Checklist DPO : que vérifier avant de déployer un système de vidéosurveillance dans l’organisation

La visual data anonymization désigne un ensemble de mesures organisationnelles et techniques visant à limiter l’identification des personnes et des véhicules dans les contenus visuels dès la phase de conception du dispositif de vidéosurveillance. En pratique, il s’agit avant tout du face blurring et du license plate blurring, c’est-à-dire du floutage des visages et des plaques d’immatriculation sur les photos et les vidéos avant leur diffusion, leur publication ou leur transmission à des tiers. Dans un modèle pre-deployment, ce n’est pas un simple détail technique, mais une décision de conception qui influe sur l’étendue des données, les accès, la durée de conservation, l’architecture du système et l’évaluation des risques.

Pour le DPO, le responsable IT, le compliance officer ou toute personne chargée de valider un nouveau système de vidéosurveillance, la question essentielle n’est pas « peut-on flouter le contenu plus tard ? », mais bien « l’ensemble du processus a-t-il été conçu de manière à rendre l’anonymisation des contenus visuels réellement faisable, proportionnée et documentée ? ». Cela est particulièrement important lorsque l’organisation prévoit de publier des photos ou des vidéos, de les communiquer aux médias, à des partenaires, à des organismes publics, ou encore de les utiliser en marketing et en relations publiques.

Que signifie concrètement l’anonymisation visuelle avant la mise en service des caméras ?

Au stade du déploiement, il est utile d’adopter des définitions claires. Dans cet article, visual data anonymization désigne la préparation d’un processus permettant d’anonymiser les contenus visuels avant leur mise à disposition. Face blurring signifie le floutage des visages. License plate blurring signifie le floutage des plaques d’immatriculation. On-premise software désigne un logiciel exécuté dans l’infrastructure de l’organisation, ce qui peut être déterminant au regard des politiques internes de sécurité et de la limitation des transferts de contenus hors de l’environnement du responsable de traitement.

Du point de vue de la conformité, une approche métier classique consiste à considérer que si l’organisation prévoit une utilisation ultérieure des enregistrements ou des photos au-delà de l’objectif initial de sécurisation du site, le mécanisme d’anonymisation ne doit pas être ajouté à la fin du projet. Il doit être intégré avant la mise en service des caméras, en même temps que les règles de conservation, les droits d’accès et le processus d’exportation des fichiers.

Dans ce type de scénario, certaines organisations choisissent Gallio PRO comme solution pour accompagner l’anonymisation des contenus visuels. Du point de vue de la gouvernance, il est toutefois essentiel de décrire avec précision ses capacités et ses limites. Le logiciel détecte et floute automatiquement uniquement les visages et les plaques d’immatriculation. Il ne détecte pas automatiquement les logos d’entreprise, les tatouages, les badges nominatifs, les documents, ni les images affichées sur les écrans. Ces éléments peuvent être masqués manuellement dans l’éditeur. En outre, le logiciel n’est pas conçu pour l’anonymisation en temps réel ni pour l’anonymisation de flux vidéo, et il ne floute pas les silhouettes entières.

Checklist DPO avant le déploiement d’un système de vidéosurveillance

La liste ci-dessous regroupe les actions à vérifier et à cocher avant la mise en service des caméras. Chaque point concerne exclusivement les photos et les enregistrements vidéo ainsi que leurs scénarios d’utilisation ultérieure.

1. Décrire l’objectif de la vidéosurveillance de manière vérifiable. Il convient de préciser si le système sert uniquement à la sécurité du site ou également à la préparation de contenus destinés à la publication, à la communication de crise, à la preuve ou au partage avec des partenaires. Si une réutilisation des images est prévue, elle doit être intégrée dès la phase de conception.
2. Vérifier si le cadrage prévu est proportionné. Avant l’installation des caméras, il est recommandé d’inspecter les emplacements et de confirmer que le champ de vision ne couvre pas de manière excessive des zones publiques, les fenêtres d’immeubles voisins, des postes de travail sans justification ou des espaces dont la surveillance n’est pas nécessaire au regard de la finalité du système.
3. Préparer une matrice des scènes dans lesquelles le contenu devra être anonymisé. Il faut identifier des situations concrètes : publication d’une photo sur le site web, envoi d’un enregistrement aux médias, partage d’un extrait avec un prestataire, utilisation sur les réseaux sociaux. Cette matrice doit distinguer les visages et les plaques d’immatriculation des autres éléments susceptibles d’exiger une retouche manuelle de l’image.
4. Vérifier la base juridique du traitement et décrire séparément les usages ultérieurs de l’image. Il ne s’agit pas ici d’une analyse exhaustive de toutes les bases légales, mais une bonne pratique consiste à distinguer la vidéosurveillance elle-même de la publication ou de la communication ultérieure du contenu. Dans les scénarios de communication et de marketing, le risque de conformité peut être différent de celui lié à la simple sécurisation d’un site.
5. Réaliser une AIPD si l’ampleur ou le contexte de la vidéosurveillance l’exigent. L’analyse d’impact doit couvrir non seulement l’enregistrement des images, mais aussi l’export prévu, la sélection d’extraits, l’anonymisation avant diffusion et les rôles des personnes décisionnaires. Si l’organisation prévoit la publication d’enregistrements, cette étape peut nécessiter une description distincte des risques.
6. Préparer la notice d’information et la signalétique des zones surveillées. Le contenu doit refléter le mode de fonctionnement réel du système. Si l’organisation prévoit une utilisation ultérieure des enregistrements ou des photos, l’information fournie ne peut pas laisser entendre que l’image est utilisée uniquement pour la protection courante du site.
7. Définir la durée de conservation des contenus bruts et, séparément, des versions préparées pour diffusion. Il convient d’indiquer la durée maximale de conservation de l’enregistrement complet, la durée de conservation des extraits exportés ainsi que les conditions de suppression des versions de travail. L’erreur la plus fréquente consiste à conserver de multiples copies du contenu après l’anonymisation.
8. Limiter les rôles et les accès avant même le démarrage du système. Il est utile de déterminer qui peut consulter les contenus bruts, qui peut exporter des fichiers, qui peut effectuer le face blurring et le license plate blurring, et qui valide la publication. Sans cette matrice de responsabilités, l’anonymisation reste un processus discrétionnaire.
9. Vérifier que l’outil d’anonymisation correspond aux scénarios réels. Si l’organisation doit préparer du contenu avant publication, il est pertinent d’opter pour une solution qui facilite le travail sur des fichiers photo et vidéo, plutôt qu’un système promettant des fonctions non requises par le projet. Dans le cas de Gallio PRO, il faut garder à l’esprit que la détection automatique couvre exclusivement les visages et les plaques d’immatriculation, tandis que les autres éléments de l’image nécessitent une édition manuelle.
10. Tester le processus d’anonymisation sur un échantillon de prises de vue réelles. Avant la mise en service des caméras, il est recommandé d’effectuer un test sur des contenus présentant un cadrage, un éclairage et des mouvements comparables. Cela permet d’évaluer le travail requis pour le floutage automatique des visages et des plaques ainsi que les cas qui devront être traités manuellement. Si l’organisation souhaite vérifier ce workflow sur ses propres fichiers, elle peut le faire en téléchargeant la version de démonstration.
11. Définir une procédure de retouche manuelle pour les éléments non détectés automatiquement. Cette procédure doit préciser qui est chargé de vérifier si le contenu fait apparaître des logos d’entreprise, des tatouages, des badges nominatifs, des documents ou des images affichées sur des écrans. Ce point est particulièrement important, car ces objets ne sont pas couverts par la détection automatique dans Gallio PRO.
12. Définir une règle d’anonymisation des visages avant toute diffusion du contenu. En pratique, les organisations adoptent souvent un principe de floutage par défaut des visages avant publication ou transmission du contenu, sauf en présence d’une exception clairement documentée. L’obligation d’anonymiser les visages ne découle pas automatiquement, dans tous les cas, du RGPD, du Code civil et du droit d’auteur, mais la publication d’une image de personne nécessite en principe une évaluation juridique distincte. Le droit d’auteur prévoit des exceptions, notamment lorsqu’il s’agit d’une personne connue photographiée dans l’exercice de ses fonctions publiques ou lorsque l’image ne constitue qu’un détail d’un ensemble tel qu’un rassemblement, un paysage ou un événement public. Le simple fait de percevoir une rémunération ne constitue pas, à lui seul, une exception légale générale sans définition appropriée de l’étendue de l’autorisation de diffusion de l’image. En présence de volumes importants, il est pertinent de concevoir dès le départ un processus d’utilisation d’un outil d’anonymisation vidéo, qui détecte automatiquement les visages et les plaques d’immatriculation tout en permettant de corriger manuellement le reste.
13. Définir une règle d’anonymisation des plaques d’immatriculation avant publication. Ce point exige de la prudence. Il n’existe pas de règle européenne générale imposant systématiquement le floutage des plaques avant publication. En Pologne, la situation n’est pas non plus totalement uniforme : l’appréciation dépend du contexte, de la possibilité d’identifier une personne et de la manière dont le contenu est utilisé, la pratique et la jurisprudence n’étant pas toujours convergentes. Par conséquent, une approche pre-deployment raisonnable consiste à adopter, par prudence, une règle de floutage des plaques avant toute diffusion du contenu en dehors de l’organisation.
14. Vérifier si l’architecture du déploiement limite les transferts inutiles de contenus. Si les politiques de sécurité l’exigent, il est utile d’évaluer l’usage d’un on-premise software. Dans les déploiements d’entreprise ou sectoriels, il peut être décisif que le contenu ne quitte pas l’environnement de l’organisation sans nécessité.
15. Contrôler la politique de journalisation et les traces système. Du point de vue de la minimisation des données, il est important que l’outil ne génère pas de journaux supplémentaires contenant des données de détection ou des données personnelles. Dans le cas de Gallio PRO, il est indiqué que le logiciel ne collecte pas de logs contenant des données de détection des visages et des plaques d’immatriculation, ni de logs contenant des données personnelles ou des données relevant de catégories particulières.

Tableau de contrôle : que vérifier avant la mise en service, et que vérifier avant la publication du contenu

Quand une consultation de déploiement est-elle nécessaire ?

Tous les projets ne peuvent pas être couverts par une simple checklist. Une consultation est généralement nécessaire pour les déploiements multisites, les environnements distribués, l’intégration avec un VMS existant, les exigences liées à un on-premise software, les contraintes propres au secteur public ou les procédures de publication de contenus impliquant plusieurs départements. Dans ces cas, il est recommandé de contacter l’équipe afin de déterminer comment concevoir le processus d’anonymisation des photos et des enregistrements avant même la mise en service du système.

L’erreur la plus fréquente au stade de la conception

L’erreur la plus courante consiste à considérer la vidéosurveillance comme une simple infrastructure de caméras et à penser que l’anonymisation sera traitée plus tard. Or, c’est précisément avant le lancement qu’il faut décider si l’organisation disposera d’un outil de face blurring et de license plate blurring, qui sera responsable de la retouche manuelle, comment se déroulera la validation des contenus et à quel moment les versions de travail seront supprimées. Sans ces décisions, même un système de vidéosurveillance formellement conforme peut provoquer un chaos opérationnel dès la première demande de publication ou de partage d’un enregistrement.

FAQ - Checklist DPO

Toute organisation qui déploie un système de vidéosurveillance doit-elle acheter immédiatement un outil d’anonymisation ?

Pas nécessairement. Si le contenu n’est jamais publié ni transmis au-delà d’une finalité strictement contrôlée, le besoin peut être moindre. En revanche, si l’on sait dès la phase projet que des photos ou des vidéos seront diffusées, il est préférable de concevoir le processus d’anonymisation avant la mise en service des caméras.

Le floutage de la silhouette entière est-il la norme dans ce type de système ?

Non. Dans le contexte décrit ici, les éléments clés sont les visages et les plaques d’immatriculation. Gallio PRO ne floute pas les silhouettes entières, uniquement les visages et les plaques, tandis que les autres éléments de l’image peuvent être masqués manuellement dans l’éditeur.

Gallio PRO réalise-t-il l’anonymisation de flux vidéo en direct ?

Non. Le logiciel ne réalise ni anonymisation en temps réel ni anonymisation de flux vidéo. Il s’agit d’une limite importante à prendre en compte lors de la conception de l’architecture du système.

Faut-il toujours flouter les plaques d’immatriculation ?

Cela dépend de la juridiction et du contexte d’utilisation du contenu. Il n’existe pas de règle générale unique imposant toujours cette obligation. En Pologne, la situation n’est pas uniforme, c’est pourquoi de nombreuses organisations adoptent par prudence une pratique consistant à flouter les plaques avant publication ou diffusion du contenu hors de l’organisation.

Faut-il toujours flouter les visages avant publication ?

Pas dans tous les cas. En pratique conformité, on applique souvent un principe de masquage par défaut des visages, mais il convient d’évaluer au cas par cas la base légale du traitement ainsi que les règles relatives à la diffusion de l’image. En droit d’auteur, les exceptions concernant notamment les personnes connues et l’image constituant seulement un détail d’un ensemble, tel qu’un rassemblement, un paysage ou un événement public, sont particulièrement importantes.

La détection automatique couvre-t-elle aussi les logos, tatouages et badges ?

Non. La détection automatique couvre uniquement les visages et les plaques d’immatriculation. Les logos d’entreprise, les tatouages, les badges nominatifs, les documents et les écrans doivent être vérifiés et, si nécessaire, masqués manuellement.

Les journaux système peuvent-ils eux-mêmes créer un risque supplémentaire en matière de protection des données ?

Oui, c’est pourquoi il est utile de le vérifier avant le déploiement. Dans la documentation relative à Gallio PRO, il est indiqué que le logiciel n’enregistre pas de logs contenant des données de détection des visages et des plaques d’immatriculation, ni des données personnelles ou des données relevant de catégories particulières.