Rentrée 2022 des associations et centres de loisirs :

Jouez-le jeu de la conformité !

Si la rentrée des classes en a peut-être attristé plus d’un, le mois de septembre annonce aussi avec joie le retour des activités extra-scolaires et extra-professionnelles. Musique, sport, art : pour permettre à leurs adhérents de profiter de leurs offres, les organismes en charge de ces hobbies opèrent nécessairement divers traitements de données.

Et comme chaque rentrée s’accompagne de bonnes résolutions : plus question pour ces entités de se contenter de rassembler de vulgaires formulaires d’inscription ou de constituer des groupes de mails de participants ! Fini d’être vieux jeu !

Que vous soyez en charge de l’animation de ces activités ou membre d’un club, l’heure est venue de clarifier les règles du jeu applicables en matière de protection des données personnelles au sein de ces structures de loisirs.

Ne croyez pas pouvoir fausser le jeu : ces exigences sont valables pour tous les systèmes d’information, qu’ils soient manuscrits ou numériques. Le fait que votre club ne soit pas équipé d’appareils informatiques ne change rien. Vos dossiers papiers méritent, eux aussi, toute votre attention.

Mais n’ayez crainte, nous vous le promettons : en matière de conformité, le jeu en vaut la chandelle ! [1][2][3]

[1] En dehors de ces recommandations relatives aux traitements des données personnelles des adhérents des centres de loisirs, les organismes concernés peuvent être amenés à manipuler celles de leurs salariés ou bénévoles. Il convient de noter que des règles spécifiques sont applicables pour la gestion des données personnelles collectées dans le cadre de ces activités de ressources humaines.

[2] Conformément au principe de minimisation des données personnelles prévu à l’article 5(1)(c) du Règlement Général sur la Protection des Données (RGPD).

[3] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

Identifier les flux de données ainsi que les opérations de traitement indispensables au fonctionnement du centre de loisir

D’entrée de jeu, l’organisme doit analyser les besoins en données personnelles de ses membres. Il doit déterminer pourquoi ces informations lui seront nécessaires, c’est-à-dire la finalité de leur collecte.

Exemple: recenser le nombre d’adhérents, leur niveau ou encore le jour auquel ils se sont inscrits pour générer un planning d’activités, créer un fichier destiné à organiser des tournois et compétitions, enregistrer un spectacle pour en faire un CD vendu à l’issue de la représentation, réaliser des statistiques pour coordonner les relations avec des partenaires (collectivités, sponsors…), etc.

Le responsable de traitement ne peut recueillir que les seules données strictement adéquates, pertinentes et nécessaires à atteindre ces finalités2. Nous vous conseillons donc :

  • De limiter autant que possible les traitements de données réalisés ;

Exemple : l’établissement d’un trombinoscope est-il essentiel pour mener à bien l’activité de loisir. De restreindre le type et le volume des données personnelles recueillies uniquement à celles permettant d’accomplir ces objectifs.

Exemple: les structures de loisir n’ont pas besoin de connaître le numéro de sécurité sociale de leurs membres. De même, les clubs sportifs ont seulement besoin de connaître l’absence de contre-indications de leurs adhérents à la pratique du sport, par le biais d’un certificat médical.

 Il ne leur appartient pas de savoir les causes d’une éventuelle incapacité de leur membre à poursuivre l’activité en compétition, et encore moins d’établir eux-mêmes une « fiche médicale » à remplir par l’intéressé ou d’exiger une photocopie de son carnet de santé. Ces documents comprennent des données non seulement sensibles, mais aussi certaines couvertes par le secret médical. 

Les organismes ayant recours à de telles pratiques risqueraient d’être mis hors jeu par la CNIL3.

Instaurer une organisation interne garantissant la conformité du centre de loisir

Au-delà des précautions entourant le choix des traitements de données à effectuer, la structure de loisir doit respecter l’ensemble des autres obligations légales lui incombant en matière de protection des données.

Cela implique notamment :

  • De s’interroger sur la nécessité voire l’obligation de désigner un Délégué à la Protection des Données ;

Dans tous les cas, nous vous recommandons qu’une personne soit nommée comme référent sur le sujet.

  • De mettre en œuvre les mesures juridiques, logiques et physiques appropriées propres à assurer la sécurité des données manipulées ;
  • De définir une procédure destinée à gérer efficacement les demandes d’exercice de droits des personnes concernées par le traitement de leurs données personnelles ;
  • De rédiger et tenir à jour un registre des activités de traitement ;

Cette formalité impérative sera l’un des premiers points vérifiés par les autorités compétentes en cas de contrôle. Afin de constituer et actualiser rapidement ce registre, avec l’ensemble des mentions requises, RGPD-Experts a mis au point pour vous une solution simple d’utilisation : REGISTER +.

Il est essentiel d’anticiper et de veiller au maintien d’une « dynamique RGPD » constante, car quand « les jeux sont faits, rien ne va plus ».

ATTENTION AUX JEUX DE DUPES

Certains traitements de données peuvent être mis en œuvre par d’autres entités. Il incombera alors à ces dernières de veiller au respect de la législation en vigueur en matière de protection des données si elles ont déterminé seules « les finalités et les moyens » de ce traitement.

Exemple : une mairie mettant à disposition d’une association un local équipé d’un système de vidéosurveillance.

 

 

③ Organiser la collecte des données personnelles des adhérents et leur information

Les centres de loisirs sont tenus de jouer franc-jeu à l’égard des personnes concernées. Celles-ci doivent être informées du traitement fait de leurs données personnelles, ainsi que des principales caractéristiques de ces opérations de traitements. Les informations devant être obligatoirement communiquées sont énumérées aux articles 13 et 14 du RGPD. Il convient cependant d’apporter quelques précisions.

Nous vous invitons à distinguer, dans l’intégralité de vos formulaires, les données obligatoires de celles facultatives, au moyen d’un astérisque par exemple. Ainsi, vos adhérents pourront choisir de vous fournir ou non certaines informations supplémentaires les concernant.

Nous vous invitons également à détailler précisément les raisons pour lesquelles vous recueillez ces informations, de manière à ce que vos futurs membres puissent s’opposer à l’utilisation de leurs données personnelles pour certaines finalités précisément identifiées.

Attention particulière selon le type de données récoltées

Chacun dispose sur son image d’un droit exclusif et absolu. La représentation d’une personne fait l’objet d’une protection accrue. Elle est garantie tant par la législation en vigueur en matière de protection des données que par l’article 9 du Code civil.

Conséquence : la prise de photographies et de vidéos ainsi que la diffusion de ces enregistrements ne peuvent s’effectuer que sous de strictes conditions.

Au-delà de l’information des adhérents sur ces captations envisagées, le centre de loisirs devra préalablement avoir recueilli leur autorisation. Les intéressés doivent pouvoir refuser que leur image soit utilisée pour telle ou telle finalité. Le club ne pourra pas davantage exploiter la photo / vidéo prise à d’autres fins que celle pour laquelle ses membres avaient consenti de se prêter au jeu.

Nous vous recommandons donc d’être vigilant lorsque vous souhaitez élaborer un trombinoscope, re-visualiser les matchs pour augmenter les performances de vos joueurs, poster des photos en ligne pour faire la publicité de votre activité, etc.

Attention particulière selon les personnes concernées par le traitement de leurs données

L’information dont est redevable le centre de loisirs à ses adhérents doit leur être délivrée par tout moyen approprié lors de la collecte de leurs données.

Cette information doit être claire, concise et précise. Elle doit également être facilement accessible : les intéressés ne doivent pas trouver ces renseignements à l’issue d’un véritable jeu de piste les renvoyant de bureaux en bureaux, ou de liens hypertextes en liens hypertextes.

Il convient donc de diversifier les modes de communication employés. Votre politique de protection des données peut être rendue disponible sur votre site, affichée dans vos locaux, inscrite dans le livret de présentation de vos activités, sur les formulaires d’inscription, expliquée à l’oral lors des réunions de présentation, etc.

Il y a également lieu d’adapter la forme de cette information au public visé. Si ces renseignements doivent être transmis au représentant légal de l’enfant lorsqu’un mineur est concerné, nous vous conseillons tout de même d’utiliser des images ludiques permettant à ces jeunes de comprendre leurs droits en la matière, et d’évoquer le sujet avec eux.

Attention particulière concernant les destinataires ultérieurs des données récoltées

Si le centre de loisirs entend communiquer les données personnelles de ses membres à des tiers, il doit les en aviser. Ces derniers doivent être informés qu’ils peuvent, en principe, s’y opposer.

Exemple : Les clubs ou associations affiliés à une fédération sportive sont tenus de transférer les certificats médicaux de leurs adhérents à la fédération pour leur délivrer leur licence (art. L.231-2 du Code du sport).

A l’inverse, une mairie ne saurait exiger la transmission des données recueillies par une association au prétexte qu’elle finance en partie son activité, ni conditionner ses subventions à la communication de ces données.

Attention particulière concernant la réutilisation, à d’autres fins, des données collectées

Le RGPD ne tolère pas les doubles-jeux : l’organisme de loisirs ne peut pas réutiliser les données personnelles de ses adhérents pour atteindre un autre but que celui qu’il avait initialement affiché, sauf si ces derniers y consentent.

Exemple: la publication en ligne des résultats obtenus par un membre suppose qu’il y ait préalablement consenti. De même, il est interdit d’utiliser des informations collectées pour établir une carte d’adhérent à des fins de prospection commerciale si l’intéressé n’en avait alors pas été informé, ou s’y était opposé.

Ces exigences issues de la législation en vigueur en matière de protection des données ne sont qu’un échantillon des obligations incombant aux responsables de traitement. Les centres de loisirs jouent gros s’ils ne s’y conforment pas. Outre les sanctions pénales et administratives encourues, la réputation voire la survie de l’entité sont en jeu. Le statut d’association ou la petite taille de la structure ne sont pas gage d’impunité : la CNIL veille à calmer le jeu de celles qui tricheraient au détriment de la sécurité des données personnelles de leurs membres.

Pourtant, la mise en conformité et le maintien en conformité d’une entité peuvent s’avérer être un jeu d’enfant, si elle est correctement accompagnée dans ses démarches. En bénéficiant des conseils de professionnels à l’écoute, ayant à cœur de trouver des solutions adaptées à ses activités et ses contraintes, l’organisme pourra alors tirer son épingle du jeu !

L.H

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

   L’Union Européenne donne le « la » en matière de réglementation des services et marchés numériques

La digitalisation de notre économie et la dématérialisation de nos relations humaines se sont démocratisées au point que nous en oublierions presque l’ampleur du phénomène.

Des sites de vente en ligne à l’omniprésence des publicités sur Internet, en passant par les applications de paiement à distance et les réseaux sociaux : ces fonctionnalités – un temps regardées comme de véritables innovations – se sont depuis largement banalisées.

Or, une fois de plus, le monde juridique peine à suivre le rythme de ces progrès technologiques.

Si les législateurs ne peuvent pas aller plus vite que la musique, les textes européens en vigueur en la matière s’avèrent anachroniques. De fait, les règles applicables aujourd’hui trouvent encore leur source dans une directive du 08 juin 2000 dite « Directive sur le commerce électronique »[1] & [2]

Il est donc temps de changer de disque ! La Commission européenne a proposé en décembre 2020 deux résolutions destinées à moderniser et à harmoniser les normes actuelles régissant ce domaine.

Elles ont pour ambition de confirmer les principes essentiels de la directive sur le « e-commerce », tout en la réformant en profondeur afin de l’adapter aux évolutions économiques et sociétales intervenues depuis les années 2000.

Ce « paquet législatif » est composé de deux propositions complémentaires, à savoir :

  • Une législation sur les services numériques, aussi connue sous le nom de « Digital Services Act » (DSA).
  • Une législation sur les marchés numériques, appelée également « Digital Markets Act » (DMA).

Ces textes ne sont d’ailleurs pas remis en cause par l’adoption du paquet législatif européen sur les services et marchés numériques.

Le 24 mars 2022, le Conseil et le Parlement européens se sont accordés sur les mesures contenues dans la proposition de législation sur les marchés numériques.

Puis, le 23 avril 2022, ces institutions ont cette fois donné sans tambour ni trompette leur accord politique provisoire pour la législation sur les services numériques.

Comment ce paquet législatif entend-t-il orchestrer les espaces numériques utilisés par les citoyens européens ?

 

Encore un petit bémol…    

Nous attirons votre attention sur le fait que, même si les risques sont faibles, ces mesures peuvent encore être modifiées !

Ces législations n’ont en effet pas été définitivement adoptées. Les accords provisoires intervenus les concernant doivent encore être approuvés par le Conseil et le Parlement européen.

A l’issue de ce vote, le règlement sur les marchés numériques devrait être mis en œuvre dans un délai de six mois après son entrée en vigueur.

Quant à la proposition sur les services numériques, l’approbation du « Comité des représentants permanents » est requise avant son adoption formelle. Il est prévu que ce texte entre en vigueur 20 jours après sa publication au Journal officiel de l’Union Européenne. Il aura ensuite vocation à s’appliquer dans les quinze mois suivants, ou à compter du 1er janvier 2024, la date la plus tardive étant retenue[3].

La proposition de règlement sur les services numériques a vocation à s’appliquer en complément et parallèlement au Règlement Général sur la Protection des Données (RGPD).

Aux termes de l’article 1(5) de la Proposition de règlement formulée en décembre 2020, ce texte s’entend également sans préjudice des règles établies par les actes suivants :

« (a) la directive 2000/31/CE [sur le commerce électronique] ;

(b) la directive 2010/13/CE [sur les services de médias audiovisuels] ;

(c) le droit de l’Union sur le droit d’auteur et les droits voisins ;

(d) le règlement (UE) …/… relatif à la prévention de la diffusion de contenus à caractère terroriste en ligne [une fois adopté] ;

(e) le règlement (UE) …/… relatif aux injonctions européennes de production et de conservation de preuves électroniques en matière pénale, et la directive (UE) …/… établissant des règles harmonisées concernant la désignation de représentants légaux aux fins de la collecte de preuves en matière pénale [une fois adoptés] ;

(f) le règlement (UE) 2019/1148 ;

(g) le règlement (UE) 2019/1150 [promouvant l’équité et la transparence pour les entreprises utilisatrices de services d’intermédiation en ligne] ;

(h) le droit de l’Union en matière de protection des consommateurs et de sécurité des produits, notamment le règlement (UE) 2017/2394 ».

Le champ d’application du règlement sur les marchés numériques est lui aussi particulièrement large, puisqu’il n’aspire pas à remettre en cause les articles 101 et 102 du Traité sur le Fonctionnement de l’Union Européenne en matière de lutte contre les pratiques anti-concurrentielles, ou toute autre législation nationale en vigueur à ce sujet.

La directive (UE) 2018/1972 du 11 décembre 2018 établissant le Code des communications électroniques européen n’est pas davantage abrogée du fait de l’adoption de ce paquet législatif.

Loin d’assurer une protection accrue des utilisateurs de services en ligne, cette superposition de réglementations risque à l’inverse d’être source de confusion.

Les dispositions contradictoires de ces différentes législations offriront autant de failles dans lesquelles pourront s’engouffrer les plateformes de réseaux sociaux et les moteurs de recherche pour échapper à leur responsabilité, au détriment des internautes.

L’encadrement à outrance de ces mesures, que l’Union Européenne souhaiterait être réglées comme du papier à musique, pourrait bien tourner en véritable cacophonie juridique !

[1] « Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur ».   

[2] L’Union Européenne avait toutefois déjà commencé à encadrer progressivement certains secteurs du marché numérique, notamment à travers le « Règlement 2019/1150 du 20 juin 2019 promouvant l’équité et la transparence pour les entreprises utilisatrices de services d’intermédiation en ligne », ou encore la « Directive 2015/2366 du 25 novembre 2015 concernant les services de paiement en ligne ».

[3] Étant précisé que les obligations incombant aux très grandes plateformes en ligne et très grands moteurs de recherche s’appliqueront à l’issue du 4ème mois à partir de la date à laquelle ils auront été désignés comme tels.

L.H

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

La protection des données personnelles face à l’évolution de l’Intelligence Artificielle

– ENTRE MYTHES ET RÉALITÉS –

 

Le 5 avril 2022, la CNIL[1] rappelait avoir mis à disposition sur son site Internet un ensemble de documents explicatifs consacrés à l’Intelligence Artificielle (IA). Outre ses pouvoirs de contrôle, l’autorité régulatrice a pour mission d’informer le grand public sur divers sujets liés à la protection des données personnelles, ainsi que d’accompagner les professionnels dans leur conformité. Dans ce contexte, la Commission a jugé utile de vulgariser les connaissances des citoyens sur cette innovation nébuleuse qu’est l’Intelligence Artificielle.

La CNIL n’a évidemment pas sorti cette thématique de son chapeau par hasard.

Selon un sondage IFOP de 2017, 83% des Français auraient déjà entendu parler des algorithmes[2]. Toutefois, la moitié des personnes interrogées reconnaissait ne pas comprendre précisément en quoi consistent ces programmes. Pire, 64% d’entre elles s’avouaient inquiètes du développement de ces technologies.

D’après un sondage de l’IFOP sollicité par la CNIL pour l’établissement d’un rapport dans le cadre d’un débat public mené sur les algorithmes [3] et l’Intelligence Artificielle en 2017.

Si l’expression “Intelligence Artificielle” est fréquemment associée à un monde moderne et futuriste, elle ne relève pourtant pas du fictif. Comment cet univers surnaturel est-il devenu, justement, si naturel ?

L’intelligence Artificielle : supercherie ou véritable utilité ?

A ce jour, aucune définition officielle n’a été adoptée pour déterminer ce qu’englobe le terme d’ « Intelligence Artificielle ». Il est généralement entendu comme un domaine de la science tendant à permettre à des appareils électroniques de faire ce dont l’homme est capable moyennant une certaine intelligence.

Comme par enchantement (ou presque), votre ordinateur se voit ainsi en mesure de vous battre aux échecs, ou votre voiture autonome apte à vous conduire seule à bon port. Le Parlement Européen définit l’IA comme tout outil utilisé par une machine afin de « reproduire des comportements liés aux humains, tels que le raisonnement, la planification et la créativité »[4]. Ne vous bercez pas d’illusions, ces systèmes sont déjà omniprésents dans notre environnement.

Exemple 1 : Les agents conversationnels ou « ChatBots »

De nombreux organismes ont recours à des “ChatBots” dans le cadre de leurs relations avec les clients, notamment pour la gestion des réclamations ou la fourniture d’une assistance en ligne. Nous parlons bien de la « personne » avec qui vous conversez lorsque vous rencontrez un problème sur le site de votre banque, dans vos démarches dématérialisées, ou encore lorsque vous interrogez Siri, Google Assistant ou Alexa sur la météo de demain.

Ces robots conversationnels sont capables de comprendre la question qui leur est adressée en fonction de son contexte et d’y répondre de manière standardisée. Ils constituent des formes d’Intelligence Artificielle.

 

Capture d’écran d’un ChatBot sur le site de la Caisse d’Allocations Familiales

♦ Exemple 2 : Les dispositifs utilisant des techniques de partitionnement (ou clustering)

Ces techniques d’IA sont notamment utilisées à des fins de profilage en ligne. Elles permettent de vous proposer des contenus adaptés à vos préférences.

Exemples : suggestions de recherche sur le web, prédiction de mots sur vos claviers de portable, recommandations sur les réseaux sociaux ou les plateformes de streaming (musiques conseillées sur Deezer ou Spotify, liste de vidéos suggérées sur Netflix, etc.).

♦ Exemple 2 : Exemple 3 : Les outils d’aide à la décision

Le marché regorge désormais d’applications destinées à aider les entreprises à améliorer et accélérer leurs procédures, que ce soit en interne (aide au recrutement, prédiction du « turn over » des salariés…) ou en externe (algorithme de calcul pour l’attribution ou non d’un prêt bancaire, des risques assurantiels…).

Comment ça marche ? Trucs et astuces sur l’Intelligence Artificielle.

Afin de réaliser la tâche qui lui a été attribuée, la machine se voit d’un procédé automatisé reposant sur des algorithmes. Cette technique lui permet comme par magie, ou plutôt par l’application de règles mathématiques préalablement définies (des “modèles d’IA”), de générer une déduction ou une prédiction.

Grâce à ces modèles d’IA, l’appareil peut généralement étendre lui-même son champ de connaissances au fur et à mesure qu’il élargit sa base de données, par une méthode dite “d’apprentissage automatique“. Autrement dit, l’IA améliore sans cesse sa capacité à mimétiser les comportements humains à partir des informations qu’elle recueille progressivement. Ce tour de passe-passe repose donc sur la collecte et le traitement massifs de données potentiellement personnelles.

L’Intelligence Artificielle : un monde féérique ?

Si l’Intelligente Artificielle présente des avantages indéniables pour ses utilisateurs (gain de temps, d’énergie voire de fiabilité), sa mise en œuvre n’est toutefois pas sans risques. Ces algorithmes sont susceptibles de faire de nombreuses erreurs, qui peuvent être liées :

  • A la conception de leur système : les « biais discriminatoires »

◊ Les données sur lesquelles l’IA a été entraînée peuvent ainsi ne pas être suffisamment représentatives.

Exemple : un échantillon de population insuffisamment large utilisé pour calibrer certains dispositifs de reconnaissance faciale peut induire des difficultés à identifier des individus de certaines origines ethniques.

◊ De mauvais critères de sélection des données peuvent aussi avoir été retenus lors du codage de l’apprentissage automatique de l’IA.

Exemple : inclure le sexe d’un candidat à l’embauche comme un critère de sélection, et non ses seules qualifications et compétences, est susceptible d’aboutir à une décision discriminante [5].

◊ La prédiction émise par l’appareil peut également reposer sur des hypothèses trop approximatives. Tel est notamment le cas lorsque le programme opère une confusion entre “corrélation” et “causalité”.

Exemple : la machine constatant que, statistiquement, les individus décèdent très fréquemment dans leur lit pourrait en déduire à tort qu’il serait dangereux de dormir, plutôt que d’estimer qu’il lui manque une information supplémentaire à son analyse, à savoir l’état de faiblesse du défunt avant sa mort.

Les défauts de la machine ne sont donc pas directement générés par elle, mais résultent essentiellement de l’intervention humaine nécessaire à sa configuration. Ils sont en effet :

Les défauts de la machine ne sont donc pas directement générés par elle, mais résultent essentiellement de l’intervention humaine nécessaire à sa configuration. Ils sont en effet :

  • Soit les conséquences d’erreurs humaines dans l’écriture des programmes.

En effet, la logique de raisonnement assignée à l’appareil a été pensée par l’homme, avec toutes les déviances et la subjectivité que cela implique.

  • Soit le reflet de problèmes sociétaux actuels.

L’IA se fondant sur des statistiques issues de données réelles, elle a ainsi malheureusement tendance à reproduire voire à amplifier les inégalités de fait et discriminations existantes.

  • A leurs conditions d’utilisation

La mauvaise qualité des données (telle qu’une photo prise dans un lieu sombre pour une reconnaissance faciale) ou des défauts liés au matériel utilisé sont de nature à fausser les résultats de l’algorithme.

  • A leurs infrastructures ou à des défaillances informatiques « ordinaires » (piratage, endommagement des équipements terminaux, erreur humaine…)

Les bonnes pratiques en matière d’IA pour éviter que les dés ne soient pipés. 

Les réflexes à adopter pour les utilisateurs 

Nous vous conseillons d’abord de vérifier systématiquement si vous interagissez avec un robot ou une personne réelle. En cas de doute, n’hésitez pas à questionner votre interlocuteur ou le service compétent.

Nous vous recommandons de limiter au maximum la transmission de vos données personnelles si cela n’est pas nécessaire (formulation de question générique, claire et simple dans un chatbot ; utilisation du mode « navigation privée » sur Internet pour limiter votre profilage selon votre historique, etc.). Gardez à l’esprit que la proposition ou suggestion émanant de la machine peut être erronée.

 

Afin de ne pas vous faire mener à la baguette, vous pouvez enfin exercer les droits qui vous sont reconnus pour conserver la maitrise de vos données personnelles, tel que votre droit d’information sur les caractéristiques principales de ces traitements de données.

L’article 22 du RGPD précise notamment que toute personne a le droit « de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé […] produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire ».

Dans ce contexte, vous pouvez demander à connaître la logique sous-jacente à ces prises de décisions automatisées. Vous êtes aussi en droit d’exiger l’intervention d’une personne humaine dans le processus décisionnel, d’exprimer votre point de vue sur la décision ou de la contester.

Les réflexes à adopter pour les professionnels

Conformément au principe de minimisation des données et de protection des données dès la conception, nous vous invitons à concevoir vos algorithmes de manière à restreindre autant que possible la collecte d’informations personnelles des individus concernés[6].

Les responsables de traitement doivent également faire preuve de transparence à l’égard des personnes ciblées par ces systèmes d’IA. En ce sens, il y a lieu d’indiquer si elles correspondent avec un robot, d’expliquer la méthode de raisonnement globale appliquée par l’algorithme, et de motiver chacune des réponses ou décisions éventuellement prises grâce à ces dispositifs. Les professionnels sont aussi tenus de faire superviser l’utilisation de ces technologies par un humain.

L’Europe n’entend pas donner carte blanche à l’Intelligence Artificielle.

 » La Commission Européenne a adopté le 23 février dernier une proposition de règlement sur l’harmonisation des règles d’accès et d’utilisation équitable des données, plus connu sous le nom de “Data Act”. Ces dispositions visent notamment à créer un marché unique des données et à réguler les pratiques des plateformes numériques. »

De nombreux autres textes sont en cours de rédaction à l’échelle européenne afin d’encadrer davantage l’utilisation de l’Intelligence Artificielle, tels que :

  • Le Règlement ePrivacy, qui fixera les règles applicables en matière d’IA dans les services de communication électronique, et notamment sur les réseaux sociaux ;
  • Le Règlement sur l’Intelligence Artificielle proposé par la Commission Européenne en avril 2021, qui vise à trouver un juste équilibre entre le développement de ces technologies innovantes et la protection des données personnelles des citoyens européens.

Les lignes conductrices de ces législations en débat ont été publiées par les institutions compétentes. Nous vous invitons à vous inspirer dès maintenant des principes essentiels formulés par ces textes dans votre organisme, afin que votre mise en conformité s’effectue en un tour de main lorsqu’ils entreront en vigueur.

L.H


[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] D’après un sondage de l’IFOP sollicité par la CNIL pour l’établissement d’un rapport dans le cadre d’un débat public mené sur les algorithmes et l’Intelligence Artificielle en 2017 : https://www.cnil.fr/sites/default/files/atoms/files/cnil_rapport_garder_la_main_web.pdf

[3] Source : Intelligence artificielle : définition et utilisation | Actualité | Parlement européen (europa.eu)

[4] Source : Intelligence artificielle : définition et utilisation | Actualité | Parlement européen (europa.eu)

[5] En effet, si l’entreprise n’a recruté que des hommes au cours des dernières années, l’algorithme est susceptible de conclure que la condition d’être de sexe masculin répond aux attentes de l’organisme.

[6] Le respect de ces impératifs se révèle d’autant plus important concernant le recueil de catégories de données sensibles ou susceptibles de conduire à des discriminations.

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

UTILISATION DES EXTRAITS DE VIDÉOSURVEILLANCE À TITRE DE PREUVE

Comment bien utiliser ces prises de vue pour ne pas être pris au dépourvu

 

Plus de 120 ans après la création du cinéma par les frères Lumière, un tout autre film se joue derrière les écrans de nombreux organismes français. Le recours aux caméras de surveillance s’est massivement répandu, voire banalisé au sein des entreprises. Commerces, lieux de stockage, zones industrielles : aucun angle mort n’est oublié.

Plusieurs employeurs ont tenté d’utiliser les enregistrements obtenus par le biais de ces dispositifs dans le cadre de poursuites judiciaires contre leurs salariés. Or, la production de ces extraits vidéo comme moyens de preuve n’est admise qu’à de strictes conditions.

Vous avez raté les jurisprudences récentes sur cette question ? Prenez votre pop-corn et installez-vous confortablement, la séance de rattrapage commence !

ZOOM sur les règles à respecter lors de l’installation de systèmes de vidéosurveillance

Afin d’éviter tout mauvais cadrage de notre sujet, il convient d’abord de rappeler la distinction fondamentale entre « vidéoprotection » et « vidéosurveillance ».

L’expression « vidéoprotection » fait référence aux dispositifs d’observation mis en place par tout organisme public ou privé qui filme des espaces ouverts au public[1] pour lutter contre l’insécurité. Ils visent tant à dissuader les individus de commettre des infractions qu’à permettre de retrouver l’identité de ceux qui seraient, malgré ces précautions, passés à l’acte.

L’implantation de ces appareils suppose l’accomplissement de formalités préalables spécifiques. Elle requiert notamment d’obtenir l’autorisation du préfet compétent, qui sera à renouveler tous les 5 ans.

La notion de « vidéosurveillance  » recouvre quant à elle toutes les caméras installées dans des lieux privés ou fermés, c’est-à-dire dont l’accès est restreint à certaines catégories de personnes.

Contrairement aux systèmes de vidéoprotection, aucune autorisation préfectorale n’est requise pour l’installation de ces mesures de contrôle.

Compte tenu de ces définitions, un seul et même réseau de caméras peut donc relever des deux régimes juridiques distincts selon leur localisation et leur orientation.

Exemple 1 : une agence bancaire filmant son distributeur à extérieur et son accueil ouvert à tous d’une part (vidéoprotection), et ses bureaux accessibles seulement aux salariés d’autre part (vidéosurveillance).

Exemple 2 : un commerce filmant les rayons de son magasin (vidéoprotection) mais un dispositif installé dans ses réserves (vidéosurveillance).

Attention à l’orientation des caméras et la profondeur du champ !

En effet, une caméra installée dans un lieu privé (vidéosurveillance) mais dont la profondeur de champ donnerait sur le trottoir, pourrait être (re)qualifiée de vidéoprotection.

Cet éclairage fait, il convient de placer sous les feux des projecteurs la méthodologie à suivre pour une installation régulière de ces systèmes de vidéosurveillance.

[1] Les textes ne précisent toutefois pas les endroits couverts par cette appellation de « voie publique ». La « Commission Nationale Informatique et Libertés » (CNIL) a pu évoquer qu’il s’agirait des « lieux accessibles à tous sans autorisation spéciale de quiconque, que l’accès soit permanent et inconditionnel, ou subordonné à certaines conditions, heures ou causes déterminées ».

  • Motifs et caractère proportionné de l’usage de caméras

L’employeur ne peut s’équiper de ces technologies que dans le but d’assurer la sécurité des biens et des personnes placés sous sa responsabilité. Il est strictement illégal d’installer ces outils simplement pour inspecter l’activité de ses salariés.

Cela suppose donc que le positionnement des caméras soit pensé en conséquence.

Si celles-ci peuvent filmer les entrées et sorties des bâtiments, les issues de secours, voies de circulation ou entrepôts de stockage, elles ne doivent en aucun cas permettre de « fliquer » le personnel.

Même au travail, les employés bénéficient du droit au respect de leur vie privée. Il est ainsi interdit de scruter via ces systèmes les zones de repos, les toilettes ou encore les locaux syndicaux[2].

Dans tous les cas, l’employeur devra être en mesure d’établir le caractère proportionné de cette mesure au but sécuritaire poursuivi. Il lui revient de démontrer qu’il n’existait pas de moyen de contrôle moins intrusif pour atteindre pleinement cet objectif.

Article L.1121-1 du Code du travail : « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché. ».

  • Information et consultation préalable des représentants du personnel

Le Comité social et économique doit obligatoirement être informé et consulté, avant toute prise de décision, sur la question de la mise en œuvre d’un tel réseau de vidéosurveillance (art. L2312-38 du Code du travail).

  • Information valable des salariés / visiteurs filmés

Les personnes concernées par ces enregistrements doivent nécessairement en être informées. 

ATTENTION aux mauvaises pratiques ! Contrairement à la croyance populaire, cette information ne consiste pas seulement à signaler l’existence de ces caméras, mais doit aussi renseigner les individus visés des principales caractéristiques de ce traitement de données.

Dans les entreprises, le recours à la vidéosurveillance peut être communiqué par la diffusion d’une note de service ou la signature d’un avenant au contrat de travail des salariés.

Article L1222-4 du Code du travail : « Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance. »

Un affichage permanent et visible doit aussi, outre le symbole d’une caméra, indiquer au minimum :

  • Les finalités de cette vidéosurveillance, l’objectif poursuivi par l’organisme ;
  • La durée de conservation des enregistrements ;
  • L’identité et les coordonnées du Délégué à la protection des données (DPO) ou d’un point de contact ;
  • L’existence des droits « Informatique & Libertés » et de déposer une réclamation auprès de la CNIL.

[2] Il n’est pas non plus permis de filmer les accès à ces locaux syndicaux s’ils constituent les seuls passages permettant de s’y rendre.

Par souci de clarté et de transparence, nous vous recommandons de fournir par d’autres moyens les autres informations prévues à l’article 13 du RGPD (base légale du traitement, destinataires des données, etc.) [3], par exemple en renvoyant les personnes concernées vers une page Internet dédiée.

Autant dire que l’organisme ne peut se contenter d’être un simple spectateur lors de l’installation de son réseau de vidéosurveillance !

[3] Nous ne vous ferons pas l’offense de vous rappeler que ces informations ne sont pas spécifiques à ces dispositifs de surveillance, mais doivent être communiquées aux personnes concernées avant tout traitement de leurs données à caractère personnel.

FOCUS sur la valeur probante des enregistrements obtenus en violation de ces règles

La Cour de Cassation a plusieurs fois rappelé l’importance pour les tribunaux de vérifier, avant même d’examiner les extraits de vidéosurveillance qui leur sont soumis à titre de preuve, si les formalités obligatoires avaient bien été respectées par l’employeur lors de l’installation de ces dispositifs.

Dans un arrêt en date du 23 juin 2021[4], la Haute Juridiction a ainsi considéré que ces bandes vidéo sont inopposables au salarié licencié lorsque que le recours à ces appareils est manifestement disproportionné.

En l’occurrence, un cuisinier avait été placé sous la surveillance constante d’une caméra, alors même qu’il exerçait seul son activité en cuisine. Les prétendus besoins d’assurer la sécurité des biens et des personnes invoqués par le dirigeant n’appelaient pas à instituer une mesure si attentatoire à la vie privée de son pizzaïolo…

Le 10 novembre 2021[5], la Chambre sociale a jugé que ces formalités ne sont pas pleinement respectées si toutes les finalités de ces mesures n’ont pas été communiquées aux instances représentatives du personnel et aux salariés. Elle en déduit l’illicéité de la preuve obtenue via ces technologies.

En l’espèce, le dirigeant d’une pharmacie avait utilisé ces enregistrements pour établir les fraudes en caisse d’une de ses salariées, et fonder, sur ces éléments, son licenciement pour faute.

La Cour de Cassation a estimé que le CSE et les employés avaient reçu une information incomplète. En effet, l’installation de ces moyens de contrôle leur avait été présentée comme uniquement destinée à assurer la sécurité des personnes et des biens dans l’officine, sans que leur attention ne soit attirée sur le fait que ce réseau de caméras permettait également, en pratique, de surveiller l’activité du personnel.

[4] Soc., 23 juin 2021, n° 19-13.856

[5] Soc. 10 nov. 2021, n° 20-12.263

GROS PLAN sur les limites à cette prétendue irrecevabilité

La Cour de Cassation a cependant considérablement atténué la portée de sa décision du 10 novembre 2021, en précisant que l’illicéité de ce moyen de preuve n’entraîne pas systématiquement son rejet des débats.

Les juges sont tenus de concilier le droit au respect de la vie privée du salarié avec le droit à la preuve de l’employeur. Pour ce faire, il leur revient d’apprécier si « l’utilisation de cette preuve a porté atteinte au caractère équitable de la procédure dans son ensemble ».

Si tel n’est pas le cas, selon l’appréciation faite par les magistrats, alors l’extrait vidéo pourra être examiné et débattu durant l’instance au même titre que les autres preuves.

CLAP DE FIN

Pour éviter tout mauvais scénario, l’idéal est donc simplement de respecter scrupuleusement la procédure à suivre pour instaurer ces systèmes de vidéosurveillance.

Pour rappel, en dehors de ces règles spécifiques, l’employeur est tenu de satisfaire d’autres exigences. En tant que traitement de données à caractère personnel au sens large, ces captations d’images doivent évidemment respecter la législation applicable en la matière.

Cela implique en particulier que :

  • Ces dispositifs soient inscrits dans le registre des activités de traitement de l’organisme ;
  • Des mesures soient prises pour assurer la sécurité de ces données, et notamment la définition d’une stricte politique d’habilitation identifiant clairement les personnes autorisées à visualiser ces images en cas d’incident. Il est hors de question que ces vidéos soient accessibles librement par tous ;
  • Des précautions soient adoptées pour que les enregistrements ne soient pas conservés pendant des durées excessives, ne pouvant généralement pas être supérieures à un mois.

Ne vous alarmez pas ! Pas de quoi faire tout un cinéma de ces formalités si vous choisissez de vous faire accompagner par des professionnels compétents et à l’écoute de vos besoins.

L.H

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.
[/av_textblock]

L’autorité de contrôle française à rappelé à l’ordre des établissements scolaires. Visés, des défauts concernant l’utilisation de la vidéo. Elle a notamment mis en demeure de déplacer, réorienter et même supprimer des dispositifs. Certains élèves étaient filmés en permanence ce qui est parfaitement interdit. A ce sujet la commission avait rappelé les règles en la matière dans une fiche pratique: https://www.cnil.fr/fr/la-videosurveillance-videoprotection-dans-les-etablissements-scolaires

Pour rappel, le déploiement de la vidéo dans les établissements scolaires est également soumise à la réalisation d’une EIVP préalable dans la mesure ou les personnes concernées par le traitement sont des personnes vulnérables au sens de la réglementation.

Pour en savoir plus sur les mises en demeure: https://www.cnil.fr/fr/mises-en-demeure-de-plusieurs-etablissements-scolaires-pour-videosurveillance-excessive