Protection des données personnelles – Emmanuel Walle était présent au salon Expoprotection 2014 où il a animé une conférence organisée par le SVDI (Syndicat Français des Professionnels Sécurité voix données images) sur le thème « Protection et sécurisation des réseaux : sécurisation des données stockées » (1).
Il présentait plus particulièrement les solutions afin de la réduire les risques juridiques à un niveau acceptable pour les installateurs et autres prestataires de vidéosurveillance. Trois points ont été abordés :
- Le premier concernant l’offre de la vidéoprotection-vidéosurveillance (1.2 milliard en 2013) tournée de plus en plus vers le cloud computing. Le gestion des interfaces en mode web, un service à la demande, une sécurité mature sur le réseau et une réduction de coups de stockages sont autant de raisons d’évoquer cette tendance forte.
- Cette virtualisation des données pose des questions de responsabilité contractuelle des acteurs, ce qui a fait l’objet d’une synthèse des obligations posées par la jurisprudence, notamment l’obligation de conseil du prestataire même à l’égard du client professionnel (2). Le prestataire a une obligation de se renseigner sur les besoins du client notamment sur les prérequis techniques. L’obligation de délivrance du vendeur de produits complexes n’est quant à elle pleinement exécutée qu’une fois réalisée la mise au point effective de la chose vendue (3).
- Enfin la nature même du contrat de cloud computing peut intégrer un transfert de flux d’images et de données à caractère personnel, qui doit répondre au référentiel de la Loi informatique et libertés qui préconise notamment un encadrement par l’adoption de BCR sous-traitant. En effet la multiplication des lieux de stockage de données nécessite, pour avoir un niveau de protection adéquat, d’intégrer des clauses contractuelles dans les contrats de prestations et de réfléchir à des règles internes d’exportation entres les parties concernées au transferts de données. Ces règles peuvent prendre plusieurs formes, convention d’encadrement, charte, conditions générales de transfert.
Sur le plan juridique, ces dispositions BCR sous-traitants répondent également à une présomption de sous-traitance, entraînant une sorte de co-responsabilité dans la relation qu’entretiennent le client et le prestataire.
Par ailleurs, la protection et la sécurisation des réseaux sont devenues un enjeu pour les entreprises mais aussi pour toutes installations de vidéosurveillance.
Face aux possibilités de hacking des images, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) a réagi et les pouvoirs publics se sont emparés de ces problématiques.
Pour les clients des installateurs, ils se doivent d’intégrer cette nouvelle donne dans leurs cahiers des charges. C’est ensuite aux installateurs de réfléchir en amont aux architectures (intégrant IP et Wifi) pour garantir la qualité requise : confidentialité, intégrité et disponibilité de l’ouvrage.
(1) Programme de la conférence : « Protection et sécurisation des réseaux : sécurisation des données stockées ».
(2) Cass. com 2-7-2014, n°13-10076.
(3) Cass. com. 11-7-2006, n°04-17093.