AccueilBase de connaissances › Délai de conservation des images de vidéosurveillance
IT

Images de vidéosurveillance : délai de conservation et destruction sous le RGPD

· 7 min de lecture · DeSnipperaar

Les images de vidéosurveillance d'un bureau, d'un entrepôt ou d'un parking semblent au propriétaire une mesure de sécurité. Sous le RGPD, c'est avant tout un traitement de données personnelles, car chaque passant à l'image est identifiable. Cela entraîne des règles. Une base légale, un délai de conservation proportionné et un processus de destruction. Cet article aligne les délais de conservation et les filières de destruction.

Le délai de conservation par défaut, 4 semaines

L'autorité néerlandaise de protection des données applique la règle selon laquelle les images de vidéosurveillance peuvent être conservées 4 semaines au maximum. Plus longtemps n'est permis que si.

  • Il existe un incident concret qui nécessite une enquête (vol, violence, plainte).
  • Une loi spécifique exige une conservation plus longue (rarement applicable).
  • Une action en justice est en cours et les images en sont une preuve.

Pour chacune de ces exceptions. Conservez uniquement le segment pertinent, pas toute l'archive.

Que contiennent les images de vidéosurveillance ?

L'évident. Les visages des visiteurs et des employés. Moins évident.

  • Plaques d'immatriculation des voitures sur le parking.
  • Schémas corporels reliables à d'autres systèmes (reconnaissance du visage et de la posture par apprentissage automatique).
  • Trajets et habitudes de présence.
  • Informations visuelles dans le champ (correspondance client sur un bureau, captures d'écran).

Les images de vidéosurveillance ne sont donc pas seulement « qui était où et quand », mais potentiellement aussi « que faisaient ces personnes ». Sous le RGPD, c'est une catégorie de traitement renforcée.

Un système d'entreprise moyen enregistre, par jour, des dizaines à des centaines d'heures d'images. Sur une base annuelle, cela représente des milliers d'heures avec des personnes identifiables.

Comment les images de vidéosurveillance sont-elles stockées ?

  • NVR/DVR local : disque dur à l'intérieur de l'unité d'enregistrement caméra.
  • Sur serveur : serveur central dans votre propre salle serveur.
  • Cloud (Verkada, Eagle Eye, Genetec, etc.) : stockage chez le fournisseur.
  • Cartes SD dans des caméras IP : stockage local de courte durée.

Chaque forme de stockage a sa propre filière de destruction en fin de cycle de vie ou en fin d'usage.

Destruction à l'expiration du délai de conservation

La destruction « automatique » se fait via le NVR lui-même. Les anciens enregistrements sont écrasés par les nouveaux. Pourvu que le cycle corresponde à la politique de 4 semaines, c'est conforme au RGPD. Important.

  • Réglez le temps de réécriture à ≤ 4 semaines.
  • Documentez-le dans le registre des traitements.
  • Pour la conservation liée à un incident. Dossiers ou étiquettes distincts, avec une politique de conservation.

Destruction en fin de cycle de vie (remplacement du NVR)

Si votre NVR ou système d'enregistrement caméra est remplacé, l'ancien disque dur avec les enregistrements en sort. Politique.

  1. Inventoriez tous les supports de stockage du système (disque dur du NVR, éventuelles cartes SD de sauvegarde).
  2. Vérifiez que le fournisseur (lors du remplacement) ne reprend pas l'ancien disque dur sans destruction.
  3. Retirez le disque dur pour une destruction sur site.
  4. Détruisez au niveau DIN H-4 ou H-5.
  5. Conservez le certificat par disque dur.

Pour la mécanique, lisez comment un disque dur est broyé.

Destruction lors d'un déménagement ou de la fin d'une organisation

Lors d'un déménagement ou d'une fermeture d'entreprise, les images de vidéosurveillance sont souvent oubliées. Le NVR reste en place ou part en stockage intermédiaire. Les deux scénarios sont un risque RGPD.

  • Au déménagement. Emportez le NVR avec le système, ou détruisez le disque dur avant de quitter le site.
  • En cas de liquidation ou de fusion. Détruisez le disque dur avant la remise au curateur ou au successeur. Les données appartiennent au responsable de traitement actuel.

Images de vidéosurveillance dans le cloud

Pour les systèmes de caméras cloud, la destruction passe par le contrat fournisseur.

  • Demandez une attestation de suppression des données en fin de contrat.
  • Vérifiez que les sauvegardes et la journalisation sont aussi supprimées.
  • Demandez un processus conforme à NIST 800-88 pour la couche physique.

Lisez aussi supprimer réellement les données dans le cloud.

Identifiez ce que vous possédez réellement

La plupart des organisations que nous visitons ignorent combien de systèmes de caméras elles possèdent. Une liste typique est la suivante.

  • NVR principal pour l'entrée et le bureau.
  • Contrôleur de caméras distinct pour l'entrepôt.
  • Ancien DVR enregistrant encore activement mais que personne ne regarde.
  • Cartes SD dans des caméras IP autonomes au niveau des départements.
  • Un système cloud pour un site secondaire.

La revue de conformité annuelle devrait inclure un inventaire complet de tous les systèmes de caméras et de leurs supports d'enregistrement.

Documentation dans le registre des traitements

Dans votre registre des traitements, une ligne devrait exister pour les images de vidéosurveillance.

  • Finalité. Sécurité du bâtiment et du parking.
  • Catégorie de personnes concernées. Employés, visiteurs, passants.
  • Catégorie de données. Images, plaques d'immatriculation.
  • Délai de conservation. 4 semaines, plus long en cas d'exception liée à un incident.
  • Lieu de stockage. NVR ABC ou fournisseur cloud XYZ.
  • Méthode de destruction. Réécriture automatique. Au remplacement, DIN H-4.

Vous remplacez votre NVR ? Détruisez l'ancien disque dur.

Nous venons sur site, sortons le disque dur de l'ancien NVR et le broyons au niveau DIN H-4 ou H-5, avec un certificat.

Demander un devis

Système de caméras à remplacer ? Écrivez-nous via desnipperaar.nl pour planifier une destruction de disque dur sur site.