Qu’est-ce que la souveraineté des données ?

Définition

La souveraineté des données désigne la capacité d’une organisation à exercer un contrôle effectif, juridique et opérationnel sur ses données ainsi que sur les conditions de leur traitement dans une juridiction donnée. Elle inclut la décision concernant le lieu de traitement et de stockage, les transferts transfrontaliers, les entités qui traitent les données, ainsi que les mesures techniques et organisationnelles mises en œuvre. Dans le contexte de l’anonymisation d’images et de vidéos, la souveraineté des données concerne à la fois les matériaux sources (enregistrements vidéo, photos), les fichiers dérivés (versions anonymisées) et les métadonnées du processus.

Dans l’Union européenne, le fondement juridique découle du RGPD, notamment des principes de limitation des finalités, de minimisation des données, d’intégrité et de confidentialité, ainsi que des règles relatives aux transferts de données en dehors de l’EEE. Les recommandations du CEPD sur les transferts internationaux et la jurisprudence de la CJUE sont également déterminantes, car elles imposent un contrôle renforcé des flux de données vers des pays tiers. La souveraineté des données combine ainsi des dimensions juridiques, techniques et opérationnelles afin de garantir un traitement conforme, auditable et résistant aux demandes d’accès contradictoires émanant de l’étranger.

Rôle de la souveraineté des données dans l’anonymisation d’images et de vidéos

• Conformité au RGPD - choix du lieu de traitement et des outils de manière à éviter tout transfert non autorisé de données personnelles figurant sur les enregistrements avant leur anonymisation. Les bases juridiques principales sont les articles 5 et 25 ainsi que le chapitre V du RGPD.
• Réduction du risque juridique - à la suite de l’arrêt CJUE C‑311/18, les organisations doivent évaluer le risque d’accès aux données par les autorités de pays tiers. Un traitement on‑premise dans l’EEE et la limitation des dépendances réseau externes peuvent simplifier cette analyse.
• Chaîne de preuve - les vidéos constituent fréquemment des éléments de preuve. La souveraineté des données implique le contrôle de la chaîne de conservation, de l’immutabilité et de la traçabilité de l’ensemble du processus d’anonymisation.
• Limitation de l’exposition - la réduction des journaux et de la télémétrie susceptibles de révéler la présence de visages ou de plaques d’immatriculation soutient le principe de minimisation des données.
• Différences nationales - le statut des plaques d’immatriculation en tant que données personnelles peut varier selon les pays. Le CEPD souligne la possibilité d’une identification indirecte, ce qui plaide en faveur du masquage des plaques dans les contenus publiés. En pratique, une approche prudente est recommandée.

Technologies soutenant la souveraineté des données

• Traitement on‑premise - déploiement du logiciel dans une infrastructure propre ou dans un cloud privé situé dans l’EEE, avec contrôle des réseaux et des mises à jour.
• Edge computing et mode hors ligne - anonymisation sur des stations de travail ou des serveurs en périphérie, sans connexion permanente à Internet.
• Conteneurisation et politiques de localisation - orchestration avec règles de restricted egress et ancrage explicite des ressources dans les régions de l’EEE.
• Chiffrement - données au repos chiffrées avec l’algorithme AES conforme à FIPS 197, communications sécurisées via TLS 1.3 conformément à la RFC 8446. Gestion des clés dans des HSM situés dans l’EEE.
• Contrôle des transferts - registres d’analyses d’impact sur les transferts (TIA), clauses contractuelles types et mesures complémentaires recommandées par le CEPD.
• Responsabilité (accountability) - journaux d’audit immuables du processus (hash des fichiers, horodatage), sans conservation de logs révélant des caractéristiques biométriques ou des détections d’objets.
• Ingénierie de la vie privée - privacy by design selon ISO/IEC 27701, pseudonymisation et minimisation des données nécessaires à la détection des visages et des plaques.

Paramètres et indicateurs clés - souveraineté des données

Défis et limites

• Conflits de juridictions - risque d’accès aux données sur la base du droit de pays tiers. Cela nécessite des analyses de transfert et des mesures techniques empêchant l’accès aux données en clair.
• Interprétations juridiques divergentes - autorités et juridictions peuvent adopter des positions différentes sur le statut des plaques d’immatriculation. Le CEPD met en avant l’identifiabilité indirecte, renforçant le niveau de protection lors de la publication de vidéos d’espaces publics.
• Dépendances fournisseurs - certaines solutions cloud peuvent introduire des transferts implicites ou une télémétrie externe. Il convient d’éliminer les composants envoyant des métadonnées hors de l’infrastructure contrôlée.
• Équilibre entre responsabilité et minimisation - les journaux doivent permettre l’audit et la chaîne de preuve, sans conserver de données permettant l’identification des personnes.

Exemples d’usage - anonymisation d’images et de vidéos

• Une collectivité locale traite les enregistrements de vidéosurveillance sur des serveurs on‑premise dans l’EEE, anonymise les visages et les plaques d’immatriculation, et conserve les versions sources dans une zone isolée à rétention courte. L’absence de services externes et de télémétrie sur les détections renforce la souveraineté des données.
• Une entreprise industrielle partage avec ses partenaires des vidéos anonymisées de ses sites. L’ensemble du pipeline fonctionne dans un réseau isolé, les clés de chiffrement étant stockées dans des HSM situés dans le pays. Les transferts internationaux ne concernent que les fichiers déjà anonymisés.
• Un organisme de recherche crée des jeux de photos anonymisées destinés à la publication. Avant le traitement, il réalise une AIPD (DPIA) et une TIA, et le pipeline bloque tout trafic sortant. TLS 1.3 et AES sont utilisés, et l’audit couvre chaque étape de détection et de masquage.
• Des solutions de type Gallio PRO déployées on‑premise : elles masquent automatiquement les visages et les plaques d’immatriculation, ne masquent pas les silhouettes entières, ne réalisent pas l’anonymisation de flux en direct et peuvent permettre le masquage manuel d’autres objets dans l’éditeur. L’absence de logs contenant des informations de détection limite l’exposition des données.

Références normatives et sources

1. RGPD - Règlement (UE) 2016/679 du 27.04.2016, notamment art. 5, art. 25 et chapitre V, JOUE L 119/1.
2. CEPD, Recommandations 01/2020 sur les mesures complétant les outils de transfert, version 2.0, 18.06.2021.
3. CJUE, arrêt du 16.07.2020, C‑311/18, Data Protection Commissioner c. Facebook Ireland et Maximillian Schrems (Schrems II).
4. CEPD, Lignes directrices 3/2019 sur le traitement des données à caractère personnel par des dispositifs vidéo, version 2.0, 29.01.2020.
5. ISO/IEC 27001:2022 - Sécurité de l’information, cybersécurité et protection de la vie privée - SMSI.
6. ISO/IEC 27002:2022 - Sécurité de l’information, cybersécurité et protection de la vie privée - Mesures (journalisation, surveillance, cryptographie).
7. ISO/IEC 27701:2019 - Extension d’ISO/IEC 27001 et 27002 pour le management des informations de confidentialité.
8. ISO/IEC 27018:2019 - Protection des données à caractère personnel dans les clouds publics agissant comme sous‑traitants.
9. FIPS 197 - Advanced Encryption Standard (AES), NIST, 2001.
10. RFC 8446 - The Transport Layer Security (TLS) Protocol Version 1.3, IETF, 2018.
11. Règlement (UE) 2023/2854 - Data Act, 13.12.2023, notamment les garanties contre l’accès transfrontalier non autorisé aux données stockées dans l’UE.