Appendice : Le système Milestone XProtect VMS et le RGPD

Composants et périphériques non couverts

Les composants suivants ne sont pas couverts :

  • Les modules d’extension disponibles sur Milestone Marketplace
  • XProtect Access (désactivé par défaut)
  • XProtect LPR (désactivé par défaut)
  • XProtect Transact (désactivé par défaut)
  • Milestone Interconnect
  • XProtect DLNA Server
  • Milestone Open Network Bridge (sécurise l’intégration vidéo du privé vers le public)
  • XProtect Rapid REVIEW
  • Modules d’extension XProtect Event Server
  • Traitement des données audio (désactivé par défaut)
  • Traitement des métadonnées (désactivé par défaut)
  • Traitement des données des périphériques d’entrée vers les périphériques de sortie (désactivé par défaut)
  • XProtect BYOL tel que fourni via https://aws.amazon.com/marketplace/pp/prodview-ryozifnbg4kas

Guide de mise à niveau

Pour une mise à niveau vers une installation de VMS Milestone XProtect version 2018 R2 ou une version plus récente, les anciens fichiers journaux doivent être effacés manuellement afin que l’installation soit conforme au RGPD.

Une fois VMS XProtect mis à niveau, il est possible de supprimer les anciens fichiers journaux par le biais des informations et outils décrits dans l’article de la base de connaissances.

Sauvegarder les bases de données SQL Server

Il est recommandé de faire une sauvegarde de la base de données SQL Server, en particulier avant de lancer une mise à niveau, afin de pouvoir restaurer l’installation précédente en cas d’échec de la mise à niveau. Que la mise à niveau soit effectuée à partir du programme d’installation XProtect ou Management Client, ou via les fonctions natives SQL Server, vous devez conserver les données de sauvegarde dans un endroit sécurisé et ne pas les stocker sur un lecteur cloud si le fournisseur de cloud est en dehors de l’UE, comme Microsoft.

Pour plus d’informations, voir le manuel de l’administrateur pour VMS XProtect.

Ne pas utiliser de serviceSQL Server géré

Bien que XProtect prenne en charge l’utilisation de bases de données gérées en externe telles qu’Azure SQL Database, cela expose éventuellement des données personnelles en dehors de l’UE. Pour la conformité au RGPD, n’utilisez pas de service SQL Server géré.

Sécuriser le réseau pour l’authentification et la transmission de données

Dans la mesure du possible, concevez une infrastructure du réseau qui utilise un réseau physique ou une segmentation VLAN.

Milestone vous recommande de sélectionner les caméras qui prennent en charge HTTPS. Il est recommandé de configurer les caméras sur des VLAN séparés et d’utiliser HTTPS pour la communication entre votre caméra et le serveur d’enregistrement, et entre les clients et le serveur d’enregistrement.

Il est recommandé de placer XProtect Smart Client et XProtect Smart Wall sur le même VLAN que celui des serveurs.

Si vous utilisez Smart Client ou Smart Wall depuis un lieu éloigné, utilisez un VPN crypté ou similaire.

Activer le cryptage de toutes les communications. Pour plus d’informations sur la sécurité de vos installations VMS XProtect, voir le guide de durcissement et le guide des certificats.

Collecte des données et paramètres de confidentialité

La collecte de données dans Serveur XProtect Mobile, Client XProtect Mobile et XProtect Web Client peut enfreindre le RGPD.

Vous pouvez activer la collecte des données d’utilisation depuis le XProtect Management Client, dans la boîte de dialogue Options, dans l’onglet Paramètre de confidentialité.

Ces données d’utilisation fournissent des informations sur les failles et les statistiques d’utilisation. Les données sont traitées via Google Firebase.

En cas d’activation de la collecte des données, vous risquez d’enfreindre le RGPD si vous activez Google Analytics.

Le traitement par Google se produit en dehors de l’U.E.

Même si les données sont configurées pour être anonymisées, Milestone ne peut pas garantir que Google ne peuvent pas obtenir de données personnelles à partir des données traitées par ces derniers.

Lors de la mise en place d’une évaluation des intérêts légitimes (EIV), veuillez vous référer à ce qui suit :

Le Comité européen de la protection des données (EDPB) indique qu’un consentement conformément à l’article 49 (1)(a) du RGPD ne s’applique pas à Google Analytics, car le traitement à des fins d’analyse ne constitue pas une exception (voir International Association of Privacy Professionals sur Schrems II).

Retrouvez toutes les mises à jour de l’arrêt Schrems II par la Commission Européenne sur le site officiel.

Masquage des personnes pour l’accès

Conformément à l’article 15 du RGPD, la personne concernée a le droit d’accéder à ses données à caractère personnel qui sont traitées, tels que les enregistrements vidéo de la personne concernée.

La personne concernée a le droit de demander à une entreprise des informations sur quelles données à caractère personnel (le concernant) sont traitées et les raisons de ce traitement.

Étant donné que VMS XProtect ne prend pas en charge l’identification automatique des personnes, vous devez mettre en place des mesures supplémentaires pour protéger les droits des personnes. Dans le cas du VMS, voir Appendice : Avis sur place.

En outre, VMS XProtect ne prend pas en charge le masquage des personnes qui accompagnent la personne exerçant son droit d’accès.

Différentes solutions de partenaires techniques de Milestone proposant un floutage dynamique de toutes les personnes ou de personnes tierces sont disponibles sur Milestone Marketplace. Il est également possible d’ajouter le floutage à des images seules ou à des flux vidéo soit manuellement, soit de façon assistée après l’exportation. Certaines entreprises proposent le floutage en tant que service (par exemple, FACIT Data Systems).

Suppression partielle des enregistrements vidéo

Conformément à l’article 17 du RGPD, la personne concernée a le droit d’obtenir l’effacement de données à caractère personnel la concernant. Dans le cas du VMS, ce droit n’est pas souvent respecté en raison de la satisfaction des intérêts légitimes (détection de la fraude, santé et sécurité) ou d’autres finalités commerciales indiquées dans la Politique de vidéosurveillance (voir Droit à l’oubli (droit à l’effacement) et Appendice : Politique de vidéosurveillance). La Politique de vidéosurveillance définit la rétention automatique (7 jours par défaut) pour assurer la suppression automatique des images, ce qui permet un juste équilibre des droits des personnes concernées quant aux finalités commerciales raisonnables.

Si la personne concernée demande l’effacement des données la concernant, il est recommandé que le responsable du traitement utilise une Demande de la personne concernée pour documenter la demande (voir Demande de personne concernée). Pour un exemple de modèle de demande de personne concernée, voir le modèle Milestone Demande de personne concernée.

Vous devez supprimer tous les enregistrements de la ou les caméra(s) en question.

Pour conserver tous les autres enregistrements qui ne doivent pas être supprimés, exportez toutes les données et maintenez-les protégées. Vous ne pouvez pas restaurer ces données dans le VMS.

Toute exportation doit être cryptée et soumise à la signature numérique. Elle ne doit également exclure les intervalles de temps spécifiés de la ou les caméra(s) spécifiées en question. Autrement dit, exportez les données correspondant jusqu’à l’heure/la date et exportez-les après l’heure/la date. Cela peut entraîner des sauvegardes de plusieurs périodes.

Le Smart Client – Player peut ensuite être utilisé pour consulter les données.

Il est recommandé que le responsable du traitement sollicite l’aide d’un avocat, qu’il effectue une évaluation de l’incidence sur les entreprises et une analyse d’impact sur la vie privée (voir Mener une analyse d’impact) avant d’exécuter le droit d’être oublié de la personne concernée étant donné que la suppression peut provoquer de nouveaux risques pour l’entreprise qui pourraient faire basculer la balance des intérêts et introduire des risques pouvant affecter la protection de la confidentialité d’autres personnes concernées.

Utilisation d’arrière-plans géographiques dans XProtect Smart Client

XProtect Smart Client prend en charge l’utilisation d’arrières-plans géographiques. Ces arrières-plans affichent les arrières-plans des plans.

Vous risquez d’enfeindre le RGPD lorsque vous utilisez l’un des services de carte suivants :

  • Bing Maps
  • Google Maps
  • Milestone Map Service

Ces services ne fournissent pas de protections adéquates concernant le traitement de données à caractère personnel au sein des États-Unis. Le client devient (conjointement) le responsable du traitement des données d’utilisateur.

Retrouvez toutes les mises à jour de l’arrêt Schrems II par la Commission Européenne sur le site officiel.

Comme alternative, il est recommandé de configurer le service OpenStreetMap privé pour l’arrière-plan géographique.

Intégrations des partenaires enregistrés

Lorsqu’une licence est activée, Milestone collecte des données "pour chaque intégration". Le VMS XProtect recueille des données sur les modules d’extension et les fabricants des modules d’extension ainsi que sur les modules d’extension et les intégrations utilisées par le client.

Les données collectées pour chaque installation sont :

  • Le nom de l’intégration

  • Le fabricant de l’intégration

  • La version de l’intégration

  • Le type de l’intégration (autonome, Smart Client, Management Client, Event Server) et le nombre d’instances de chaque type (c’est-à-dire le nombre de clients exécutant le module d’extension)

Les développeurs de module d’extension ne doivent jamais utiliser de noms personnels lorsqu’ils enregistrent leur produit. Ils doivent uniquement utiliser le nom de l’entreprise.

Les données sont traitées uniquement par Milestone si le fabricant du module d’extension figure sur Marketplace et qu’il a approuvé le traitement des données à des fins d’amélioration de Milestone XProtect Corporate (et non à des fins commerciales ou d’étude de marché). Si le module d’extension n’est pas enregistré, les données sont immédiatement supprimées. La base légale du traitement est l’article 6 (1)(f) du RGPD, qui indique les intérêts légitimes de Milestone et des utilisateurs du VMS.

Mesures de protection supplémentaires

Pour vous assurer que la configuration Milestone XProtect VMS est conforme au RGPD, consultez cette liste qui fournit des protections supplémentaires à prendre en compte lors de la configuration du système.

ProblèmeImpact négatif sur la confidentialitéConseil pour le responsable du traitement
Les caméras PTZ et le masquage de confidentialité ne fonctionnent pas ensemble. Les masques ne suivent pas les mouvements des caméras PTZ.Le renforcement du respect de la vie privée peut être contourné.

Milestone vous recommande de procéder à l’une des solutions suivantes :

  • Vous ne devriez pas utiliser la fonctionnalité de masquage de confidentialité intégrée dans XProtect sur les caméras PTZ car le masque est statique par rapport aux pixels décodés de l’image et non par rapport à la direction ou l’emplacement de la caméra PTZ.
  • Désactiver les fonctionnalités PTZ lorsque vous utilisez les masques.
  • Acheter des caméras PTZ qui prennent en charge le masquage de confidentialité dynamique (ainsi, les zones sélectionnées sont toujours masquées, quel que soit l’emplacement et le zoom de la caméra).
L’utilisation d’un microphone ou d’un périphérique de métadonnées peut empiéter sur la vie privée des personnes. (Dans XProtect Corporate, ces paramètres sont désactivés par défaut.)

L’utilisation du microphone peut facilement enfreindre les dispositions du RGPD.

Avant d’activer les microphones et les périphériques de métadonnées, vous devez vous assurer d’avoir une finalité clairement justifiée pour la collecte des données. Voir Existe-t-il une base légale justifiant la collecte des données ?

Les opérateurs et les administrateurs peuvent exporter ou copier des données vidéo, des archives vidéo, des sauvegardes de la configuration et des journaux d’activité vers des disques durs locaux ou vers des médias amovibles, comme des CD, des DVD, des clés USB, etc.Les données à caractère personnel ne sont plus du ressort de VMS XProtect. Les données ne sont plus protégées par les mécanismes de contrôle d’accès du VMS XProtect et elles ne peuvent pas être effacées par VMS XProtect une fois la durée de rétention atteinte. Cela provoque le risque d’une conservation des données plus longue que celle autorisée, une utilisation autre que les finalités indiquées et la violation de la confidentialité des données.

Les responsables du traitement doivent prendre des mesures techniques et organisationnelles pour protéger les données qui ne sont plus du ressort du VMS XProtect. Voir Gestion des données exportées pour consulter les possibles mesures à prendre.

Les données des journaux d’activité et les autres données personnelles ne sont pas cryptées par le produit avant leur conservation dans les bases de données SQL Server.

Les administrateurs des bases de données peuvent accéder aux données des journaux d’activité en utilisant les clients de la bases de données. XProtect Corporate ne peut pas contrôler ou enregistrer cet accès.

Le plus important est la divulgation des données sensibles du journal d’activité à des utilisateurs non autorisés. Voir Protéger les données stockées et transmises. Pour plus d’informations sur comment sécuriser vos installations VMS XProtect contre les cyberattaques, voir le guide de durcissement.

Procédez de la manière suivante :

  • Mettez en place un concept de rôles adéquat pour l’administration de la base de données.
  • Limitez l’accès à la base de données uniquement aux personnes autorisées.
  • Si possible, activez le cryptage de la base de données via des mécanismes de base de données.

Les sauvegardes de la base de données de configuration de Microsoft® SQL Server® ne sont pas cryptées.

Il faut définir un mot de passe de configuration du système pour protéger les informations sensibles du compte en plus de crypter la base de données du serveur SQL.

Les sauvegardes de la base de données de configuration de Microsoft® SQL Server® sont automatiquement cryptées lorsque la base de données de configuration est protégée par un mot de passe.

Vous pouvez choisir de protéger la configuration système globale en attribuant un mot de passe de configuration du système.

Une fois que vous attribuez un mot de passe de configuration système, les sauvegardes de cette dernières sont protégées par ce mot de passe.

Les paramètres du mot de passe sont stockés dans un dossier sécurisé de l’ordinateur qui exécute le serveur de gestion. Vous aurez besoin de ce mot de passe pour :

  • Restaurer la configuration à partir d’une sauvegarde de configuration qui a été créée avec des paramètres de mot de passe différents à ceux du mot de passe actuel

  • Déplacer ou installer le serveur de gestion sur un autre ordinateur en raison d’une panne matérielle (récupération)

  • Configurer un serveur de gestion additionnel dans un système en grappe

Pour plus d’informations, voir le manuel de l’administrateur pour VMS XProtect.

Le produit met en place une fonctionnalité de sauvegarde. Cette fonctionnalité sauvegarde la configuration du VMS mais pas de la base de données des journaux d’activité. La destruction physique du support de données qui contient la base de données des journaux d’activité peut empêcher le responsable du traitement de s’acquitter de ses obligations lorsqu’il n’existe aucune copie de sauvegarde des journaux d’activité.

Envisager de créer des sauvegarde de la base de données des journaux d’activité.

Si le responsable du traitement décide de créer des sauvegardes de la base de données des journaux d’activités, il devrait également établir un processus pour supprimer les sauvegardes une fois la durée de rétention atteinte et le protéger contre un accès non autorisé (par exemple, le cryptage de la sauvegarde, le blocage des multimédias de la sauvegarde, etc.). Pour plus d’informations, voir le manuel de l’administrateur pour VMS XProtect.

Utiliser un VPN en mode segmentation pourrait dévoiler l’adresse IP des utilisateurs de VMS XProtect. Lorsque la segmentation de tunnel est activée, les utilisateurs contournent le niveau de sécurité de la passerelle qui est peut-être installée dans l’infrastructure de réseau.

Procédez de la manière suivante :

  • Utiliser une connexion VPN sécurisée (un VPN est sécurisé par défaut, mais certains anciens protocoles VPN ne chiffrent pas les données échangées entre le serveur et le client)

  • Toujours utiliser la tunnellisation complète

  • Utiliser les protocoles d’authentification compatibles les plus élevés (le cas échéant)

  • Utiliser Active Directory pour authentifier les utilisateurs de VPN

Pour plus d’informations sur comment sécuriser vos installations VMS XProtect contre les cyberattaques, voir le guide de durcissement.

Le produit permet la configuration des durées de rétention des journaux d’activité, des données vidéo, des alarmes et d’autres données à caractère personnel. La configuration de durée de rétention sur des périodes trop longues peut enfreindre les exigences du RGPD en matière de limite de conservation (article 5 (1)(e) et article 17 du RGPD).Les durées de rétention doivent s’adapter aux finalités du traitement (voir Droit à l’oubli (droit à l’effacement)).
Les administrateurs peuvent configurer les destinataires des courriers électroniques qui peuvent recevoir des extraits vidéo ou des images du VMS lorsque certains événements surviennent. Il est impossible de configurer une liste blanche des domaines autorisés pour ces destinataires de courriers électroniques.Une faute de frappe peut provoquer une violation des données lorsqu’une partie tierce reçoit des courriers électroniques comportant des données vidéo ou des alarmes du système.

Informer le responsable du traitement de ce risque.

Milestone recommande d’établir un processus organisationnel, tel que le principe des « quatre yeux » qui réduit le risque de failles lors de la saisie des adresses électroniques.

Les notifications sont des e-mails envoyés à une adresse électronique spécifique. Lors de la création d’une notification, l’administrateur peut choisir d’inclure un ensemble de captures d’écran ou un AVI d’une séquence.Étant donné que les captures d’écran et les séquences AVI jointes aux notifications partent du VMS, elles se retrouvent hors du contrôle du VMS concernant l’accès utilisateur et la conservation.

Étant donné que les courriers électroniques et leur contenu se retrouvent hors du contrôle de l’accès utilisateur et de la conservation du VMS, il est recommandé de ne pas attacher d’images ou de séquences AVI aux notifications de courriers électroniques.

Si le client a besoin de cette fonctionnalité, il doit au moins s’assurer de la mise en place de procédures et contrôles organisationnels de la part des destinataires des courriers électroniques et s’informer sur leur gestion. Voir Gestion des données exportées dans les notifications et e-mails.

Lorsque les notifications push sont activées, le fournisseur du système d’exploitation portable (c’est à dire Google ou Apple) traite les données pour pouvoir envoyer les notifications push vers les smartphones.Même si le contenu des notifications push est anonymisé par défaut, Milestone ne peut en aucun cas garantir que Google et Apple ne pourront pas extraire des données personnelles à partir des données traitées par eux. Les fournisseurs du système d’exploitation portable (c’est-à-dire, Google ou Apple) utilisent un schéma d’adressage de message. Ce schéma implique des jetons d’enregistrement et des ID d’installation de l’application client mobile. Cela permet aux fournisseurs de transmettre les messages aux applications correspondantes sur les périphériques. Pour Google et Apple, le jeton et l’identification d’installation sont des pseudonymes.

Conformément à l’article 49 (1)(a) du RGPD, un consentement de l’opérateur du VMS est nécessaire si les notifications push sont activées.

Il est recommandé d’obtenir le consentement, ou, dans le cas contraire, de désactiver les messages push.

Le XProtect Incident Manager permet aux organisations de documenter les incidents et de les associer à des preuves sous forme de séquences (vidéo et audio) provenant de leur VMS XProtect. Les responsables du traitement ou les opérateurs peuvent créer des rapports d’incident contenant les informations textuelles ajoutées à un projet d’incident. Ces rapports peuvent contenir les données personnelles du responsable du traitement ou de l’opérateur, c’est-à-dire leur nom.Lorsque des rapports d’incident sont mis à disposition en dehors de la sphère du responsable du traitement ou de l’opérateur, des données personnelles peuvent être révélées. Les responsables du traitement ou les opérateurs doivent créer des rapports portant des noms clairs et permettant d’identifier le responsable du traitement ou l’opérateur uniquement en cas de besoin clair, en fonction de l’objectif et du destinataire du rapport.

N’incluez les noms du responsable du traitement ou de l’opérateur dans les rapports d’incident que s’il existe un objectif spécifique et raisonnable d’inclure les noms.

Les responsables du traitement ou les opérateurs ne doivent cocher la case Afficher le nom d’utilisateur que s’il existe un objectif spécifique et raisonnable d’inclure les noms dans le rapport.

Les contrôleurs ou les opérateurs peuvent créer des rapports contenant des informations sur l’alarme, y compris l’historique de l’alarme et, le cas échéant, une image fixe prise au moment de l’alarme. Ces rapports peuvent contenir les données personnelles du responsable du traitement ou de l’opérateur, c’est-à-dire leur nom.Lorsque des alarmes sont mises à disposition en dehors de la sphère du responsable du traitement ou de l’opérateur, les données à caractère personnel peuvent être révélées. Les responsables du traitement ou les opérateurs doivent créer des rapports portant des noms clairs et permettant d’identifier le responsable du traitement ou l’opérateur uniquement en cas de besoin clair, en fonction de l’objectif et du destinataire du rapport.

N’incluez les noms du responsable du traitement ou de l’opérateur dans les rapports d’alarme que s’il existe un objectif spécifique et raisonnable de les inclure.

Les responsables du traitement ou les opérateurs ne doivent cocher la case Nom affiché que s’il existe un objectif spécifique et raisonnable d’inclure les noms dans le rapport.

Les rapports d’alarme peuvent contenir des images montrant des passants.

Si les rapports sont transmis à des tiers, les droits des témoins non impliqués peuvent être violés.Envisagez de noircir ou de masquer manuellement les images sur les rapports ou les impressions PDF.