Les enjeux de protection des données personnelles liés aux tests et déploiements de la vidéoprotection algorithmique
juillet 2024 par Nicolas Samarcq, administrateur AFCDP
La mise en œuvre des expérimentations de traitements algorithmiques sur les images collectées au moyen de systèmes de vidéoprotection est encadrée par la loi JOP 2024 et ses décrets d’application.
Pour rappel, ces expérimentations peuvent être réalisées jusqu’au 31 mars 2025 uniquement « dans les lieux accueillant les manifestations sportives, récréatives ou culturelles qui, par l’ampleur de leur fréquentation ou leurs circonstances, sont particulièrement exposées à des risques d’actes de terrorisme ou d’atteintes graves à la sécurité des personnes et à leurs abords, ainsi que dans les véhicules et emprises de transport public et sur les voies les desservant (...) ».
Ces traitements ont pour finalité exclusive de détecter en temps réel des événements prédéterminés susceptibles de présenter ou de révéler les risques précités en adressant une alerte aux opérateurs de vidéoprotection. Parmi les huit cas d’usages autorisés par le décret du 28 août 2023, la RATP et la SNCF n’ont retenu que les quatre cas suivants :
● présence d’objets abandonnés ;
● franchissement ou présence d’une personne ou d’un véhicule dans une zone interdite ou sensible ;
● mouvement de foule ;
● densité trop importante de personnes.
En effet, dans les gares et stations il n’y pas d’intérêt à analyser le non-respect par une personne ou un véhicule du sens de circulation commun (cette notion n’existant pas ou à la marge), et concernant par exemple la détection de départs de feux, il existe déjà d’autres moyens fiables mis en place.
L’encadrement des porteurs de projet
Les porteurs de projet (gendarmerie, police nationale, police municipale, SDIS, SNCF et RATP) de ces expérimentations doivent déposer un dossier en préfecture pour chaque traitement, afin d’obtenir une autorisation préfectorale, et adresser dans le même temps à la CNIL un engagement de conformité au décret d’applicationavec une Analyse d’Impact sur la Protection des Données (AIPD).
A noter que ces expérimentations peuvent être réalisées à partir de systèmes existants de vidéoprotection ou non. Dans le second cas, le porteur de projet devra, en plus du cadre réglementaire spécifique à l’expérimentation, obtenir une autorisation préfectorale en matière de vidéoprotection.
Ces expérimentations sont également coordonnées et suivies par un comité de pilotage présidé par la DEPSA du ministère de l’intérieur et composé notamment des représentants de l’ensemble des services utilisateurs (AMF, SNCF, RATP, PP , DGGN, DGPN,..), qui doit être consulté par les porteurs de projet en amont de la demande en préfecture. Celui-ci doit ensuite adresser un rapport tous les 3 mois à la CNIL. Les premières expérimentations ayant été réalisées par la RATP et la SNCF fin avril lors du match PSG-OL et du concert des Black Eyed Peas, le premier rapport du comité de pilotage interviendra en juillet.
Enfin, un comité d’évaluation, composé de deux collèges regroupant des personnalités indépendantes et les services utilisateurs, devra rendre un rapport au gouvernement avant le 31 décembre 2024. Ce rapport d’évaluation sera transmis à la CNIL et rendu public sur internet au même moment. Il devra notamment mesurer l’impact des traitements algorithmiques sur la sécurité et l’exercice des libertés publiques, ainsi que la perception de cet impact par le public.
Le DPO, l’acteur au cœur des enjeux de cette expérimentation
Les DPO des porteurs de projet sont en effet au cœur du dispositif. Ils doivent donner leur avis sur les AIPD ; mettre en place des sessions de formation RGPD spécifiques afin de garantir une utilisation éthique de ces outils par les opérateurs qui n’auraient pas traité les images remontées sans les alertes générées par ces algorithmes ; accompagner les équipes lors des contrôles de la CNIL, tout en collaborant avec cette autorité administrative indépendante pour mettre en œuvre ces expérimentations dans les meilleures conditions.
A titre d’exemple, les DPO de la RATP et de la SNCF ont travaillé par itération avec la CNIL sur les modalités d’information des usagers, ce qui a permis d’aboutir à l’adoption d’un pictogramme spécifique permettant de différencier l’information affichée en station de celle relative à la vidéoprotection classique.
Des cas d’école pour l’avenir
Dans le cadre de cette expérimentation, les DPO concernés, le comité d’évaluation et la CNIL sont les acteurs en charge d’évaluer les risques d’analyse généralisée et non les risques de surveillance généralisée dans la mesure où la loi interdit tout système d’identification biométrique, tout traitement de donnée biométrique et technique de reconnaissance faciale. Les traitements mis en œuvre ne peuvent en outre procéder à aucun rapprochement, à aucune interconnexion ni à aucune mise en relation automatisée avec d’autres traitements de données à caractère personnel.
Article 10 de la loi n° 2023-380 du 19 mai 2023 relative aux jeux Olympiques et Paralympiques de 2024 et portant diverses autres dispositions.
Article 1 du décret n° 2023-828 du 28 août 2023 relatif aux modalités de mise en œuvre des traitements algorithmiques sur les images collectées au moyen de systèmes de vidéoprotection et de caméras installées sur des aéronefs, pris en application de l’article 10 de la loi n° 2023-380 du 19 mai 2023 relative aux jeux Olympiques et Paralympiques de 2024 et portant diverses autres dispositions.
Les quatre autres événements prédéterminés sont :
● présence ou utilisation d’armes, parmi celles mentionnées à l’article R. 311-2 du code de la sécurité intérieure ;
● non-respect par une personne ou un véhicule, du sens de circulation commun ;
● présence d’une personne au sol à la suite d’une chute ;
● départs de feux.
Services d’incendie et de secours.
Articles 13 à 18 du décret n° 2023-828.
Direction des entreprises et des partenariats de sécurité et des armes.
Article 3-1° du Décret no 2023-939 du 11 octobre 2023 relatif aux modalités de pilotage et d’évaluation de l’expérimentation de traitements algorithmiques d’images légalement collectées au moyen de systèmes de vidéoprotection et de caméras installées sur des aéronefs : deux députés désignés par le président de l’Assemblée nationale, dont au moins un député appartenant à un groupe d’opposition, et deux sénateurs désignés par le président du Sénat, dont au moins un sénateur appartenant à un groupe d’opposition ; b) Deux personnalités qualifiées pour leurs connaissances en matière de protection des données à caractère personnel désignées par le président de la Commission nationale de l’informatique et des libertés ; c) Deux personnalités qualifiées pour leurs connaissances en matière de technologies numériques désignées par l’Académie des technologies ; d) Quatre personnalités qualifiées dans l’appréciation des enjeux relatifs aux libertés publiques dont au moins un avocat et un universitaire nommées par arrêté du ministre de l’intérieur sur proposition du président du comité ; e) Le maire d’une commune n’ayant pas participé à l’expérimentation, désigné par le président de l’association des maires de France ;