Vous trouverez de plus amples informations à ce sujet dans notre fiche n° 1 relative au traitement des données à caractère personnel dans le cadre de la gestion du personnel, et plus précisément sous la question "Quand l’employeur doit-il effectuer une analyse d’impact relative à la protection des données ?" ou sur le site de l’Autorité de protection des données.
Il est recommandé d’effectuer une analyse d’impact relative à la protection des données ("Data protection impact assessment", ci-après DPIA) dès lors que des caméras intelligentes sont installées sur le lieu de travail. Le recours à la surveillance par caméras sur le lieu de travail répond à deux des neuf critères identifiés par le Groupe de travail article 29 :
- Données concernant des personnes vulnérables (travailleurs...)
- Utilisation ou application innovante de nouvelles solutions technologiques ou organisationnelles
L’Autorité de protection des données considère par ailleurs qu’une DPIA est requise lorsqu’il est question d’un traitement à grande échelle de données générées au moyen d’appareils dotés de capteurs qui envoient des données via Internet ou via un autre moyen (applications de l’Internet des objets, comme les télévisions intelligentes, les appareils ménagers intelligents, les jouets connectés, les smart cities ou les compteurs d’énergie intelligents) et que ce traitement sert à analyser ou prédire la situation économique, la santé, les préférences ou centres d’intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements de personnes physiques. Les caméras intelligentes peuvent être considérées comme tels.
L’employeur effectuera une telle DPIA, qui est d’ailleurs également en partie incluse dans la procédure d’instauration de la surveillance par caméras sur le lieu de travail, et décidera des mesures techniques appropriées à mettre en œuvre. Cette DPIA constitue un document justificatif destiné à prouver à l’Autorité de protection des données qu’une analyse des risques a bien été réalisée.
Une consultation préalable de l’Autorité de protection des données n’est obligatoire que lorsqu’un risque élevé pour la personne concernée subsiste malgré la mise en œuvre des mesures en question.