promo gdpr desktop
 

Respect du règlement général sur la protection des données avec Avigilon

Télécharger au format PDF

1

Le règlement général sur la protection des données (RGPD) est une nouvelle réglementation de l'Union européenne (UE) concernant la protection et la confidentialité des données de tous les individus au sein de l'UE et des individus dont les données personnelles sont traitées par des organisations implantées dans l'UE. La nouvelle réglementation impose de nouvelles obligations aux organismes de collecte, de stockage et de traitement de telles données. Le RGPD est entré en vigueur le 25 mai 2018 dans tous les pays européens.

Si le RGPD n'a pas été expressément rédigé en tenant compte de la vidéo, la vidéo est considérée comme une donnée à caractère personnel des personnes filmées. Par conséquent, la réglementation implique que les détenteur et les exploitants de systèmes de vidéosurveillance doivent soigneusement étudier, documenter et gérer l'impact sur la confidentialité de leurs systèmes de vidéosurveillance.

Bien que la technologie (comme le logiciel de gestion vidéo Avigilon Control Center (ACC)) ne puisse pas en elle-même se conformer au règlement général sur la protection des données (RGPD), tous les fournisseurs de technologies doivent déterminer dans quelle mesure les produits et solutions qu'ils proposent facilitent le déploiement et l'utilisation d'un système conforme au RGPD au sein des entreprises. Avigilon a veillé à garantir la conformité des fonctions et fonctionnalités de ses solutions de sécurité vidéo au RGPD.

Cette page fournit un cadre simplifié en s'appuyant sur cinq principes du RGPD pour faciliter la mise en conformité du système vidéo d'un contrôleur de données. Il souligne également les fonctionnalités spécifiques des solutions de sécurité vidéo Avigilon qui permettront à votre entreprise de respecter cette réglementation.

5 principes de base du RGPD

  • Justifier clairement l'objectif
    Toutes les entreprises doivent s'appuyer sur un cadre légal valable pour collecter et traiter des données personnelles
  • Confidentialité d'un point de vue conceptuel
    Le RGPD stipule que la confidentialité doit constituer une priorité tout au long de la conception et de la mise en service du système. L'approche mise en place dans le respect de la confidentialité doit être proactive et non réactive. Les risques doivent être anticipés et l'objectif doit viser à prévenir les événements avant qu'ils ne se produisent.
  • Droit d'accès
    Dans son article 15, le RGPD confère aux individus le contrôle de leurs données à caractère personnel, y compris un droit de consultation de leurs données.
  • Droit à l'oubli
    Dans son article 17, le RGPD confère aux individus le droit de contrôler leurs données à caractère personnel, y compris celui de les supprimer si elles ne sont plus utiles dans le cadre de l'objet prévu.
  • Sécurité
    Le RGPD exige des entreprises qu'elles possèdent des politiques et des procédures complètes garantissant le contrôle constant des données à caractère personnel. De plus, toute violation des données à caractère personnel doit être signalée dans un délai de 72 heures à l'autorité de supervision compétente nommée par le gouvernement du pays.
PrincipeImplications des systèmes vidéoSuggestion d'actions pour promouvoir la conformitéFonctions et fonctionnalités Avigilon connexes

Justifier clairement l'objectif

Description documentée des éléments suivants : objet du système vidéo, type d'informations collectées, utilisation des données, utilisateurs des données, durée d'utilisation des données.

Lorsque le risque d'empiéter sur la confidentialité des données est élevé, une évaluation formalisée de l'incidence de la confidentialité des données est obligatoire.

Veillez à afficher les avis indiquant où les personnes concernées peuvent obtenir de plus amples informations.

Veillez à ce que les informations suivantes soient accessibles par les personnes concernées : objet de la collecte des données, type de traitement effectué (p. ex. direct ou enregistrement), durée de conservation des données, etc.

Étudiez la nécessité ou non d'une évaluation formalisée de l'incidence de la confidentialité des données.

Aucune. Ces exigences basées sur les procédures relèvent de la responsabilité du contrôleur de données.

Confidentialité d'un point de vue conceptuel

Les entreprises doivent soigneusement évaluer et documenter dans quelles mesures les systèmes sont conçus pour respecter les objectifs.

Il est important de veiller à ne pas collecter de données personnelles ne correspondant pas au domaine d'application du système (p. ex. concernant des zones publiques adjacentes).

Déterminez soigneusement qui doit accéder à quelles informations (p. ex. direct/enregistrement, période, résolution) et qui peut accéder à quelles fonctionnalités (p. ex. recherche).

Utilisez l'Outil de conception de système Avigilon (SDT) pour indiquer la résolution à divers points de la scène vidéo, le système de stockage prévu, etc.

Contrôlez les rôles et les responsabilités des opérateurs, des enquêteurs, des administrateurs système, etc. concernant les accès au système.

Envisagez de restreindre l'accès des groupes d'enquêteurs aux caméras ciblant spécifiquement la détermination des identités (p. ex. visage des personnes entrant dans un magasin).

Envisagez de restreindre l'accès des opérateurs aux vidéos enregistrées : accès restreint total, accès aux vidéos enregistrées depuis leur dernière connexion ou accès avec double autorisation.

Veillez à ce que seules les personnes spécifiées connaissent le mot de passe du compte administrateur et à ce que ce compte soit exclusivement réservé aux tâches administratives.

Le SDT est utile dans la planification d'un système avant son installation et contribue à prendre correctement en compte la couverture, la résolution et la conservation.

ACC™ permet de contrôler les autorisations des utilisateurs, garantissant ainsi que seul le personnel de sécurité a accès aux données vidéo requises pour accomplir ses tâches quotidiennes.

ACC contrôle la résolution de la vidéo en cours de lecture suivant les autorisations utilisateur.*

ACC requiert des autorisations utilisateur explicites pour accéder à la fonction de recherche.*

Droit d'accès

Les entreprises doivent fournir toutes les données personnelles collectées sur un individu, à sa demande, y compris les vidéos issues du système de vidéosurveillance.

Lors de la fourniture d'une vidéo à la personne concernée, les autres personnes y apparaissant doivent être masquées ou rendues anonymes.

Veillez à créer des procédures et des politiques formelles pour gérer les demandes de droit d'accès.

ACC permet de marquer et d'exporter une vidéo.

La technologie Avigilon Appearance Search™ intègre également ACC afin de permettre aux utilisateurs de localiser, marquer et exporter les vidéos enregistrées de la personne concernée.

Les résultats d'Appearance Search sont exportables par ACC tout en préservant l'anonymat des images de toutes les autres personnes présentes sur la vidéo.*

Droit à l'oubli

Comme il n'est pas pratique de supprimer un objet spécifique d'une vidéo, les processeurs de données doivent limiter strictement la durée de conservation des vidéos dans l'objet documenté du système.

Contrôlez la durée de conservation de toutes les caméras et assurez-vous qu'elle respecte l'objet documenté du système.

ACC applique strictement les limites de l'utilisateur final spécifiées concernant la durée de conservation par caméra.

Cybersécurité

Mettez en place toutes les mesures techniques et commerciales appropriées pour vous prémunir d'une compromission des données personnelles.

Respectez strictement les directives du RGPD concernant le signalement des failles le cas échéant.

Contrôlez les politiques de sécurité concernant le contrôle des mots de passe et l'utilisation des comptes.

Étudiez la mise en place d'exigences minimales en matière de mot de passe fort pour tous les groupes. Étudiez la mise en place d'exigences accrues pour les comptes administratifs.

Mettez en place des procédés d'audit de l'état de la protection et de détection des failles.

Veillez à ce que les utilisateurs ne partagent pas leur compte, soit en communiquant leur mot de passe, soit en ne se connectant/déconnectant pas lorsqu'ils prennent ou quittent leur poste.

Conservez une politique documentée et les procédures de gouvernance des actions appropriées en cas de violation des données.

ACC applique des mesures de sécurité, y compris des mots de passe forts, l'authentification à la connexion et le chiffrement des données.

ACC fournit les journaux d'activité de toutes les actions des utilisateurs pour permettre aux contrôleurs de savoir qui a eu accès à quelles ressources et à quel moment.

* fonction disponible dans une version mise à jour d'ACC en 2018

Ressources supplémentaires

Guide de l'ICO.org sur le règlement général sur la protection des données

Contrôleur européen de la protection des données, « Consignes relatives à la vidéosurveillance EDPS » (PDF)

Contrôleur européen de la protection des données, « Article 13 – Informations à fournir lors de la collecte des données personnelles d'un individu »

Contrôleur européen de la protection des données, « Article 15 – Droit d'accès aux données par la personne concernée »

Contrôleur européen de la protection des données, « Article 25 – Protection des données dès la conception et par défaut »

Contrôleur européen de la protection des données, « Article 33 – Notification d'une violation de données personnelles à l'autorité de supervision »

 

Cette page ne doit pas être interprétée comme un conseil d'ordre juridique. Son contenu est fourni à titre informatif uniquement. Cette brochure fournit des renseignements sommaires et ne doit pas être considérée comme une analyse exhaustive ou un aperçu complet de tous les points de conformité au RGPD vous concernant. La conformité à la législation sur la confidentialité est propre au contexte et à la situation. En tant qu'utilisateur final des produits Avigilon, il est de votre responsabilité de veiller à ce que vos actions soient conformes à la législation en vigueur en matière de confidentialité (y compris au RGPD). Pour tout conseil à ce sujet, veuillez contacter un conseiller juridique qualifié.


Glossaire

Version ACC Dernière version d'ACC testée avec une caméra. Cela implique également la prise en charge des versions ultérieures d'ACC, sauf mention contraire.
Entrée audio Recevoir le flux audio depuis la caméra.
Sortie audio Envoyer l'audio au haut-parleur relié à la caméra.
Recherche automatique Recherche automatique de l'adresse IP de la caméra lors de la connexion dans un environnement LAN.
Type compression Décrit les types d'encodage pris en charge pour la caméra.
Type de connexion Décrit le type de pilote utilisé pour l'appareil. « Natif » se rapporte au pilote spécifique au fabricant.
Suppression de la distorsion Suppression de la distorsion dans le client pour les caméras Fish-Eye ou panoramiques.
Entrée numérique Recevoir des entrées numériques ou de relais à partir de la caméra.
Sortie numérique Déclencher des sorties numériques ou de relais physiquement connectées à une caméra.
Mouvements Affichage rapide de la disponibilité ou non de l'enregistrement des mouvements pour la caméra.
Configuration des mouvements Configuration de la détection des mouvements dans le client ACC.
Enregistrement des mouvements Prise en charge de l'enregistrement des mouvements.
PTZ Affichage rapide de la disponibilité ou non de la fonctionnalité PTZ pour la caméra.
Contrôle PTZ Mouvement PTZ de base.
Schémas/Tours de garde PTZ Capacité à créer et à déclencher des schémas PTZ, ou des tours de garde PTZ, en fonction de la prise en charge de la caméra.
Réglages prédéfinis PTZ Créer et déclencher des positions prédéfinies PTZ.
Type d'unité Type de caméra.
Vérifié par Entreprise qui a testé la caméra et indiqué ses fonctionnalités.
Microcode vérifié Specific firmware version tested.
Fabricant Blah
Modèle DS-2DE2103
Type de connexion ONVIF
Type d'unité Caméra IP PTZ
Compression Types H.264

  • Version ACC
  • Modèle DS-2DE2103
  • Type de connexion ONVIF
  • Fabricant Blah
  • Fabricant Blah
  • Fabricant Blah
  • Fabricant Blah
  • Fabricant Blah
  • Fabricant Blah
  • Fabricant Blah
  • Fabricant Blah
  • Fabricant Blah

Vérifié par :

Vendor
Télécharger le rapport de test