Réponse du ministère de la Justice : Le Règlement Général sur la Protection des Données (« RGPD ») prévoit dans son considérant 84 que lorsque les opérations de traitement sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement devrait effectuer une analyse d’impact relative à la protection des données pour évaluer, en particulier, l’origine, la nature, la particularité et la gravité de ce risque.
Plus particulièrement, l’article 35 du RGPD encadre l’analyse d’impact relative à la protection des données et le paragraphe 3, c) précise que l’analyse d’impact est requise dans le cas d’une surveillance systématique à grande échelle d’une zone accessible au public.
Concernant la notion de « risque élevé à grande échelle », les lignes directrices adoptées au niveau européen en octobre 2017 recommandent de prendre en compte plusieurs facteurs, tels que le nombre de personnes concernées ; le volume de données ; la durée ou la permanence de l’activité de traitement de données ; l’étendue géographique de l’activité de traitement.
En complément, le considérant 91 du RGPD précise que les opérations de traitement à grande échelle sont celles qui visent à traiter un volume considérable de données à caractère personnel au niveau régional, national ou supranational, qui peuvent affecter un nombre important de personnes concernées et qui sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées.
Ainsi, cette notion doit s’apprécier au cas par cas et ne peut donner lieu à une interprétation stricte avec un nombre précis de personnes concernées ou une étendue géographique précise, au risque d’une appréciation trop rigide qui aboutirait à créer des effets de seuils.
S’agissant de l’installation de caméras par une commune, et pour venir en soutien de celle-ci dans cette démarche, la consultation préalable de la préfecture pourrait être utile, afin de savoir si cette dernière a déjà effectué une analyse d’impact sur la protection des données (AIPD) en la matière.
Si tel est le cas, la commune concernée pourra utilement s’appuyer dessus. Par ailleurs, dans le cadre de son activité d’accompagnement, la CNIL met à disposition de nombreuses recommandations sur l’AIPD et dispose de services de permanences téléphoniques à la fois généraux, et dédiés spécifiquement aux délégués à la protection des données compétents pour fournir des recommandations au cas par cas.
Une circulaire du 20 mars 2024 (NOR : IOMD2405307J), relative à la mise en conformité du régime de la vidéoprotection avec le droit européen relatif à la protection des données adressée aux préfets, est disponible en libre accès sur internet et comporte, entre autres annexes, un modèle d’AIPD « cadre » pour les autorités publiques sur lequel peuvent utilement se baser les communes. Il est également possible de mutualiser les délégués à la protection des données.
Enfin, l’association Déclic, soutenue par la CNIL, a également pour mission de partager une expertise et de bonnes pratiques entre opérateurs publics de services numériques des collectivités territoriales françaises.
Domaines juridiques
