Ce que les entreprises de construction doivent savoir sur le RGPD et les lois sur la protection de la vie privée – anonymisation des photos et des vidéos

Jusqu'à récemment, les entreprises de construction avaient les mêmes obligations que toute autre entité en vertu du RGPD. Ils devaient protéger les données personnelles de leurs employés, fournisseurs et sous-traitants. Des solutions relativement simples telles que la transmission de données cryptées, des sauvegardes régulières et des bases de données protégées par mot de passe étaient, dans de nombreux cas, suffisantes. Bien entendu, il fallait également qu'il y ait un DPO (délégué à la protection des données) chargé d'adapter les procédures de l'entreprise aux exigences légales.

Mais ce n'est que le début de la protection des données dans les entreprises de construction, d'autant plus qu'elles doivent désormais collecter et traiter des gigaoctets de données visuelles, contenant souvent des images d'invités, de fonctionnaires, de travailleurs, d'autres employés, et même de personnes aléatoires et de plaques d'immatriculation de voiture.

Données photographiques recueillies par les entreprises de construction

Aujourd’hui, les choses sont plus compliquées car les entreprises de construction traitent d’énormes quantités de données visuelles (vidéo et photo). Ces matériaux sont utilisés pour:

• Préparer des plans, des plans et des conceptions
• Augmenter la sécurité des travailleurs et s'assurer qu'ils respectent les règles de sécurité
• Surveiller les personnes entrant et sortant des locaux
• Protéger les engins de chantier (le panneau de surveillance 24h/24 et 7j/7 peut décourager de nombreux vols potentiels)
• Documenter l'avancement des travaux, les matériaux utilisés et les solutions appliquées

Ceci est particulièrement crucial lorsqu’il s’agit de grands projets d’infrastructure, tels que:

• Routes et autoroutes
• Chemins de fer
• Parcs éoliens
• Pipelines
• Réservoirs d'eau artificiels
• Projets agricoles et de transformation des terres

Certaines de ces images sont des photographies très spécialisées (par exemple, des photos panoramiques et des images à 360 degrés). Elles sont fréquemment prises à l'aide d'équipements spécialisés montés sur des véhicules, similaires à ceux utilisés pour la cartographie mobile. Dans d’autres situations, le processus de documentation du chantier est beaucoup plus simple. Peut-être que certaines photos sont même prises par le personnel avec leur appareil photo numérique ou même leur smartphone. Et bien sûr, en théorie, on peut demander aux travailleurs d'éviter de prendre des photos contenant des personnes ou des véhicules avec des plaques d'immatriculation visibles, mais ce n'est pas toujours possible.

Il est très probable qu'au moins certaines des images traitées par une entreprise de construction contiennent des personnes ou des véhicules. Les entreprises de construction doivent être conscientes que toutes ces images sont soumises aux réglementations sur la protection des données décrites dans le RGPD. Même si l’entreprise opère en dehors de l’Union européenne, il existe très probablement une réglementation similaire dans un pays donné avec des dispositions similaires.

Comment les entreprises de construction peuvent-elles se conformer à ces réglementations ?

Protection des données personnelles: enjeux et obligations

Chaque entreprise de construction européenne est tenue d’opérer en totale conformité avec le RGPD. Qu’est-ce que cela signifie en pratique ?

LE DROIT D’ACCÈS AUX DONNÉES PERSONNELLES

Ici, l’une des questions dont les entreprises de construction doivent tenir compte est le droit d’accès de la personne concernée (art. 15). Inutile de dire que n’importe qui peut être la personne concernée, car les caméras de vidéosurveillance peuvent « capturer » même les passants qui regardent le nouveau bâtiment en construction. Nous avons consacré un de nos derniers articles de blog à la question du droit d'accès aux données sur le blog Gallio.PRO: Article 15 RGPD et Vidéosurveillance - obligation de partager les enregistrements.

STOCKAGE DES DONNÉES DE MANIÈRE SÉCURISÉE

Les documents vidéo et photo contenant des données personnelles ne peuvent être stockés de quelque manière que ce soit et en tout lieu. Ces actifs doivent être sécurisés afin qu’ils ne tombent pas entre de mauvaises mains. Personne ne veut sûrement avoir de problèmes parce que des images ont été divulguées montrant les visages visibles des travailleurs, des passants et des responsables locaux ou gouvernementaux. Les entreprises de construction doivent donc s’assurer que:

1. Toutes les données visuelles sont stockées dans un emplacement sécurisé protégé par un contrôle d'accès.
2. Il existe une politique d'accès et de protection des données spécifique et adaptée aux besoins de chaque entreprise.
3. Toutes les données visuelles (et non visuelles) contenant des personnes et des véhicules sont protégées par des mots de passe et d'autres mesures de cybersécurité pertinentes (par exemple, un pare-feu).
4. Les données personnelles ne sont pas conservées plus longtemps que nécessaire et une personne est responsable des calendriers et des procédures de conservation des données (en général, une fois que les éléments contenant des données personnelles atteignent certains objectifs commerciaux, ou après un « délai raisonnable », ils doivent être supprimés).

LA RÈGLE DE PROPORTIONNALITÉ

Il est important de noter que les grandes entreprises qui collectent régulièrement et à grande échelle des données visuelles doivent garantir des procédures et des solutions de sécurité encore plus rigides. C'est à cause de la règle dite de proportionnalité.

Plus une entreprise stocke de données personnelles, plus des mesures de sécurité doivent être mises en œuvre.

Prenons cet exemple: il existe deux sociétés de commerce électronique. L’un est un petit magasin avec une base de données de quelques milliers de clients, et l’autre est un leader du marché avec des centaines de milliers de clients et d’abonnés à la newsletter. Le règlement RGPD (principalement son principe de proportionnalité) implique que chaque grande entité doit mieux se protéger, établir davantage de procédures, employer des spécialistes en protection des données et payer pour des mesures de sécurité plus avancées. En outre, ces entreprises ont besoin de règles plus strictes en matière de signalement des incidents et, en cas d'incident, elles sont passibles de sanctions beaucoup plus élevées, même en cas de négligence mineure.

En outre, la règle de proportionnalité stipule que seules les données personnelles adéquates et pertinentes aux fins du traitement sont collectées et traitées.

PARTAGE DE DONNÉES PERSONNELLES

Les entreprises de construction souhaitent généralement, voire doivent, partager les données visuelles collectées avec d'autres entités, notamment:

• Clientèle
• Entrepreneurs
• Les autorités
• Et même les médias

En théorie, chacune de ces situations nécessite la signature d’accords de délégation de données distincts, indiquant clairement quel type de données personnelles est transféré à un tiers, pourquoi et dans quelles conditions. Dans le cadre d'un tel accord, le destinataire a les mêmes obligations que le fournisseur, notamment en ce qui concerne la sécurité totale des données reçues.

Comment éviter ces problèmes

Tous ces défis et obligations énumérés ci-dessus disparaissent presque complètement lorsqu’il est possible de supprimer les personnes et les plaques d’immatriculation des photos et des enregistrements. Cela signifie-t-il pour autant qu’il soit nécessaire de se débarrasser complètement de ces matériaux ? Heureusement, non. Il existe une solution plus sûre et plus efficace: l’anonymisation des données.

Une fois les données visuelles anonymisées, l’entreprise n’a plus à se soucier des questions de confidentialité liées à ces éléments. En effet, toutes les données personnelles intégrées dans le matériel photo ou vidéo ont été "neutralisées" et ne sont donc plus soumises au RGPD.

ANONYMISATION DES DONNÉES VISUELLES - OPTIONS POSSIBLES

Dans la forme la plus simple, les entreprises de construction peuvent anonymiser leurs photos manuellement. Même un simple logiciel graphique peut suffire. Cependant, cette solution devient inefficace, coûteuse et chronophage lorsqu’il faut anonymiser des centaines, voire des milliers de fichiers.

Heureusement, il existe une deuxième option, plus efficace - un logiciel d’anonymisation automatisé des données. Les algorithmes d'IA alimentent généralement ces logiciels, ces outils sont donc très efficaces pour détecter des éléments de données personnelles (visages, plaques d'immatriculation) et les anonymiser en appliquant un filtre de flou permanent sur l'image/l'enregistrement.

Bien entendu, aucun logiciel d'anonymisation n'est précis à 100 % (même si le niveau de précision est généralement proche de 100 %), mais même si l'outil ne parvient pas à anonymiser un visage sur - pour donner un exemple - 10 000 visages anonymisés, le sous-traitant peut au prétendent au moins avoir pris toutes les mesures appropriées pour sécuriser les données personnelles dans leurs supports visuels. Et cela pourrait constituer une ligne de défense efficace atténuant la gravité des éventuelles amendes et pénalités.

DEUX TYPES DE LOGICIELS D'ANONYMISATION DE DONNÉES

Il existe deux options principales pour les entreprises de construction qui cherchent à anonymiser efficacement leurs supports visuels:

• Solutions basées sur le cloud: le principal inconvénient de ces outils est que l'entreprise doit toujours signer un accord de transfert de données (l'utilisateur doit envoyer des photos et des vidéos à des serveurs tiers) avec le fournisseur pour pouvoir utiliser ces outils légalement. L’utilisation de plateformes basées sur le cloud sans accords appropriés de fourniture de données constitue toujours une violation du RGPD.

• Solutions sur site: elles sont plus lentes que les outils cloud, mais comme elles fonctionnent hors ligne, il n'y a aucun risque de fuite de données personnelles et donc aucun besoin de signer d'accords supplémentaires. Les données restent au sein de l’entreprise pendant tout le processus. Dans ce scénario, l’entreprise est conforme à 100 % au RGPD en matière d’anonymisation des données.
  

SOLUTIONS D'ANONYMISATION SUR MESURE

De plus, certaines solutions sur site de niveau industriel nécessitent des implémentations dédiées sur les serveurs de l'entreprise de construction, tandis que d'autres sont fournies sous forme de « conteneur » qui peut être exécuté sur le serveur du client. Cette configuration nécessite généralement du personnel informatique qualifié et entraîne des coûts de mise en œuvre/de service supplémentaires. Ces types de solutions d'anonymisation sont raisonnables presque exclusivement pour les flux de travail industriels continus et à grande échelle (plutôt pas pour les entreprises de construction qui ont besoin d'anonymiser les matériaux par lots associés à des projets spécifiques), en particulier lorsque cela n'arrive que de temps en temps lors de la remise des matériaux à tiers (entrepreneurs ou clients).

La facilité d’utilisation est ici un autre facteur essentiel. Pour certaines applications, l'utilisation d'une solution de serveur dédié implique des processus de mise en œuvre et de configuration complexes. C’est là qu’une solution de bureau simple présente un net avantage. N'importe quel utilisateur, même le moins averti en technologie, peut installer un tel logiciel de bureau sur n'importe quel ordinateur Windows/Mac.

Pourtant, les algorithmes d’IA qui alimentent ces applications de bureau sont souvent aussi puissants que ceux des solutions sur mesure.

DIFFÉRENTES OPTIONS DE TARIF

Le prix est également un élément à prendre en considération. Lorsqu'il s'agit de logiciels d'anonymisation, il existe plusieurs modèles de tarification. Les plus populaires sont les suivants:

• Payer pour utilisation
• Tarif forfaitaire combiné à une licence à durée limitée

Les propriétaires d'entreprise doivent s'assurer de choisir le modèle de tarification adapté aux besoins de leur entreprise afin de pouvoir anonymiser tous les fichiers pertinents et de ne pas payer trop cher pour l'accès à un outil sélectionné.

Résumé: les entreprises de construction doivent veiller à l'anonymisation des données

Dans l'environnement juridique actuel, toutes les entreprises de construction européennes doivent prendre les mesures nécessaires pour minimiser les données et, le cas échéant, les anonymiser. Cela implique de supprimer/flouer les visages et les plaques d’immatriculation sur toutes les photos et vidéos. L'anonymisation des données visuelles permet d'éviter des coûts organisationnels supplémentaires, des risques possibles et des problèmes juridiques causés par une mauvaise pratique en matière de protection des données.

Si, après avoir lu cet article, des questions subsistent, il est généralement préférable de contacter le conseiller local en matière de conformité en matière de confidentialité ou l'institution locale de protection des données.