Traitement on-premise - définition
Le traitement on-premise (également appelé on-premises processing ; en français : traitement sur site) désigne l’exécution d’opérations sur des données au sein d’une infrastructure appartenant à l’organisation et placée sous son contrôle, sans transfert durable vers un cloud public. Dans le contexte de l’anonymisation de photos et de vidéos, cela signifie que la détection, la classification et le masquage des visages et des plaques d’immatriculation sont réalisés sur des serveurs locaux, souvent dans des réseaux isolés d’Internet.
L’approche on-premise favorise le respect des principes de minimisation des données, d’intégrité et de confidentialité du traitement (art. 5, §1, c et f du RGPD), ainsi que la mise en œuvre de mesures techniques appropriées (art. 32 du RGPD). Elle réduit la surface d’exposition liée aux transferts de données, simplifie le contrôle des accès et facilite le respect des exigences de localisation des données.
Rôle du traitement on-premise dans l’anonymisation d’images et de vidéos
L’anonymisation de contenus visuels nécessite la détection d’éléments sensibles et leur altération irréversible. En pratique, des réseaux neuronaux profonds sont entraînés sur des jeux de données annotés, puis utilisés pour l’inférence lors du processus de masquage. L’entraînement des modèles a généralement lieu en dehors de l’environnement du client, tandis que l’inférence et l’ensemble de la chaîne de traitement peuvent être exécutées en on-premise afin que les données sources ne quittent pas l’infrastructure contrôlée.
Dans les solutions de type Gallio PRO, le floutage automatique concerne les visages et les plaques d’immatriculation. Le système ne floute pas les silhouettes entières, ne réalise pas d’anonymisation en temps réel ni d’anonymisation de flux vidéo. D’autres éléments de l’image, tels que les logos, tatouages, badges ou contenus d’écran, peuvent être floutés manuellement dans l’éditeur. Le logiciel ne conserve pas de journaux contenant des images ou d’autres données personnelles ; en particulier, il ne doit pas enregistrer dans les logs opérationnels de métadonnées permettant d’identifier des personnes.
Technologies et architecture on-premise
La mise en œuvre d’un traitement on-premise pour l’anonymisation repose sur une architecture cohérente intégrant calcul, stockage et sécurité. Les composants et bonnes pratiques les plus courants sont présentés ci-dessous.
- Couche de calcul - serveurs équipés de GPU pour l’inférence des modèles de deep learning ; alternativement CPU avec accélération SIMD. Conteneurisation (ex. Docker) et orchestration dans des environnements isolés.
- Couche de données - stockages locaux de fichiers ou objets avec chiffrement au repos (ex. AES-256 ; choix de la longueur de clé et durée d’utilisation conformément à NIST SP 800-57), gestion de la rétention et du versioning.
- Sécurité des transports - TLS 1.2 ou 1.3 conformément aux RFC 5246 et RFC 8446 pour le trafic interne, avec restrictions d’accès réseau via ACL et segmentation.
- Identification et contrôle d’accès - intégration avec AD/LDAP, principe du moindre privilège, séparation des rôles entre opérateurs et administrateurs.
- Cycle ML - réception de modèles signés pour l’inférence, validation d’intégrité, mises à jour hors ligne contrôlées, tests de régression de la qualité de détection avant déploiement.
- Traçabilité opérationnelle - audit des actions administratives sans conservation du contenu des images ni de métadonnées identifiantes.
Paramètres et indicateurs clés (anonymisation on-premise)
L’évaluation d’une solution d’anonymisation on-premise doit prendre en compte à la fois la qualité de détection et les performances opérationnelles. Le tableau ci-dessous présente les principales métriques et leurs méthodes de vérification.
Paramètre | Mesure | Méthode/Unité | Remarques
|
|---|---|---|---|
Recall détection des visages | Pourcentage de visages correctement détectés | Jeu de test représentatif ; métriques au niveau image/frame | Vérification sur des données proches de la production |
Precision détection des visages | Part des détections correctes parmi toutes les détections | Matrice de confusion TP/FP ; F1 comme indicateur global | Réduit le sur-floutage |
Recall/Precision plaques | Efficacité de détection des plaques d’immatriculation | Tests sur vidéos routières | Crucial pour scènes dynamiques |
Latence par image | Temps de traitement par frame | ms ; moyenne, p95 | Important pour traitements batch |
Débit (throughput) | Capacité de traitement | fps ou fichiers/heure | Planification des ressources |
Couverture du masque | Pourcentage de surface couverte | % de la surface détectée | Minimise le risque d’exposition |
Irréversibilité | Résistance à la reconstruction | Tests d’attaques de reconstitution | Liée à la puissance du filtre |
Utilisation des ressources | Consommation GPU/CPU/RAM/IO | Profilage système | Planification de capacité |
Conformité cryptographique | Niveau de chiffrement au repos et en transit | AES-256, TLS 1.2/1.3 | Conformité NIST et IETF |
RTO/RPO | Résilience opérationnelle | Minutes/heures, politiques DR | Procédures de reprise |
Défis et limites
Le modèle on-premise renforce le contrôle, mais transfère à l’organisation l’entière responsabilité de la maintenance et des mises à jour. Les principaux risques à gérer par des procédures et une architecture adaptée sont les suivants :
- Coûts d’investissement et consommation énergétique de l’infrastructure et des GPU.
- Gestion des mises à jour de sécurité et des images de conteneurs dans des réseaux isolés.
- Scalabilité des traitements batch pour de vastes archives vidéo et codecs variés.
- Dérive des modèles et nécessité de validations périodiques de la qualité de détection.
- Contrôle des logs et de la télémétrie afin d’éviter l’enregistrement de données personnelles.
- Sécurisation de la chaîne d’approvisionnement des modèles et bibliothèques - vérification des signatures et SBOM.
Exemples d’applications
Le traitement on-premise est privilégié lorsque le contrôle total du traitement et l’absence de transfert vers le cloud sont requis. Les cas typiques concernent les administrations publiques, les forces de l’ordre et les entreprises industrielles.
- Communication d’enregistrements de vidéosurveillance à des tiers après floutage des visages et des plaques.
- Publication de supports de formation issus de sites industriels avec anonymisation des personnes.
- Analyses internes d’incidents HSE dans le respect de la vie privée des employés.
- Constitution de preuves nécessitant la préservation de la chaîne de conservation et de l’intégrité.
Références normatives et sources
Les documents suivants constituent une base normative et technique pour le traitement on-premise dans le contexte de la protection des données et de la sécurisation de l’anonymisation des contenus visuels.
Document | Portée | Émetteur/Année
|
|---|---|---|
RGPD - Règlement (UE) 2016/679, art. 4, art. 32, considérant 26 | Définitions des données personnelles, sécurité du traitement, notion d’anonymisation | Parlement européen et Conseil, 2016 |
EDPB Guidelines 3/2019 on processing of personal data through video devices (version finale) | Lignes directrices pour systèmes vidéo, mesures de minimisation et masquage | EDPB, 2020 |
WP29 Opinion 05/2014 on Anonymisation Techniques | Risques, techniques et tests d’efficacité de l’anonymisation | Groupe Art. 29, 2014 |
ISO/IEC 27001:2022 | Systèmes de management de la sécurité de l’information | ISO/IEC, 2022 |
ISO/IEC 27002:2022 | Bonnes pratiques de contrôle de la sécurité de l’information | ISO/IEC, 2022 |
ISO/IEC 27701:2019 | Extension PIMS à 27001 pour la protection des données personnelles | ISO/IEC, 2019 |
NIST SP 800-53 Rev. 5 | Catalogue de contrôles de sécurité des systèmes d’information | NIST, 2020 |
NIST SP 800-57 Part 1 Rev. 5 | Gestion des clés cryptographiques et robustesse des algorithmes | NIST, 2020 |
IETF RFC 8446 - TLS 1.3 | Communication sécurisée en transport | IETF, 2018 |
IEC 62676-4:2014 | Lignes directrices pour systèmes de vidéosurveillance CCTV | IEC, 2014 |
Remarque juridique : dans de nombreuses juridictions, l’image d’une personne et les plaques d’immatriculation peuvent constituer des données personnelles au sens du RGPD. Les obligations et exceptions spécifiques dépendent du droit national et du contexte de publication.