137 pays ont, à ce jour, adopté une législation pour assurer la protection des données et le respect de la vie privée. Toutes découlent du Règlement général sur la protection des données (RGPD), dont les dispositions sont applicables dans l’ensemble des 27 États membres de l’Union européenne. Cette réglementation a généré 2 341 384 983 euros d’amendes depuis son entrée en vigueur en 2018. Et pourtant, à peine plus d’une entreprise sur deux estime avoir un niveau de conformité avancé dans la mise en œuvre du RGPD.
Voici les conseils de Genetec aux organisations qui souhaitent s’assurer que leurs systèmes de sécurité, parfois amenés à collecter des données personnelles, ne protègent pas seulement les personnes et les biens, mais également la confidentialité des données et le respect de la vie privée :

1. Mettre en place la gourvernance des données. Dans l’entreprise, la gouvernance des données consiste à savoir où se trouvent les données, comment elles sont utilisées et si elles sont bien protégées. L’approche débute par la nomination d’un délégué à la protection des données dont la mission sera de guider les stratégies et d’assurer la conformité à la réglementation. Il lui incombera de déterminer comment les données sont collectées, utilisées et stockées, combien de temps elles sont conservées et qui peut y accéder ; de classer les données en fonction du risque ; d’identifier les personnes extérieures qui ont besoin d’y accéder ; et d’évaluer le risque que le traitement de ces données représente pour les droits des citoyens.

2. Développer la bonne stratégie de protection des données. L’étape suivante consiste à évaluer les lacunes de l’entreprise dans le traitement des données vis-à-vis de la réglementation en vigueur, à savoir si les systèmes existants sont capables de prendre en charge le respect de la vie privée sans épuiser les ressources. De nouveaux processus devront être mis en œuvre pour combler les lacunes, si nécessaire ; les politiques et procédures de respect de la vie privée seront formalisées et documentées. Enfin, l’ensemble du personnel doit être formé aux bonnes pratiques de cybersécurité et de respect de la vie privée.

3. Etre proactif dans le choix des bonnes technologies et des bons partenaires. Il s’agira pour l’entreprise de se renseigner proactivement sur les certifications et les mesures prises par les partenaires et fournisseurs pour se conformer à la législation sur le respect de la vie privée ; et de porter ainsi, en priorité, leur choix sur des solutions conçues selon le principe du "Privacy by Design", qui active par défaut des fonctions de respect de la vie privée et permet de standardiser les processus et les politiques à travers différentes zones géographiques.

4. Concevoir des systèmes de sécurité respectueux de la vie privée. Les technologies aujourd’hui disponibles permettent de concevoir des systèmes de sécurité physique qui assurent la confidientialité des données et respectent la vie privée – à condition de bien les choisir et d’activer les bonnes fonctionnalités. Plusieurs couches de défense doivent ainsi être mises en place pour protéger les informations personnelles recueillies par les systèmes ; cela passe notamment par la définition de droits d’accès afin de limiter au strict nécessaire les personnes qui peuvent se connecter aux applications et ce qu’elles peuvent voir ou faire. On pensera aussi aux fonctions d’anonymisation des vidéos, floutant l’identité des personnes dans les enregistrements. Les politiques de conservation des données peuvent par ailleurs être automatisées afin que les données soient supprimées en temps et en heure, en accord avec la législation. En termes de maintenance, le déploiement des mises à jour et correctifs logiciels peut également être automatisé, permettant ainsi de toujours disposer des dernières défenses contre les vulnérabilités.

5. Suivre l’évolution des réglementations et des menaces de cybersécurité. Si toutes vont dans le même sens, les lois sur la confidentialité des données et le respect de la vie privée diffèrent selon les pays et ne sont pas immuables. Il est donc nécessaire de se tenir au courant d’éventuelles évolutions et de modifier les politiques et processus de l’entreprise en conséquence. La confidentialité des données est également une question de cybersécurité, qui repose sur les bons outils de durcissement et les bons processus. L’activité des utilisateurs doit être surveillée pour vérifier à quelles données, quels systèmes et quels fichiers ils accèdent ; tout comme l’état du système, l’idéal étant de pouvoir recevoir automatiquement des alertes sur les vulnérabilités du système ou les défaillances des appareils.

« En matière de sécurité physique, les entreprises ne devraient jamais avoir à choisir entre la protection de leurs biens et des personnes, et le respect de la vie privée. Les deux ne sont absolumment pas exclusifs, à condition d’opter pour des solutions de sécurité physique développées selon le principe de "Privacy by Design", c’est-à-dire intégrant le respect de la vie privée dès leur conception. La journée européenne de la protection des données est l’occasion idéale de rappeler ce que cela implique », conclut Cyrille Becker, Directeur général Europe de Genetec.