Qu’est-ce qu’un déploiement on-premise ?
Un déploiement on-premise (on-premise deployment) est un mode d’implémentation logicielle consistant à installer et exploiter l’ensemble de la solution au sein d’une infrastructure contrôlée par l’administrateur des données. Dans le contexte de l’anonymisation de photos et de vidéos, cela signifie que l’importation, le traitement, la génération des résultats ainsi que la journalisation des événements s’effectuent exclusivement dans le réseau interne de l’organisation, sans transfert des fichiers vers le cloud du fournisseur.
Ce modèle soutient le respect des principes d’intégrité, de confidentialité et de responsabilité prévus à l’art. 5 du RGPD, des mesures de sécurité de l’art. 32 ainsi que du principe de privacy by design (protection des données dès la conception) visé à l’art. 25 (source : Règlement (UE) 2016/679).
En pratique, les déploiements on-premise de l’outil Gallio PRO concernent le traitement par lots de contenus issus de caméras et d’appareils photo, avec floutage automatique limité aux visages et aux plaques d’immatriculation, et retouche manuelle d’autres éléments via un éditeur intégré. Le logiciel ne réalise pas d’anonymisation en temps réel ni de traitement de flux vidéo en streaming, ne détecte pas automatiquement les logos, tatouages ou badges nominatifs, et les journaux ne contiennent aucune information relative aux détections de visages ou de plaques ni d’autres données personnelles.
Rôle du déploiement on-premise dans l’anonymisation des images et vidéos
Le déploiement local réduit le risque de divulgation non autorisée des contenus et facilite la conformité aux exigences relatives aux transferts de données personnelles vers des pays tiers ou des organisations internationales (art. 44-49 du RGPD). Il permet également d’adapter les politiques de conservation, de contrôle d’accès et d’audit aux procédures internes, tout en limitant l’exposition des données sources lors de l’entraînement et de l’inférence des modèles de détection.
Le deep learning est essentiel, car un floutage précis nécessite un modèle d’intelligence artificielle capable de détecter les visages et les plaques d’immatriculation sur des images et des séquences vidéo. Ce modèle est entraîné sur des jeux de données annotés, puis utilisé en phase d’inférence dans l’environnement on-premise pour effectuer la redaction automatique. Dans Gallio PRO, l’automatisation concerne exclusivement ces deux catégories ; les autres éléments visuels peuvent être modifiés manuellement.
Technologies on-premise pour l’anonymisation
La couche d’entraînement et d’inférence repose sur des réseaux neuronaux dédiés à la détection d’objets. Afin de garantir la sécurité et la conformité réglementaire, l’environnement on-premise doit assurer l’isolation des calculs, le chiffrement des données et un contrôle d’accès rigoureux. Les composants typiques et les normes associées sont résumés ci-dessous.
Couches d’un déploiement on-premise et normes associées
Couche | Mécanismes | Normes et références
|
|---|---|---|
Réseau | Segmentation VLAN, absence d’accès Internet pour les nœuds de traitement, TLS pour le panneau d’administration | RFC 5246 TLS 1.2, RFC 8446 TLS 1.3 |
Calcul | Conteneurisation, isolation des espaces de noms, accélérateurs GPU pour l’inférence | CIS Controls v8, NIST SP 800-53 Rev. 5 |
Stockage | Chiffrement des données au repos, gestion de la rétention, suppression sécurisée des fichiers temporaires | NIST FIPS 197 (AES), NIST SP 800-38E (XTS-AES) |
Accès | RBAC, MFA, journalisation des accès administratifs | ISO/IEC 27001:2022, NIST SP 800-53 Rev. 5 |
Conformité | Politiques de conservation, DPIA (AIPD), registre des activités | RGPD 2016/679, Lignes directrices CEPD 3/2019 |
Paramètres clés et indicateurs des déploiements on-premise
Les indicateurs doivent évaluer à la fois la qualité de l’anonymisation et la sécurité opérationnelle. Les métriques de détection d’objets reposent généralement sur les standards COCO/PASCAL ainsi que sur les mesures IoU et mAP (source : Lin et al., ECCV 2014).
Métriques de qualité et de sécurité
Métrique | Définition | Méthode de mesure | Référence
|
|---|---|---|---|
Recall (rappel) visages/plaques | TP / (TP + FN) pour un seuil IoU donné | Annotations de référence vs. détections du modèle | COCO evaluation, Lin et al. 2014 |
Précision de détection | TP / (TP + FP) | Idem | COCO evaluation, Lin et al. 2014 |
mAP | Average Precision moyenne sur plusieurs seuils IoU | Agrégation AP pour les classes : visage, plaque | COCO evaluation, Lin et al. 2014 |
Efficacité de l’anonymisation | 1 − taux d’instances non anonymisées | Revue d’échantillons par QA ou apprentissage actif | CEPD 3/2019 - risques liés à la vidéosurveillance |
Latence de traitement | Temps de traitement d’une image ou d’un fichier | Mesure end-to-end par lot | Bonne pratique d’ingénierie |
Sécurité au repos | Algorithme et mode de chiffrement | Vérification configuration XTS-AES-256 | NIST FIPS 197, SP 800-38E |
Sécurité en transit | Version TLS et suites cryptographiques | Scan de configuration TLS | RFC 8446, RFC 5246 |
Rétention et suppression | Conformité à la politique de conservation | Tests de suppression des fichiers temporaires | ISO/IEC 27001:2022 |
Dans le cas de Gallio PRO, il convient de noter que le système ne masque pas les silhouettes complètes, ne fonctionne pas en temps réel et ne conserve pas de journaux contenant des données personnelles issues des détections. Les métriques d’audit portent donc uniquement sur les événements administratifs et opérationnels.
Défis et limites du modèle on-premise
Les déploiements on-premise nécessitent une gestion rigoureuse du cycle de vie logiciel, des pilotes GPU et des correctifs de sécurité. Le traitement haute performance peut exiger des accélérateurs dédiés. Il est indispensable d’assurer une gestion adéquate des clés de chiffrement, un contrôle d’accès strict et une séparation claire entre environnements de test et de production. Les limites incluent l’absence d’anonymisation en streaming et l’absence de détection automatique d’autres objets que les visages et plaques, ce qui implique une retouche manuelle complémentaire.
Exemples d’utilisation
Le déploiement on-premise est particulièrement adapté à l’anonymisation de contenus destinés à la publication sur des portails institutionnels, aux réponses aux demandes d’accès à l’information publique, à la transmission de pièces judiciaires, à la formation du personnel ou aux activités de recherche et développement lorsque les données sources ne peuvent quitter le réseau interne. Dans les secteurs public et réglementé, il facilite la réalisation d’une AIPD (DPIA) et réduit les risques liés aux transferts internationaux et aux obligations contractuelles.
Références normatives
- RGPD 2016/679 - art. 5, 25, 32, 44-49 : https://eur-lex.europa.eu/eli/reg/2016/679/oj
- CEPD, Lignes directrices 3/2019 sur le traitement des données par dispositifs vidéo : https://edpb.europa.eu
- ISO/IEC 27001:2022 - Systèmes de management de la sécurité de l’information : https://www.iso.org/standard/82875.html
- NIST SP 800-53 Rev. 5 - Security and Privacy Controls : https://csrc.nist.gov/publications
- CIS Controls v8 - Center for Internet Security : https://www.cisecurity.org/controls/v8
- NIST FIPS 197 - Advanced Encryption Standard (AES) : https://csrc.nist.gov/publications/detail/fips/197/final
- NIST SP 800-38E - Recommendation for XTS-AES : https://csrc.nist.gov/publications/detail/sp/800-38e/final
- RFC 8446 - TLS 1.3 : https://www.rfc-editor.org/rfc/rfc8446
- RFC 5246 - TLS 1.2 : https://www.rfc-editor.org/rfc/rfc5246
- Lin et al., 2014 - Microsoft COCO (définitions mAP/IoU) : https://arxiv.org/abs/1405.0312
Dans la pratique nationale, les autorités de protection des données ainsi que le CEPD considèrent que les plaques d’immatriculation peuvent constituer des données à caractère personnel lorsqu’elles permettent d’identifier une personne physique. La jurisprudence administrative peut toutefois présenter des interprétations divergentes selon les cas d’espèce. En l’absence de position univoque, l’anonymisation des plaques constitue une approche prudente.