Fonctionnalités et conseils pour mettre en œuvre une technologie de vidéosurveillance conforme au RGPD/UE

Le Règlement Général sur la Protection des Données (RGPD) l'européen ne contient pas de réglementation spécifique applicable aux systèmes de vidéosurveillance. Jürgen Seiler, directeur de davidiT, filiale de conseil de Dallmeier, clarifie les doutes à ce sujet.

L'application du RGPD en ce qui concerne l'utilisation de la technologie vidéo génère encore beaucoup d'incertitude sur les exigences que les entreprises doivent remplir. Il existe également une incertitude sur les fonctions du système nécessaires pour pouvoir configurer facilement des systèmes de vidéosurveillance conformes à ce règlement.

De nombreux utilisateurs finaux constatent maintenant que le nouveau RGPD européen ne contient pas de réglementation spécifique applicable aux systèmes de vidéosurveillance, par conséquent, la mise en œuvre conformément au RGPD diffère pour chaque entreprise. En outre, es presumible que además de la jurisprudencia que lo desarrolle, c'est à dire, la interpretación real en la práctica, aparezcan diferencias específicas en cada empresa -por ejemplo, debidas a distintas resoluciones de los comités de empresa- en cuanto a vídeoseguridad.

Junto a la protección de datos, también se da una mayor importancia a la seguridad de los datos, ya que deben ser protegidos de pérdida o manipulación. Por consiguiente: no hay protección de datos sin seguridad de datos, y las compañías tienen que cumplir el RGPD en ambas áreas.

Para muchas empresas ahora surge la pregunta de cuáles son los componentes necesarios para cumplir concretamente los requisitos. Los fabricantes proponen enfoques distintos y, spécifiquement, le module de protection et de sécurité des données de Dallmeier offre quatorze composants différents.

Protection des données – protection des droits de la personne concernée: comme l'exige l'article 25 du RGPD, il est nécessaire de prendre des mesures techniques et organisationnelles appropriées pour sauvegarder les principes de protection des données et les droits des personnes concernées.

Dans le module de Dallmeier, on trouve quatre composants essentiels pour y parvenir. Le graphique montre comment les fonctions individuelles du module de protection et de sécurité des données de ce fabricant sont mises en œuvre lors du processus de traitement des données vidéo.

• Pixellisation des personnes via masquage des personnes, qui peut être annulé si nécessaire.
• Definición de ‘zonas de privacidad’ en la imagen captada para, Par exemple, ocultar áreas públicas. Esta ocultación no puede ser inhabilitada, ni en direct ni dans l'enregistrement.
• Definición de la duración de grabación para cada cámara o pista de grabación, garantizando su supresión una vez logrado el objetivo.
• Visualización de áreas irrelevantes para la protección de datos mediante una detallada simulación virtual 3D durante la planificación del proyecto. De esta manera es posible, por un lado, averiguar dónde la calidad de imagen no permite un reconocimiento de personas y, par conséquent, no se generan datos personales.

D'autre part, se pueden planificar ya de antemano y a medida las funciones para zonas relevantes para la protección de datos, telles que masquage des personnes.

Sécurité des données – protection de ses propres données personnelles: le RGPD établit dans son article 32 que des mesures techniques et organisationnelles appropriées soient appliquées pour garantir un niveau de sécurité adéquat au risque. Pour protéger les données confidentielles ou personnelles contre la manipulation, la perte ou l'accès non autorisé, le module Dallmeier offre les fonctions suivantes:

• De manière optionnelle, le 'principe des quatre yeux', qui exige deux mots de passe pour accéder aux enregistrements.
• Gestion des groupes d'utilisateurs via AD/LDAP pour le contrôle des droits d'accès.
• Une procédure d'authentification sécurisée, selon IEEE 802.1X, pour protéger le réseau contre les accès non autorisés.
• Chiffrement de bout en bout avec TLS 1.2 / 256 Bit AES pour la protection de la transmission, autant de données que de vidéo, entre les systèmes actuels Dallmeier.
• Définition de la période d'enregistrement pour chaque groupe d'utilisateurs, les images antérieures à cette période ne pouvant pas être consultées.
• Détection et prévention fiables des tentatives de connexion par cyberattaques. Si des tentatives de connexion répétées sont détectées depuis une adresse IP inconnue, elle est automatiquement bloquée pendant un certain temps.
• Possibilité d'utiliser appliancesd'enregistrement comme passerelle de sécurité du système vidéo. Par ici, le réseau vidéo et le réseau de production sont séparés, ce qui empêche l'accès non autorisé, Par exemple, via des caméras à l'extérieur, et réduit la charge du réseau.
• Développement de toutes les solutions matérielles, logicielles et microprogrammes dans la propre entreprise et, avec ça, l'impossibilité d'accès cachés par des portes dérobées, en plus des systèmes d'exploitation renforcés.
• Mécanismes de basculementet redondance contre la perte de données.
• Certification LGC pour une conservation des preuves conforme à tous les critères pour leur admission devant les tribunaux.

Attention aux certificats de protection des données 'conformes' au RGPD

En principe, l'UE encourage l'introduction de certifications en matière de protection des données ou de labels de protection des données, car ceux-ci doivent accroître la transparence et faciliter aux entreprises la preuve de conformité au RGPD.

Cependant, dans ce domaine, il y a des points importants à prendre en compte: por un lado, malgré la période transitoire de deux ans, aucune certification valide n'est délivrée avant le 25 mai 2019 qui garantissent une conformité avec les exigences du RGPD. D'un autre côté, il n'est pas possible d'obtenir des certifications pour des produits ou services spécifiques, mais uniquement pour des processus de traitement des données.

En somme, ce n'est pas possible, Par exemple, une caméra de surveillance 'conforme au RGPD'. En plus, en ce qui concerne les certificats et labels de protection des données, il faut vérifier que tant l'organisme de certification lui-même que le processus d'évaluation qu'il propose pour un processus de traitement des données, soient officiellement accrédités selon le RGPD. Sinon, ces certificats n'ont aucun effet juridique en relation avec le RGPD.

Un certificat accrédité 'réel' se reconnaît, Par exemple, par le logo correspondant d'un organisme d'accréditation national officiel, comment peut être le Deutsche Akkreditierungsstelle en Allemagne (Dakks). Les organismes d'accréditation 'examineront' ces organismes qui, à son tour, délivrent une certification ou un label de protection des données. Pour cette raison, les entreprises devraient accorder la priorité à une accréditation officielle des certificats et labels de protection des données conformément au RGPD et ne pas dépenser inutilement de l'argent pour des certificats 'fictifs'.

Depuis 25 mai 2018, bien qu'il existe sur le papier de nombreux paragraphes et articles sur la loi sur la protection des données, son interprétation finale dans la mise en œuvre pratique n'est pas encore du tout claire et sera discutée et définie intensivement par les autorités nationales et européennes de contrôle de la protection des données, incluyendo una valoración final por el Tribunal de Justicia Europeo en los puntos controvertidos.

Por ese motivo, el mejor camino para las empresas en lo referente a vídeo seguridad es no confiar en las partes individuales -posiblemente con certificados ‘ficticios’- de una solución de vídeo seguridad, sino disponer, durante todo el proceso de tratamiento de datos de vídeo, de aquellas tecnologías y procedimientos relevantes para la protección y seguridad de datos que sean necesarias, para así reaccionar de manera flexible a las exigencias previsibles.

Jürgen Seiler

Gérant de davidiT, filiale de conseil de Dallmeier