Paris, le 1 er juillet 2008 L arrêté du 3 aût 2007 relatif aux nrmes applicables et sn annexe technique aux prjets de vidésurveillance à partir du 21 aût 2009, nt paru à certains interlcuteurs de l Administratins installateurs u rganismes qui veulent installer de la vidé pser prblème de clarté. Un grupe de travail cmpsé de représentants des services techniques et de ces prfessinnels a dnc préparé une ntice explicative qui a été sumise au Cmité de piltage de la vidésurveillance. Vus en truverez le texte ci-après. Nus pensns qu elle est de nature à faciliter la cmpréhensin tant des demandeurs que des services techniques instructeurs et dnc à calmer de légitimes inquiétudes et vus puvez bien sûr vus y référer. Si vus aviez des bservatins à frmuler nus vus en serins recnnaissants de bien vulir le faire dans la rubrique de questins répnses du présent site. Merci. 16/07/08 1/5 Philippe MELCHIOR Président du Cmité de piltage stratégique du plan de dévelppement de la vidésurveillance Nte explicative de l arrêté du 3 aût prtant définitin des nrmes techniques en matière de vidésurveillance La présente nte a pur bjet de préciser le dmaine d applicatin de l'arrêté du 3 aût 2007 publié au JO du 21 aût 2007 ainsi que ses bjectifs, et d en expliciter les quelques termes qui psent une difficulté d'interprétatin. Ces précisins viennent en cmplément des annexes techniques publiées au JO le 25 aût 2007 qui permettent d'interpréter l'ensemble des pints abrdés dans l'arrêté. 1. Champ d applicatin et bjectifs de l arrêté. 1.1. Les systèmes cncernés. Il y a lieu de tenir cmpte du régime juridique auquel snt sumis les dispsitifs de vidésurveillance et de leur date d installatin. 1.1.1. La vidésurveillance sumise au régime juridique de la li du 21 janvier 1995. Les nrmes techniques définies par l arrêté du 3 aût 2007 s appliquent aux systèmes de vidésurveillance installés dans le cadre des articles 10 et 10-1 de la li du 21 janvier 1995. Snt dnc cncernés les caméras et dispsitifs d enregistrement mis en œuvre : sur la vie publique, par une autrité publique cmpétente, pur l une des 6 finalités prévues par la li (prtectin des bâtiments et installatins publics et de leurs abrds, sauvegarde des installatins utiles à la défense natinale, régulatin du trafic rutier, cnstatatin des infractins aux règles de la circulatin, préventin des atteintes à la sécurité des persnnes et des biens dans des
lieux particulièrement expsés à des risques d agressin et de vl, préventin d actes de terrrisme dans des lieux susceptibles d être expsés), par une persnne mrale, pur la prtectin des abrds immédiats de ses bâtiments, dans les lieux susceptibles d être expsés à des actes de terrrisme par une autrité publique cmpétente mais aussi par une persnne physique u une persnne mrale de drit privé, dans les lieux uverts au public particulièrement expsés aux risques d agressin et de vl, u lrsqu ils snt susceptibles d êtres expsés à un risque terrriste. 1.1.2. Une mise en cnfrmité dans un délai de deux ans. Aux termes de l article 10 mdifié de la li du 21 janvier 1995, les systèmes installés devrnt être cnfrmes aux prescriptins de l arrêté prtant nrmes techniques dans un délai de deux ans après sa publicatin. Celle-ci étant intervenue dans le Jurnal Officiel du 21 et du 25 aût 2007, les dispsitifs devrnt être mis en cnfrmité au plus tard le 26 aût 2009. Ceci signifie que ceux qui snt actuellement installés devrnt évluer dans cet intervalle, alrs que ceux qui fnt l bjet d une demande d autrisatin divent d res et déjà se sumettre à cette réglementatin. Néanmins, il cnvient de préciser que la mise en cnfrmité s appréciera différemment seln qu il s agisse d un cmplément de caméras sur une installatin existante, d un cmplément du système de gestin et de stckage u d un nuveau système cmplet de vidés intégrés. Lrsque la demande prte sur un cmplément de caméras la cnfrmité aux nrmes de l arrêté du 3 aût n est exigible que pur ce cmplément dans le cadre de cette demande, tandis que le reste du dispsitif déjà en place devra être mis en cnfrmité au plus tard le 26 aût 2009. 1.2. Les bjectifs de l arrêté. Si le législateur a suhaité encurager le dévelppement de la vidésurveillance dans la lutte cntre le terrrisme, il lui est apparu qu il fallait dans le même temps veiller à la qualité des installatins afin de permettre aux frces de sécurité intérieure de les expliter dans de bnnes cnditins. En effet, il n est pas rare, lrsque les pliciers u les gendarmes suhaitent visualiser les images dans le cadre de leurs enquêtes, que les dispsitifs sient bslètes, que la qualité des images sit médicre vire inexistante. Cela peut s expliquer par la mauvaise qualité des dispsitifs, le fait qu ils sient devenus bslètes, par le manque d entretien régulier u le fait que la cnservatin des images sit faite dans de très mauvaises cnditins u encre que leur exprtatin sit irréalisable. L arrêté du 3 aût 2007 détermine un certain nmbre de cntraintes minimales auxquelles divent désrmais béir les systèmes installés afin de furnir aux services de plice et de gendarmerie : des caméras prpsant des images ayant une qualité suffisante et nécessaire pur l exercice de leurs attributins, des cnditins d explitatin des images aisées. C est ainsi que les nrmes qui nt été définies prtent sur La prise d'image (qui dit être adaptée à l'envirnnement) La transmissin (qui dit permettre l'acheminement des images depuis la caméra vers l'unité de stckage et/u de visualisatin) L'enregistrement des images (qui dit garantir une qualité minimale des images enregistrées et la traçabilité de certaines actins) 16/07/08 2/5
L'exprtatin aux services de sécurité (qui dit permettre aux services de relire les vidés sans dégradatin de qualité) La chérence glbale (Le système de vidésurveillance dit permettre de répndre aux finalités pur lesquelles il a été mis en place) Il s agit de cntraintes minimales. L explitant devra s assurer que les exigences minimales de l arrêté sient satisfaites durant tute la durée de service de l installatin. Il n est dnc pas interdit à un explitant d un dispsitif de vidésurveillance d installer des matériels qui nt des caractéristiques supérieures à celles définies dans le règlement. 1.3. Sécurité des réseaux numérisés. Les réseaux visés par les exigences snt ceux par lesquels transitent les flux vidé L'arrêté pse des principes sur la prise en cmpte des critères d'intégrité, de cnfidentialité et de dispnibilité que la sécurité des réseaux dit apprter aux flux vidé transprtés mais il n'impse pas de certificats frmels ni de chiffrement systématique du flux. La lcutin "garantie d'intégrité" ne dit dnc pas être cmprise cmme "abslue garantie d'intégrité, ", ntin qui dans certains cntextes n'a pas de sens puisqu'elle ne peut être mise en œuvre. L'arrêté ne fixe dnc pas un niveau de sécurité générique pur ces tris critères. Ces slutins peuvent aller d'une simple prtectin du cheminement des câbles dédiés avec prtectin mécanique des trnçns vulnérables dans des réseaux nn accessibles au public; à la mise en œuvre de mécanisme de chiffrement, de cntrôle d'accès sur des réseaux publics, privés mutualisés, utilisant des technlgies sans fil (RLAN), de type CPL, pérant sur un réseau "uvert"; à la mise en œuvre de techniques de type Réseau Privé Virtuel sur des réseaux publics u réseaux privés mutualisés, à l'utilisatin de réseaux d'pérateurs garantissant intégrité et cnfidentialité des dnnées (VPN, MPLS ) Les slutins techniques qui permettent d'adresser le niveau d'exigence pur ces 3 critères dépendent du système et du cntexte d installatin : ainsi, dans les établissements uverts au public, lrsque les liaisns entre les caméras et les systèmes d enregistrement snt dédiées et prtégées mécaniquement sur les trnçns vulnérables (ntamment les trnçns terminaux), la simple sécurisatin des matériels d enregistrement dans des lcaux fermés à clés peut être cnsidérée cmme suffisante. Si un renvi d'images à distance (hrs site) est effectué pur l'explitatin, il faudra également prendre en cmpte ces 3 critères pur cette transmissin hrs site. La dispnibilité purra être assurée par exemple par un temps de rétablissement cmpatible avec les bjectifs fixés, par des tests réguliers de la capacité de transmissin des flux vidé... D une manière générale, il cnvient que le dssier de demande d'autrisatin permette de s assurer que les critères d intégrité, de cnfidentialité et de dispnibilité des flux vidé transprtés nt été pris en cmpte et que les slutins mises en œuvre adressent ces tris sujets dans le cntexte spécifique de la demande. 1.4.Paramètres de lcalisatin des vidés et garantie de ces paramètres et des vidés Il est précisé dans l'arrêté que les paramètres de date et de lcalisatin divent être "accessibles" et que ces paramètres "divent être exacts". Cette ntin implique que le système dit faire l'bjet d'une prcédure autmatique u manuelle, régulière (hebdmadaire, mensuel ) qui permettent de vérifier que les paramètres snt exacts. (Vérificatin de la date par un pérateur, u par une mise à jur autmatique de l'hrlge, vérificatin de la psitin des caméras sur le système/dispsitif par rapprt à la psitin réelle des caméras ) 16/07/08 3/5
Dans l'arrêté il est précisé que la mise en place de mécanisme de "marquage numérique" n'est pas bligatire et que des mesures plus simples peuvent être envisagées. En particulier, la sauvegarde de la traçabilité des actins réalisées sur le système dans un fichier, u via un prtcle bien sécurisé peut être cnsidérée cmme une mesure suffisante. Ceci ne préjuge pas de la valeur prbante que purrnt avir les images en cas d enquête judiciaire. Il appartiendra au juge de décider si les images peuvent être utilisées dans le cadre d une telle prcédure. 1.5. Traçabilité des actins réalisées sur les flux vidé et les images enregistrées L'arrêté pse les principes permettant le cntrôle à pstériri des actins effectuées sur les images. Pur cela, il dit être pssible de cnsulter un jurnal des principales actins effectuées cntenant au minimum l histrique des pératins de mdificatins, suppressins et d exprtatins d enregistrements. Pur les pératins d'exprtatin, il est rappelé que le jurnal dit impérativement déterminer et indiquer la liste des fichiers exprtés, ainsi que la date et l'heure des images filmées, leur durée, l'identifiant des caméras cncernées, la date et l'heure de l'exprtatin, l'identité de la persnne ayant réalisé l'exprtatin. Le jurnal devra être sus frme électrnique pur les systèmes numériques et purra être tenu à la main pur les systèmes de vidésurveillance de mins de huit caméras (que les enregistreurs sient analgiques u numériques). Cette ntin rejint et cmplète celle de la nécessaire tenue d'un registre mentinnant les enregistrements réalisés, la date de destructin des images et le cas échéant, la date de leur transmissin au parquet mentinné dans l'article 13 du décret N 96-926 du 17 ctbre 1996. La tenue manuelle d un tel registre n est plus nécessaire en cas de jurnal électrnique reprenant les mêmes infrmatins. 1.6. Supprt d extractin des dnnées L arrêté exige que le système d enregistrement puisse au minimum 1 exprter les dnnées sur un supprt nn réinscriptible, le plus suvent de type CDROM u DVDROM et prévit, dans les cas de vlumes imprtant de dnnées à exprter, la pssibilité d utiliser des disques durs utilisant une cnnectique «standard». Il cnvient de préciser que cette pssibilité n est pas une bligatin et qu actuellement, les cnnectiques de type USB, IEE 1394A u IEE 1394 B, RJ45 peuvent être cnsidérées cmme standard dans la mesure u elles équipent par défaut la majrité des rdinateurs du marché. La cnnectique série (RS 232) qui fut standard dans les années 90, ne peut en revanche plus être cnsidérée cmme telle de ns jurs. Cet élément est dnc laissé à l'appréciatin de l'expertise et dit avant tut permettre de s'affranchir des cnnectiques qui seraient trp rares. Cette ntin de «standard» purra dnc évluer avec les technlgies. Dans le même esprit, pur la cmpressin, certaines implémentatins des nrmes MJPEG, MPEG 2, u MPEG 4 peuvent être cnsidérées cmme standard dans la mesure ù elles snt largement diffusées sur Internet et libres de drits. Celles-ci ne nécessitent dnc pas la furniture par le déclarant d un lgiciel de lecture. A cntrari, pur un système de type ndelettes prpriétaire u d'implémentatin prpriétaire u peu diffusée, il cnvient que le déclarant prévit la furniture d un lgiciel au prfit de la plice pur que les dnnées puissent être explitées. A titre d'illustratin, les fichiers qui peuvent êtres visinnés par des lgiciels libres de drits et largement diffusés de type "VLC", "Média Player Classic" et autres n'nt pas besin d'être furnis avec un lgiciel de lecture spécifique. 1 Il n'est dnc pas interdit de réaliser des exprtatins sur clés USB, cependant ce supprt ne peut être le seul supprt d'exprtatin dispnible. 16/07/08 4/5
1.7.Annexe 2: Tableau d'exemples Il est imprtant de rappeler que le tableau de l'annexe 2 de l'arrêté du 3 aut 2007 n'est qu'un tableau reprenant quelques exemples caractéristiques de situatin et nn pas universels. Ce tableau n'a pas pur bjectif de définir la spécificatin technique pur chaque cas bien précis. Il est bien entendu que les exemples évqués dans le tableau ne snt que des exemples, et nn des règles, et que certains cas pératinnels peuvent dnc aller à l'encntre du tableau. Il faut tujurs rappeler que la classificatin plan large/plan étrit dépend de l'bjectif fixé à la caméra et ceci indépendamment de sn lieu d'implantatin. 1.8.Erreur de frappe dans les annexes techniques de l arrêté du 3 aût 2007. Les termes "circulaires" apparaissent à trt à la première page de l annexe technique 1 et dernière page de l annexe technique 3. Les termes "arrêté du 26 septembre 2006" apparaissent aux pages 3 (3.le stckage), 4, 5 (4.Les cntraintes d interpérabilité). Il s agit bien de l arrêté du 3 aût 2007. Erreur de frappe dans l annexe technique 2 "caméra de surveillance d un cmptir u d un guichet" : Il est écrit : Caméra de surveillance d un cmptir u d un guichet 4 CIF 6 Plan large Il faut lire Caméra de surveillance d un cmptir u d un guichet 4 CIF* 6 Plan étrit 16/07/08 5/5