Le CEPD publie des lignes directrices sur la vidéosurveillance
Aujourd'hui, le Contrôleur européen de la protection des données (CEPD) a publié un ensemble pratique de lignes directrices à destination des institutions et organes européens sur la façon d'utiliser la vidéosurveillance de manière responsable et assortie de la mise en place de garanties efficaces. Les lignes directrices énoncent les principes visant à évaluer la nécessité de recourir à la vidéosurveillance et à fournir des orientations sur la façon d'en minimiser l'impact sur la vie privée et autres droits fondamentaux.
Les lignes directrices s'appliquent aux systèmes existants et futurs: chaque institution a jusqu'au 1er janvier 2011 pour mettre ses pratiques existantes en conformité. Un projet de consultation a été publié le 7 juillet 2009. Le processus de consultation a suscité des commentaires visant à améliorer le projet de lignes directrices et a permis de renforcer la collaboration avec les parties prenantes.
Giovanni Buttarelli, Contrôleur adjoint, a souligné: "Il y a des droits fondamentaux en jeu, tels que le droit à la vie privée sur le lieu de travail. Les décisions sur l'opportunité d'installer des caméras et la manière de les utiliser ne devraient donc pas être uniquement fondées sur des considérations de sécurité. La sécurité doit plutôt être mise en balance avec les droits fondamentaux d'un individu. Cela étant dit, les droits fondamentaux et les considérations de sécurité ne doivent pas s'exclurent mutuellement. En suivant une approche pragmatique fondée sur les principes de sélectivité et de proportionnalité, les systèmes de vidéosurveillance peuvent répondre à la nécessité de sécurité tout en respectant notre vie privée."
Dans les limites prévues par la législation sur la protection des données, chaque institution et organe européen dispose d'une marge d'appréciation sur la manière de concevoir son propre système. Les lignes directrices sont conçues pour être adaptées à chaque cas. Cette souplesse devrait empêcher qu'une interprétation rigide ou bureaucratique des préoccupations en matière de protection des données ne constitue une entrave à la nécessité justifiée de sécurité ou à d'autres objectifs légitimes.
Dans le même temps, chaque institution doit également démontrer que des procédures sont en place afin d'assurer la conformité avec les exigences de protection des données. D'un point de vue organisationnel, les pratiques recommandées comprennent l'adoption d'une série de garanties en matière de protection des données devant être décrites dans la politique de vidéosurveillance de l'institution et des audits périodiques pour vérifier la conformité. Les analyses d'impact effectuées par les institutions sont encouragées, tandis que le contrôle préalable du CEPD sera encore nécessaire pour les systèmes de vidéosurveillance comportant des risques importants (une surveillance dissimulée ou des systèmes complexes de surveillance préventive).
La protection des données ne devrait pas être considérée comme un fardeau réglementaire ou une case de conformité devant être "cochée". Elle devrait au contraire faire partie de la culture organisationnelle et de la bonne gouvernance au sein desquelles les décisions sont prises par la direction de chaque institution sur la base des conseils de leurs délégués à la protection de données et des consultations avec les parties prenantes.