Trust Hub

La confidentialité fait partie de l’ADN de nos produits. Depuis notre création, nous nous sommes efforcés de concevoir nos produits et nos services en tenant compte de la confidentialité. Nous le faisons de sorte que nos plateformes puissent offrir à nos clients la sécurité et le fonctionnement qu’ils souhaitent, et de manière à respecter la confidentialité des personnes qui interagissent avec leur organisation. Notre engagement continu envers la confidentialité commence par ces principes :

• Propriété et contrôle
  Les données client, c’est-à-dire les données générées par l’utilisation de nos produits (telles que les enregistrements des caméras), sont détenues et contrôlées par nos clients. Grâce à cela, nos clients peuvent :

  • • choisir la durée de traitement et de stockage des enregistrements des caméras sur leurs appareils ;
    • décider quels clips vidéo sont archivés et avec qui ils sont partagés ;
    • décider quand les employés autorisés de Verkada peuvent visionner leurs enregistrements uniquement à des fins de dépannage et de développement logiciel.

  … et bien plus encore. Nous voulons que nos clients soient entièrement propriétaires de leurs données.

  Les clients contrôlent également quand et comment leurs données sont consultées ou partagées. Par exemple :

  • • Les administrateurs d’une organisation déterminent les personnes qui ont accès à leur système et ce qu’elles peuvent faire avec cet accès, à l’aide du contrôle d’accès en fonction des rôles de Command.
    • Les administrateurs voient l’utilisation de leur système à des fins de conformité, de contrôles internes ou de chaîne de traçabilité via des journaux d’audit conservés à la fois au niveau de l’appareil et de l’organisation.
    • Nous ne mélangeons ni n’agrégeons les données des clients, telles que les enregistrements des caméras, avec les données d’autres clients sans autorisation expresse préalable.
    • Nous n’utilisons pas les données des clients pour améliorer nos produits et nos services sans demander et obtenir le consentement de nos clients au préalable.
  • Verkada ne vend pas les données que les clients génèrent à l’aide de nos produits. Nous n’en avons pas besoin et nous ne souhaitons pas le faire.
• Confidentialité par défaut
  Nous concevons nos produits et nos services en tenant compte de la confidentialité afin que notre plateforme offre à nos clients la sécurité et le fonctionnement qu’ils souhaitent, de manière à respecter la confidentialité des personnes qui interagissent avec leur organisation. Les produits Verkada sont expédiés sans paramètres sensibles activés par défaut. Ainsi, les clients n’ont pas à se soucier des paramètres à la réception des produits et peuvent activer ces fonctionnalités quand et s’ils le souhaitent. Par exemple :

  • • Par défaut, les enregistrements des caméras sont stockés sur l’appareil, sous le contrôle et la propriété de notre client.
    • Nos produits surveillent uniquement les mouvements des personnes aux endroits où des caméras sont installées.
    • La fonctionnalité d’analyse des personnes est désactivée par défaut, ce qui permet au client de décider s’il souhaite l’activer et à quels moments.
• Transparence
  Nous nous engageons à offrir à nos clients une visibilité sur leur système et leurs paramètres afin qu’ils puissent prendre des mesures pour se conformer à leurs propres normes et fournir aux visiteurs une visibilité sur leurs pratiques. Par exemple :

  • • Nombre de nos fonctionnalités impliquant des questions de confidentialité sont désactivées par défaut, et lorsqu’un utilisateur les active, nous envoyons des notifications directement sur les produits afin de nous assurer qu’il en est informé et conscient.
    • Les clients peuvent voir quelles actions ont été effectuées sur la plateforme Command de Verkada, qui a accédé aux données (y compris l’accès par le service d’assistance Verkada) et qui accède en direct aux enregistrements via les journaux d’audit.
    • Les clients peuvent partager des liens vers des flux en direct et, grâce à la fonctionnalité Spectateurs en direct, les administrateurs peuvent voir qui consulte les flux à l’intérieur et à l’extérieur de leur organisation.
    • Si Verkada reçoit une demande d’application de la loi pour des données générées par les clients, nous en informerons le client (sauf si nous ne sommes pas légalement autorisés à le faire) afin qu’il puisse être entendu avant que nous ne soumettions ses données.
    • Les clients peuvent montrer aux personnes qui interagissent avec leur système une liste des types d’appareils installés et quelles fonctionnalités sont activées sur ces appareils sur un site spécifique grâce aux Déclarations publiques de confidentialité et de sécurité de Verkada.

  Nous nous engageons également à fournir une transparence sur les données que nous collectons, sur ce que nous en faisons et sur le fonctionnement de nos produits. Ces informations sont fournies dans notre Centre d’aide et nos Fiches techniques et sont inscrites dans notre Déclaration de confidentialité et notre Contrat utilisateur.
• Minimisation des données
  La mission de Verkada est de concevoir des produits qui protègent les personnes et les lieux dans le respect de la vie privée. Pour ce faire, nous proposons des fonctionnalités qui collectent, présentent ou conservent des données en quantités proportionnelles au cas d’utilisation particulier. Par exemple,

  • • Le paramètre Zones de confidentialité permet aux clients d’empêcher l’enregistrement de zones spécifiques dans le champ de vision d’une caméra.
    • Les fonctionnalités susceptibles de capturer des données plus sensibles, telles que l’analyse des personnes, sont désactivées par défaut, ce qui permet à nos clients de choisir délibérément leur utilisation de ces fonctionnalités et les données qu’ils collectent au cours du processus.
    • La fonctionnalité Floutage des visages permet aux clients de flouter les visages lors du partage de séquences archivées avec des tiers.
• FAQ sur la conformité canadienne en matière de vie privée
  Les produits et les solutions de Verkada (caméras, contrôles d’accès, interphones et capteurs) sont conçus pour aider les clients à collecter et à traiter les données à caractère personnel dans le respect de la vie privée. Cette FAQ canadienne fournit un aperçu général des exigences de la législation canadienne en matière de protection de la vie privée. Elle est conçue pour aider nos clients canadiens à respecter leurs obligations en matière de confidentialité lorsqu’ils utilisent les produits et les services de Verkada.

  Quelles lois canadiennes en matière de protection de la vie privée s’appliquent ?

  Au Canada, il existe plusieurs lois fédérales, provinciales, publiques, privées et liées à la santé se rapportant au droit à la vie privée qui réglementent la collecte, l’utilisation, la divulgation et tout autre traitement des « données à caractère personnel », généralement définies au Canada comme les informations relatives à une personne identifiable. Il s’agit notamment des noms, des coordonnées, des données de géolocalisation, des informations biométriques, des images fixes, des enregistrements audio et vidéo, des journaux d’accès ou d’autres documents de visites sur les sites. Bien que non expressément définies par la législation canadienne sur la protection de la vie privée, certaines informations, telles que les informations biométriques, sont considérées comme des informations sensibles et nécessitent un niveau de protection plus élevé (voir ci-dessous).

  La loi fédérale canadienne sur la protection de la vie privée dans le secteur privé, loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), s’applique aux organisations de tout le pays qui collectent des données à caractère personnel dans le cadre d’une activité commerciale. Certaines provinces, comme l’Alberta, le Québec et la Colombie-Britannique, ont adopté des lois provinciales qui peuvent s’appliquer à la place de la loi LPRPDE lorsque des informations personnelles sont collectées, utilisées ou divulguées dans la province concernée, mais ces lois sont largement compatibles avec la loi LPRPDE.

  Que dois-je savoir sur la loi LPRDE ?

  La loi LPRDE est basée sur 10 principes d’information juste qui régissent la manière dont les organisations peuvent collecter, utiliser ou divulguer des données à caractère personnel. Les principales caractéristiques de la loi LPRDE incluent :

  • • un concept large de « renseignements personnels », qui comprend non seulement des informations factuelles telles que les coordonnées, les numéros d’identité, l’origine ethnique ou le groupe sanguin, mais aussi des informations subjectives telles que des opinions, des évaluations et des commentaires ou des informations sur le statut social ;

    • le consentement est généralement requis avant la collecte, l’utilisation ou la divulgation des données à caractère personnel, mais il peut être implicite par le biais de panneaux d’affichage en cas de vidéosurveillance manifeste dans le secteur privé (voir ci-dessous) ;

    • les données sensibles, comme les données biométriques, cependant, peuvent nécessiter un consentement explicite dans certaines circonstances et dans certains endroits, comme au Québec ;

    • une organisation ne peut collecter, utiliser ou divulguer des renseignements personnels qu’à des fins qu’une personne raisonnable considèrerait comme appropriées au vu des circonstances ;

    • les renseignements personnels doivent être protégées par des mesures de sécurité appropriées à la sensibilité des informations. Des mesures de sécurité renforcées seront escomptées par les autorités réglementaires canadiennes lors du traitement d’informations sensibles, telles que les informations biométriques

  La loi LPRDE   empêche-t-elle le transfert de données personnelles à l’extérieur du Canada ?

  NON. La législation canadienne sur la protection de la vie privée n’interdit pas aux organisations de traiter des données à caractère personnel en dehors du Canada, y compris aux États-Unis, mais les organisations doivent s’assurer que toute donnée à caractère personnel consultée, transférée ou stockée à l’extérieur du pays est correctement protégée.

  Lorsque vous utilisez la vidéosurveillance au Canada, quels sont les éléments à prendre en compte ?

  Les pratiques suivantes doivent être prises en compte lors du déploiement d’un produit Verkada utilisé pour la vidéosurveillance :

  • • Raisonnabilité : les technologies de vidéosurveillance doivent généralement être mises en œuvre de manière raisonnable et appropriée au vu des circonstances, en prenant en compte :

      • un besoin avéré (par exemple, antécédents de vol, de vandalisme, de consommation de drogues, d’agression) ;
      • la façon dont les caméras vont répondre à ce besoin ;
      • une comparaison des avantages obtenus par rapport à toute atteinte à la vie privée ;
      • s’il existe des moyens moins intrusifs d’atteindre les objectifs.

    • Avertissement : avertissez les personnes concernées avant de collecter des informations personnelles par le biais de la vidéosurveillance, et fournissez des coordonnées, au cas où une personne aurait des questions ou demanderait l’accès à ses images (par exemple, panneau avertissant les personnes avant qu’elles n’entrent dans un magasin ou dans des locaux).

    • Transparence et ouverture : incluez des références appropriées à la vidéosurveillance (y compris les objectifs de son utilisation) dans des politiques de confidentialité internes et externes pertinentes (la fonctionnalité de déclaration de confidentialité et de sécurité de Verkada peut faciliter leur publication ).

    • Minimisation des données : dans la mesure du possible, limitez la collecte des données de vidéosurveillance aux besoins vraiment nécessaires pour répondre à vos besoins (par exemple, tenez compte de la portée de visionnage des caméras et/ou de la durée d’enregistrement des caméras).

    • Limitation de l’utilisation : utilisez la vidéosurveillance que vous recueillez uniquement pour les raisons que vous indiquez dans vos avertissements/politiques ou qui sont autorisées par la loi (les fonctions de journal d’audit et de partage de vidéo de Verkada peuvent aider).

    • Mesures de protection : stockez toute image de surveillance ou enregistrement dans un endroit sécurisé avec un accès limité, et détruisez de manière sécurisée les images ou enregistrements de vidéosurveillance lorsqu’ils ne sont plus utiles aux fins pour lesquelles ils ont été obtenus (les fonctionnalités de sécurité de Verkada offrent ces mesures de protection importantes ; voir ci-dessous).

    • Politiques/Pratiques : mettez en œuvre des politiques, pratiques et procédures internes relatives à l’outil ou aux outils de vidéosurveillance.

    • Demandes d’accès aux données (DSA) : fournissez aux personnes l’accès à leurs images de vidéosurveillance ou à leurs enregistrements lorsque la législation canadienne sur la protection de la vie privée le permet (les journaux d’audit Verkada et les mécanismes de partage de vidéos peuvent aider).

  Comment Verkada peut aider les clients canadiens à respecter leurs obligations en matière de confidentialité ?

  Les produits et solutions de Verkada incluent les fonctionnalités de confidentialité et de sécurité suivantes :

  • • Ségrégation des données: les instances du client sont logiquement réparties sur la plateforme Command (Limitations d’utilisation ; mesures de protection).

    • L’accès des utilisateurs peut être géré à grande échelle : les clients accordent l’accès à l’aide de contrôles basés sur les rôles, et peuvent limiter davantage l’accès à des utilisateurs spécifiques en fonction des besoins (Limitations d’utilisation).

    • L’accès est surveillé : des journaux d’audit détaillés sont générés à la fois pour les appareils physiques et pour les comptes d’utilisateurs (Mesures de protection).

    • Chiffrement : les données et autres informations générées par les produits et solutions de Verkada sont chiffrées au repos et en transit (Garanties).

    • Authentification forte: les méthodes d’authentification multifacteur et d’authentification unique sont prises en charge pour accéder à Command (Mesures de protection).

    • Mises à jour du système automatiques : les mises à jour du système sont automatiquement publiées sur les appareils et la plateforme Command, ce qui permet de déployer rapidement les correctifs et les mises à jour sans intervention de l’utilisateur ( Mesures de protection).

    • Évaluations régulières: les pratiques de sécurité cloud de Verkada sont régulièrement évaluées par des tiers indépendants, notamment à travers le recours à des tests d’intrusion. Verkada détient les certifications SOC2 Type2, ISO 27001/27017/et 27018. Les rapports d’audit sont disponibles pour les clients sur demande (Mesures de protection).

    • Gestion des fournisseurs : Verkada mène des évaluations de ses fournisseurs tiers pour s’assurer qu’ils mettent en place des contrôles de sécurité des informations appropriés (Mesures de protection).

  Pour plus d’informations sur les pratiques et procédures de Verkada en matière de sécurité des informations, consultez cette page ici.

  • • Emplacements : les clients de Verkada peuvent choisir parmi plusieurs emplacements cloud où leurs données peuvent être stockées, notamment aux États-Unis, au Canada, en Australie et en Irlande. En outre, Verkada dispose de centres de données cloud dans l’Union européenne, en Australie et aux États-Unis, où sont disponibles le traitement et le stockage des données.

    • Rétention: les clients configurent des périodes de rétention, pour répondre à leurs besoins juridiques ou professionnels, de 30 à 365 jours (ou plus) dans le cloud.

  En savoir plus sur les évaluations d’impact en matière de confidentialité au Québec – Comment Verkada peut vous aider ?

  Dans la province de Québec (et ailleurs au Canada où des technologies pouvant porter atteinte à la vie privée, comme la biométrie, sont utilisées ou pour des organisations du secteur public dans certaines juridictions), les clients devront certainement d’abord réaliser une analyse d’impact sur la protection des données (AIPD ou PIA) avant de déployer la vidéosurveillance ou d’autres technologies ayant un impact sur la vie privée. Les clients ont la responsabilité de compléter leur analyse d’impact sur la protection des données (AIPD ou PIA), qui incluent généralement des questions sur des éléments tels que le choix de l’emplacement des caméras, le soutien des politiques internes, l’équilibre entre les intérêts en matière de confidentialité et les besoins de l’entreprise, etc. Seuls nos clients peuvent répondre à ce type de questions, mais les informations sur les pratiques et procédures de sécurité de Verkada que vous trouverez ici peuvent aider.

  Plus d’informations

  Pour plus d’informations sur l’utilisation des outils de vidéosurveillance ou sur la collecte des informations biométriques au Canada, veuillez consulter les ressources suivantes publiées par les autorités canadiennes en matière de protection de la vie privée :

  • Vidéosurveillance

    • Directives pour la vidéosurveillance manifeste dans le secteur privé (Office of the Privacy Commissioner of Canada, March 2008)

    • Guide d’utilisation de la vidéosurveillance manifeste (Office of the Information and Privacy Commissioner of British Columbia, October 2017)

    • Directives de vidéosurveillance pour les organismes publics (Office of the Saskatchewan Information and Privacy Commissioner, January 2018)

    • Directives pour l’utilisation de la vidéosurveillance (Office of the Information and Privacy Commissioner of Ontario, October 2015)

    • Surveillance vidéo - Fiche technique (Office of the Information and Privacy Commissioner of Ontario, November 2016)

    • Directives de surveillance vidéo (Office of the Information and Privacy Commissioner for Nova Scotia, December 2019)

    • Directives pour l’utilisation des systèmes de vidéosurveillance dans les écoles (Office of the Information and Privacy Commissioner of Newfoundland and Labrador, February 2013)

    • Directives relatives à la vidéosurveillance par les organismes publics de Terre-neuve et du Labrador Office of the Information and Privacy Commissioner of Newfoundland and Labrador, June 2015)

    Biométrie

    • Les données à portée de main. La biométrie et les défis à relever (Office of the Privacy Commissioner of Canada, February 2011)

    • Directives pour l’identification et l’authentification (Office of the Privacy Commissioner of Canada, June 2016)

    • Guide de traitement des données biométriques – pour les organisations (Office of the Privacy Commissioner of Canada, 2023)

    • Propos de guide de traitement des données biométriques – pour les institutions publiques (Office of the Privacy Commissioner of Canada, 2023)

    • Biométrie (en français uniquement) (Commission d’accès à l’information du Québec, septembre 2022)

    • Biométrie : principes à respecter et obligations légales des organisations (en français uniquement) (Commission d’accès à l’information du Québec, septembre 2022)

• Lois et réglementations de l’UE en matière de caméras/de biométrie (par pays)
  Bien que le RGPD soit largement appliqué dans l’UE, divers pays disposent de lois supplémentaires sur les caméras et/ou sur la biométrie relatives à l’utilisation de la vidéosurveillance avec ou sans biométrie. De même, les régulateurs locaux de la protection de la vie privée ont des points de vue différents à travers l’UE sur la façon dont la surveillance par caméra peut être assurée par le RGPD. Nous examinons ci-dessous les lois et conseils réglementaires spécifiques à chaque pays pour aider nos clients à se conformer à leurs obligations en matière de protection des données.
• Belgique

  Caméras

  La loi caméras réglemente la vidéosurveillance en Belgique. Elle s’applique aux entreprises (publiques ou privées) qui installent des caméras dans le but de sécuriser des locaux. D’autres lois peuvent également s’appliquer, comme la législation du travail, lors de la mise en place de caméras sur un lieu de travail. Les clients soumis à la loi doivent :

  • enregistrer les caméras auprès de la police avant le début du service et ensuite, chaque année ;
  • tenir un registre du traitement des images requis par le RGPD (avec quelques ajouts pour les caméras) ;
  • placer des pictogrammes et des étiquettes indiquant la présence de caméras incluant les avertissements requis ;
  • communiquer une politique de vidéosurveillance.

  Des limitations peuvent s’appliquer à l’utilisation des caméras dans le secteur privé dans les espaces ouverts (espace non fermé et librement accessible au public, y compris les voies publiques). La surveillance dans les espaces ouverts est généralement autorisée par les autorités publiques.

  Biométrie

  Le traitement des données biométriques doit satisfaire aux conditions de « nécessité » et de « proportionnalité » du RGPD. Par exemple, dans le cas d’un employé qui entre dans une zone hautement sensible, l’accès par badge seul sans pièce d’identité à deux facteurs serait inadéquat. En outre, les régulateurs belges peuvent également exiger le consentement explicite des personnes dont les informations biométriques sont collectées et traitées–, ce qui représente un défi sur un lieu de travail privé compte tenu du déséquilibre des pouvoirs entre l’employeur et l’employé. Lorsqu’un employeur permet aux employés de choisir parmi une multitude de méthodes d’authentification (badge physique, PassApp ou PassApp avec intégration biométrique) et que l’employé choisit lui-même une méthode biométrique, il peut être plus facile de répondre à la norme.

  Exigences techniques à prendre en compte

  – Positionnez soigneusement la caméra pour qu’elle ne soit pas orientée vers un endroit pour lequel vous ne traitez pas les données (par exemple, sur une autoroute publique).

  • Restreignez l’accès des personnes soumises à un devoir de confidentialité et uniquement en fonction des besoins.
  • Restreignez le partage avec des tiers, autre que par règlement ou exigence légale.
  • Supprimez les images après 1 mois, sauf si nécessaire comme preuve d’un délit ou d’un dommage.
• Finlande

  La Finlande dispose de deux lois qui réglementent la surveillance par caméra : the Act on the Protection of Privacy in Working Life (2004/79) et the Criminal Code of Finland (1889/39). La première autorise l’utilisation de caméras de surveillance dans le but de :

  • protéger les employés et autres personnes sur le lieu de travail ;
  • surveiller le bon fonctionnement des processus de production, ou ;
  • prévenir/enquêter sur les situations susceptibles de les mettre en danger.

  Des limites à la surveillance par caméra peuvent s’appliquer à la surveillance d’un ou plusieurs employés en particulier sur le lieu de travail où la vie privée est censée être respectée - les toilettes, les vestiaires ou autres lieux similaires.

  En règle générale, les employeurs peuvent recourir à la surveillance du lieu de travail lorsque celle-ci est essentielle pour :

  • prévenir une menace claire de dommage ou de danger pour un employé ;
  • prévenir ou enquêter sur les infractions contre les biens si le travail de l’employé consiste à manipuler de l’argent, des valeurs ou des objets de valeur, ou ;
  • assurer la protection d’un employé qui fait l’objet de la surveillance.

  Le code criminel finlandais interdit l’observation illégale , c’est-à-dire le visionnage ou le filmage illégal d’une personne à l’aide d’une caméra, dans un lieu privé (p. ex., toilettes, vestiaires ou tout autre lieu similaire, de la sphère privée) ou qui est fermée au public. La protection ne s’étend pas aux lieux publics auxquels le public a gratuitement accès. Les espaces protégés par le système de confidentialité interne comprennent les appartements résidentiels et les chambres d’hôtel où réside une personne, les événements privés, d’autres réunions fermées au public et les séjours en hôpitaux.

• France

  Il n’y a pas de loi française spécifique aux caméras, mais il existe des conseils réglementaires en matière de biométrie. Les régulateurs français peuvent examiner s’il existe des solutions moins intrusives pour les personnes concernées, telles qu’un badge physique ou une clé d’entrée, comme première étape pour déterminer si la collecte de données biométriques est appropriée.

  Dans le contexte de l’emploi, des restrictions (ou des exigences) relatives à l’utilisation des caméras peuvent s’appliquer, telles que :

  • L’enregistrement ou la transmission d’une image dans un lieu privé sans consentement ;

  • L’enregistrement vidéo n’est généralement pas autorisé sur :

  • les postes de travail, sauf lorsque les employés manipulent de l’argent ou des objets de valeur ;

  • les zones de pause/de repos ;

  • les toilettes ;

  • les bureaux de représentants du personnel ou des employés.

  • Un avertissement doit être fourni avant d’utiliser la vidéosurveillance (p. ex., via une politique de confidentialité RH).

  • Lorsque les caméras sont utilisées pour contrôler l’activité des employés, consulter le comité d’entreprise peut s’avérer nécessaire. Si les caméras doivent filmer un lieu ouvert au public (entrées et sorties publiques, zones commerciales), les dispositions du Code de sécurité intérieure français peuvent également s’appliquer, notamment que leur utilisation est soumise à une autorisation préalable.

• Allemagne
  En Allemagne, en plus des lois sur la protection de la vie privée, d’autres lois locales peuvent également être pertinentes, telles que la loi sur le droit d’accès des œuvres d’art, la loi criminelle, la loi sur la police et la loi sur les rassemblements. Ces lois limitent : - la diffusion ou l’affichage public d’images sans le consentement de la personne concernée, sauf dans les cas d’intérêt public (par exemple, les images d’un acte criminel) - le visionnage d’espaces privés (par exemple, les chambres et les toilettes), les personnes vulnérables (les de violence) ou de manière à porter atteinte à une réputation (en l’absence d’un intérêt public prédominant (p. ex., les œuvres d’art, les sciences, la recherche ou l’enseignement) – utilisation des enregistrements vidéo par la police pour détecter des modèles de comportement (à supprimer après 72 heures) et la surveillance des démonstrations et des rassemblements
• Pays-Bas
  Le traitement des données biométriques doit satisfaire aux conditions de « nécessité » et de « proportionnalité » du RGPD. Par exemple, dans le cas d’un employé qui entre dans une zone hautement sensible, l’accès par badge seul sans pièce d’identité à deux facteurs serait inadéquat. En outre, les régulateurs néerlandais peuvent également exiger le consentement explicite des personnes dont les informations biométriques sont collectées et traitées, ce qui constitue un défi dans le lieu de travail privé compte tenu du désarmement des forces entre l’employeur et l’employé. Lorsqu’un employeur permet aux employés de choisir parmi une multitude de méthodes d’authentification (badge physique, PassApp ou PassApp avec intégration biométrique) et que l’employé choisit lui-même une méthode biométrique, il peut être plus facile de répondre à la norme.
• Suède

  En plus du RGPD, la loi de vidéosurveillance suédoise (Sw. Kaserabevaknyslagen) impose des obligations supplémentaires et exige que les clients obtiennent des autorisations dans certaines circonstances. Elle s’applique aux caméras installées en Suède (que l’entreprise qui exploite les caméras se trouve ou non en Suède et que des données biométriques soient utilisées ou non). Une autorisation préalable est requise si la surveillance a lieu dans le cadre de l’exécution de tâches d’intérêt public et dépend de l’emplacement des caméras. Par exemple, la surveillance d’une cour d’école et des entrées peut nécessiter une autorisation préalable, mais ce n’est généralement pas le cas pour la surveillance des salles de classe ou des couloirs.

  Si une autorisation est requise, un formulaire désigné doit être rempli par l’entreprise (client de Verkada). Le formulaire est disponible en (suédois (seulement) ici. Le formulaire doit inclure :

  • l’identité de l’entreprise qui effectuera la surveillance ou indiquera si elle sera gérée par un tiers (défini par le client)
  • l’objectif de la surveillance (détecté par le client)
  • une description de la surveillance, en particulier des équipements, lieu, zone et heure (fixés par le client)
  • Évaluation des besoins de surveillance et de la mesure du caractère adéquat de la vidéosurveillance par rapport à ses buts (fixés par le client)
  • Évaluation des risques pour la confidentialité et description des mesures d’atténuation (dans certains cas, des pratiques de Verkada aideront les clients à prouver comment les risques en matière de vie privée seront atténués (par exemple, en cas de suppression d’enregistrements vidéo)
  • si cela n’est pas effectué par une entité publique, quelle loi ou autre statut, accord collectif ou décision fournit une base juridique à la vidéosurveillance
  • Si dans le contexte de l’emploi, l’avis d’un représentant de la sécurité, d’un comité de sécurité ou d’une organisation représentant les travailleurs sur le lieu de travail doit être soumis en même temps
  • les clients peuvent engager un dialogue avec l’administration publique avant de demander une autorisation et communiquer régulièrement tout au long du processus.
• Royaume-Uni

  Caméras et biométrique

  L’autorité de protection des données du Royaume-Uni (l’ICO) a publié des conseils spécifiques pour les organisations utilisant la vidéosurveillance, notamment la vidéosurveillance CCTV, la reconnaissance automatique des plaques d’immatriculation, la technologie de reconnaissance faciale et les données biométriques. Les conseils sont complets et fournissent, par exemple :

  • une évaluation en matière de protection des données sera probablement toujours nécessaire, même si vous n’utilisez pas la biométrie, en raison des risques inhérents liés à la vie privée avec les systèmes de surveillance
  • Le traitement des données sensibles, telles que les données biométriques, nécessite un « document de politique appropriée » expliquant les procédures à respecter pour se conformer aux principes du Règlement général sur la protection des données (RGPD) et à la politique de suppression et de rétention (à mettre à jour régulièrement jusqu’à six mois après la fin du traitement)
  • Des registres de documents de traitement doivent être conservés (exigene de documentation du RGPD)
  • sur les lieux de travail :
  • une consultation avec les employés peut être nécessaire, en particulier pendant le processus d’évaluation d’impact en matière de protection des données
  • les caméras doivent être ciblées sur des zones à risque particulières
  • la surveillance continue doit être légitime
  • des solutions de remplacement à la reconnaissance biométrique doivent être proposées
  • l’utilisation de la vidéosurveillance CCTV pour la prévention des crimes nécessite également le versement de frais de protection des données à l’ICO (l’autorité de protection des données du Royaume-Uni)
  • l’enregistrement et le paiement peuvent être effectués en ligne (voir ici pour plus d’informations)

  Exigences techniques à prendre en compte

  • l’audio doit être désactivé par défaut ; être utilisé uniquement dans des circonstances exceptionnelles
  • les mesures de sécurité doivent inclure :
    • un accès et une capacité à faire des copies restreints
    • des mesures de protection suffisantes lorsque les systèmes sont connectés à un réseau
    • des contrôles concernant les divulgations à des tiers
    • la formation des employés
    • l’avertissement que l’utilisation incorrecte des systèmes de surveillance peut constituer une infraction criminelle
  • lors de l’utilisation de l’enregistreur vidéo réseau ANPR , les bases de données doivent être à jour, précises et de qualité suffisante pour éviter les erreurs
  • les caméras (et tous les algorithmes utilisés) doivent être de qualité suffisante pour éviter toute erreur d’identification d’une marque d’immatriculation de véhicule
  • une évaluation en matière de protection des données liée à la reconnaissance faciale doit expliquer les mesures contre les préjugés
  • lorsqu’ils utilisent des technologies de reconnaissance faciale ou exploitent des données biométriques, les clients doivent être en mesure de fournir :
  • une explication « à base juridique » quant à la raison pour laquelle cette utilisation est nécessaire ou dans l’intérêt public
  • pourquoi des options moins intrusives ont été écartées
  • une évaluation de la probabilité que les objectifs de l’utilisation des technologies de reconnaissance faciale soient atteints et
  • une explication sur la façon dont son efficacité sera mesurée