Le Comité Européen de la Protection des Données (CEPD) évoque dans ses dernières lignes directrices les obligations à la charge des utilisateurs de telles caméras. Ces obligations pourraient également peser sur les compagnies d’assurance qui favorisent le recours à ce dispositif.

Le CEPD1 a publié le 10 juillet dernier des lignes directrices sur les traitements de données personnelles réalisés au moyen de la vidéo2. A cette occasion, il a donné quelques précisions sur l’usage des caméras embarquées dans les véhicules, également appelées « dashcam ». Selon le CEPD, ces caméras ne doivent pas filmer en continue la circulation et les personnes situées le long des voies3.

En effet, l’atteinte aux droits et libertés des personnes dont les données seraient collectées (plaques d’immatriculation et visages des individus situés dans les voitures et au bord des routes), serait dans pareil cas trop grande. L’utilisateur de la dashcam ne pourrait plus se baser sur son intérêt légitime (article 6.1.f du RGPD) de rassembler des preuves en cas d’accident pour réaliser le traitement. Sans base légale pour filmer la voie publique, cet utilisateur manquerait aux obligations de l’article 6 du RGPD.

Certaines solutions techniques comme le floutage, l’effacement automatique des images à bref délai et leur conservation uniquement si un accident se produit, pourraient permettre de répondre aux exigences du CEPD.

Le CEPD en rappelle également d’autres, telles que l’information des personnes concernées (articles 12, 13, 14 du RGPD) et le respect des principes relatifs au traitement des données de son article 5 (minimisation, exactitude, confidentialité des données, etc.).

Ce faisant, le CEPD semble réfuter la thèse selon laquelle l’utilisation d’une dashcam par un particulier puisse être regardée comme « une activité strictement personnelle ou domestique » pouvant échapper à l’application du RGPD (article 2-2-c)4. En 2014, dans l’affaire Rynes /Urad, la Cour de justice de l’Union Européenne avait déjà indiqué qu’un système de « vidéosurveillance [...] qui s’étend, même partiellement, à l’espace public et, de ce fait dirigé vers l’extérieur de la sphère privée de celui qui procède au traitement des données […], ne saurait être considéré comme une activité exclusivement personnelle ou domestique5».

Le CEPD reconnait ainsi clairement la qualité de responsable du traitement de l’utilisateur de la dashcam. Même si l’hypothèse n’est pas évoquée dans les lignes directrices, l’utilisateur pourrait aussi être qualifié de responsable conjoint du traitement avec son assureur qui :

  • l’aurait incité à installer une telle caméra ;
  • lui fournirait des instructions comprenant celles de lui communiquer les données en cas d’accident.

Dans ce cas précis, les obligations de chacune des parties (utilisateur et assureur) doivent être formalisées (article 26 du RGPD), et intégrées à la police d’assurance. Les assureurs devront à ce titre être vigilants dans les situations où ils proposent des avantages ou une remise à un assuré ayant recours à une dashcam, moyennant certains engagements.

Si ces lignes directrices, soumises à consultation publique, peuvent faire l’objet de quelques ajustements ultérieurs, elles donnent d’ores et déjà un aperçu du régime applicable aux dashcams en France.

Aperçu d’autant plus attendu que la Cnil avait évité de se positionner sur ce sujet dans son pack de conformité véhicules connectés d’octobre 2017, et avait même invité le législateur à se saisir des questions soulevées par les nouveaux usages des caméras vidéo qui nécessitent la mise à jour du cadre juridique actuel.

Aujourd’hui, le recours à la vidéo dans l’espace public ou dans les espaces privés ouverts au public, dès lors qu’il est susceptible de porter atteinte à la vie privée des individus, est en effet soumis au régime d’autorisation préfectorale de la vidéoprotection (L.251.-1 et suivants du Code de la sécurité intérieure), dont peuvent seuls bénéficier les autorités publiques et les commerçants pour assurer la sécurité des biens et des personnes.