Le règlement général sur la protection des données (RGPD) est un nouveau règlement en vertu de la législation de l'Union européenne (UE) concernant la protection des données et de la confidentialité de toutes les personnes au sein de l'UE et des personnes dont les données personnelles sont traitées par des organisations implantées dans l'UE. Le nouveau règlement impose de nouvelles obligations à ceux qui collectent, conservent et traitent ces données. Le RGPD est entré en vigueur dans tous les pays de l'UE le 25 mai 2018.
Si le RGPD n'a pas été expressément rédigé en tenant compte de la vidéo, la vidéo est considérée comme une donnée à caractère personnel des personnes filmées. Par conséquent, la réglementation implique que les détenteur et les exploitants de systèmes de vidéosurveillance doivent soigneusement étudier, documenter et gérer l'impact sur la confidentialité de leurs systèmes de vidéosurveillance.
Bien que la technologie (comme le logiciel de gestion vidéo Avigilon Control Center (ACC)) ne puisse pas en elle-même se conformer au règlement général sur la protection des données (RGPD), tous les fournisseurs de technologies doivent déterminer dans quelle mesure les produits et solutions qu'ils proposent facilitent le déploiement et l'utilisation d'un système conforme au RGPD au sein des entreprises. Avigilon a veillé à garantir l'intégration à ses solutions de sécurité vidéo de caractéristiques et fonctionnalités conformes au RGPD.
Cette page fournit un cadre simplifié en s'appuyant sur cinq principes du RGPD pour faciliter la mise en conformité du système vidéo d'un contrôleur de données. Il souligne également les fonctionnalités spécifiques des solutions de sécurité vidéo Avigilon qui permettront à votre entreprise de respecter cette réglementation.
5 principes de base du RGPD
Justifier clairement l'objectif
Toutes les entreprises doivent s'appuyer sur un cadre légal valable pour collecter et traiter des données personnelles
Confidentialité d'un point de vue conceptuel
Le RGPD stipule que la confidentialité doit constituer une priorité tout au long de la conception et de la mise en service du système. L'approche mise en place dans le respect de la confidentialité doit être proactive et non réactive. Les risques doivent être anticipés et l'objectif doit viser à prévenir les événements avant qu'ils ne se produisent.
Droit d'accès
Dans son article 15, le RGPD confère aux individus le contrôle de leurs données à caractère personnel, y compris un droit de consultation de leurs données.
Droit à l'oubli
Dans son article 17, le RGPD confère aux individus le droit de contrôler leurs données à caractère personnel, y compris celui de les supprimer si elles ne sont plus utiles dans le cadre de l'objet prévu.
Sécurité
Le RGPD exige des entreprises qu'elles possèdent des politiques et des procédures complètes garantissant le contrôle constant des données à caractère personnel. De plus, toute violation des données à caractère personnel doit être signalée dans un délai de 72 heures à l'autorité de supervision compétente nommée par le gouvernement du pays.
| Principe | Implications des systèmes vidéo | Suggestion d'actions de promotion de la conformité | Caractéristiques et fonctionnalités Avigilon connexes |
|---|---|---|---|
| Justifier clairement l'objectif |
Description documentée des éléments suivants : objet du système vidéo, type d'informations collectées, utilisation des données, utilisateurs des données, durée d'utilisation des données. Lorsque le risque d'empiéter sur la confidentialité des données est élevé, une évaluation formalisée de l'incidence de la confidentialité des données est obligatoire. |
Veillez à afficher les avis indiquant où les personnes concernées peuvent obtenir de plus amples informations. Veillez à ce que les informations suivantes soient accessibles par les personnes concernées : objet de la collecte des données, type de traitement effectué (p. ex. direct ou enregistrement), durée de conservation des données, etc. Étudiez la nécessité ou non d'une évaluation formalisée de l'incidence de la confidentialité des données. |
Aucune. Ces exigences procédurales relèvent de la responsabilité du contrôleur de données. |
| Confidentialité d'un point de vue conceptuel |
Les entreprises doivent soigneusement évaluer et documenter dans quelles mesures les systèmes sont conçus pour respecter les objectifs. Il est important de veiller à ne pas collecter de données personnelles ne correspondant pas au domaine d'application du système (p. ex. concernant des zones publiques adjacentes). Déterminez soigneusement qui doit accéder à quelles informations (p. ex. direct/enregistrement, période, résolution) et qui peut accéder à quelles fonctionnalités (p. ex. recherche). |
Utilisez l'Outil de conception de système Avigilon (SDT) pour indiquer la résolution à divers points de la scène vidéo, le système de stockage prévu, etc. Contrôlez les rôles et les responsabilités des opérateurs, des enquêteurs, des administrateurs système, etc. concernant les accès au système. Envisagez de restreindre l'accès des groupes d'enquêteurs aux caméras ciblant spécifiquement la détermination des identités (p. ex. visage des personnes entrant dans un magasin). Envisagez de restreindre l'accès des opérateurs aux vidéos enregistrées : accès restreint total, accès aux vidéos enregistrées depuis leur dernière connexion ou accès avec double autorisation. Veillez à ce que seules les personnes spécifiées connaissent le mot de passe du compte administrateur et à ce que ce compte soit exclusivement réservé aux tâches administratives. |
Le SDT est utile dans la planification d'un système avant son installation et contribue à prendre correctement en compte la couverture, la résolution et la conservation. ACC™ permet de contrôler les autorisations des utilisateurs, garantissant ainsi que seul le personnel de sécurité a accès aux données vidéo requises pour accomplir ses tâches quotidiennes. ACC contrôle la résolution de la vidéo en cours de lecture suivant les autorisations utilisateur. ACC requiert des autorisations utilisateur explicites pour accéder à la fonctionnalité de recherche qui utilise des informations d'identification des individus telles que l'apparence physique, les cartes d'identité de contrôle des accès, les plaques d'immatriculation ou les informations sur les points de vente. |
| Droit d'accès |
Les entreprises doivent fournir toutes les données personnelles collectées sur un individu, à sa demande, y compris les vidéos issues du système de vidéosurveillance. Lors de la fourniture d'une vidéo à la personne concernée, les autres personnes y apparaissant doivent être masquées ou rendues anonymes. |
Veillez à créer des procédures et des politiques formelles pour gérer les demandes de droit d'accès. |
ACC permet de marquer et d'exporter une vidéo. La technologie Avigilon Appearance Search™ intègre également ACC afin de permettre aux utilisateurs de localiser, marquer et exporter les vidéos enregistrées de la personne concernée. Les résultats d'Appearance Search sont exportables par ACC tout en préservant l'anonymat des images de toutes les autres personnes présentes sur la vidéo. |
| Droit à l'oubli | Comme il n'est pas pratique de supprimer un objet spécifique d'une vidéo, les processeurs de données doivent limiter strictement la durée de conservation des vidéos dans l'objet documenté du système. | Contrôlez la durée de conservation de toutes les caméras et assurez-vous qu'elle respecte l'objet documenté du système. | ACC applique strictement les limites de l'utilisateur final spécifiées concernant la durée de conservation par caméra et les captures de plaques d'immatriculation. |
| Cybersécurité |
Mettez en place toutes les mesures techniques et commerciales appropriées pour vous prémunir d'une compromission des données personnelles. Respectez strictement les directives du RGPD concernant le signalement des failles le cas échéant. |
Contrôlez les politiques de sécurité concernant le contrôle des mots de passe et l'utilisation des comptes. Étudiez la mise en place d'exigences minimales en matière de mot de passe fort pour tous les groupes. Étudiez la mise en place d'exigences accrues pour les comptes administratifs. Mettez en place des procédés d'audit de l'état de la protection et de détection des failles. Veillez à ce que les utilisateurs ne partagent pas leur compte, soit en communiquant leur mot de passe, soit en ne se connectant/déconnectant pas lorsqu'ils prennent ou quittent leur poste. Conservez une politique documentée et les procédures de gouvernance des actions appropriées en cas de violation des données. |
ACC applique des mesures de sécurité, y compris des mots de passe forts, l'authentification à la connexion et le chiffrement des données. ACC fournit les journaux d'activité de toutes les actions des utilisateurs pour permettre aux contrôleurs de savoir qui a eu accès à quelles ressources et à quel moment. |
Ressources supplémentaires
Guide de l'ICO.org sur le règlement général sur la protection des données
Cette page ne doit pas être interprétée comme un avis juridique. Elle est fournie à titre informatif uniquement. Ce dépliant est de nature sommative. Il ne doit pas être considéré comme une analyse complète ou un aperçu de toutes les considérations de conformité au RGPD qui vous concernent. Le respect de la législation sur la confidentialité est spécifique au contexte et à la situation. En tant qu'utilisateur final des produits Avigilon, il est de votre responsabilité de vous assurer que vos actions sont conformes à la législation en vigueur en matière de confidentialité (y compris au RGPD). Pour obtenir des conseils à ce sujet, contactez un conseiller juridique qualifié.