Fonctions et conseils pour la mise en œuvre de la technologie de vidéosurveillance GDPR/UE

Le Règlement général sur la protection des données (GDPR (EN)) L’Europe ne contient pas de réglementations spécifiques applicables aux systèmes de sécurité vidéo. Jorgen Seiler, davidiT gestionnaire, La filiale de conseil de Dallmeier, dissipe les doutes à cet égard.

L’application du RGPD en termes d’utilisation de la technologie vidéo génère encore beaucoup d’incertitudes sur les exigences auxquelles les entreprises doivent se conformer. Il existe également une incertitude quant aux fonctions système nécessaires pour pouvoir configurer facilement les systèmes de vidéosurveillance conformément à ce règlement.

De nombreux utilisateurs finaux constatent désormais que le nouveau RGPD européen ne contient pas de réglementations spécifiques applicables aux systèmes de vidéosurveillance, par conséquent, la mise en œuvre conformément au RGPD est différente pour chaque entreprise. Également, Il est présumé qu’en plus de la jurisprudence qui l’élabore, Je veux dire, L’interprétation réelle dans la pratique, Des différences spécifiques apparaissent dans chaque entreprise - par exemple, en raison de différentes résolutions des comités d’entreprise- En matière de sécurité vidéo.

Ensemble avec la protection des données, Une plus grande importance est également accordée à la sécurité des données, car ils doivent être protégés contre la perte ou l’altération. Par conséquent: Pas de protection des données sans sécurité des données, et les entreprises doivent se conformer au RGPD dans les deux domaines.

Pour de nombreuses entreprises, la question se pose désormais de savoir quels composants sont nécessaires pour répondre concrètement aux exigences. Les fabricants proposent différentes approches et, spécifiquement, Le module de protection des données et de sécurité de Dallmeier propose quatorze composants différents.

Protection des données – protection des droits de la personne concernée: comme l’exige l’article 25 du RGPD, Des mesures techniques et organisationnelles appropriées doivent être prises pour sauvegarder les principes de protection des données et les droits des personnes concernées.

Dans le module Dallmeier, il y a quatre composants essentiels pour y parvenir. Le graphique montre comment les différentes fonctions du module de protection des données et de sécurité de ce fabricant sont mises en œuvre pendant le processus de traitement des données vidéo.

• Pixellisation des personnes utilisant Masquage des personnes, qui peuvent être annulés si nécessaire.
• Définition des « zones de confidentialité » dans l’image capturée pour, Par exemple,, masquer les espaces publics. Cette dissimulation ne peut pas être désactivée, Ni en direct ni sur disque.
• Réglage de la durée d’enregistrement de chaque caméra ou piste d’enregistrement, garantir sa suppression une fois l’objectif atteint.
• Visualisation des zones non pertinentes pour la protection des données grâce à une simulation virtuelle 3D détaillée lors de la planification du projet. De cette façon, c’est possible, d’une part,, savoir où la qualité de l’image ne permet pas de reconnaître les personnes et, Donc, Aucune donnée personnelle n’est générée.

D'un autre côté, Les fonctions pour les zones relatives à la protection des données peuvent être planifiées à l’avance et adaptées, tels que Masquage des personnes.

Sécurité des données – protection des données personnelles: le RDPG établit dans son article 32 que des mesures techniques et organisationnelles appropriées sont mises en œuvre pour assurer un niveau de sécurité adapté au risque. Pour protéger les données sensibles ou personnelles contre la falsification, perte ou accès non autorisé, le module Dallmeier offre les fonctions suivantes:

• Optionnellement, le « principe des quatre yeux », l’exigence de deux mots de passe pour accéder aux enregistrements.
• Gestion des groupes d’utilisateurs via AD/LDAP pour le contrôle des droits d’accès.
• Une procédure d’authentification sécurisée, selon IEEE 802.1X, pour protéger le réseau contre les accès non autorisés.
• Chiffrement de bout en bout avec TLS 1.2 / 256 Mèche AES pour la protection de la transmission, données et vidéo, entre les systèmes Dallmeier actuels.
• Définition de la période d’enregistrement pour chaque groupe d’utilisateurs, Les images antérieures à cette période ne peuvent pas être consultées.
• Détection fiable et prévention des tentatives de connexion dues à des cyberattaques. Si des tentatives de connexion répétées sont détectées à partir d’une adresse IP inconnue, est automatiquement bloqué pendant un certain temps.
• Possibilité d’utilisation Appareils ménagersen tant que passerelle de sécurité du système vidéo. De cette façon,, Le réseau vidéo et le réseau de production sont séparés, Prévention de l’accès non autorisé, Par exemple,, grâce aux caméras à l’extérieur, et réduit la charge du réseau.
• Développement de toutes les solutions matérielles, logiciel et micrologiciel en interne et, avec elle, l’impossibilité d’un accès caché par des portes arrières, plus des systèmes d’exploitation renforcés.
• Mécanismes de transfertet redondance contre la perte de données.
• Certification LGC pour la préservation des preuves qui répond à tous les critères d’admission aux tribunaux.

Méfiez-vous des certificats de protection des données conformes au RGPD

En principe,, l’UE encourage l’introduction de certifications ou de sceaux de protection des données, car ceux-ci doivent accroître la transparence et permettre aux entreprises de prouver plus facilement leur conformité au RGPD.

Cependant, Dans ce domaine, il y a quelques points importants à prendre en compte: d’une part,, malgré la période transitoire de deux ans, aucune certification valide n’est produite avant le 25 Mai 2019 qui garantissent la conformité aux exigences du RGPD. D’un autre côté, Les certifications ne sont pas possibles pour des produits ou services spécifiques, mais uniquement pour les processus de traitement des données.

En bref,, Ce n’est pas possible, Par exemple,, une caméra de surveillance « conforme au RGPD ». De plus,, En ce qui concerne les certificats et les sceaux de protection des données, il convient de noter que l’organisme de certification lui-même et la procédure d’évaluation qu’il propose pour un processus de traitement des données, sont officiellement accrédités selon le RGPD. Sinon,, ces certificats n’ont aucun effet juridique en relation avec le RGPD.

Un « vrai » certificat accrédité est reconnu, Par exemple,, par le logo correspondant d’un organisme national d’accréditation officiel, comme la Deutsche Akkreditierungsstelle en Allemagne (Dakks). Les organismes d’accréditation « examinent » les organismes qui, Tourner, Accorder une certification ou un sceau de protection des données. C’est pourquoi, les entreprises devraient mettre l’accent sur l’accréditation officielle des certificats et sceaux de protection des données conformément au RGPD et ne pas dépenser d’argent inutilement pour des certificats « fictifs ».

À partir de l' 25 Mai 2018, Bien qu’il existe de nombreux paragraphes et articles sur le papier sur la loi sur la protection des données, Son interprétation finale dans la pratique n’est pas encore du tout claire et sera discutée et définie de manière intensive par les autorités nationales et européennes de contrôle de la protection des données, y compris une évaluation finale de la Cour de justice de l’Union européenne sur les points controversés.

C’est pourquoi, La meilleure façon pour les entreprises en matière de sécurité vidéo est de ne pas faire confiance aux parties individuelles, éventuellement avec des certificats « fictifs »- d’une solution de vidéosurveillance, mais de disposer, tout au long du processus de traitement des données vidéo, des technologies et procédures pertinentes pour la protection et la sécurité des données qui sont nécessaires, afin de réagir avec souplesse aux exigences prévisibles.

Jorgen Seiler

Directeur davidiT, Filiale de conseil de Dallmeier

 

 

 

 

 

D’autres articles sur Dallmeier