Politique de protection des données relative à la vidéosurveillance (CCTV) et à la surveillance physique

La Politique de protection des données relative à la vidéosurveillance (CCTV) et à la surveillance physique établit les contrôles de protection des données applicables aux activités de surveillance qui collectent ou traitent autrement des données à caractère personnel. Son champ d’application inclut la vidéosurveillance (CCTV), la surveillance vidéo, la surveillance des visiteurs, les journaux de contrôle d’accès physique, les enregistrements de surveillance réalisés par les agents de sécurité, les systèmes de surveillance des locaux et la surveillance physique connexe. La politique s’applique lorsque l’organisation agit en qualité de responsable du traitement pour ses propres locaux et lorsqu’elle soutient des activités de sous-traitant ou de sous-traitant ultérieur en exploitant, hébergeant, examinant, stockant, divulguant, supprimant ou traitant autrement des enregistrements de vidéosurveillance, des données des visiteurs ou des journaux d’accès physique pour le compte d’un client. La politique vise à ce que la surveillance soit fondée sur une finalité définie, transparente, proportionnée, soumise à contrôle d’accès, conservée pendant des périodes définies, divulguée uniquement par des canaux approuvés et étayée par des éléments de preuve du PIMS auditables. Avant le début de la surveillance, le responsable de processus ou le propriétaire de l’entreprise doit enregistrer chaque activité de surveillance dans REG02, y compris la finalité, la base légale, le lieu surveillé, les catégories de données à caractère personnel, les catégories de personnes concernées, la conservation, la mention d’information, l’accès et les champs de divulgation. Le responsable de la protection des données / responsable du PIMS valide ces entrées avant l’activation d’une activité de surveillance nouvelle ou modifiée de manière substantielle. Les zones surveillées approuvées, les zones exclues et les limites de collecte doivent également être enregistrées avant l’activation des caméras, capteurs, journaux de visiteurs ou de la journalisation du contrôle d’accès. La politique met fortement l’accent sur la transparence et la revue fondée sur les risques. La signalétique de surveillance ou les éléments de preuve équivalents de mention d’information contextuelle doivent être enregistrés dans REG07 avant l’ouverture des zones surveillées aux personnes concernées, et chaque mention d’information doit être reliée à la finalité de traitement REG02 correspondante. Des mesures de transparence alternatives doivent être enregistrées pour la surveillance non évidente ou d’urgence. La surveillance à risque plus élevé, notamment la surveillance systématique, l’enregistrement audio, l’identification biométrique, la détection fondée sur l’analytique, les lieux sensibles, les personnes vulnérables ou la surveillance non évidente, exige une décision REG04 relative aux risques pour la vie privée avant activation. Lorsque la surveillance est à haut risque, non évidente, à grande échelle, orientée vers les employés ou soumise à une escalade non résolue liée aux droits ou à un incident, le délégué à la protection des données / conseiller en protection des données fournit son avis dans REG04 ou REG12. Les contrôles opérationnels couvrent l’accès, la consultation, l’export, la divulgation, la conservation, la suppression et l’escalade des incidents. Le responsable de la sécurité de l’information définit les rôles d’accès autorisés pour les enregistrements de surveillance, les enregistrements des visiteurs et les journaux d’accès physique, tandis que le propriétaire du système / propriétaire d’application configure les restrictions d’accès et consigne les résultats de la revue des accès privilégiés au moins une fois par trimestre dans REG12. La suppression, l’écrasement ou la désactivation de routine des enregistrements de surveillance expirés doit être configuré conformément à REG02, avec des éléments de preuve d’achèvement de la suppression ou de l’écrasement enregistrés au moins une fois par mois pour les référentiels soumis à une suppression automatisée ou planifiée. Les gels de conservation et les copies extraites exigent une approbation et un enregistrement dans REG12 avant toute prolongation de la conservation normale. Les divulgations externes sont enregistrées dans REG08 avant la divulgation, ou dans REG10 dans un délai d’un jour ouvré lorsque la divulgation intervient dans le cadre d’une réponse aux incidents active. La politique définit également la gouvernance applicable aux services externalisés de surveillance et de sécurité physique. Les prestataires externalisés de systèmes de surveillance, les prestataires de gardiennage, les prestataires de gestion des visiteurs et les prestataires de contrôle d’accès physique doivent être enregistrés dans REG08 avant le début du service, avec le champ d’application, le statut de sous-traitant ou de sous-traitant ultérieur, les autorisations d’accès, l’assistance à la conservation, l’assistance à la suppression, l’escalade des incidents et les restrictions de divulgation. La supervision est maintenue au moyen d’indicateurs trimestriels, de revues annuelles, de tests d’audit, de la gestion des exceptions, de l’enregistrement des non-conformités, de l’attribution de la responsabilité des actions correctives et de l’escalade vers le Top Management lorsque cela est requis. Cela crée un cadre fondé sur les éléments de preuve pour gérer les obligations de protection des données relatives à la vidéosurveillance (CCTV) et à la surveillance physique dans les contextes de responsable du traitement et de sous-traitant.