« Les solutions vidéo intelligentes renforcent la sécurité en collectant des données plus précieuses que jamais. Mais équilibrer les exigences de confidentialité avec une sécurité vidéo efficace n'est jamais facile, nécessitant des pratiques de gestion des données conformes, des solutions ‘sécurisées dès la conception’ et des partenariats avec des installateurs et des fabricants soucieux de la sécurité », déclare Fred Streefland, directeur de la cybersécurité et de la confidentialité chez Hikvision EMEA.
Les solutions vidéo intelligentes ont progressé à pas de géant dans un laps de temps très court, aidant les organisations de tous types et de toutes tailles à renforcer la sécurité de leur site.
Il y a quelques années à peine, par exemple, des caméras enregistraient des séquences vidéo et les stockaient localement, les équipes de sécurité les examinant manuellement en cas d'incident. Aujourd'hui, les technologies d'apprentissage automatique et d'intelligence artificielle (IA) permettent aux caméras intelligentes de collecter et de traiter de grandes quantités de données sur les personnes accédant aux sites et aux bâtiments, aidant les équipes de sécurité à travailler plus efficacement et à réagir plus rapidement en cas d’incidents.
Mais en dépit des nombreux avantages opérationnels et de sécurité de l'apprentissage automatique et de l'IA, chaque organisation doit prendre en compte et atténuer les implications en matière de confidentialité des caméras et autres appareils collectant et traitant les informations personnelles identifiables (PII) des citoyens. En d'autres termes, vous devez équilibrer soigneusement les exigences de confidentialité avec les capacités de vos solutions vidéo.
Suivez les règles et tout ira bien
C'est un mythe courant que les solutions vidéo ne sont pas autorisées par le RGPD et d'autres réglementations sur la protection de la vie privée, mais ce n'est pas réellement le cas. En fait, vous êtes libre d'enregistrer des séquences vidéo de votre entreprise ou de votre site dans le cadre du RGPD - à condition de suivre les règles, y compris les articles 5 et 6 du RGPD.
Ces articles indiquent très clairement que le traitement de toutes les PII doit être licite et que toutes les PII, collectées à propos des citoyens de l'UE, doivent être traitées et stockées en toute sécurité, de bout en bout.
Bien sûr, cela inclut les séquences vidéo où l'identité d'une ou plusieurs personnes peut être reconnue. Cependant, les règles s'appliquent également à d'autres données, telles que les données de contrôle de la température, qui ne sont pas des données personnelles en soi, mais qui deviennent des données sensibles lorsqu'elles sont liées à des personnes reconnaissables. Dans ce cas, ces données doivent également être protégées de bout en bout.
La « puissance des 3 »
Toute organisation qui prend la confidentialité au sérieux sait que l'équilibre entre les problèmes de confidentialité et les solutions de sécurité vidéo intelligentes n'est pas quelque chose que vous pouvez réaliser seul. En fait, 3 partenaires clés sont nécessaires pour vous aider à atteindre cet équilibre délicat et assurer la conformité avec le RGPD.
Ceux-ci sont :
1) L'utilisateur final (c'est-à-dire votre entreprise)
Selon les termes des règles de confidentialité, y compris le RGPD, la responsabilité revient à l'utilisateur final (c'est-à-dire à vous) en ce qui concerne les responsabilités de traitement sécurisé des données. Après tout, les appareils, systèmes et réseaux utilisés pour le traitement et le partage de données sont sous votre contrôle et vous devriez être en mesure de vous en porter garant. Heureusement, vous n'êtes pas seul et vos partenaires technologiques, installateurs et équipes juridiques devraient tous être disponibles pour vous aider à garantir que vos données sont traitées et stockées en toute sécurité à tout moment.
2) L'installateur
L'installateur vidéo intelligent a un rôle clé à jouer pour garantir que l'accès à votre réseau et à vos appareils est totalement sécurisé. Cela peut être réalisé grâce à une combinaison de techniques, du déploiement de caméras et d’autres appareils sur une partie ‘partitionnée’ ou sécurisée du réseau, à la modification des mots de passe d’usine pour minimiser le risque de failles de sécurité.
3) Le fabricant de l'appareil
Les fabricants de technologies vidéo intelligentes ont une responsabilité majeure en termes de sécurisation de leurs appareils et de garantie qu'aucune «faille» de sécurité n'existe nulle part. Cela ne peut être réalisé qu’en mettant en œuvre des principes de ‘sécurité dès la conception’ dans les processus de développement, de test d’intrusion et de production pour garantir que la sécurité est ‘intégrée’ dans tous les produits.
Une autre responsabilité clé du fabricant est de rendre tous les produits ‘sécurisés par défaut’ au point de livraison. C'est-à-dire que les paramètres d'usine placent le produit dans le mode le plus sécurisé possible en ce qui concerne la manière dont les données sont collectées et traitées, même si cela limite certaines des capacités avancées de l'appareil. Bien sûr, les paramètres de sécurité peuvent être atténués pour accéder aux fonctionnalités avancées si vous le souhaitez - mais cela ne doit être fait que sous des conseils juridiques pour garantir que toutes vos solutions restent conformes au RGPD.
Posez toutes les bonnes questions sur la confidentialité
Pour toutes les organisations, équilibrer les exigences de confidentialité avec une sécurité vidéo efficace consiste à comprendre vos responsabilités et à vous assurer que vos solutions technologiques correspondent. La seule façon d'y parvenir est de poser les bonnes questions aux fabricants et installateurs de vos appareils.
Demandez au fabricant de votre appareil, par exemple, si les produits sont développés et testés conformément aux principes de ‘sécurité dès la conception’ et si le traitement des données répond aux exigences de sécurité du RGPD. Vous devriez également envisager de demander si les appareils sont configurés pour une sécurité maximale par défaut, et de préférence également pour la confidentialité par défaut, lorsqu'ils sont livrés de l'usine.
Source : HIKVISION