Vidéosurveillance d’immeuble et données à caractère personnel

  • Posted by Loïc Panhaleux
  • On 22 janvier 2020
  • 0 Comments

L’installation de caméras de vidéosurveillance dans les parties communes d’un immeuble, décidée par l’assemblée des copropriétaires est-elle licite au regard du droit des données à caractère personnel ? La Cour de Justice, dans son arrêt du 11 décembre 2019 (CJUE, 11 déc. 2019, TK c/ Asociata de Proprietari bloc M5-A-SCARACA) , l’admet, dans certaines limites. La question ne vaut bien sûr que dans la mesure où la vidéosurveillance se traduit par l’identification de personnes physiques (CJUE, 11 déc. 2014, Rynes, C-212/13). Pour être admis, le traitement doit être licite, ce qui suppose qu’il obéisse aux conditions posées par les textes (dans l’arrêt, les conditions posées par l’article 7 de la directive 95/46, dans le RGPD, les conditions posées par l’article 6 ou 9 s’il s’agit de « données sensibles »), conditions que les Etats ne sauraient ni limiter ni étendre (CJUE, 19 oct. 2016, Breyer, C-582/14). L’une d’entre elles, le consentement des personnes concernées, n’est requise que si les autres n’autorisent pas le traitement. L’autorisation des locataires n’est donc nullement requise si le traitement peut être justifié autrement. En l’espèce, la question préjudicielle a conduit la Cour à s’interroger sur le point de savoir si le traitement était légitime au regard de l’article 7, sous f, de la directive 95/46 (Comp., RGPD, art. 6 §1 sous f), ce qui implique de prouver trois conditions cumulatives. Premièrement, le responsable du traitement ou les tiers auxquels les données sont communiquées doivent poursuivre un intérêt légitime. Deuxièmement, le traitement doit être nécessaire. Troisièmement, les droits et les libertés fondamentaux de la personne concernée ne doivent pas prévaloir sur l’intérêt légitime poursuivi.

La Cour admet tout d’abord la légitimité d’une vidéosurveillance d’immeuble qui a pour objet la protection des biens et de la vie et de la santé des copropriétaires d’un immeuble (point 42). Ensuite, la Cour, dans son analyse de la nécessité du traitement, considère que l’intérêt du traitement doit être né et actuel au moment où il est mis en œuvre, même si dans le cas d’espèce, elle note qu’une atteinte à la sécurité des biens et des personnes ne doit pas avoir déjà été constatée (Points 44 et 45), ce qui est de nature à autoriser les mesures de surveillance préventive. L’analyse de la nécessité doit consister à s’interroger sur le caractère proportionné de la mesure. En d’autres termes, il faut se demander s’il existe des moyens parvenant d’atteindre l’objectif légitime poursuivi par le responsable du traitement en portant moins atteinte aux droits de la personne concernée. En l’espèce, la sécurité des biens et des personnes et la prévention d’infractions peut-elle être atteinte au moyen d’un dispositif moins attentatoires aux droits et libertés fondamentaux des copropriétaires ou locataires ? Selon la Cour, il y a lieu de tenir compte, dans ce cadre, du principe de minimisation des données selon lequel les données doivent être « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement » (Dir, 95/46, art. 6 § 1, sous c ; Comp. RGPD, art. 5 §1, sous c)). A propos de la vidéosurveillance, la Cour considère que l’exigence de proportionnalité du traitement semble respectée dès lors que des mesures alternatives avaient été mises en place précédemment (interphone, carte magnétique), mais se sont révélées insuffisantes tandis que la surveillance était limitée aux parties communes et voies d’accès. Pour autant, le responsable du traitement « doit examiner, par exemple, s’il est suffisant que la vidéosurveillance ne fonctionne que la nuit ou en dehors des heures de travail normales et bloquer ou rendre floues les images prises dans des zones où la surveillance n’est pas nécessaire » (point 51).

Enfin, la Cour porte son jugement sur la prise en compte des droits et libertés de la personne concernée en rappelant que cette analyse doit se faire cas par cas, de manière concrète (points 53 et 54). De ce point de vue, la gravité de l’atteinte aux droit et libertés fondamentaux de la personne concernée constitue un élément essentiel de l’exercice de pondération et de mise en balance des droits et libertés en présence (point 56). La Cour considère que les traitements émanant de sources non accessibles au public constituent une atteinte plus grave aux droits de la personne concernée que les traitements de données émanant de sources accessibles au public (point 55, v. préc. CJUE, 24 nov. 2011, Asociacion Naciolnal de Establecimientos Financieros de Crédito, C-468/10 et C-169/10, point 45). Par ailleurs, il faut tenir compte des données traitées, de leur caractère plus ou moins sensible, ainsi que de la portée du traitement, notamment le nombre de personnes ayant accès aux données (point 57). Les attentes raisonnables de la personne concernée quant au traitement et à sa portée doivent également être retenues (point 58). Et enfin, les intérêts d’autrui ne sauraient être oubliés, comme en l’espèce, les intérêts des autres copropriétaires (voire des locataires) (point 59).

Cet arrêt illustre la complexité de la licéité fondée sur la légitimité des responsables de traitements. Ces derniers auraient tort de croire que le fait d’invoquer cette légitimité, notamment dans les informations délivrées aux personnes concernées, les dispense d’une analyse complète et les protège contre une contestation de ces personnes ou des autorités de contrôle. Plus particulièrement, la Cour n’invalide certes pas dans cet arrêt les systèmes de vidéosurveillance dans les immeubles. Il ne saurait cependant être lu comme un blanc-seing pour les responsables.