surveillance effectuée par un enregistrement vidéo des personnes, stocké dans un dispositif d’enregistrement continu, à savoir un disque dur, constitue un traitement de données à caractère personnel automatisé.

Par ailleurs, il faut également que le traitement soit légitimé par une des hypothèses énumérées à l’article 7 de la directive 95/46 qui vise notamment l’intérêt légitime du responsable de traitement. La Cour ne se fonde pas sur le RGPD, les faits s’étant déroulés avant son entrée en vigueur.

La Cour répond ainsi à la juridiction nationale que ces dispositions doivent être interprétées en ce sens qu’elles ne s’opposent pas à des dispositions nationales qui autorisent la mise en place d’un système de vidéosurveillance, tel que le celui installé dans les parties communes d’un immeuble d’habitation, aux fins de poursuite d’intérêts légitimes consistant à assurer la garde et la protection des personnes et des biens, sans le consentement des personnes concernées, si le traitement concerné répond aux conditions posées à l’article 7 f) de la directive 95/46/CE du 24 octobre 1995.

Il faut retenir de la rédaction de cet article 7 f) trois conditions cumulatives. Premièrement, il s’agit de la poursuite d’un intérêt légitime par le responsable du traitement ou par le tiers auxquels les données sont communiquées. La seconde condition repose sur la nécessité du traitement des données à caractère personnel pour la réalisation de l’intérêt légitime poursuivi. Enfin, la dernière condition tient à ce que les droits et libertés fondamentaux de la personne concernée par la protection des données ne prévalent pas sur l’intérêt légitime poursuivi.

Sur la question de la définition de l’intérêt légitime, la Cour répond de façon nuancée. Elle indique que l’intérêt doit être né et actuel à la date du traitement mais il ne correspond pas à une atteinte ou à un préjudice. Elle considère que la mise en place d’un système de vidéosurveillance justifié par la protection des biens, de la santé et de la vie des copropriétaires d’un immeuble, peut être qualifiée d’intérêt légitime. Dans cette affaire, la décision de l’association des copropriétaires était justifiée par la nécessaire protection des biens et des personnes. L’ascenseur avait été vandalisé à de nombreuses reprises et plusieurs appartements ainsi que les parties communes ont fait l’objet de cambriolages et de vols. Les autres mesures préalablement prises, à savoir l’installation d’un système d’entrée dans l’immeuble avec interphone et carte magnétique n’avaient pas empêché la commission d’infractions.

Par ailleurs, si l’intérêt légitime peut constituer un fondement légitime au traitement de données personnelles, il faut tout de même procéder à une balance des intérêts en présence, conformément aux lignes directrices du G29 (devenu Comité Européen de la Protection des données). La gravité de l’atteinte se mesure en fonction de la nature des données, comme par exemple la collecte de données sensibles, ainsi que de la nature et des modalités du traitement, comme par exemple le nombre de personnes ayant accès aux données, et la durée de conservation des données.