Les images sont des données personnelles et sont par conséquent soumises à la loi 09-08 relative à la protection des personne physiques à l’égard du traitement des données à caractère personnel et son décret d’application. La délibération n° 350-2013 du 31 mai 2013 de la CNDP a précisé les conditions nécessaires à la mise en place d’un système de vidéosurveillance dans les lieux de travail et dans les lieux privés communs, dont la finalité est d’assurer la sécurité des biens et des personnes.

Formalités de notification du traitement à la CNDP

L’installation d’un système de vidéosurveillance dans les lieux de travail communs doit être notifiée à la CNDP à travers une déclaration préalable[. La déclaration doit être accompagnée d’un engagement du responsable de traitement qui atteste que le système installé respecte les conditions énumérées dans la Délibération et plus généralement les dispositions de la Loi 09-08.

La CNDP
délivre, dans un délai de 24 heures courant à compter de la date du dépôt de la
déclaration un récépissé de la ladite déclaration. Conformément à la Loi 09-08,
le responsable du traitement peut mettre ledit traitement en œuvre dès
réception dudit récépissé.

Est puni d’une amende de 10.000 à 100.000 DH, quiconque aura mis en œuvre un fichier de données à caractère personnel sans la déclaration susmentionnée.

Emplacement des caméras et signalisation

En application de la Délibération, les caméras peuvent être installées dans tout emplacement permettant la sécurité des biens et/ou des personnes mais jamais dans un endroit risquant de porter atteinte à la vie privée de ces dernières.
A titre d’exemple, la Délibération indique que les caméras peuvent être installées aux entrées et aux sorties des bâtiments, sur les voies de circulation, dans les entrepôts de marchandises, dans les parkings, face à des coffres forts, à l’entrée et à l’intérieur des salles techniques, etc. Elles ne doivent pas être utilisées pour surveiller un ou plusieurs employés, les lieux de culte, les locaux syndicaux, les toilettes, les salles de réunions ou les zones de pauses, etc.

La Délibération précise par ailleurs, que le responsable du traitement est tenu d’informer les personnes concernées, au moyen d’une affiche ou d’un pictogramme, placé à l’entrée des établissements surveillés.
L’affiche ou le pictogramme doit indiquer, d’une façon claire et visible, les informations suivantes :

• Le nom du responsable de traitement ;
• Le fait que l’établissement est placé sous vidéosurveillance ;
• La finalité de ce dispositif (la sécurité des biens et des personnes) ;
• Les coordonnées du contact pour l’exercice, par les personnes concernées, des droits d’accès, de rectification et d’opposition ;
• Le numéro du récépissé de la déclaration déposée auprès de la CNDP.

Sécurité des données et durée de conservation du traitement

Le responsable de traitement prend toutes les précautions utiles pour préserver la sécurité et la confidentialité des images traitées et, notamment pour empêcher qu’elles soient détruites, déformées, endommagées ou que des tiers non autorisés puissent en prendre connaissance et ce, conformément à la Loi 09-08.
La durée de conservation des images ne doit pas dépasser trois mois.
La conservation des données à caractère personnel au-delà de la durée prévue par la législation en vigueur ou celle prévue dans la déclaration ou l’autorisation est puni d’un emprisonnement de trois mois à un an et d’une amende de 20.000 à 200.000 DH ou de l’une de ces deux peines seulement

Transfert des données à l’étranger, interconnexion et recoupement avec d’autres fichiers

Tout transfert de données à l’étranger doit être préalablement notifié à la CNDP . L’interconnexion et le recoupement avec d’autres fichiers dont les finalités principales sont différentes des finalités de la vidéosurveillance doivent faire l’objet d’une demande d’autorisation distincte, conformément à la Loi 09-08 .

[2] Article 52 de la Loi 09-08.