Appendice : Conformité au RGPD

Mener une analyse d’impact

Avant d’installer et de mettre un place des systèmes de vidéosurveillance, vous devez mener une analyse d’impact relative à la protection des données et de la vie privée.

L’objectif d’une analyse de l’impact des opérations de traitement est de déterminer l’impact du système proposé sur la protection de la vie privée et d’autres droits fondamentaux des individus et d’identifier des mesures pour diminuer ou éviter des effets négatifs.

Quels doivent-être les efforts déployés dans l’analyse d’impact ? Tout dépend des circonstances. Un système de vidéosurveillance présentant un risque élevé d’empiéter sur la vie privée justifie d’un plus grand investissement qu’un système de vidéosurveillance avec un impact limité sur la vie privée, tel qu’un système CCTV statique conventionnel.

Conformément à l’article 35 (7) du RGPD, l’analyse doit au moins contenir :

• Une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement

• Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités

• Une évaluation des risques pour les droits et libertés des personnes concernées conformément à l’article 35 (1) du RGPD :

  Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel. Une seule et même analyse peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires.

• Les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du RGPD, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées

Quoi qu’il en soit et dans tous les cas, vous devez évaluer et justifier la nécessité de recourir à de la vidéosurveillance, comment placer les caméras, sélectionner et configurer les systèmes et comment mettre en place les mesures de protection des données requises. Pour plus d’informations sur la sécurité de vos installations VMS XProtect, voir le guide de durcissement et le guide des certificats.

Droit d’accès

L’article 15 du RGPD confère aux personnes concernées le contrôle sur leurs données à caractère personnel, y compris le droit d’accéder à leurs données. Un élément particulièrement important est le droit des personnes concernées d’obtenir une copie de leurs données et que les personnes tierces sont masquées (via des outils tiers).

Sur demande, les institutions doivent fournir à la personne concernée toutes les données à caractère personnel la concernant, y compris la vidéo collectée par un système de vidéosurveillance.

Assurez-vous d’établir les procédures et politiques officielles pour la gestion des demandes du droit d’accès, décrites dans Registre des transferts et divulgations.

Transferts et divulgations

Le RGPD définit trois grandes règles concernant les transferts en fonctions de si les enregistrements sont transférés vers :

• Un destinataire au sein de l’institution ou vers une autre institution

  Dans ce cas, le RGPD prévoit que les enregistrements peuvent faire l’objet d’un transfert à des tiers au sein de l’institution ou vers une autre institution si ce transfert est nécessaire à l’exécution légitime de missions relevant de la compétence du destinataire.

• Des destinataires à l’intérieur de l’Union européenne

  Dans ce cas (transfert en dehors des institutions mais à l’intérieur de l’Union européenne), ce transfert est possible s’il est nécessaire à l’exécution d’une mission effectuée dans l’intérêt public ou relevant de l’exercice de l’autorité publique, ou si le destinataire démontre la nécessité du transfert et s’il n’existe aucune raison de penser que ce transfert pourrait porter atteinte aux intérêts légitimes des personnes dont les images sont transférées.

• Ou vers l’extérieur de l’Union européenne

  Dans ce cas, le transfert en dehors de l’Union européenne est possible : (1) s’il a pour seul objectif de permettre l’exécution de la mission de l’institution et (ii) moyennant le respect de conditions supplémentaires visant principalement à garantir la protection adéquate des données à l’étranger.

Registre des transferts et divulgations

Les institutions doivent maintenir un registre, dans la mesure du possible, au format électronique, des transferts et divulgations. Chaque transfert vers un tiers doit y être inscrit (toute personne au sein de l’institution vers qui un transfert a lieu par ceux ayant accès aux enregistrements en premier lieu est également considérée comme un tiers. En général, cela inclut tout transfert en dehors de l’unité de sécurité). En outre, le registre doit contenir toutes les instances dans lesquelles des tiers ont eu accès aux enregistrements ou lorsque le contenu des enregistrements a été divulgué de quelque façon que ce soit à des tiers et ce, même si la copie de l’enregistrement de la vidéosurveillance n’a pas été transférée.

Le registre doit au moins contenir ce qui suit :

• La date des enregistrements
• La partie requérante (nom, titre et institution)
• Le nom et le titre de la personne qui autorise le transfert
• Une brève description du contenu des enregistrements
• Le motif de la demande et le motif de l’accord
• Si une copie de l’enregistrement a été transférée, si l’enregistrement a été montré ou si des informations orales ont été données

Droit à l’oubli (droit à l’effacement)

L’article 17 du RGPD confère aux personnes concernées le contrôle sur leurs données à caractère personnel, y compris le droit d’obtenir l’effacement de leurs données à caractère personnel si elles ne sont plus nécessaires au regard des finalités du système.

Conformément à l’article 17 (1)(c) du RGPD, le responsable du traitement doit répondre aux objections des personnes concernées. Étant donné la difficulté d’effacer d’une vidéo une personne concernée spécifique, les responsables du traitement doivent limiter le plus possible la durée de rétention de la vidéo conformément aux finalités documentées du système.

Procédure

Consultez la durée de rétention de toutes les caméras et assurez-vous de la configurer conformément aux finalités documentées du système.

Le droit d’être oublié s’applique peu à la vidéosurveillance étant donné que la durée de rétention est en général courte et que d’autres bases juridiques annulent les intérêts techniques et juridiques « raisonnables », telles que l’obligation juridique (loi sur l’emploi), les intérêts d’ordre public (prévention de la criminalité, santé et sécurité publiques), les intérêts d’ordre vital (données critiques et de la santé, environnements dangereux, les intérêts légitimes (détection des fraudes, emploi, développement de produit) ou l’entrée en vigueur de contrats (emploi, souscriptions et licences). Un exemple d’un intérêt légitime est que les enregistrements de la vidéosurveillance doivent constituer une source de preuve de confiance à tout moment, c’est pourquoi le VMS protège essentiellement les preuves vidéo contre la falsification et assure leur authentification, ce qui rend le droit à l’oubli secondaire.

En général, il existe deux raisons pour lesquelles les personnes concernées s’opposent au stockage des enregistrements vidéo :

• Les intérêts du responsable du traitement de stocker les données sont annulés par les intérêts ou les droits fondamentaux et les libertés de la personne concernée, qui requiert la protection de ses données à caractère personnel (article 17 (1)(c), RGPD)
• Les données à caractère personnel ont fait l’objet d’un traitement illicite, par exemple, la surveillance d’une crèche ou de vestiaires (article 17 (1)(d), RGPD)

Chaque demande doit donc être examinée minutieusement.

Durée de rétention des enregistrements

Le principe général est que les enregistrements ne doivent pas être retenus plus longtemps que nécessaire aux finalités pour lesquelles ils ont été menés. Il faut également considérer le caractère nécessaire de l’enregistrement en premier lieu et si la surveillance en direct sans enregistrement serait suffisante.

Si une institution opte pour l’enregistrement, elle doit spécifier la durée de rétention des enregistrements. Les enregistrements doivent être effacés une fois cette période écoulée. VMS Milestone XProtect automatise ce processus de suppression en effaçant automatiquement les enregistrements plus anciens que la durée de rétention.

Lorsque les fichiers qui contiennent des données de vidéo enregistrée sont supprimés par le VMS, ces fichiers et leur contenu ne sont pas effacés des blocs de données du système de stockage, mais simplement marqués comme étant libres dans le système de fichiers, ce qui permet l’écriture des autres fichiers à cet emplacement sur le système de stockage. Jusqu’à ce que les blocs de données ne soient écrasés avec de nouvelles données, les anciennes données vidéo supprimées peuvent être restaurées, autorisant ainsi l’accès à des enregistrements plus anciens que la durée de rétention configurée.

C’est pour cette raison qu’il est recommandé de ne pas sur-dimensionner le système de stockage car le risque s’élève en cas de surcharge de la taille.

Par exemple, si le système de stockage affecté est deux fois plus grand que la quantité de données vidéo stockées pour la durée de rétention configurée, par exemple sept jours, les blocs de données supprimés qui contiennent d’anciennes données vidéo supprimées peuvent rester dans le système de stockage durant sept jours supplémentaires avant qu’ils ne soient écrasés.

Pour mieux réduire le risque d’accès aux anciennes données vidéos qui ont été supprimées, et pour des questions de sécurité en général, il est recommandé d’activer le cryptage des bases de données multimédia car outre la restauration des fichiers supprimés, cela requiert également l’interruption du cryptage.

Que les données vidéo aient été cryptées ou non, une fois que les disques du système de stockage ne sont plus utilisables, il est important de nettoyer ou procéder à la destruction physique des disques durs qui ont été utilisés pour stocker les bases de données multimédia avant de vous en débarrasser (par exemple, par déchiquetage ou par un autre moyen similaire).

Pour plus d'informations sur comment configurer cette installation dans Milestone XProtect, voir la section Stockage et archive (explications) dans le manuel de l'administrateur pour un VMS XProtect.

Si la vidéosurveillance est en place pour une question de sécurité et qu’un incident de la sécurité a lieu et qu’il est déterminé que les enregistrements sont nécessaires à l’enquête de l’incident ou utilisés comme preuve, l’enregistrement concerné peut être conservé au-delà de la durée de rétention normale et aussi longtemps que nécessaire. Ils doivent, bien évidemment, être supprimés par la suite.

Durée de rétention à des fins de sécurité typiques : d'une semaine à un mois

Lorsque les caméras sont installées pour des questions de sécurité, le délai suffisant pour que le personnel de la sécurité décide de conserver un enregistrement plus longtemps pour enquêter sur un incident de sécurité ou pour l’utiliser comme preuve, est d’une semaine à un mois.

Exemple de législation locale : conformément à la loi allemande sur la protection des données et à la plupart des documentations sur la protection des données, cette durée de rétention varie de 48 à 72 heures à titre de référence pour le contrôle d’accès et l’enquête d’infractions pénales.

État membre ou territoire de pays tiers : 48 heures

Lorsque la surveillance couvre des zones extérieures de bâtiments du territoire (généralement, près des zones d’entrée et de sortie) d’un État membre (ou d’un pays tiers) et qu’il n’est pas possible d’éviter l’enregistrement de passagers ou de voitures par les caméras, il est recommandé de réduire la durée de rétention à 48 heures ou bien de tenir compte le plus possible des préoccupations locales.

Droit à la limitation du traitement

En référence à l’article 18 (1) du RGPD, la personne concernée a le droit d’obtenir la limitation du traitement. Dans un scénario de VMS basique, la personne concernée peut prétendre que le traitement VMS est illicite, par exemple, si la personne concernée ignore qu’un espace public est soumis à une vidéosurveillance comportant des masques de confidentialité. Il est recommandé d’utiliser un modèle de demande formulée par la personne concernée pour enregistrer la réclamation (voir Demande de personne concernée). Pour un exemple de modèle de demande de personne concernée, voir le modèle Milestone Demande de personne concernée.

La réclamation doit être traitée dans un délai raisonnable, plus vite que celui de la durée de rétention afin d’éviter la rétention automatique ou la suppression d’une preuve du VMS dans le processus de la réclamation. Il est généralement recommandé de solliciter l’aide d’un avocat concernant la restriction du traitement. Un moyen de répondre à ladite demande est de permettre à l’administrateur du VMS de limiter les superviseurs ou opérateurs du VMS par le biais de rôles pour que ces derniers aient uniquement la possibilité de lire les enregistrements dans un cours laps de temps après l’enregistrement, comme quatre heures ou un jour (voir Procédure : « Considérer restreindre l’accès des opérateurs à la vidéo enregistrée, soit complètement, uniquement à la vidéo enregistrée au cours des dernières heures ou seulement avec une double autorisation »). Les limites de la lecture s’appliquent également à la protection des preuves. Si de plus amples limitations du traitement sont requises, il est recommandé de mener une analyse d’impact commercial ainsi qu’une analyse d’impact sur la protection des données (voir Mener une analyse d’impact) dans le cadre de la gestion de la réclamation.

Procédure

• Documenter la résolution des différents points de la scène des caméras
• Documenter la durée de rétention voulue
• Considérer l’application d’un masquage de confidentialité (permanent ou amovible)
• Considérer la configuration de permissions de voir des vidéos en direct et enregistrées
• Considérer restreindre l’accès à l’exportation d’enregistrements et à la suppression des masques de confidentialité
• Vérifier régulièrement les rôles et responsabilités des opérateurs, enquêteurs, administrateurs du système et autres, ainsi que leur accès au système
• Considérer restreindre l’accès aux groupes chargés d’enquêter sur les caméras qui ont été spécifiquement positionnées pour capturer l’identité (par exemple, le visage des personnes qui entrent dans une boutique)
• Considérer restreindre l’accès des opérateurs à la vidéo enregistrée, soit complètement, uniquement à la vidéo enregistrée au cours des dernières heures ou seulement avec une double autorisation
• Limiter le nombre d’utilisateurs qui ont un rôle d’administrateur

Prérequis pour la protection des données dès la conception

Protection des données dès la conception et protection des données par défaut

Conformément au RGPD, lorsqu’il traite lesdites données, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données stipulés dans le RGPD. Le RGPD s’y réfère comme la protection des données dès la conception.

Dans le cas d’une caméra, un bon exemple de protection des données dès la conception serait une fonctionnalité qui permet numériquement à l’utilisateur de restreindre la capture des images d'un périmètre donné, empêchant ainsi la caméra de capturer toute image en dehors de ce périmètre qui serait en temps normal capturée.

Le VMS XProtect prend en charge le masquage de confidentialité de deux façons : les masques permanents qui ne peuvent pas être supprimés, et les masques amovibles qui peuvent être retirés (avec les autorisations appropriées) pour révéler l’image figurant derrière le masque.

Le responsable du traitement doit également mettre en œuvre des mesures techniques et organisationnelle, qui, par défaut, garantissent un traitement des données à caractère personnel en question le moins indiscret possible. Le RGPD s’y réfère comme protection des données par défaut. Dans le cas d’une caméra, un exemple pertinent de la protection des données par défaut peut être l’utilisation d’un masque de confidentialité pour garder privées les zones sensibles au sein de la vue de la caméra.

Exemple d’une fonctionnalité de XProtect qui prend en charge l’approche de la protection des données par défaut

Milestone développe régulièrement son portfolio de produits, et la protection des données par défaut constitue un critère-clé d’évaluation pour garantir que XProtect est conforme au RGPD. Pour plus d’informations, voir le guide sur le cycle de développement sécurisé sur Milestone. Ce guide représente une partie intégrante de la protection des données par défaut en appliquant des principes, tels que la « défense en profondeur », le « moindre privilège », en évitant moins de paramètres de sécurité par défaut et en arrêtant des fonctionnalités peu utilisées par défaut.

Garantir la protection des données par défaut

• Prendre en compte la résolution de différents points dans le champ de la caméra et documenter ces paramètres

  La qualité des images varie selon les finalités. Lorsque l’identification n’est pas nécessaire, la résolution de la caméra et d’autres facteurs ajustables doivent être choisis pour garantir qu’aucune image de visages reconnaissables ne soit capturée.

• Crypter vos enregistrements

  Milestone vous recommande de sécuriser vos enregistrements en activant au moins Cryptage faible dans l’option stockage et archives de vos serveurs d’enregistrement. Milestone utilise l’algorithme AES-256 pour le cryptage. Si vous sélectionnez Cryptage faible, seule une partie de l’enregistrement sera cryptée. Si vous sélectionnez Cryptage complet, l’intégralité de l’enregistrement sera crypté.

• Crypter les bases de données des enquêtes

  Milestone vous recommande de sécuriser les bases de données des enquêtes sur le Mobile Server.

• Sécuriser le réseau

  Milestone vous recommande de sélectionner les caméras qui prennent en charge HTTPS. Il est recommandé de configurer les caméras sur des VLAN séparés et d’utiliser HTTPS pour la communication entre votre caméra et le serveur d’enregistrement, et entre les clients et le serveur d’enregistrement.

  Il est recommandé d’activer le chiffrement pour toutes les communications entre tous les serveurs et clients. Pour plus d’informations sur la sécurité de vos installations VMS XProtect, voir le guide de durcissement et le guide des certificats.

  Il est recommandé de placer XProtect Smart Client et XProtect Smart Wall sur le même VLAN que celui des serveurs.

  Si vous utilisez Smart Client ou Smart Wall depuis un lieu éloigné, utilisez un VPN crypté ou similaire.

• Activer et documenter la durée de rétention voulue

  Conformément à l’article 17 (1)(a) du RGPD, les enregistrements ne doivent pas être retenus plus longtemps que nécessaire aux finalités pour lesquelles ils ont été menés. Milestone vous recommande de configurer la durée de rétention en conséquence. Cette action automatise alors la suppression de la vidéo.

• Sécuriser les exports

  Milestone vous recommande d’autoriser l’accès aux fonctionnalités d’exportation uniquement à un certain ensemble d’utilisateurs qui ont besoin de cette permission.

  Milestone vous recommande également de modifier le profil Smart Client de manière à autoriser les exportations uniquement au format XProtect avec le cryptage activé. Les exportations au format AVI et JPEG ne doivent pas être autorisées car elles ne peuvent pas être sécurisées. Cela rend l’exportation de toute preuve protégée par un mot de passe, cryptée et requérant une signature numérique, assurant ainsi que la pièce judiciaire est authentique, infalsifiable et vue uniquement par le destinataire autorisé.

• Activer le masquage de confidentialité (permanent ou amovible)

  Utilisez le masquage de confidentialité pour éviter la surveillance de zones non pertinentes à la cible de votre surveillance.

• Restreindre les autorisations d’accès via des rôles

  Appliquer le principe du moindre privilège (PoLP).

  Milestone recommande d’autoriser l’accès aux fonctionnalités uniquement à un ensemble d’utilisateurs sélectionné qui ont besoin de cette permission. Par défaut, seul l’administrateur du système peut accéder au système et aux tâches de performance. Aucun nouveau rôle et utilisateur créé n’a accès à aucune fonctionnalité tant qu’il n’est pas volontairement configuré par un administrateur.

  Configurez des autorisations pour toutes les fonctionnalités, notamment le visionnage de la vidéo en direct et des enregistrements, l’écoute de l’audio, l’accès aux métadonnées, le contrôle des caméras PTZ, l’accès et la configuration de Smart Wall, le retrait des masques de confidentialité, le travail avec les exportations, l’enregistrement de captures d’écran, etc.

  Restreignez l’accès des opérateurs à la vidéo enregistrée, à l’audio et aux métadonnées, soit complètement, soit à la vidéo uniquement ou soit aux métadonnées enregistrées au cours des dernières heures ou moins.

  Analysez et vérifiez régulièrement les rôles et responsabilités des opérateurs, enquêteurs, administrateurs du système et autres, ainsi que leur accès au système. Le principe du moindre privilège s’applique-t-il encore ?

• Activer et utiliser la vérification en deux étapes

  Milestone vous recommande de spécifier une étape de connexion supplémentaire pour les utilisateurs de XProtect Mobile ou de XProtect Web Client en activant la vérification en deux étapes.

• Restreindre les permissions des administrateurs

  Milestone vous recommande de limiter le nombre d’utilisateurs qui ont un rôle d’administrateur.

Configurer le système de vidéosurveillance

Le principe fondamental commun à toutes les recommandations contenues dans cette section est qu’il faut réduire le plus possible tout impact négatif sur le respect de la vie privée et sur les autres droits fondamentaux et intérêts légitimes des personnes surveillées.

Emplacement des caméras et angles de vue

Les caméras doivent être placées de façon à filmer le moins possible des endroits inutiles pour l’objectif recherché.

En règle générale, lorsqu’un système de vidéosurveillance est installé dans le but de protéger les actifs (biens ou informations) de l’institution ou la sécurité de son personnel et de ses visiteurs, l’institution doit limiter la surveillance

• à des endroits soigneusement sélectionnés contenant des informations sensibles, des articles de valeur ou d’autre bien nécessitant une protection accrue pour une raison spécifique,
• aux points d’entrée et de sortie des bâtiments (y compris les issues de secours ainsi que les murs et clôtures entourant le bâtiment ou le terrain), et
• points d’entrée et de sortie à l’intérieur du bâtiment reliant différentes zones soumises à des autorisations d’accès différents et séparés par des portes verrouillées et un autre mécanisme de contrôle d’accès.

Nombre de caméras

Le nombre de caméras à installer dépend de la taille des bâtiments et des besoins de sécurité, qui dépendent eux-mêmes de différents facteurs. Lenombre et le type de caméras qui conviennent à une institution peuvent être tout à fait disproportionnés pour une autre institution. Cependant, toutes choses égales par ailleurs, le nombre de caméras est un bon indicateur de la complexité et de la taille d’un système de surveillance et peut indiquer des risques accrus pour le respect de la vie privée et d’autres droits fondamentaux. L’augmentation du nombre de caméras augmente également le risque que ces caméras ne soient pas utilisées efficacement et que cela provoque une surcharge d’informations. Le Contrôleur européen de la protection des données (CEPD) recommande donc de limiter le nombre de caméras au strict nécessaire pour réaliser les objectifs du système. La politique de vidéosurveillance doit préciser le nombre de caméras.

Horaires de surveillance

Les horaires d’enregistrement des caméras doivent être déterminés de façon à couvrir le moins possible de moments où l’enregistrement ne présente aucun intérêt pour l’objectif recherché. Si l’objectif de la vidéosurveillance est la sécurité, le système doit si possible enregistrer uniquement aux heures présentant une probabilité accrue de problèmes de sécurité.

Résolution et qualité d’image

Il convient d’opter pour une résolution et une qualité d’image adéquates. La qualité d’image requise varie en fonction de l’objectif poursuivi. Par exemple, si l’identification de personnes est essentielle, il convient de prendre en considération la résolution des caméras, les paramètres de compression des systèmes numériques, l’emplacement, l’éclairage et d’autres facteurs et de les définir ou de les modifier de façon à obtenir des images de qualité suffisante pour permettre la reconnaissance des visages. Lorsque l’identification n’est pas nécessaire, la résolution des caméras et les autres paramètres modifiables doivent être choisis de façon à ne pas enregistrer d’images faciales reconnaissables.

Personnes autorisées à accéder au VMS

Les autorisations d’accès doivent être limitées à un petit nombre d’individus clairement identifiés en cas de nécessité absolue. Les politiques d’accès du VMS doivent être définies en suivant le principe du « moindre privilège » : les utilisateurs ont accès uniquement aux informations strictement nécessaires pour l’exécution de leurs tâches.

Seul le responsable du traitement, l’administrateur système ou les autres membres du personnel désignés expressément par le responsable du traitement à cette fin doivent être habilités à accorder, modifier ou supprimer les autorisations d’accès de toutes les personnes. L’octroi, la modification et la suppression des autorisations d’accès doivent toujours se faire dans le respect des critères définis par la Politique de vidéosurveillance de l’institution.

Les personnes qui disposent d’autorisations d’accès doivent en tout temps être des individus clairement identifiables.

La Politique de vidéosurveillance doit clairement spécifier et documenter qui a accès aux enregistrements de vidéosurveillance et/ou à l’architecture technique, par exemple les serveurs du VMS, du système de vidéosurveillance, la raison de cet accès et la nature précise des autorisations d’accès. Vous devez spécifier, plus particulièrement, qui dispose des autorisations pour

• Visionner de la vidéo/écouter de l’audio en temps réel
• Commander les caméras à balayage horizontal, vertical et zoom (PTZ)
• Visionner les enregistrements
• Exporter, ou
• Supprimer un enregistrement

Vous devez également configurer l’accès aux fonctionnalités du VMS suivantes :

• Les signets
• Le verrouillages des preuves
• Enlever les masques de confidentialité
• Exporter
• Déclencher des événements
• Débuter/terminer un enregistrement
• Créer/modifier/supprimer/activer/verrouiller/libérer les positions prédéfinies
• Créer/modifier/supprimer/démarrer/arrêter les schémas de patrouille PTZ
• La recherche avancée
• L’audio, les métadonnées, les permissions E/S et des événements

Protéger les données stockées et transmises

Avant tout, il y a lieu d’effectuer une analyse interne des risques de sécurité afin de déterminer les mesures de sécurité nécessaires pour protéger le système de vidéosurveillance, y compris les données à caractère personnel qu’il traite.

Dans tous les cas, des mesures doivent être prises pour garantir la sécurité en matière de

• Transmission
• Stockage (par exemple, dans des bases de données informatiques)
• Accès (par exemple, accès aux systèmes informatiques et aux locaux)

La transmission doit passer par des canaux de communication sécurisés et protégés contre l’interception, par exemple en procédant comme suit :

• Chiffrez la base de données médias dans le Recording Server et chiffrez toutes les communications entre les serveurs et les clients. Pour plus d’informations sur la sécurité de vos installations VMS XProtect, voir le guide de durcissement et le guide des certificats.

• Connecter la caméra HTTPS au Recording Server

• Utilisez un VPN pour Smart Client ou Management Client connectés via Internet

• Utilisez HTTPS pour Client XProtect Mobile et XProtect Web Client

La protection contre l’interception est particulièrement importante en cas d’utilisation d’un système de transmission sans fil ou de transfert de séquences via Internet. Dans de tels cas, les données doivent être cryptées pendant leur transmission ou bénéficier d’une protection équivalente.

Le cryptage ou d’autres moyens techniques offrant une protection équivalente doivent également être envisagés dans d’autres cas, au niveau du stockage, si l’analyse interne des risques de sécurité le justifie. Cela peut être, par exemple, dans le cas de séquences particulièrement sensibles. L’activation du cryptage de la base de données multimédia le permet.

Tous les locaux servant au stockage ou au visionnage de séquences de vidéosurveillance doivent être sécurisés. L’accès physique à la salle de contrôle et à la salle de serveur où sont situés les serveurs du VMS doit être protégé. Aucune partie tierce (par exemple, personnel d’entretien ou de maintenance) ne doit pouvoir accéder à ces locaux sans surveillance.

L’emplacement des moniteurs doit être défini de façon à ce que les images ne soient pas visibles pour le personnel non autorisé. S’ils doivent être placés près de la réception, les moniteurs doivent être orientés de façon à ce que seul le personnel de sécurité puisse les consulter.

Le VMS XProtect enregistre par défaut les informations de base, mais nous vous recommandons d’activer la journalisation des accès utilisateur dans le Management Client pour le journal d’activité.

Ce système d’archivage numérique doit être mise en place pour permettre, en cas d’audit, de déterminer à tout moment qui a accédé au système, où et quand. Le système d’archivage doit être en mesure d’identifier qui a visionné, supprimé ou exporté n’importe quelle donée de vidéosurveillance (cela nécessite d’activer la journalisation de l’accès des utilisateurs).

Pour plus d’informations, voir le manuel de l’administrateur pour VMS XProtect.

À cet égard comme ailleurs, il convient d’accorder une attention particulière aux rôles et aux pouvoirs essentiels des administrateurs du système et à la nécessité de compenser ces pouvoirs par des mesures de contrôle et de protection suffisantes.

Politiques en matière de protection de l’utilisation des périphériques portables

Il est recommandé de configurer une politique en matière de l’utilisation des périphériques mobiles et applications avec des mesures qui comprennent :

• La prise en compte de l’utilisation du logiciel Mobile Device Management (MDM)

• Limiter le nombre d’employés ayant accès à Client XProtect Mobile ou XProtect Web Client

• La non autorisation des installations de Client XProtect Mobile sur des périphériques privés

• N’utilisez pas d’adresses e-mail privées pour les comptes professionnels sur les périphériques professionnels, car Google ou Apple pourraient identifier les personnes concernées et établir un lien entre les profils personnels et professionnels.

• La création de rôles pour les utilisateurs mobiles qui utilisent des profils de temps

• Créez des comptes pseudonymes sur les périphériques portables qui seront utilisés par les gardes qui patrouillent. Ces comptes Google et Apple peuvent être associés à une adresse e-mail professionnelle, comme par exemple « garde01@nom-d’entreprise.fr » avec comme nom de compte « Garde 01 ».

  L’utilisation de comptes pseudonymes limite la quantité de données personnelles traitée par Google et Apple. En tant que tel, les notifications push ne violent pas l’arrêt Schrems II de la CJUE, car les données personnelles incluses dans les notifications push ne peuvent pas être dépseudonymisées par des organisations ou autorités basées aux États-Unis sans l’aide de l’organisation qui contrôle le VMS.

• L’utilisation de l’authentification en deux étapes

• Si vous utilisez la fonction d’authentification biométrique du système d’exploitation, assurez-vous que l’utilisation de cette fonction d’authentification fournisse un niveau de sécurité acceptable. L’authentification biométrique améliore la sécurité globale tant qu’elle est utilisée en combinaison avec une politique de mots de passe renforcés.

  En adoptant l’authentification biométrique, vous pouvez devenir des contrôleurs de données pour le traitement de catégories particulières de données personnelles, conformément à l’article 9 du RGPD sur les données biométriques.

• La limitation de la durée de rétention des enquêtes à un minimum et sa documentation

• La notification aux opérateurs mobiles de supprimer des captures d’écran devenues non pertinentes

• La désactivation de la sauvegarde automatique des bibliothèques d’images des périphériques mobiles vers les serveurs à distance, tels que Google et Apple

Vous devez également avoir des politiques et des procédures en place en cas de perte ou de vol de l’équipement, plus particulièrement si ce dernier peut exposer des données personnelles.

Si un équipement comme un appareil mobile ou un smartphone est perdu ou volé, vous devez :

• Désactiver le compte d’utilisateur

• Forcer la modification d’un mot de passe pour la réactivation du périphérique