Jusqu’au 25 mai 2018, les propriétaires ou les gestionnaires de systèmes de sûreté devaient déclarer leur système de vidéosurveillance et leur système de contrôle d’accès à la CNIL. Depuis l’entrée en vigueur du Règlement général de protection des données (RGPD), il n’est plus nécessaire de faire la déclaration de ces fichiers à la CNIL. En revanche il est nécessaire de mettre en œuvre des mesures techniques et organisationnelles afin de protéger et assurer l’intégrité des données personnelles.
La protection physique et la protection logique des données
Pour résumer il faut assurer à la fois la protection physique et la protection logique des données. Parmi ces mesures ont peut citer :
- La sécurisation physique des locaux de stockage et d’exploitation de la vidéo et du contrôle d’accès ainsi que les locaux réseaux intermédiaires
- La sécurisation logique du réseau de transport de ces données : VLAN, mise en place d’une supervision réseau, anti-virus, double ou triple authentification, charte de gestion des mots de passe, etc.
- La signature d’un contrat de maintenance pour les systèmes de vidéosurveillance et de contrôle d’accès avec des obligations claires en matière de suivi d’écrasement des données (30 jours maximum pour la vidéosurveillance, 3 mois pour les données issues du contrôle d’accès), l’actualisation des versions logiciels des systèmes de sûreté, l’actualisation des firmware des caméras, etc.
Des procédures pour accompagner et garantir l’intégrité des données
Ces mesures de protections doivent être complétées par des procédures qui devront encadrer le travail des différents intervenants (par exemple le responsable de la sécurité, des services généraux, les agents de sécurité ou encore les agents chargés de la gestion des badges). A titre d’illustration, il faudra mettre en place des procédures :
- d’habilitation des personnels en charge de la vidéosurveillance (visualisation, relecture, extraction), des agents chargés de l’exploitation du système de contrôle d’accès (accès au file de l’eau et aux historiques, création, actualisation et suppression des badges) et de ceux qui vont paramétrer les autorisations ou encore les mots de passe.
- de suivi et moyens mis en œuvre pour assurer l’intégrité des données : gammes de maintenance, redondances des serveurs, tableau de suivi des accès aux locaux et aux systèmes, etc.
L’ensemble de ces mesures doivent être synthétisées dans des fiches qui seront transmises à votre DPO.