Le 5 décembre dernier, l’Autorité Garante pour la protection des données personnelles (l’« Autorité ») a rédigé une FAQ (« Foire Aux Questions ») sur le traitement des données personnelles effectué par des personnes publiques et privées au moyen de l’utilisation de systèmes de vidéosurveillance.

Les précisions de l’Autorité tiennent compte des dispositions introduites par le Règlement (UE) 2016/679 en matière de protection des données personnelles (appelé « RGDP ») et par les Lignes Directrices adoptées par le Comité Européen pour la protection des données (« CEPD ») sur ce point.

Cette FAQ précise, tout d’abord, que (i) les traitements effectués au moyen de l’utilisation de systèmes de vidéosurveillance doivent avoir lieu dans le respect du principe de minimisation, sur la base du choix des modalités de prise de vues et de l’emplacement du système, et que (ii) les données traitées doivent être pertinentes et non excédantes par rapport aux finalités poursuivies.

Sur la base du principe de accountability (appelé « principe de responsabilisation »), chaque Responsable du traitement est tenu d’effectuer des évaluations sur le caractère licite et proportionnel du traitement, en tenant compte du contexte et des finalités relatives, ainsi que du risque pour les droits et les libertés des personnes concernées.

Selon l’Autorité, chaque Responsable du traitement doit évaluer si les conditions pour effectuer une analyse d’impact relative à la protection des données (« AIPD ») sont remplies avant de réaliser ce traitement.

En ce qui concerne Ia note d’information à fournir aux personnes concernées, la FAQ précise que l’on peut adopter le modèle simplifié (appelé panneau) mis au point par le CEPD et diffusé avec ses Lignes Directrices. Ce panneau doit indiquer (i) les coordonnées du Responsable du traitement et, s’il existe, du Délégué à la protection des données (DPD) ; (ii) la période de conservation des informations collectées ainsi que (iii) les finalités des traitements effectués. Le panneau doit être placé avant d’entrer dans la zone surveillée, pour que les personnes concernées puissent comprendre quelle zone est couverte par une caméra, et il doit renvoyer à une note d’information complète, contenant toutes les informations visées à l’article 13 du RGPD, y compris les indications sur les modalités de visionnement.

L’Autorité rappelle, également, que les images enregistrées devraient être effacées sous quelques jours (24/48 heures) et que, plus la période de conservation prévue est prolongée, plus l’analyse sur la légitimité de l’objectif et sur la nécessité effective d’une conservation plus longue devra être argumentée.

Enfin, elle rappelle que sur les lieux de travail il est possible d’installer des systèmes de vidéosurveillance exclusivement pour des exigences liées à l’organisation et à la production, pour la sécurité du travail et pour la protection du patrimoine de l’entreprise, dans le respect des garanties prévues par l’article 4 de la loi n° 300/1970.

◊◊◊◊

En conclusion, la FAQ, disponible sur le site de l’Autorité (www.garanteprivacy.it), contient des indications sur les conditions nécessaires pour que le traitement des données personnelles effectué au moyen de l’utilisation de systèmes de vidéosurveillance soit légal.

Cette FAQ, bien que partiellement, va au-delà de la précédente « Décision en matière de vidéosurveillance du 8 avril 2010 », car elle en adapte le contenu aux dispositions introduites par le RGPD et par les Lignes Directrices du CEPD.

Avec le but principal de permettre la conciliation entre travail et vie privée, le DDL 2233-B a été approuvée définitivement. Cette mesure discipline le travail flexible, c’est-à-dire une modalité de travail en dehors des locaux de l’entreprise et sans un horaire établi (appelé également smart working). Les caractéristiques essentielles du travail flexible comportent clairement une atténuation du contrôle de la part de l’employeur et, cela, même en ce qui concerne l’évaluation des éléments qui peuvent influencer la santé et sur la sécurité du travailleur. Par conséquent, sans préjuger du fait que l’employeur reste le responsable de la santé et de la sécurité du travailleur, le Législateur a prévu l’obligation pour l’employeur de délivrer au travailleur et au représentant des travailleurs pour la sécurité, au moins une fois par an, une notice d’information écrite qui énonce les risques généraux et spécifiques liés à chaque modalité d’exécution du rapport de travail. De son côté, le travailleur est responsabilisé puisqu’il est expressément tenu à coopérer à la réalisation des mesures de prévention prévues par l’employeur pour faire face aux risques liés à l’exécution de la prestation de travail en dehors des locaux de l’entreprise. Les prévisions précitées, toutefois, ne sont pas suffisantes à exonérer l’employeur de ses obligations en matière d’assurance de la santé et la sécurité des travailleurs. En effet, on rappelle que, faute de dérogations, l’employeur doit se conformer même aux dispositions du Texte Unique en matière de sécurité (Décret législatif 81/2008), si applicables, en raison des particularités qui distinguent le travail flexible.