Dans l’article de la semaine dernière, nous avons publié un article ayant pour objectif de vulgariser l’intelligence artificielle au service de la prévention des risques.
Mais lorsque nous évoquons les termes vidéo-surveillance, innovation, prévention, notifications, un autre sujet doit être abordé : la gestion des données personnelles.
Depuis le 25 mai 2018, avec l’instauration du RGPD, la conformité en matière de gestion de ces données à caractères personnelles est surveillée de près par le CNIL.
Qu’en est-il lorsque l’on ajoute des usages à un système de vidéo-surveillance ?
Quelques éléments de réponse !
# Une réglementation pour encadrer le traitement des données
Le Règlement Général sur la Protection des Données (RGPD ou GDPR en anglais) à pour objectif d’encadrer le traitement des données dit à caractère personnel. Le traitement prend en compte la collecte, le stockage, le transfert ou encore l’utilisation de ces données.
De façon générale, cette réglementation, qui contient au total 99 articles, est conçue pour permettre aux utilisateurs et aux individus, d’avoir le contrôle de leurs données personnelles.
En d’autres mots, le RGPD prévient la mauvaise collecte et l’utilisation abusive des données.
L’ensemble de ces mesures ne s’appliquent pas qu’aux utilisateurs humains, les robots sont aussi concernés ! Si un « chatbot » lorsque vous visitez un site internet, vous demande de renseigner votre e-mail, le RGPD s’applique de la même façon. Utiliser un robot pour y déroger n’est pas donc possible
Les sous-traitants sont également concernés, à partir du moment où ils traitent des données personnelles pour le compte d’autres organismes !
L’objectif principal du RGPD est de permettre aux utilisateurs et aux individus d’avoir le contrôle de leurs données personnelles. 4 concepts clé sont applicables à cette réglementation :
- Information : l’utilisateur à le droit de savoir comment ses données vont être utilisées
- Accès : l’utilisateur à le droit d’accéder aux données qu’une entreprise dispose sur lui
- Rectification : l’utilisateur à le droit de modifier les données qu’il a transmises
- Suppression : l’utilisateur à le droit de demander la suppression ces données
# La base du RGPD : la donnée personnelle, comment la définir ?
Vous l’aurez compris, l’ensemble des mesures de la réglementation impose de savoir ce qu’est une donnée personnelle.
La définition selon la CNIL est la suivante :
Une donnée personnelle c’est une information relative à une personne physique susceptible d’être identifiée, directement ou indirectement.
Ainsi le nom ; le prénom; l’adresse postale sont des données personnelles permettant d’identifier directement la personne. En effet, si vous connaissez ces éléments, vous n’avez que très peu de doute sur son identité.
Mais la définition précise aussi qu’une donnée personnelle peut aussi l’être lorsqu’elle est associée via dans d’autres bases de données. Le numéro de sécurité sociale ; le numéro de client chez votre opérateur téléphonique ou votre numéro de carte fidélité peuvent donc être des informations personnelles, car elles permettent indirectement d’identifier un utilisateur / client.
De même, qu’il est possible d’identifier une personne en coupant plusieurs informations, qui à première vue ne sont pas précises et ne permettent pas l’identification.
Prenons un exemple.
Une femme vivant dans telle rue à Paris, avec des cheveux bleus, née à telle date, qui dispose d’un abonnement Netflix et Deezer, avec le numéro client et faisant ses courses dans le même supermarché chaque jour.
En faisant une extraction de toutes les informations contenues dans cette phrase de 3 lignes, vous n’avez également que peu de doute sur l’identité de cette femme. Même si pour cela, vous devez avoir accès aux coordonnées de la personne associée à un numéro client, ou encore à la liste des clients fidèles d’un supermarché.
# L’anonymisation de ces données, oui mais attention !
Une solution peut s’avérer simple pour éviter de pouvoir identifier un utilisateur avec les données collectées, il suffirait de les anonymiser. Mais cela s’avère plus facile à dire qu’à faire.
L’anonymisation consiste à utiliser plusieurs procédés différents, avec pour finalité, l’impossibilité, par quelque moyen que ce soit, de remonter et d’identifier l’utilisateur. Et ce procédé doit être irréversible, c’est-à-dire qu’il n’est pas possible, en appliquant ces mêmes techniques, de retrouver la donnée de base !
Un très gros bénéfice, lorsque l’on sait que le RGPD ne s’applique plus sur une donnée anonymisée, car celle-ci n’est plus à caractère personnelle.
Mais attention de ne confondre anonymisation et pseudonymisation !
La pseudonymisation est réversible et il est possible de revenir sur une donnée personnelle en recoupant les informations. Attention donc à employer le terme anonymisation avec précaution !
# Les 7 principes du RGPD
Pour aider toutes les entreprises concernées par l’application du RGPD, la CNIL a publié, en 7 principes, les bases du traitement et les règles qui doivent être respectées, pour s’y conformer.
Elles peuvent sembler anodines et simples à mettre en œuvre et permettre d’éviter gros, surtout lorsque l’on connaît les sanctions qui sont appliquées à ceux qui ne s’y conforme pas (jusqu’à 4 % du CA !)
# Des points communs entre RGPD et prévention des risques, mais quelques divergences
Le RGPD est à la protection des données, ce que le document unique est à la prévention des risques.
Le document unique (D.U.E.R), obligatoire depuis 2001, recense et regroupe dans un seul document, tous les risques auxquels peuvent être exposés des travailleurs, sur leur lieu de travail.
Le registre RGPD recense et regroupe dans un seul document, l’ensemble des informations liées au traitement des données personnelles, de leur collecte à leur stockage, en passant par leur utilité.
Cependant, un gros point de divergence entre les deux : les sanctions.
La non-présentation du document unique d’évaluation des risques peut être sanctionnée de 1 500 € par unité de travail (et majoré en cas de récidive). Elle est donc assez faible et peu dissuasive pour les contrevenants.
Côté RGPD, ce n’est pas la même histoire. Le non-respect d’une des règles en matière de protection des données, expose les contrevenants à une amende pouvant aller jusqu’à 20 millions d’euros, ou 4 % du chiffre d’affaires mondial d’une entreprise.
Plusieurs questions sont donc légitimes :
- pour quelles raisons les contraventions entre les deux sont aussi différentes ? La prévention des risques n’est-elle pas aussi (voir plus) importante que la gestion des données personnelles ?
- pourquoi obliger le responsable du traitement à mettre en œuvre les mesures du RGPD dès la conception, mais ne pas l’obliger en matière de prévention des risques ?
- Ne faudrait-il pas imposer l’appel à des préventeurs externes avant chaque conception de poste de travail ou réorganisation ?
La comparaison entre les deux est déconcertante.
Force est de constater qu’en 2020, de nombreuses entreprises n’ont même pas connaissance de l’existence du Document Unique d’évaluation des risques, alors que tout le monde parle du RGPD et de ses finalités.
# Faire de mes caméras, mon allié en prévention des risques : comment gérer le RGPD ?
Le fond de cette réglementation reste pour beaucoup, encore un peu flou. Il peut être difficile de savoir si nous respectons toutes les mesures lorsque nous voulons innover, en particulier en matière de vidéo-surveillance.
En effet, la vidéo-surveillance est une donnée personnelle : le visage de certains de vos collaborateurs étant visible sur les photos ou les vidéos qui sont captées
Fort heureusement, une liste de règles à respecter et de formalités à effectuer à été publié par le CNIL en matière de vidéoprotection, et elle n’est pas si contraignante que l’on pourrait le penser. Ce sont plus des formalités de vérification, de bon usage et de bon sens que des interdictions.
Le RGPD ne vous interdira donc pas d’utiliser vos caméras à des fins de prévention des risques, tant que vous respectez quelques bonnes pratiques lors de leur installation.
L’assistant digital de prévention des risques Eyes’R, qui se connecte aux caméras existantes, s’inscrit dans une démarche de respect du RGPD sur plusieurs points :
- Par défaut, les images captées et analysées par notre assistant digital de prévention ne sont pas conservées.
- De la même façon, par défaut, les images captées ne sont pas, non plus, mises à disposition des services HSE sur notre logiciel.
Le terme « par défaut » signifie, que sous certaines conditions, il est possible, tout en respectant le RGPD, d’avoir accès et de conserver les images, afin de pouvoir analyser la situation à risque pour éviter qu’elle se reproduise.
Une de ces conditions réside dans le consentement. Vous devez avoir l’accord des personnes filmées, en leur indiquant à quelles fins seront utilisées les images (notamment à des fins de prévention des risques), et vous devez leur donner accès à leur droit de retrait ou droit de consultation.
# Utiliser les caméras à des fins de prévention plus que de sanction
Un autre point intégré dans notre assistant digital de prévention est centré sur l’utilité qui doit en être faîte.
Notre volonté, avec Eyes’R est d’aborder une brique digitale au monde de la prévention et d’accompagner les services HSE dans leurs tâches quotidiennes. Sans négliger la gestion des données personnelles.
L’assistant digital de prévention Eyes’R contient une charte de bon usage. Rien de compliqué, simplement pour privilégier l’usage de celui-ci à des fins de prévention, plus qu’à des fins de sanction.
Certes, la prévention doit primer, même si, dans certains cas, la sanction ne peut être évitée (cas d’une situation à risque imminente ; situation à risque d’une gravité très importante ; situation à risque créer de façon volontaire …) Tout autant de situations, qui demandent une prise d’action sortant du cadre de la réelle prévention.
Pour résumer en quelques lignes:
- Le RGPD permet d’encadrer la gestion et le traitement des données personnelles.
- Une donnée personnelle est une donnée permettant d’identifier de manière direct ou indirecte un individu
- Les sanctions pour non-respect du RGPD sont très dissuasive
- Le registre RGPD est aux données personnelles ce que le document unique est à la prévention des risques
- L’assistant digital Eyes’R a mis en place plusieurs points, pour respecter le RGPD et transformer vos caméras en véritable allié pour votre prévention.