Le Règlement général sur la protection des données (RGPD) n’est pas à prendre à la légère, comme le prouvent les 2 341 384 983 euros d’amendes qu’il a d’ores et déjà générés depuis son entrée en vigueur en 2018. Il faut dire que toute entreprise – ou presque – est concernée. Peu importe où elle est située, il suffit qu’elle collecte ou stocke des informations personnellement identifiables de citoyens de l'Union européenne pour être tenue pour responsable.

Et le RGPD n’est pas tout seul. A ce jour, 137 pays ont adopté une législation pour assurer la protection des données et le respect de la vie privée. Les organisations du monde entier sont donc contraintes d’adopter de meilleures solutions et bonnes pratiques pour s’y conformer.  

Le respect de la vie privée est-il un frein à la sécurité ?

La protection des personnes et des biens implique souvent la collecte, le stockage et le partage de données personnelles. Il peut s’agit de séquences de vidéosurveillance sur lesquelles apparaissent des personnes ; de données de titulaires de carte et de leurs activités dans un système de contrôle d'accès ; ou encore de données de véhicules capturées par un système de reconnaissance automatique des plaques d'immatriculation.

Tout ceci peut facilement déraper et porter atteinte au respect de la vie privée. Mais quelques bonnes pratiques et technologies peuvent suffire pour vous assurer du contraire, sans pour autant compromettre votre sécurité physique.  

1. Garder le contrôle sur l’accès aux données et leur utilisation

Lorsqu'il s'agit de respecter la vie privée des personnes, vous devez être en mesure de contrôler qui accède à vos systèmes et données. La double authentification est ici un minimum pour empêcher des entités indésirables de le faire – par exemple un pirate qui voudrait se faire passer pour un membre de votre équipe de sécurité afin de manipuler ou de copier vos données, ou d’accéder à des informations personnelles sensibles.

Pour protéger la vie privée, il est également important de limiter ce qui peut être fait avec les données recueillies par vos systèmes. C’est ici qu’intervient l'autorisation. Les administrateurs système peuvent spécifier des droits d'accès et des privilèges pour chaque utilisateur, comme par exemple la possibilité de partager ou de modifier des données. De cette manière, vous pouvez empêcher que des informations personnelles soient utilisées à mauvais escient ou tombent entre de mauvaises mains.  

2. Anonymiser la vidéo de manière dynamique

La collecte de séquences vidéo est considérée comme une activité à haut risque en matière de respect de la vie privée. Après tout, qu'y a-t-il de plus personnel que notre propre image ? Il est toutefois possible de capturer des séquences vidéo en toute sécurité, même celles incluant des personnes, sans contrevenir aux réglementations.

La solution consiste à anonymiser de manière dynamique les personnes présentes dans le champ de vision d'une caméra. Lorsque vous les pixelisez ou floutez en temps réel à l'écran, vous permettez aux équipes de sécurité de voir leurs mouvements et leurs actions, pas leur identité.

Mais que se passe-t-il lorsqu’un incident nécessite une enquête plus approfondie ? Des images floutées ou pixellisées pourraient empêcher les forces de l'ordre de le comprendre pleinement. C’est pourquoi il est nécessaire que votre solution puisse capturer deux flux : le premier, anonymisé, est consultable par le personnel de sécurité ; le second n'est modifié en aucune façon, mais n'est accessible qu'aux utilisateurs autorisés.  

3. Protéger les données en transit et au repos

En matière de cybersécurité, la protection périmétrique n’est absolument plus d’actualité. Cette unique ligne de défense ne suffit plus, il faut pouvoir protéger à tout moment toutes les données recueillies et stockées dans les systèmes.

Le chiffrement des données est un élément important de cette protection. Lorsque nous chiffrons des données – en transit comme au repos –, nous empêchons les utilisateurs non autorisés de les lire. À son niveau le plus élémentaire, le processus implique l'utilisation d'un algorithme de chiffrement pour traduire des données lisibles en données illisibles ou chiffrées. Pour renverser le processus, il faut la clé de chiffrement correspondante. Si une entité non autorisée accède à vos données, les informations resteront illisibles, ce qui les rendra pour ainsi dire inutiles.  

Intégrer le respect de la vie privée dès la conception

Le RGPD stipule très clairement que le respect de la vie privée doit être intégré dès la conception des processus de collecte et de traitement des données personnelles. Cela signifie que les solutions ajoutées ou de fortune ne sont pas envisageables. Et c'est logique. Penser au respect de la vie privée à la fin du processus est trop tard.

Sous la notion de protection de la vie privée dès la conception se cache également l'idée de la protection de la vie privée par défaut. Un excellent exemple consiste à faire de la modification du mot de passe d’usine d’une solution une étape obligatoire de son processus d'installation ou de mise à niveau. De cette façon, une première ligne de sécurité – des mots de passe uniques – est en place avant même que la solution ne soit opérationnelle sur votre réseau. Et la protection de votre réseau est essentielle pour assurer la sécurité des informations privées.

Il est important de se rappeler que, partout dans le monde, les réglementations sur la protection des données sont le reflet d’un besoin légitime de notre société, à savoir le respect de la vie privée. Et si les amendes encourues peuvent être élevées, la non-conformité remet en question bien plus que vos seuls résultats financiers.

Par Matthieu Seys, Directeur Commercial France chez Genetec

ARTICLES SIMILAIRESPLUS DE L'AUTEUR