Peut-on fonder la vidéosurveillance sur la base de l’intérêt légitime ?

Publié le par - 4180 vues

À l’occasion d’une affaire mettant en cause un système de vidéosurveillance, la Cour apporte plusieurs précisions sur les traitements fondés sur « l’intérêt légitime » du responsable du traitement. Quand celui-ci a-t-il un « intérêt » au traitement ? Quand cet intérêt est-il « légitime » ? Quand les droits des personnes concernées prévalent-ils ? Autant de questions fondamentales utilement clarifiées.

Excédé par des problèmes récurrents de sécurité dans l’immeuble, une assemblée de copropriétaires adopte une décision approuvant l’installation de caméras de vidéosurveillance. Trois caméras sont installées dans des parties communes de l’immeuble :

  • La première orientée vers la façade de l’immeuble,
  • les deuxième et troisième installées, respectivement, dans le hall du rez-de-chaussée et dans l’ascenseur de l’immeuble.

Un des copropriétaires n’en veut pas au nom de sa vie privée.

L’association des copropriétaires justifie sa décision par la nécessaire protection des biens et des personnes : l’ascenseur a été vandalisé à de nombreuses reprises et plusieurs appartements ainsi que les parties communes ont fait l’objet de cambriolages et de vols. Elle précise que d’autres mesures préalablement prises, à savoir l’installation d’un système d’entrée dans l’immeuble avec interphone et carte magnétique, n’avaient pas empêché la commission répétée d’infractions de même nature.

Un traitement de données personnelles

Confirmant une jurisprudence constante, la cour rappelle qu’une surveillance effectuée par un enregistrement vidéo des personnes, stocké dans un dispositif d’enregistrement continu, à savoir un disque dur, constitue un traitement de données à caractère personnel automatisé.

La base de légitimité

Outre le respect des principes relatifs à la qualité des données énoncés à l’article 6 de la directive 95/46 (qualité, pertinence, etc.), il faut encore que le traitement soit légitimé par une des hypothèses énumérées à l’article 7 de cette directive.

En résumé, l’article 7 vise : (1) le consentement, (2) l’exécution d’un contrat, (3) le respect d’une obligation légale, (4) la sauvegarde des intérêts vitaux de la personne concernée, (5) l’exécution d’une mission d’intérêt public, et (6) l’intérêt légitime du responsable de traitement. Le RGPD suit une logique similaire, même si les termes ont évolué.

La Cour est on ne peut claire : « Il s’ensuit que, pour qu’il puisse être considéré comme étant légitime, un traitement de données à caractère personnel doit relever de l’un des six cas (…). »

Même si ce n’était pas réellement l’enjeu, la Cour profite de l’occasion pour rappeler aux États membres que leur marge de manœuvre est étroite sur cette question : ceux-ci « ne sauraient ni ajouter de nouveaux principes relatifs à la légitimation des traitements de données à caractère personnel audit article ni prévoir des exigences supplémentaires qui viendraient modifier la portée de l’un des six principes prévus à cet article ».

Focus sur la pondération des intérêts

Dans sa rédaction en vigueur à l’époque (directive 95/46), l’hypothèse de l’intérêt légitime se lit comme suit : le traitement « est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l’article 1er paragraphe 1 ».

Dans un bel effort de pédagogie, la cour précise qu’il faut retenir de cette rédaction l’existence de « trois conditions cumulatives », à savoir :

  • premièrement, la poursuite d’un intérêt légitime par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées,
  • deuxièmement, la nécessité du traitement des données à caractère personnel pour la réalisation de l’intérêt légitime poursuivi et,
  • troisièmement, la condition tenant à ce que les droits et les libertés fondamentaux de la personne concernée par la protection des données ne prévalent pas sur l’intérêt légitime poursuivi.

Qu’est-ce que « l’intérêt légitime » ?

Répondre à cette question implique d’abord de savoir ce qu’est un « intérêt », et en particulier la question suivante : le responsable de traitement doit-t-il justifier d’un intérêt né et actuel ?

La cour répond de façon nuancée :

  • Oui, cet intérêt doit être né et actuel à la date du traitement et ne pas présenter de caractère hypothétique à cette date.
  • Toutefois, intérêt n’est pas synonyme d’atteinte ou de préjudice. Ainsi, dans le cas d’espèce qui vise la protection des biens, de la santé et de la vie des copropriétaires d’un immeuble, « il ne saurait cependant être nécessairement exigé, lors de l’appréciation de l’ensemble des circonstances du cas d’espèce, qu’il ait été porté antérieurement atteinte à la sécurité des biens et des personnes. »

Ceci étant fait, la Cour considère que la mise en place d’un système de vidéosurveillance justifiée par la protection des biens, de la santé et de la vie des copropriétaires d’un immeuble, est susceptible d’être qualifié d’intérêt « légitime ».

Qu’est-ce que la « nécessité » ?

La Cour souligne d’emblée avoir déjà « rappelé que les dérogations et les restrictions au principe de la protection des données à caractère personnel doivent s’opérer dans les limites du strict nécessaire » (nous soulignons).

Comment procéder en pratique ? Il faut vérifier s’il existe une voie similaire moins attentatoire : le juge doit se demander si l’objectif poursuivi « peut raisonnablement être atteint de manière aussi efficace par d’autres moyens moins attentatoires aux libertés et aux droits fondamentaux des personnes concernées, en particulier aux droits au respect de la vie privée et à la protection des données à caractère personnel garantis par les articles 7 et 8 de la Charte. »

La Cour ne s’arrête pas en si bon chemin : elle crée un lien explicite avec le principe de minimisation des données et souligne que la condition tenant à la nécessité du traitement doit être examinée conjointement avec ce principe.

Quand l’intérêt de la personne concernée prévaut-il ?

C’est bel et bien à une balance d’intérêt qu’il faut procéder, la Cour exigeant une « pondération des droits et des intérêts opposés en cause en fonction des circonstances concrètes du cas particulier concerné, dans le cadre de laquelle il doit être tenu compte de l’importance des droits de la personne concernée résultant des articles 7 et 8 de la Charte. »

Pour autant la Cour refuse qu’un État puisse, dans un cas déterminé, prévoir a priori le résultat de cette pondération. L’hypothèse n’est pas rare, un certain nombre d’États ayant, de façon plus ou moins explicite, soit supprimé l’hypothèse de l’intérêt légitime comme base de légitimité de certains traitements, soit prévu les situations dans lesquelles la pondération aboutit d’office à un résultat négatif pour le responsable de traitement ou (ce qui revient au même selon nous) les situations dans lesquelles le traitement fondé sur cette base de légitimité doit recevoir une autorisation préalable d’une autorité. La Cour condamne cette approche : la directive s’oppose à ce qu’un État membre exclue de façon catégorique et généralisée la possibilité pour certaines catégories de données à caractère personnel d’être traitées, sans permettre une pondération des droits et des intérêts opposés en cause dans un cas particulier.

La Cour profite de l’occasion pour apporter une précision très utile. La pondération des intérêts peut prendre en compte le fait que les données en question émanent, ou pas, « de sources accessibles au public ». L’atteinte est d’autant plus importante que les données désormais connues du responsable du traitement ne lui étaient pas accessibles avant la mise en œuvre du traitement. La précision est d’importance par rapport aux données disponibles sur Internet.

Quant à la gravité de l’atteinte, elle dépend sans surprise de la nature des données (en particulier s’il s’agit de données sensibles) ainsi que de la nature et les modalités concrètes du traitement, en particulier le nombre de personnes qui ont accès aux données et les modalités d’accès à celles-ci. On y ajoutera, même si la cour n’en parle pas, que la durée de conservation sera utilement prise en compte.

Il faut enfin prendre en compte les « attentes raisonnables » de la personne concernée, notamment sur la question d’un éventuel traitement ultérieur.

Plus d’infos ?

En lisant l’arrêt, disponible en annexe.

Droit & Technologies

Annexes

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK