Parties prenantes principales du RGPD en matière de vidéosurveillance

Trois types de parties prenantes dans le cas du RGPD et de la vidéosurveillance. Cette section définit chaque partie prenante et décrit leurs responsabilités respectives par rapport au RGPD.

Personne concernée

Une personne concernée constitue toute personne dont les données à caractère personnel sont collectées, conservées et traitées.

Les personnes concernées sont les objets vus dans une vidéosurveillance, que ce soit intentionnel ou accidentel.

Les personnes concernées sont également toute personne enregistrée impliquée dans l’exécution du VMS, par exemple, les opérateurs et les gardes tiers désignés.

Le principal objectif du RGPD est de protéger les données à caractère personnel des personnes concernées.

Droits des personnes concernées

Les articles 12 à 23 du RGPD portent sur les droits des personnes concernées.

  • Section 1 : Transparence et modalité
    • Article 12 : Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée
  • Section 2 : Informations et accès aux données à caractère personnel
    • Article 13 : Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée
    • Article 14 : Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée
    • Article 15 : Droit d’accès de la personne concernée (voir Droit d’accès)
  • Section 3 : Rectification et effacement
    • Article 16 : Droit de rectification
    • Article 17 : Droit à l’oubli (droit à l’effacement) (voir Droit à l’oubli (droit à l’effacement))
    • Article 18 : Droit à la limitation du traitement (voir Droit à la limitation du traitement)
    • Article 19 : Obligation de notification en ce qui concerne la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement
    • Article 20 : Droit à la portabilité des données
  • Section 4 : Droit d’opposition et décision individuelle automatisée
    • Article 21 : Droit d’opposition
    • Article 22 : Décision individuelle automatisée, y compris le profilage
  • Section 5 : Limitations
    • Article 23 : Limitations

Parmi ces derniers, les droits les plus pertinents concernant la vidéosurveillance sont :

Le droit à l’information (articles 12 à 14 et 34, RGPD)

L’article 12 traite de la transparence et des modalités, tandis que les articles 13 et 14 abordent les informations et l’accès aux données à caractère personnel. Ces articles accordent à la personne concernée le droit d’informations sur ses données à caractère personnel collectées et leur durée de rétention. Dans le cas du VMS, voir Appendice : Avis sur place.

L'article 34 accorde à la personne concernée le droit d’être informé en cas de violation des données si cette dernière peut représenter un risque élevé pour les droits et les libertés de la personne concernée.

Le droit à l’accès (article 15, RGPD)

Ce droit accorde à la personne concernée la possibilité d’accéder à ses données à caractère personnel qui sont traitées, tels que les enregistrements vidéo de la personne concernée.

La personne concernée a le droit de demander à une entreprise dese informations sur quelles données à caractère personnel (le concernant) sont traitées et les raisons de ce traitement.

Le droit à l’effacement (« droit à l’oubli ») (article 17, RGPD)

Ce droit accorde à la personne concernée la possibilité de demander la suppression de ses données. Dans le cas d’un VMS, la suppression sur demande des personnes concernées est exceptionnelle en raison des intérêts du responsable du traitement et des durées de rétention. (Voir Appendice : Politique de vidéosurveillance et Suppression partielle des enregistrements vidéo dans Appendice : Le système Milestone XProtect VMS et le RGPD).

Le droit à l’opposition (article 21, RGPD)

Ce droit accorde à la personne concernée la possibilité de s’opposer au traitement de leurs données à caractère personnel. Dans le cas d’un VMS, d’autres intérêts, telles que les intérêts légitimes (détection des fraudes, santé et sécurité, les obligations légales (comptabilité, blanchissement d’argent) ou même l’entrée en vigueur de contrats (contrats d’emploi) peuvent annuler les intérêts et droits de la personne concernée. Dans tous les cas, le traitement doit être entièrement transparent afin que la personne concernée puisse être informée et s’y opposer. Si la personne concernée s’oppose, le responsable du traitement doit examiner l’opposition. Dans le cas contraire, il pourrait être soumis à une amende.

Demande de personne concernée

Votre entreprise doit avoir un processus de traitement des demandes des personnes concernées, par exemple celle d’exercer son droit de demande d’accès. Ces demandes doivent être traitées dans les meilleurs délais. Conformément à l’article 12 (3) du RGPD, il est entendu " sans tarder et au plus tard dans un délai d’un mois à compter de la réception de la demande. ” Il est recommandé d’avoir recours à un modèle de Demande formulée par la personne concernée pour enregistrer les demandes car elles peuvent être critiques dans l’application du RGPD avec des autorités nationales chargées de la protection des données. Pour un exemple de modèle de demande de personne concernée, voir le modèle Milestone Demande de personne concernée.

La Politique de la vidéosurveillance décrit la demande formulée par la personne concernée (voir Appendice : Politique de vidéosurveillance).

Définition des données personnelles

Afin d’être conforme au RGPD, vous devez avoir connaissance de la définition des données à caractère personnel et limiter la collecte des données au strict nécessaire.

Conformément au règlement, les données à caractère personnel sont toute information se rapportant à une personne physique identifiée ou identifiable.

Une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel que :

  • Un nom
  • Un numéro d’identification
  • Données de localisation
  • Un identifiant en ligne, par exemple une adresse IP ou un identificateur de cookies
  • Des données d’utilisateur
  • Des images vidéo
  • Un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne

Les données à caractères personnel sont tout type d’informations pouvant, directement ou indirectement, être utilisées pour identifier une personne physique (personne concernée). Il s’agit des données pouvant être utilisées pour identifier les objets vus de la vidéosurveillance, que les données soient collectées volontairement ou non.

Les données à caractère personnel protégées par le RGPD sont:

  • Les données traitées par le produit informatique ou le service basée sur l’informatique (par exemple, nom et adresse d’une personne, image vidéo, informations de paiements, renseignements médicaux).
  • Données qui sont involontairement produites lors de l’utilisation du produit ou service (par exemple, les données d’utilisation, les fichiers journaux, les données de statistiques, les données d’autorisation, les données de configuration). Ces données peuvent être des données à caractère personnel des utilisateurs du services, des données à caractère personnel des personnes exécutant le produit ou service (cela peut inclure le personnel du fournisseur du service et le personnel des utilisateurs du produit ou service) ou des données de configuration liée à la vie privée (voir Responsable du traitement).

Les données personnelles constituent toute information liée à une personne physique identifiée ou identifiable ou une personne concernée, par exemple :

  • Nom complet
  • Adresse postale
  • Adresse e-mail
  • Numéro de téléphone
  • Données de localisation
  • Identité numérique
  • Plaque d’immatriculation
  • Numéro du permis d’un conducteur
  • Numéros de carte bancaire
  • Informations identifiables, images, etc., telles que des enregistrements vidéo et des images statiques
  • Activités des utilisateurs, telles que celles figurant dans les fichiers journaux

Ces données ne sont pas forcément liées de manière directe uniquement à l’objet. Une donnée à caractère personnel peut également constituer un quasi-identificateur. Les quasi-identificateurs sont des éléments d’informations qui ne sont pas en soi des identifiants uniques, mais qui sont suffisamment corrélés à une information, ce qui permet de les utiliser avec d’autres quasi-identifiants pour créer un identifiant unique. Les quasi-identifiants sont particulièrement importants lorsqu’il s’agit de catégories spéciales de données à caractère personnel.

Les catégories spéciales de données incluent des données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que les données relatives à la santé ou à la vie sexuelle, par exemple :

  • Antécédents médicaux
  • Données biométriques (dont les photos, vidéos et empreintes)
  • Casier judiciaire
  • Origine raciale ou ethnique
  • Données génétiques
  • Opinions politiques et engagements
  • Convictions religieuses ou philosophiques
  • Orientation sexuelle et vie sexuelle

Ci-dessous les données à caractère personnel pouvant potentiellement être collectées par un système de vidéosurveillance :

Types de descriptions de données personnelles conservées par XProtect relevant du RGPD

Les données à caractères personnel sont tout type d’informations pouvant, directement ou indirectement, être utilisées pour identifier une personne physique (personne concernée). Il peut s’agir de flux de vidéosurveillance, d’une seule image ou d’une séquence vidéo mêlée à d’autres informations d’emplacement des caméras et/ou des cartes à couche, d’une intégration de contrôle d’accès qui identifie une carte d’accès personnelle et qui l’unit à un emplacement spécifique, ou des données de la reconnaissance de plaques d’immatriculation (LPR) avec ou sans données d’emplacement.

Les catégories de vidéo à caractère personnel spéciales consistent en de la vidéosurveillance près des hôpitaux (liées à des informations médicales), des prisons (condamnation pénale), des activités politiques (appartenance syndicale), des activités religieuses ou des images qui révèlent l’orientation sexuelle (par exemple, des bars gays).

Les données à caractère personnel concernent également à l’activité des données d’utilisateurs (opérateur, superviseur et administrateur) et à la journalisation des activités. Cela inclut les journaux d’utilisateur personnels XProtect Smart Client, dont les horodatages de connexion et de déconnexion, et la journalisation des activités des flux vidéo, de l’audio et des métadonnées consultés, ainsi que la lecture et l’exportation d’enregistrements.

Voir Risques associés à l’utilisation d’un VMS pour vous assurer de n’enfreindre aucun droit personnel

Responsable du traitement

Dans ce cas de la vidéosurveillance, est entendu comme responsable du traitement toute personne possédant et exécutant des systèmes de vidéosurveillance. Le responsable du traitement est l’entité légale qui collecte, traite et partage des données des personnes concernées.

Responsabilités du responsable du traitements

Le responsable du traitement se doit de respecter les principes de protection des données ainsi que certaines obligations spécifiques. Le responsable du traitement doit mettre en place les mesures techniques et organisationnelles adéquates pour garantir et pouvoir démontrer que le traitement est conforme au RGPD. Cela inclut également :

  • L’application et le maintien de politiques et procédures de sécurité de l’information pour protéger les données à caractère personnel. Ces politiques et processus doivent être approuvés au niveau le plus élevé au sein de l’institution et ils donc obligatoires pour les membres du personnel.
  • Maintenir une vue d’ensemble des enregistrements des données personnelles et des flux de traitement, par exemple via un registre des activités de traitement (article 30 du RGPD) et une liste des systèmes et archives traitant ces données personnelles (le système VMS XProtect et d’autres systèmes qui retiennent des données personnelles, tels que les dossiers du personnel, les accords de traitement des données, etc., y compris les informations sur comment et où les données personnelles sont traités). Pour un exemple de modèle d’un registre des activités de traitement, voir Registre des activités de traitement : modèle.
  • La mise en place de mécanismes qui exécutent les politiques et processus internes, dont les procédures de réclamations, pour assurer l’efficacité de ces politiques dans la pratique. Cela inclut la création de campagne de sensibilisation sur la protection des données ainsi que des formations et instructions pour le personnel. Une formation de sensibilisation est disponible sur https://www.milestonesys.com/solutions/services/learning-and-performance/.
  • La définition d’une Politique de vidéosurveillance (voir Appendice : Politique de vidéosurveillance). La politique doit renvoyer aux lois nationales concernant la vidéosurveillance.
  • Mettre en œuvre des analyses d’impact sur la protection des données, en particulier pour les opérations de traitement des données pouvant présenter des risques spécifiques sur les droits et libertés des personnes concernées, par exemple, du fait de leur nature, de leur portée ou de leur finalité (voir Appendice : Analyse d’impact relative à la protection des données).
  • La garantie de la transparence de ces mesures adoptées pour les personnes concernées et le public en général. Les exigences en matière de transparence contribuent à l’obligation de rendre compte des responsables du traitement des données (par exemple, la publication des politiques de confidentialité sur internet, la transparence concernant les procédures de réclamations internes et la publication de rapports annuels).
  • Publier la notification de droit d’information au public (voir Appendice : Avis sur place). Cette notification informe les personnes concernées des finalités de la surveillance, de qui conserve les données collectées les concernant (responsable du traitement) et des politiques de rétention.
  • L’assignation des responsabilités concernant la protection des données aux personnes qui sont directement responsables du bon respect des lois de protection des données de leur institution. En particulier, la désignation d’un délégué à la protection des données (DPD).

Délégué à la protection des données (DPD)

Chaque institution doit avoir un DPD désigné ou au moins une personne désignée responsable de la confidentialité.

Avant tout, les projets d’installation ou de mise à jour d’un système de vidéosurveillance doivent être communiqués au DPD.

Le DPD doit être consulté dans tous les cas et dans les plus brefs délais dans tous les cas liés à la protection des données à caractère personnel qui sont traités lorsque le service est fourni ou utilisé.

Le DPD doit être impliqué à toutes les étapes du processus décisionnel.

Les responsabilités du responsable de la protection des données (RPD) incluent les éléments suivants :

  • Participer à la définition des finalités de la vidéosurveillance de l’entreprise, par exemple, la prévention de la criminalité, la détection de la fraude, la vérification de la qualité du produit ou de la santé et la sécurité du public, entre autres.
  • Commenter le projet de Politique de vidéosurveillance de l’institution, y compris ses annexes (voir Appendice : Politique de vidéosurveillance), corriger les erreurs et proposer des améliorations
  • Aider dans les communications avec les autorités nationales ou régionales de protection des données
  • Réviser les accords avec les parties tierces lors du partage de données. Autrement dit, mettre à jour et gérer l’accord du traitement des données (voir Appendice : Accord de traitement des données)
  • Élaborer des rapports de conformité et mener des audits pour obtenir une certification des parties tierces qui approuvent les mesures internes adoptées pour garantir que la conformité gère, protège et sécurise de manière efficace les données à caractère personnel
  • Conserver et s’assurer que le registre des activités de traitement et les analyses d’impact de la protection des données (voir Appendice : Analyse d’impact relative à la protection des données) sont mises à jour à chaque changement important concernant la protection des données sur le VMS. Pour un exemple de modèle d’un registre des activités de traitement, voir Registre des activités de traitement : modèle.

Rôles du responsable du traitement

La section ci-dessous décrit les responsabilités des responsables du traitement :

Responsable de la sécurité (superviseur du VMS)

Les responsables de la sécurité ou les superviseurs sont responsables de la mise en place d’un environnement conforme au RGPD. Les responsables de la sécurité doivent :

Gestion des autorisations utilisateur

Personnes autorisées à accéder au VMS

Les institutions doivent :

  • Limiter l’accès des utilisateurs à un petit nombre de personnes clairement identifiées, sur la base du besoin de savoir.
  • Maintenir des journaux d’activité de l’accès et des activités des utilisateurs.

Les autorisations d’accès doivent être limitées à un petit nombre d’individus clairement identifiés en cas de nécessité absolue. Assurez-vous que les utilisateurs autorisés peuvent accéder uniquement aux données auxquelles se réfèrent leurs autorisations d’accès. Des politiques de contrôle d’accès doivent être définies en suivant le principe du « moindre privilège » : les utilisateurs doivent avoir accès uniquement aux informations strictement nécessaires à l’exécution de leurs tâches.

En cas de partage d’un ordinateur, Milestone recommande que les opérateurs du VMS ne partagent pas leur compte de connexion à Windows. Chaque opérateur doit avoir un compte individuel.

En outre, les opérateurs du logiciel de gestion des vidéos ne doivent pas sélectionner l’option « Se souvenir de mon mot de passe » lorsqu’ils se connectent au système VMS.

Seul le responsable de la sécurité, l’administrateur du système ou les autres membres du personnel désignés expressément par le responsable de la sécurité doivent être habilités à accorder, modifier ou supprimer des autorisations d’accès de toutes les personnes. L’octroi, la modification et la suppression des autorisations d’accès doivent toujours se faire dans le respect des critères définis par la Politique de vidéosurveillance (voir Appendice : Politique de vidéosurveillance).

Les personnes qui disposent d’autorisations d’accès doivent en tout temps être des individus clairement identifiables. Par exemple, aucun identifiant ou mot de passe générique ou courant ne doit être attribué à une entreprise de sécurité externalisée, qui emploie plusieurs personnes pour travailler pour l’institution.

La Politique de vidéosurveillance doit spécifier et documenter clairement l’architecture technique du système de vidéosurveillance, qui a accès aux séquences de vidéosurveillance, la raison de cet accès et la nature précise des autorisations d’accès. Vous devez spécifier, plus particulièrement, qui dispose des autorisations pour :

  • Visionner ou accéder à la vidéo en temps réel
  • Commander les caméras à balayage horizontal, vertical et zoom (PTZ)
  • Voir ou accéder à la vidéo enregistrée
  • Exporter des enregistrements et des pistes de vérification
  • Supprimer ou effacer des périphériques (caméras) et supprimer les enregistrements
  • Modifier toute donnée après la configuration d’origine

En outre, vous devez vous assurer que ces permissions sont uniquement accordées pour les accès nécessaires aux fonctionnalités du VMS suivantes :

  • Gérer le VMS
  • Créer/modifier/consulter/supprimer des signets
  • Créer/modifier/consulter/supprimer des protections des preuves
  • Enlever les masques de confidentialité
  • Exporter à des chemins définis (par exemple, exporter uniquement au format XProtect avec cryptage vers un lecteur partagé)
  • Lire les journaux d’activité
  • Débuter/terminer un enregistrement
  • Créer/modifier/supprimer/activer/verrouiller/libérer les préréglages PTZ
  • Créer/modifier/supprimer/démarrer/arrêter les schémas de patrouille PTZ
  • L’audio, les métadonnées, les permissions E/S et des événements

Formation à la protection des données

L’ensemble du personnel ayant des autorisations d’accès, y compris le personnel extérieur qui effectue les opérations CCTV ou la maintenance du système journalières, doit recevoir une formation sur la protection des données et doit avoir connaissance des dispositions du RGPD dans la mesure où elles concernent leurs tâches. La formation doit faire particulièrement attention au besoin d’empêcher la divulgation de la vidéosurveillance à quiconque ne constituant pas une personne autorisée.

La formation du personnel est essentielle est doit inclure :

  • La cybersécurité
  • L’exportation de données du VMS
  • Push vidéo

Une formation doit être tenue lors de l’installation d’un nouveau système, lorsque des modifications importantes ont lieu sur le système, lorsqu’une nouvelle personne rejoint l’institution, ainsi qu’à intervalles réguliers par la suite. En ce qui concerne les systèmes existants, une formation initiale doit avoir lieu lors de la période de transition ainsi qu’à intervalles réguliers par la suite.

Pour de plus amples informations sur le RGPD pour les opérateurs du VMS, voir le Milestone Guide de confidentialité du RGPD pour les opérateurs du VMS et la Milestone formation en ligne sur le RGPD pour les opérateurs du VMS.

Administrateur du système VMS

Les administrateurs de système sont responsables de la configuration d’un environnement de système conforme au RGPD. Les administrateurs de système sont en charge, entre autres, de :

  • Appliquer et maintenir un haut niveau de sécurité globale. Pour plus d’informations sur comment sécuriser vos installations VMS XProtect contre les cyberattaques, voir le guide de durcissement.
  • Appliquer une politique de mot de passe sécurisé
  • Mener des audits de sécurité
  • S’assurer que les périphériques enregistrent selon les finalités définies, par exemple, sur événement, sur mouvement, de manière permanente, etc.
  • S’assurer que la durée de rétention des enregistrements et des journaux d’activité est configuré conformément aux lois locales et aux finalités définies du VMS
  • Garantir la gestion des utilisateurs (ajouter et supprimer des utilisateurs)
  • S’assurer que les caméras suivent les lois sur la vie privée et qu’elles ne filment pas de zones qui ne doivent pas être enregistrées en appliquant des masques de confidentialité sur les zones concernées
  • Contacter le Délégué de la protection des données (DPD) en cas de suspicion de non-conformité au RGPD, par exemple, dans le cas d’une violation de données de matériels vidéo (voir Appendice : Conformité au RGPD)

Opérateur du VMS

Les opérateurs du VMS doivent suivre les processus et les instructions de travail lorsqu’ils accèdent aux données dans le système, par exemple, lorsqu’ils visionnent de la vidéo ou qu’ils exportent de la vidéo, entre autres.

Afin d’être conformes au RGPD, les opérateurs doivent avoir :

Gestion des données exportées

L’exportation a lieu en cas d’incident qui requiert le partage de preuves avec les autorités. Si vous disposez des autorisations utilisateur pour exporter les preuves, vous êtes également responsable de leur gestion. Il s’agit d’une action particulièrement sensible en raison des consentements et du fait que les données partent du système de surveillance. La plupart du temps, il s’agit d’un incident qui implique une activité criminelle. La preuve peut contenir des informations privées sensibles. Lorsque vous les exportez, elle est généralement conservée sur un stockage amovible (clé USB, disque optique, etc.).

Si la donnée termine dans de mauvaises mains, la confidentialité de la vie privée des personnes concernées présentes dans la preuve pourrait être perdue.

Vous devez compter sur un processus clair pour l’exportation de preuves, qui couvre :

  • Qui peut exporter la preuve ?
  • Où la preuve est-elle conservée en attendant son transfert vers les autorités ?
  • Les personnes ayant accès
  • Le ou les formats à utiliser
  • Le cryptage doit-il être appliqué (hautement recommandé) ?
  • Quand la preuve est-elle détruite ?

Les responsables du traitement doivent prendre de mesures techniques et organisationnelles pour protéger les données qui ne sont plus du ressort du Milestone XProtect VMS. Ces mesures peuvent être :

  • Limiter la permission d’exporter des vidéos et des journaux d’activité à un personnel spécifique uniquement
  • Considérer le cryptage des données avant ou après l’exportation
  • Appliquer des masques de confidentialité avant l’exportation de donnée vidéo, si besoin
  • Protéger physiquement les médias amovibles contenant des données à caractère personnel
  • Établir des politiques qui assurent que les données à caractère personnel sont supprimées des médias conformément à la durée de rétention
  • Maintenir un registre des médias amovibles : qui a exporté quelle donnée vers le média ? À qui a-t-elle été envoyée et à quelle fin ? Le destinataire est-il informé de détruire le média ou de le retourner une fois la finalité atteinte ? Etc.
  • Utiliser les politiques de groupe de Windows pour désactiver les ports USB ou l’accès aux médias sur les PC des clients
  • Surveiller les journaux d’activité à la recherche d’événements d’exportation non autorisés
  • Engager les employés sur la politique de protection des données
  • Effacer les médias ou les détruire physiquement si l’effacement n’est pas possible (par exemple, les DVD)

S’il est nécessaire de masquer des parties de la vue de la caméra d’une séquence vidéo qui sera partagée avec des tiers, l’opérateur VMS doit utiliser la fonctionnalité d’exportation de Smart Client plutôt que de XProtect Web Client, car XProtect Web Client ne prend pas en charge le masquage de confidentialité.

Voir la Milestone formation au RGPD pour les opérateurs du VMS pour de plus amples informations sur la gestion des exportations de données.

Gestion des données exportées dans les notifications et e-mails

Outre les exportations, les données peuvent également être extraites du VMS par le biais de pièces-joints aux notifications. Les notifications sont des courriers électroniques envoyés à une adresse électronique spécifique. Lors de la création d’une notification, l’administrateur peut choisir d’inclure un ensemble de captures d’écran ou un AVI d’une séquence. Étant donné que les captures d’écran et les séquences AVI jointes aux notifications partent du VMS, elles se retrouvent hors du contrôle du VMS concernant l’accès utilisateur et la conservation. Il est recommandé de ne pas joindre d’images ou de séquences AVI aux notifications par courrier électroniques. Si les pièces-jointes sont nécessaires, vous devez au moins vous assurer de la mise en place de procédures et contrôles organisationnels de la part des destinataires des courriers électroniques et s’informer sur leur gestion.

Les opérateurs du VMS qui utilisent un périphérique portable doivent prendre en compte le fait que les galeries multimédia sur leur périphérique peuvent être automatique sauvegardées sur les serveurs de Google ou d’Apple, si cette fonctionnalité est configurée sur le périphérique. Dans ce cas, la présence d’images de personnes identifiables peut mener à des transferts de données vers un pays tiers illégaux.

Pour gérer cette situation, vous devez mettre en place des politiques de confidentialité et de sécurité avec un logiciel de gestion des périphériques portables, et établir des protections, telles que celles répertoriées dans Politiques en matière de protection de l’utilisation des périphériques portables.

Ensuite, vous devez compter sur un processus clair, qui couvre :

  • L’endroit où les données sont stockées

    Assurez-vous que les serveurs qui envoient et reçoivent des courriers électroniques sont sous le contrôle de l’institution du responsable du traitement ou sous-traitant des données de la vidéosurveillance. En particulier, les destinataires ne doivent pas posséder de messageries électroniques sur des messageries gratuites, telles que Gmail ou Hotmail, entre autres.

  • Les personnes ayant accès

  • Le ou les formats à utiliser

  • Application du cryptage SMTP

    Utilisez un serveur de messagerie SMTP/SMTPS. Vous devez crypter la connexion entre le VMS et les serveurs de messagerie externalisés, ainsi qu’entre les serveurs SMTP d’envoi et de réception.

  • Délai de destruction de la preuve

    Milestone recommande d’aligner la durée de rétention des données vidéo des messageries électroniques entrantes et sortantes sur la durée de rétention de la base de données des médias ou sur la durée de rétention des alarmes qui peuvent être déclenchées par les mêmes événements que ceux ayant causé la notification.

    La durée de rétention des messageries électroniques doit avoir une limite raisonnable pour la finalité du processus de notification.

    Milestone recommande d’utiliser uniquement les messages électroniques du responsable du traitement ou du sous-traitant des données et de configurer la suppression automatique des courriers électroniques une fois la durée de rétention atteinte.

    Les responsables du traitement/sous-traitants des données doivent s’assurer que ces messageries électroniques ne sont pas automatiquement archivées par le système de message électronique.

Des considérations regardant de la protection des preuves

Avec la fonctionnalité de protection des preuves, les opérateurs du client peuvent protéger des séquences vidéo, y compris l’audio et d’autres données, contre toute suppression, si nécessaire, par exemple, lorsqu’une enquête ou un procès est en cours.

Lorsque les données sont protégées, elles ne peuvent pas être supprimées, ni automatiquement par le système après le temps de rétention par défaut du système ou dans d’autres situations, ni manuellement par les utilisateurs du client. Le système ou un utilisateur ne peut pas supprimer les données tant qu’un utilisateur disposant des autorisations utilisateur suffisantes ne déverrouille pas la protection de la preuve.

Vous devez garder uniquement des enregistrements bloqués tant qu’il y a une raison valable pour les conserver, par exemple, une enquête en cours. Le fait de conserver indéfiniment des enregistrements est non-conforme au RGPD.

Considérations concernant la vidéo push

La vidéo push permet à l’opérateur de diffuser la vidéo en continu en direct à partir d’un smartphone sur le VMS.

La vidéo push sera probablement plus intrusive que les systémes de surveillance fixes plus standard en raison de sa mobilité.

Avant de décider d’utiliser un système doté de cette fonctionnalité, il est important de justifier son utilisation et de déterminer si elle est ou non proportionnée, nécessaire et si elle répond à un besoin social urgent. Il est recommandé de procéder à une évaluation de l’impact sur la protection de données pour démontrer si c’est le cas. Voir Appendice : Analyse d’impact relative à la protection des données.

En cas d’utilisation de périphériques dotés de la fonctionnalité vidéo push, il est important de savoir quand et quand ne pas enregistrer. Il est également important d’utiliser ces périphériques uniquement dans les installations définies de votre installation de vidéosurveillance, c’est-à-dire, la zone que vous avez couverte de panneaux de signalisation. Il est donc important que des panneaux de signalisation clairs soient affichés, par exemple sur l’uniforme d’un individu, pour indiquer que l’enregistrement est en cours.

Les opérateurs qui utilisent ces périphériques doivent recevoir une formation sur l’emplacement où cette fonctionnalité peut être utilisée et comment respecter la vie privée des personnes enregistrées avec la vidéo push, par exemple, le non enregistrement de personnes dans des situations privées ou vulnérables. Voir Formation à la protection des données.

Violation de données personnelles

Le RGPD définit une « violation de données personnelles » comme étant « une violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisés de données à caractère personnel transmises, stockées ou traitées d’une autre manière. »

Dans le cas d’une violation des données, le DPD doit décider de notifier ou non l’Autorité de protection des données et les personnes concernées impliquées, conformément aux articles 33 et 34 du RGPD.

Conformément à l’article 33 (1) du RGPD :

En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

Si cela est jugé nécessaire, le responsable doit publier une notification de violation des données 72 heures au plus tard après avoir en avoir pris connaissance (voir Violation de données personnelles). Pour un modèle d’exemple d’une notification de violation des données, voir le modèle Milestone Notification de violation des données. Les personnes concernées doivent également être notifiées si la violation des données à caractère personnel « est susceptible de provoquer un risque élevé pour les droits et libertés des personnes concernées. »

Les sous-traitants de données qui font face à une violation des données à caractère personnel doivent notifier le responsable du traitement, mais autrement, ils n’ont aucune autre obligation de notification ou rapport conformément au RGPD.

Pour de plus amples informations sur les autres responsabilités du DPD, voir Responsable du traitement.

Sous-traitant

Si une entreprise sous-traite toutes ou une parties de ses activités de vidéosurveillance à un tiers (un traitement de données), elle demeure responsable du respect du RGPD en tant que contrôleur de données. Par exemple, les gardes de la sécurité en charge de la surveillance vidéo en direct dans la zone de réception d’une institution travaillant pour une entreprise privée avec laquelle l’institution sous-traite la tâche de la surveillance en direct. Dans ce cas, l’institution doit s’assurer que les gardes de la sécurité réalisent leurs activités conformément au RGPD.

Pour être conformes au RGPD, les responsables du traitement tiers (à l’exception de l’application des lois) doivent :