Appendice : Le système Milestone XProtect VMS et le RGPD

Remarque : Cette description décrit les exigences et limitations pour un produit conforme au label européen de protection des données à caractère personnel (EuroPriSe). Un responsable du traitement des données ou un sous-traitant de données qui dévient de ces exigences ne peut prétendre utiliser un produit qui protège les données et qui est conforme au RGPD.

Composants et périphériques qui n'ont pas le label européen de protection des données à caractère personnel

Les composants suivants n'ont pas le label européen de protection des données à caractère personnel :

  • Les modules d'extension disponibles sur Milestone Marketplace
  • Serveur XProtect Mobile (désactivé par défaut)
  • Client XProtect Mobile
  • XProtect Web Client
  • XProtect Access (désactivé par défaut)
  • XProtect LPR (désactivé par défaut)
  • XProtect Transact (désactivé par défaut)
  • Milestone Interconnect
  • XProtect DLNA Server
  • Milestone Open Network Bridge (sécurise l'intégration vidéo du privé vers le public)
  • Modules d’extension XProtect Event Server
  • Traitement des données audio (désactivé par défaut)
  • Traitement des métadonnées (désactivé par défaut)
  • Traitement des données des périphériques d'entrée vers les périphériques de sortie (désactivé par défaut)
  • XProtect BYOL tel que fourni via https://aws.amazon.com/marketplace/pp/B089DKW36G

Pour une installation de Milestone XProtect VMS ayant le label européen de protection des données à caractère personnel, ces composants ne doivent pas être installés.

En outre, le produit standard n'effectue pas la reconnaissance faciale, l'analyse des comportements, le suivi automatique ou la reconnaissance de personnes dans le flux en direct ou dans les médias enregistrés. Ces fonctionnalités ne sont pas non plus conforme au label européen de protection des données à caractère personnel.

En d'autres termes, dans le programme d'installation, quand vous installez le XProtect VMS, n'utilisez pas l'option Ordinateur seul car il installera automatiquement le Mobile Server.

Installez plutôt le système XProtect VMS avec l'option Distribuée ou Personnalisée. Ces options n'installe pas le Mobile Server.

Une fois XProtect VMS installé, la page de téléchargements du Management Server répertoriera les composants supplémentaires du DLNA Server et du Mobile Server. N'installez pas ces serveurs.

Guide de mise à niveau

Pour une mise à niveau vers une installation de Milestone XProtect VMS version 2018 R2 ou une version plus récente, les anciens fichiers journaux doivent être effacés manuellement afin que l'installation soit conforme au RGPD.

Une fois XProtect VMS mis à niveau, il est possible de supprimer les anciens fichiers journaux par le biais des informations et outils décrits dans l'article Base de connaissance.

Sécuriser le réseau pour l'authentification et la transmission de données

Dans la mesure du possible, concevez une infrastructure du réseau qui utilise un réseau physique ou une segmentation VLAN.

Milestone vous recommande de sélectionner les caméras qui prennent en charge HTTPS. Il est recommandé de configurer les caméras sur des VLAN séparés et d'utiliser HTTPS pour la communication entre votre caméra et le serveur d'enregistrement et entre les clients et le serveur d'enregistrement.

Il est recommandé de placer XProtect Smart Client et XProtect Smart Wall sur le même VLAN que celui des serveurs.

Si vous utilisez Smart Client ou Smart Wall depuis un lieu éloigné, utilisez un VPN crypté ou similaire.

Activer le cryptage de toutes les communications. Pour plus d'informations sur la sécurité de vos installations XProtect VMS, voir le guide de durcissement et le guide des certificats.

Remarque : Un transport des données vidéo non-crypté et non-sécurisé enfreint le label européen de protection des données à caractère personnel et provoque la non-conformité au label européen de protection des données à caractère personnel.

Masquage des personnes pour l'accès

Conformément à l'article 15 du RGPD, la personne concernée a le droit d'accéder à ses données à caractère personnel qui sont traitées, par exemple, les enregistrements vidéo de la personne concernée.

La personne concernée a le droit de demander à une entreprise des informations sur quelles données à caractère personnel (le concernant) sont traitées et les raisons de ce traitement.

Étant donné que XProtect VMS ne prend pas en charge l'identification automatique des personnes, vous devez mettre en place des mesures supplémentaires pour protéger les droits des personnes. Dans le cas du VMS, voir Appendice : Avis sur place.

En outre, XProtect VMS ne prend pas en charge le masquage des personnes qui accompagnent la personne exerçant son droit d'accès.

Différentes solutions de partenaires techniques de Milestone proposant un floutage dynamique de toutes les personnes ou de personnes tierces sont disponibles sur Milestone Marketplace. Il est également possible d'ajouter le floutage à des images seules ou à des flux vidéo manuellement ou de façon assistée après l'exportation. Certaines entreprises proposent le floutage en tant que service (par exemple, FACIT Data Systems).

Suppression partielle des enregistrements vidéo

Conformément à l'article 17 du RGPD, la personne concernée a le droit d'obtenir l'effacement de données à caractère personnel la concernant. Dans le cas du VMS, ce droit n'est pas souvent respecté en raison de la satisfaction des intérêts légitimes (détection de fraude, santé et sécurité) ou d'autre finalités commerciales indiquées dans la politique de la vidéosurveillance (voir Droit à l'oubli (droit à l'effacement) et Appendice : Politique de vidéosurveillance). Les politiques en matière de vidéosurveillance définissent la rétention automatique (7 jours par défaut) pour assurer la suppression automatique des images, ce qui permet un juste équilibre des droits des personnes concernées quant aux finalités commerciales raisonnables.

Si la personne concernée demande l'effacement des données la concernant, il est recommandé que le responsable du traitement utilise une Demande de la personne concernée pour documenter la demande (voir Demande formulée par la personne concernée). Pour un modèle d'exemple d'une demande de personne concernée, voir le modèle Milestone Demande de personne concernée.

Vous devez supprimer tous les enregistrements de la ou les caméra(s) en question.

Pour conserver tous les autres enregistrements qui ne doivent pas être supprimés, exportez toutes les données et maintenez-les protégées. Vous ne pouvez pas restaurer ces données dans le VMS.

Toute exportation doit être cryptée et soumise à la signature numérique. Elle ne doit également exclure les intervalles de temps spécifiés de la ou les caméra(s) spécifiées en question. Autrement dit, exportez les données correspondant jusqu'à l'heure/la date et exportez-les après l'heure/la date. Cela peut entraîner des sauvegardes de plusieurs périodes.

Le Smart Client – Player peut ensuite être utilisé pour consulter les données.

Il est recommandé que le responsable du traitement sollicite l'aide d'un avocat, qu'il effectue une évaluation de l'incidence sur les entreprises et une analyse d'impact sur la vie privée (voir Mener une analyse d'impact) avant d'exécuter le droit d'être oublié de la personne concerné étant donné que la suppression peut provoquer de nouveaux risques de l'entreprise qui pourraient faire basculer la balance des intérêts et introduire des risques pouvant affecter la protection de la confidentialité d'autres personnes concernées.

Utilisation des arrières-plans géographiques dans XProtect Smart Client

XProtect Smart Client prend en charge l'utilisation d'arrières-plans géographiques. Ces arrières-plans affichent les arrières-plans des plans.

Vous risquez d'enfreindre le RGPD lorsque vous utilisez l'un des services de carte suivants, et vous ne serez plus conforme au RGPD dans la certification EuroPriSe :

  • Bing Maps
  • Google Maps
  • Milestone Map Service

Ces services ne fournissent pas de protections adéquates concernant le traitement de données à caractère personnel au sein des États-Unis. Le client devient (conjointement) le responsable du traitement des données d'utilisateur.

Consultez les mises à jour de la Commission européenne concernant l'arrêt Schrems II sur le site Web officiel.

Comme alternative, il est recommandé de configurer le service OpenStreetMap privé pour l'arrière-plan géographique.

Intégration des partenaires enregistrés

Lorsqu'une licence est activée, Milestone collecte des données pour chaque intégration. Le XProtect VMS recueille des données sur les modules d'extension et les fabricants des modules d'extension ainsi que sur les modules d'extension et intégrations utilisées par le client.

Les données collectées pour chaque installation sont :

  • Le nom de l'intégration

  • Le fabricant de l'intégration

  • La version de l'intégration

  • Le type de l'intégration (autonome Smart Client, Management Client, Event Server) et le nombre d'instances de chaque type (c'est-à-dire le nombre de clients exécutant le module d'extension)

Les développeurs de module d'extension ne doivent jamais utiliser de noms personnels lorsqu'ils enregistrent leur produit. Ils voient uniquement utiliser le nom de l'entreprise.

Les données sont traitées uniquement par Milestone si le fabricant du module d'extension figure sur Marketplace et qu'il a approuvé le traitement des données à des fins d'amélioration de Milestone XProtect Corporate (et non à des fins commerciales ou d'étude de marché). Si le module d'extension n'est pas enregistré, les données sont immédiatement supprimées. La base légale du traitement est l'article 6 (1)(f) du RGPD, qui indique les intérêts légitimes de Milestone et des utilisateurs du VMS.

Mesures de protection supplémentaires

Pour vous assurer que la configuration Milestone XProtect VMS est conforme au RGPD, consultez cette liste qui fournit des protections supplémentaires à prendre en compte lors de la configuration du système.

Problème Impact négatif sur la confidentialité Conseil pour le responsable du traitement
Les caméras PTZ et le masquage de confidentialité ne fonctionnent pas ensemble. Les masques ne suivent pas les mouvements des caméras PTZ. Le renforcement du respect de la vie privée peut être contourné.

Milestone vous recommande de procéder à l'une des solutions suivantes :

  • Vous ne devriez pas utiliser la fonctionnalité de masquage de confidentialité intégrée dans XProtect sur les caméras PTZ car le masque est statique pra rapport aux pixels décodés de l'image et non par rapport à la direction ou l'emplacement du la caméra PTZ.
  • Désactiver les fonctionnalités PTZ lorsque vous utilisez les masques.
  • Acheter des caméras PTZ qui prennent en charge le masquage de confidentialité dynamique (ainsi, les zones sélectionnées sont toujours masquées, quel que soit l'emplacement et le zoom de la caméra).
L'utilisation d'un microphone ou d'un périphériques de métadonnées peut empiéter sur la vie privée des personnes. (Dans XProtect Corporate, ces paramètres sont désactivés par défaut.)

L'utilisation du microphone peut facilement enfreindre les dispositions du RGPD.

Remarque : L'utilisation du microphone et des périphériques de métadonnées n'est pas couverte par le label européen de protection des données à caractère personnel. Son utilisation enfreindrait le label EuroPriSe.

Avant d'activer les microphones et les périphériques de métadonnées, vous devez vous assurer d'avoir une finalité clairement justifiée pour la collecte des données. Voir Existe-t-il une base légale justifiant la collecte des données ?
Les opérateurs et les administrateurs peuvent exporter ou copier des données vidéo, des archives vidéo, des sauvegardes de la configuration et des journaux d'activité vers des disques durs locaux ou vers des médias amovibles, comme des CD, des DVD, des clés USB, etc. Les données à caractère personnel ne sont plus du ressort de XProtect VMS. Les données ne sont plus protégées par les mécanismes de contrôle d'accès du XProtect VMS et elles ne peuvent pas être effacées par XProtect VMS une fois atteinte la durée de rétention. Cela provoque le risque d'une conservation des données plus longue que celle autorisée, une utilisation autre que les finalités indiquées et la violation de la confidentialité des données.

Les responsables du traitement doivent prendre de mesures techniques et organisationnelles pour protéger les données qui ne sont plus du ressort du XProtect VMS. Voir Gestion des données exportées pour consulter les possibles mesures à prendre.

Les données des journaux d'activité et les autres données à caractère personnel ne sont pas cryptés par le produit avant leur conservation dans les bases de données SQL.

Les administrateurs des bases de données peuvent accéder aux données des journaux d'activité en utilisant les clients de la bases de données. XProtect Corporate ne peut pas contrôler ou enregistrer cet accès.

Le plus important est la divulgation des données sensibles du journal d'activité à des utilisateurs non-autorisés. Voir Protéger les données stockées et transmises. Pour plus d'informations sur comment sécuriser vos installations de XProtect VMS contre les cyberattaques, voir le guide de durcissement.

Procédez de la manière suivante :

  • Mettez en place d'un concept de rôles adéquate pour l'administration de la base de données.
  • Limitez l'accès à la base de données uniquement aux personnes autorisées.
  • Si possible, activez le cryptage de la base de données via des mécanismes de base de données.
Le produit met en place une fonctionnalité de sauvegarde. Cette fonctionnalité sauvegarde la configuration du VMS mais pas de la base de données des journaux d'activité. La destruction physique du support de données qui possède la base de données des journaux d'activité peut empêcher le responsable du traitement de respecter ses obligations lorsqu'aucune sauvegarde des journaux d'activité n'existe.

Envisager de créer des sauvegarde de la base de données des journaux d'activité.

Si le responsable du traitement décide de créer des sauvegardes de la base de données des journaux d'activités, il devrait également établir un processus pour supprimer les sauvegardes une fois atteinte la durée de rétention et le protéger contre un accès non-autorisé (par exemple, le cryptage de la sauvegarde, le blocage des multimédias de la sauvegarde, etc.). Pour plus d'informations, voir le manuel de l'administrateur pour VMS XProtect.
XProtect VMS utilise des jetons d'authentification/autorisation non-sécurisés par un cryptage pour certaines communications client vers serveur et serveur vers serveur sur des canaux de communication non-sécurisés.

Les détracteurs ayant un accès au réseau pourraient intercepter les jetons et les utiliser pour se faire passer pour des utilisateurs du VMS ou des composants du serveur. Cela pourrait compromettre la confidentialité des données vidéo ou l'intégrité de l'intégralité du système.

Remarque : Il est nécessaire de configurer un VPN ou une adresse HTTPS afin de protéger les communications non-sécurisées et ainsi être conforme au label EuroPriSe.

Procédez de la manière suivante :

  • Utilisez des VPS sécurisé par le biais du cryptage. Pour plus d'informations sur comment sécuriser vos installations de XProtect VMS contre les cyberattaques, voir le guide de durcissement.
  • Séparez les réseaux. Pour plus d'informations sur comment sécuriser vos installations de XProtect VMS contre les cyberattaques, voir le guide de durcissement.
  • Configurez l'adresse HTTPS du Recording Server. Pour plus d'informations sur la sécurité de vos installations XProtect VMS, voir le guide de durcissement et le guide des certificats.
Le produit permet la configuration des durées de rétention des journaux d'activité, des données vidéo, des alarmes et d'autres données à caractère personnel. La configuration de durée de rétention sur des périodes trop longues peut enfreindre les exigences du RGPD en matière de limite de conservation (article 5 (1)(e) et article 17 du RGPD). Les durées de rétention doivent s'adapter aux finalités du traitement (voir Droit à l'oubli (droit à l'effacement)).
Les administrateurs peuvent configurer les destinataires des courriers électroniques qui peuvent recevoir des extraits vidéo ou des images du VMS lorsque certains événements surviennent. Il est impossible de configurer une liste blanche des domaines autorisés pour ces destinataires de courriers électroniques. Une faute de frappe peut provoquer une violation de données lorsqu'une partie tierce reçoit des courriers électroniques comportant des données vidéo ou des alarmes du système.

Informer le responsable du traitement de ce risque.

Milestone recommande d'établir un processus organisationnel, tel que le principe des « quatre yeux » qui réduit le risque de failles lors de la saisie des adresses électroniques.
Les notifications sont des courriers électroniques envoyés à une adresse électronique spécifique. Lors de la création d'une notification, l'administrateur peut choisir d'inclure un ensemble de captures d'écran ou un AVI d'une séquence. Étant donné que les captures d'écran et les séquences AVI jointes aux notifications partent du VMS, elles se retrouvent hors du contrôle du VMS concernant l'accès utilisateur et la conservation.

Étant donné que les courriers électroniques et leur contenu se retrouvent hors du contrôle de l'accès utilisateur et de la conservation du VMS, il est recommandé de ne pas attacher d'images ou de séquences AVI aux notifications de courriers électroniques.

Si le client a besoin de cette fonctionnalité, il doit au moins s'assurer de la mise en place de procédures et contrôles organisationnels de la part des destinataires des courriers électroniques et s'informer sur leur gestion. Voir Gestion des données exportées dans les notifications et courriers électroniques.