Les Dashcams sont des caméras installées généralement sur le tableau de bord d’un véhicule afin d’enregistrer ce que le conducteur peut voir (à l’extérieur du véhicule comme à l’intérieur). La caméra filme en continue tous les évènements se déroulant tout au long du parcours. Les vidéos s’effacent au fur et à mesure pour préserver l’espace de stockage. En cas d’événement anormal (choc, fort freinage), la vidéo enregistrée ne s’efface pas et la suppression s’effectuera manuellement.
La pratique des Dashcams est très démocratisées en Russie notamment, afin de permettre aux conducteurs de conserver des preuves en cas d’accident de la route.
Les vidéos issues de ces Dashcams abondent particulièrement sur les réseaux sociaux ou site de partage en ligne.
En France, de plus en plus d’automobilistes ont recours aux Dashcams. Certains assureurs réclament même à leurs assurés les images enregistrées par les Dashcams dans le cadre des règlements de sinistres. Quand bien même la légalité de leur utilisation comme preuve en justice n’est pas si évidente que ça.
Que les Dashcams soient utilisées pour un usage personnel ou pour se ménager une preuve dans le cadre du règlement d’un sinistre ou d’un litige, se pose la question de l’applicabilité de la règlementation en matière de protection des données à caractère personnel et des implications que cela susciterait au regard du RGPD.
En effet, à partir du moment où la caméra peut filmer les visages des usagers de la route, cette dernière procède à la captation de données à caractère personnel.
Il convient de préciser que la CNIL interdit aux particuliers de pouvoir user de la vidéoprotection en dehors du cadre strictement privé de leur habitation mais aucune législation ou recommandation spécifique ne vient interdire l’usage des dashcams.
Si elle n’a jamais visée expressément le cas des dashcams, la CNIL a néanmoins appelé les instances françaises et européennes à se saisir de ces questions pour légiférer.
En l’absence de législation et de position établie de la part de la CNIL ou des instances européennes et nationales, le présent article à vocation à délimiter le régime juridique applicable aux dashcams et à proposer des mécanismes conformes au RGPD pour encadrer les traitements de données qui découlent de l’utilisation de ces dashcams.
I. L’usage de la Dashcam à titre personnel et pour un usage privé
L’article 2.2.c) du RGPD précise « le présent Règlement ne s’applique pas au traitement de donnée à caractère personnel effectué par une personne physique dans le cadre d’une activité strictement personnelle ou domestique ».
Ainsi, nous pourrions imaginer que si une personne physique fait usage d’une Dashcam pour un usage strictement privé et personnel, elle ne sera pas soumise à la règlementation en matière de protection des données personnelles. Il s’agira d’un usage dit « récréatif ».
Néanmoins, la dashcam filmant à l’extérieur du véhicule, il ne peut pas, selon nous, s’agir d’une activité domestique.
En ce sens, dans un arrêt de 2014, la CJUE[1] avait estimé que l’usage d’une caméra vidéo pour surveiller la voie publique était soumis à la règlementation en matière de données à caractère personnel.
En l’espèce, il s’agissait d’un citoyen tchèque qui, faisant face à de nombreuses agressions, avait décidé d’installer une caméra vidéo depuis sa maison en direction de l’entrée de celle-ci. Mais l’appareil filmait également la voie publique et l’entrée de la maison en face.
Suite à une énième agression, la caméra a permis d’identifier deux suspects qui ont été appréhendés par la police. L’un d’eux argua du caractère illégal du traitement de données enregistré par la caméra de vidéosurveillance.
La CJUE fut alors saisie et eut à se prononcer sur la question de savoir si le traitement de données effectué était un traitement de données à caractère personnel au sens de la Directive de 1995. La victime faisait valoir que ce traitement de données n’était pas couvert par la Directive dans la mesure où il était effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques.
Dans son arrêt, la CJUE rappelle que le traitement en cause en ce qu’il capte les images des personnes (données personnelles) relève de la vidéosurveillance et par conséquent constitue un traitement automatisé de données.
Concernant l’exemption prévue la directive, la CJUE rejette cette thèse en estimant que « Dans la mesure où une vidéosurveillance telle que celle en cause au principal s’étend, même partiellement, à l’espace public et, de ce fait, est dirigée vers l’extérieur de la sphère privée de celui qui procède au traitement des données par ce moyen, elle ne saurait être considérée comme une activité exclusivement « personnelle ou domestique ». Elle en avait déduit que la directive trouvait à s’appliquer.
Dans le cas de la Dashcam, si l’utilisateur filme bien depuis sa sphère privée (sa voiture), la caméra est néanmoins dirigée vers la voie publique de sorte qu’elle capte des images d’inconnus en dehors de la sphère privée du conducteur.
Par conséquent, il est clair que l’utilisation d’une Dashcam ne relève pas de l’exception prévue par l’article 2.2 c) du RGPD.
Le Comité Européen de la Protection des Données (CEPD) confirme expressément cette approche dans ses lignes directrices du 10 juillet 2019[2] : « If a dash cam is installed (e. g. for the purpose of collecting evidence in case of an accident), it is important to ensure that this camera is not constantly recording traffic, as well as persons who are near a road. Otherwise the interest in having video recordings as evidence in the more theoretical case of a road accident cannot justify this serious interference with data subject’s rights”.
Nous en déduisons que l’usage de la Dashcam par les particuliers n’est pas interdit si les personnes à l’extérieur ne sont pas filmées et si l’enregistrement n’est pas continu.
Le RGPD étant appliquable, se pose la question des obligations incombant aux personnes ayant recourt aux Dashcam, puisqu’ils sont dès lors considérés comme responsable de traitement.
II. Les obligations à la charge des personnes utilisant des dashcams
1/ La base légale du traitement
Tout traitement nécessite une base légale. Si l’on étudie chacune des bases légales proposées par le RGPD[3], une seule semble pouvoir convenir ici : l’intérêt légitime. En l’occurrence, l’intérêt légitime résiderait, pour l’utilisateur, en la protection des biens et des personnes ainsi que la possibilité de se ménager une preuve en cas d’accident ou de sinistre. Néanmoins, l’intérêt légitime n’est une base légale possible que si les droits des personnes sont préservés. Or, nous verrons que l’exercice effectif des droits est loin d’être possible.
2/ L’information des personnes concernées de l’existence de leurs droits et du traitement
Le responsable de traitement est dans l’obligation d’informer les usagers de l’existence du dispositif, de son identité, des finalités du traitement, des catégories de données concernées, des destinataires (assureur, juge, avocat, services de police), le cas échéant des transferts de données hors EU et de la durée pendant laquelle les données seront conservées. Il doit également expliquer aux personnes qu’elles peuvent exercer leurs droits (accès, rectification, suppression, limitation, opposition, saisir la CNIL)[4].
Comment une telle information pourrait être communiquée aux personnes ?
Est-ce qu’un macaron apposé sur la voiture suffirait pour alerter les personnes de l’équipement du véhicule d’une dashcam ? Mais dans ce cas, ce macaron devra-t-il renvoyer à une politique de confidentialité ? Et qui devra rédiger cette politique ? L’automobiliste ? L’assureur ? Le fabricant de la dashcam ?
Toutes ces questions devront être tranchées par le législateur.
A notre sens, il conviendra a minima qu’un macaron figure sur les véhicules concernés. Il pourrait être également envisagé que l’assureur qui reçoit les données et qui pourrait avoir accès aux bases de données des immatriculations, informe les personnes concernées des caractéristiques du traitement.
3/ L’obligation de définir des durées de conservation et des process
L’automobiliste devra également choisir un dispositif répondant à des durées de conservation proportionnées.
Ainsi, en l’absence de sinistre, le mécanisme doit effacer à bref délai les données collectées.
En cas de sinistre, la durée pourrait être équivalente à toute la durée de la procédure augmentée des délais de prescriptions applicables.
4/ La question de la déclaration en préfecture
Les dispositifs de vidéoprotection sur la voie publique doivent normalement être déclarés auprès de la préfecture du département. Si les caméras filment la voie publique, le dispositif doit être autorisé par le préfet après avis d’une commission départementale présidée par un magistrat. L’autorisation est valable 5 ans et renouvelable.
Aujourd’hui, seules les autorités publiques sont autorisées à filmer la voie publique.
Peuvent également être autorisés à mettre en œuvre un mécanisme de vidéoprotection, les commerçants aux fins d’assurer la protection des abords immédiats de leurs bâtiments et installations, dans les lieux particulièrement exposés à des risques d’agression ou de vol. Néanmoins, cette possibilité est soumise à autorisation des autorités publiques compétentes et après en avoir informé le maire de la commune concernée.
Ce qui rend de fait, et en l’état, illégale la pratique de la dashcam. Il conviendra que le législateur s’empare de cette question.
III. Le rôle de l’assureur
Dans la mesure où l’utilisateur a été qualifié de responsable de traitement, se pose la question de la qualification du rôle de l’assureur au regard du RGPD.
Il peut certes être un destinataire des données, mais encore une fois, le traitement par l’assureur ne sera possible que s’il dispose d’une base légale et s’il a les coordonnées des personnes impliquées dans le but de respecter l’obligation d‘information de l’article 14 du RGPD.
Rappelons également qu’en l’état, l’usage de la dashcam étant illicite, en proposant à ses assurés d’user de la dashcam pour pouvoir de bénéficier de tarifs plus attractifs, l’assureur, en collectant les données des personnes concernées, procèdera, lui aussi, à des traitements de données que nous considérons illicites.
IV. La question de l’admission des preuves en justice
Comment un assureur ou un assuré pourrait-il mettre en cause la responsabilité d’une personne en se fondant sur les images captées de dashcam ?
- Devant les juridictions civiles
La loyauté dans l’administration de la preuve trouve son fondement, en matière civile, dans l’article 9 du code de procédure civile, aux termes duquel « il incombe à chaque partie de prouver conformément à la loi les faits nécessaires au succès de sa prétention », ainsi que dans l’article 6 § 1 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales, qui consacre le droit à un procès équitable.
Au visa de ces articles, les chambres civiles, commerciale et sociale de la Cour de cassation ont jugé que l’enregistrement de conversations téléphoniques ou les enregistrements vidéo réalisés à l’insu des personnes enregistrées constituent un procédé déloyal rendant irrecevable en justice la preuve ainsi obtenue. Par exemple, dans le cadre de l’enregistrement de conversations téléphoniques, la Cour de cassation a posé le principe suivant : « attendu que l’enregistrement d’une communication téléphonique réalisé par une partie à l’insu de l’auteur des propos tenus constitue un procédé déloyal rendant irrecevable sa production à titre de preuve »[5].
Ou encore, dans un autre arrêt, et de manière plus large, la Cour de cassation a estimé qu’« en se fondant uniquement sur des éléments de preuve obtenus à l’aide d’un système de traitement automatisé d’informations personnelles avant qu’il ne soit déclaré à la CNIL, alors que l’illicéité d’un moyen de preuve doit entraîner son rejet des débats, la cour d’appel a violé les textes susvisés »[6].
Ainsi, un traitement illégal rend la preuve illégale et en conséquence, non recevable en justice devant les juridictions civiles.
- Devant les juridictions pénales
Selon l’article 427 du Code de procédure pénale « hors les cas où la loi en dispose autrement, les infractions peuvent être établies par tout mode de preuve et le juge décide d’après son intime conviction ». L’article 427 du Code de procédure pénale pose le principe de la liberté de la preuve en matière pénale.
C’est sur la base de cet article que la jurisprudence pénale a admis le principe selon lequel « aucune disposition légale ne permet aux juges répressifs d’écarter les moyens de preuve produits par les parties, au seul motif qu’ils auraient été obtenus de manière illicite ou déloyale […] l’élément de preuve procuré par un particulier ne peut faire I’objet d’une annulation dès lors que n’émanant pas d’un magistrat ou d’un service d’enquête, il ne constitue pas un acte de procédure[7] ».
En conséquence, tout mode de preuve est admis devant la juridiction pénale, quand bien même la preuve aurait été obtenue de manière illicite. Il appartiendra seulement au juge d’en apprécier la valeur probante.
Etant précisé que la preuve apportée par la dashcam sera illicite si (i) le système de vidéoprotection n’est pas licite en lui-même (défaut de déclaration en préfecture, personne non habilitée à disposer d’un tel système), si (ii) le traitement de données est en lui-même illicite (défaut d’information des personnes, défaut de base légale etc.).
Compte tenu du nombre d’incertitudes qui subsistent, il devient urgent que les instances nationales et européennes s’emparent de la question pour tenter de délimiter le régime applicable.
Si nous avons aujourd’hui la certitude que les utilisateurs de dashcams sont des responsables de traitement au sens de la réglementation, l’incertitude demeure quant à l’applicabilité concrète de la réglementation envers ces responsables de traitement particuliers.
Charlotte GALICHET
Sophie RENAUDIN
[1] CJUE, 11 décembre 2014, n° C-212/13
[2] Guidelines 3/2019 on processing of personal data through video devices
[3] Selon l’article 6 du RGPD, 6 bases légales peuvent fonder un traitement de données : le consentement, l’exécution d’un contrat, le respect d’une obligation légale, la sauvegarde des intérêt vitaux de la personne concernée ou d’un tiers, l’exécution d’une mission d’intérêt public, l’intérêt légitime du responsable de traitement.
[4] Articles 13 et 14 du RGPD
[5] Com, 3 juin 2008, n° 07-17147 & 07-17196
[6] Soc, 8 octobre 2014, n° 13-14991
[7] Crim., 7 mars 2012, n° 11-88.118