Chaîne de traçabilité des enregistrements vidéo : définition
La chaîne de traçabilité, ou chain of custody, désigne l’enregistrement documenté et vérifiable de l’identité des personnes ayant eu accès à une vidéo ou à des photos, du moment de cet accès, de sa finalité, de son périmètre, ainsi que des opérations effectuées sur le fichier, le support ou sa copie. En pratique, du point de vue de la conformité, cela signifie assurer une traçabilité continue du contenu depuis son acquisition, puis son export, son transfert, son stockage, son analyse, l’anonymisation des visages et des plaques d’immatriculation, jusqu’à sa diffusion ou son archivage.
Dans le contexte des enregistrements vidéo, la chaîne de traçabilité poursuit deux objectifs. Premièrement, elle sert à confirmer l’intégrité du contenu, c’est-à-dire l’absence de modifications non documentées. Deuxièmement, elle permet de démontrer la licéité et la proportionnalité du traitement des données personnelles visibles sur l’image. Cela concerne en particulier les contenus comportant l’image de personnes, des plaques d’immatriculation ainsi que d’autres informations susceptibles de permettre une identification. Dans une perspective probatoire et réglementaire, ce n’est pas seulement le fichier lui-même qui compte, mais aussi les métadonnées, l’empreinte de contrôle, l’environnement de traitement, les droits des opérateurs et l’historique des versions.
L’importance de la chaîne de traçabilité découle des principes généraux de sécurité de l’information et de responsabilité. En matière de protection des données personnelles, les fondements sont l’article 5, paragraphe 1, point f), et l’article 5, paragraphe 2, du RGPD, à savoir l’intégrité, la confidentialité et la responsabilité, ainsi que l’article 32 du RGPD relatif à la sécurité du traitement. En pratique, les normes ISO/IEC 27001:2022, ISO/IEC 27002:2022, ISO/IEC 27037:2012 et ISO/IEC 27042:2015 sont également utiles, car elles décrivent l’identification, la collecte, la sécurisation et l’évaluation des preuves numériques.
Comment comprendre la chaîne de traçabilité lors de l’anonymisation des vidéos ?
L’anonymisation d’un contenu vidéo ne supprime pas la nécessité de préserver sa valeur probante. Au contraire, elle exige une séparation précise entre le contenu source et le contenu traité. Si une organisation floute des visages ou des plaques d’immatriculation avant de diffuser un enregistrement, elle doit pouvoir démontrer que la version publiée dérive d’un fichier source déterminé et que l’opération elle-même a été réalisée de manière contrôlée.
Dans ce modèle, il existe généralement au moins deux versions du contenu :
- la version source : inchangée, avec empreinte de contrôle conservée et accès restreint,
- la version de travail ou la copie destinée à la diffusion après traitement : avec anonymisation, export et étendue des retouches documentés.
Si un modèle d’IA est utilisé pour détecter les visages ou les plaques d’immatriculation, il convient, à des fins d’audit, de documenter non seulement le floutage lui-même, mais aussi les paramètres du processus. Le deep learning est l’une des techniques utilisées pour construire des modèles de détection d’objets qui automatisent ensuite l’identification des zones à flouter. Toutefois, du point de vue de la chain of custody, ce qui importe n’est pas l’entraînement du modèle, mais la version du modèle utilisée, la date de la détection, l’identité de la personne ayant validé le résultat et la présence ou non d’interventions manuelles consignées dans l’historique des opérations.
Dans l’environnement Gallio PRO, il faut en outre distinguer clairement le périmètre de l’automatisation des actions manuelles. Le logiciel floute automatiquement uniquement les visages et les plaques d’immatriculation. Il ne détecte pas automatiquement les logos, les tatouages, les badges nominatifs, les documents ni les images affichées sur des écrans. Ces éléments peuvent être floutés manuellement dans l’éditeur. Chaque intervention manuelle doit être prise en compte dans la documentation de la chaîne de traçabilité.
Comment documenter chaque étape du traitement d’un contenu vidéo ?
Une chaîne de traçabilité efficace repose sur un registre d’événements reproductible. Le simple stockage du fichier ne suffit pas. Il doit être possible de démontrer l’historique complet du contenu, depuis son acquisition jusqu’à sa suppression ou sa transmission. En pratique, l’approche la plus efficace repose sur les événements, les identifiants et les empreintes de contrôle.
Le périmètre minimal de la documentation comprend généralement :
- un identifiant unique du dossier, du support et du fichier,
- la date et l’heure d’acquisition du contenu avec le fuseau horaire,
- la source de l’enregistrement, par exemple une caméra de vidéosurveillance, une caméra-piéton, un téléphone ou une caméra embarquée,
- la personne ou le système ayant effectué l’import, la copie ou l’export,
- l’empreinte de contrôle du fichier, le plus souvent SHA-256,
- la localisation logique et physique du support ou du dépôt,
- l’historique des accès et des modifications des droits,
- le périmètre de l’anonymisation : visages, plaques d’immatriculation, zones floutées manuellement,
- la version de l’outil et de la configuration utilisées pour le traitement,
- les informations relatives à l’export, à la transmission, à la conservation ou à la suppression.
Il est utile d’appliquer une règle simple : toute opération sur le contenu doit laisser une trace probatoire, mais cette trace ne doit pas contenir de données personnelles au-delà du minimum nécessaire à la responsabilité. C’est également important parce que les systèmes d’anonymisation ne devraient pas générer de journaux contenant des données personnelles inutiles. Dans l’environnement Gallio PRO, ce principe est respecté : le logiciel ne collecte pas de journaux contenant des données personnelles ni des catégories particulières de données personnelles.
Attributs clés et métriques de la chaîne de traçabilité des enregistrements vidéo
La valeur probante dépend de la capacité à démontrer l’intégrité, l’authenticité et le contrôle des accès. Pour les équipes conformité, des indicateurs mesurables sont utiles. Tous n’ont pas nécessairement un caractère normatif, mais ils facilitent l’audit et l’évaluation des risques.
Attribut | Description pratique | Exemple de métrique
|
|---|---|---|
Intégrité du fichier | Capacité à confirmer que le fichier source n’a pas été modifié | Correspondance de l’empreinte SHA-256 avant et après le transfert |
Exhaustivité du registre | Pourcentage d’opérations documentées dans l’historique du dossier | 100 % des événements critiques avec identifiant de l’opérateur et horodatage |
Traçabilité | Capacité à relier une version au contenu source | Nombre de versions avec référence complète au fichier source |
Délai de réaction | Temps écoulé entre l’acquisition et la sécurisation du contenu | T1 - T0 en minutes ou en heures |
Contrôle des accès | Nombre de comptes ayant accès au contenu et étendue de cet accès | RBAC, principe du moindre privilège |
Qualité de l’anonymisation | Efficacité de la détection des objets à flouter | Précision, rappel, nombre de corrections manuelles |
En matière d’intégrité, on utilise le plus souvent des fonctions de hachage de la famille SHA-2, décrites par le NIST dans la norme FIPS 180-4. Des empreintes distinctes peuvent être calculées pour le fichier d’entrée et pour la version de sortie. Si le contenu source a pour empreinte H1 et la copie de travail H2, la documentation doit expliquer pourquoi H1 et H2 sont différents, par exemple en raison de l’anonymisation effectuée ou d’un changement de conteneur de fichier.
Un enregistrement simple peut prendre la forme suivante :
hash_integrity = SHA-256(fichier)
Importance de la chaîne de traçabilité pour la conformité au RGPD et la protection de la vie privée
En pratique, dans le domaine de la protection des données, la chaîne de traçabilité n’est pas uniquement une question de criminalistique numérique. C’est aussi un outil de responsabilité du responsable du traitement. Si une organisation publie ou transmet un enregistrement après anonymisation, elle doit être en mesure de démontrer la base juridique du traitement, l’adéquation du périmètre de divulgation ainsi que les mesures techniques et organisationnelles mises en place.
Pour les contenus vidéo, les points suivants sont particulièrement importants :
- documenter la finalité du traitement et sa base juridique,
- séparer le contenu source de la copie destinée à la diffusion,
- restreindre l’accès à la version non anonymisée,
- appliquer une durée de conservation conforme à la politique interne et aux règles sectorielles,
- être en mesure de démontrer que les visages et les plaques ont été floutés là où cela était nécessaire.
S’agissant des visages, la nécessité d’anonymiser peut découler des principes du RGPD, de la protection des droits de la personnalité et des règles relatives à la diffusion de l’image des personnes, en tenant compte des exceptions concernant les personnes publiques et les scènes publiques plus larges. Pour les plaques d’immatriculation, la situation juridique n’est pas totalement uniforme. En Pologne, l’appréciation du point de savoir si un numéro d’immatriculation constitue une donnée personnelle dépend du contexte et de la possibilité d’identifier une personne à l’aide de moyens raisonnablement susceptibles d’être mis en œuvre. Du point de vue de la conformité, il est plus sûr de documenter la décision prise et la norme d’anonymisation retenue.
Défis et limites de la chaîne de traçabilité dans le traitement vidéo
Même un processus bien conçu présente des limites. Les contenus vidéo sont sensibles aux changements de format, à la perte de métadonnées, aux erreurs de synchronisation temporelle et aux ambiguïtés relatives à leur source. En outre, la détection automatique des visages et des plaques ne garantit pas une efficacité de 100 %, ce qui rend parfois nécessaire une vérification manuelle.
Les problèmes les plus fréquents sont les suivants :
- absence d’horloge système cohérente entre les appareils et les serveurs,
- export des enregistrements vers des formats supprimant une partie des métadonnées,
- enregistrement incomplet des opérations manuelles,
- droits des opérateurs trop étendus,
- mélange entre copies de travail et contenu source,
- absence de procédure distincte pour l’anonymisation et pour la préservation de la preuve.
L’organisation devrait donc préciser dans sa procédure à quel moment le travail s’effectue sur une copie bit à bit ou logique, qui valide l’anonymisation et comment les versions du contenu sont identifiées. Cela réduit le risque de contestation de la valeur probante et le risque d’atteinte à la vie privée.
Références normatives et sources
Les documents ci-dessous sont le plus souvent utilisés comme points de référence lors de la conception de procédures relatives aux preuves numériques et à la sécurité du traitement :
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 - RGPD, en particulier l’article 5 et l’article 32
- ISO/IEC 27001:2022 - Information security, cybersecurity and privacy protection - Information security management systems - Requirements
- ISO/IEC 27002:2022 - Information security controls
- ISO/IEC 27037:2012 - Guidelines for identification, collection, acquisition and preservation of digital evidence
- ISO/IEC 27042:2015 - Guidelines for the analysis and interpretation of digital evidence
- NIST FIPS PUB 180-4, Secure Hash Standard, August 2015
- NIST SP 800-86, Guide to Integrating Forensic Techniques into Incident Response, 2006