La vidéoprotection mise à l’épreuve par la loi JO 2024

Loi JO 2024

L’intelligence artificielle appliquée à la surveillance de l’espace public fait son apparition dans la législation française avec cette nouvelle loi.

Un traitement algorithmique encadré par la loi JO 2024 et son décret d’application

La discussion au Parlement de la loi relative aux Jeux Olympiques 2024 a fait grand bruit. Les enjeux de protection de la vie privée auxquels elle se confronte sont de taille. Entrée en vigueur le 21 mai 2023 cette loi n°2023-380 a modifié l’article L.252-1 du Code de la sécurité intérieure. Elle autorise désormais le traitement algorithmique d’images filmées dans certains lieux publics. Il s’étend aux caméras installées sur des aéronefs, notamment les drones (1).

Auparavant, le déploiement de caméras dotées de logiciels de traitement automatisé d’images dans l’espace public répondait à une seule finalité :

  • produire des analyses statistiques à partir de données anonymes de fréquentation de certains lieux sur la base d’images captées par des dispositifs de vidéoprotection, analysées en temps réel

Pour les  nouveaux dispositifs comme pour n’importe quelle opération de captation, transmission, modification ou consultation des images, il s’agit de traitement « traitement » au sens du RGPD.

L’utilisation des données obéit évidemment à la réglementation en matière de protection des données à caractère personnel. Les questions de finalités du traitement, de sa base légale, des durées de conservation des images, se posent donc.

Mais la loi JO 2024 va plus loin

Elle introduit la possibilité de mettre en œuvre des dispositifs de caméras « augmentées » par un algorithme. Ce dernier multiplie leurs fonctionnalités et le potentiel d’exploitation des images collectées. De tels dispositifs permettent de prévenir des menaces à l’ordre public et de réprimer les infractions commises. La caméra se compose :

  • d’un capteur vidéo et
  • d’un dispositif électronique plus ou moins perfectionné, couplé à un logiciel algorithmique chargé d’analyser les images.

La mise en conformité de ces traitements algorithmiques au RGPD et à la loi Informatique et Libertés, consistera à vérifier un certain nombre d’éléments prévus à l’article 10 de la loi JO 2024 et précisés par le décret n°2023-828 du 28 août 2023 relatif aux modalités de mise en œuvre des traitements algorithmiques sur les images collectées au moyen de systèmes de vidéoprotection et de caméras installées sur des aéronefs.

Les limites du dispositif expérimental

Malgré sa dénomination, cette loi JO 2024 ne cible pas spécifiquement les Jeux olympiques de Paris 2024. En effet, elle a vocation à s’appliquer à titre expérimental à compter de son entrée en vigueur jusqu’au 30 juin 2025, soit plus de 6 mois après la fin des Jeux Olympiques, et ne s’appliquera pas seulement aux manifestations de cet évènement mondial.

La Cnil s’est montrée satisfaite de l’absence de pérennité d’un tel dispositif. L’important est de se prémunir de tout phénomène d’accoutumance et de banalisation de ces technologies de plus en plus intrusives.

De plus, le périmètre filmé par ces caméras équipées d’un algorithme est restreint. Elles ne peuvent filmer que les lieux accueillant des manifestations sportives, récréatives ou culturelles qui :

  • par leur ampleur de leur fréquentation ou par leurs circonstances, sont particulièrement exposées à des risques d’actes de terrorisme ou d’atteintes graves à la sécurité des personnes,
  • et leurs abords ainsi que dans les véhicules et les moyens de transport public et sur les voies les desservant.

C’est d’ores et déjà le cas pour la Coupe du Monde de rugby au mois de septembre 2023 qui se déroule en France par exemple.

Les finalités du traitement algorithmique

Il s’agira notamment de s’assurer que le traitement des données à caractère personnel a pour seule et unique finalité d’assurer la sécurité d’événements particuliers durant la période d’expérimentation et le recours au traitement doit être proportionné à cette finalité poursuivie. En d’autres termes, seule une utilisation pour prévenir les risques de désordres publics et signaler des infractions en cours pourra être autorisée.

L’objet de ces traitements doit consister exclusivement d’une part à détecter en temps réel des comportements considérés comme « suspects » qui auront été enregistrés au préalable, et d’autre part, à les signaler en vue de la mise en œuvre des mesures nécessaires par les services de la police nationale et de la gendarmerie nationale, les services d’incendie et de secours, les services de police municipale et les services internes de sécurité de la SNCF et de la Régie autonome des transports parisiens dans le cadre de leurs missions respectives.

Autres caractéristiques

Les évènements prédéterminés sont la présence d’objets abandonnés, de la présence ou l’utilisation d’armes, parmi celles mentionnées à l’article R.311-2 du Code de la sécurité intérieure tels que les armes à feu et les armes de poing, le non-respect par une personne ou un véhicule, du sens de circulation commun, le franchissement ou la présence d’une personne ou d’un véhicule dans une zone interdite ou sensible, la  présence d’une personne au sol à la suite d’une chute, un mouvement de foule, une densité trop importante de personnes et des départs de feux (Art. 3 du décret).

L’appréciation humaine est décisive en la matière. En pratique, lorsqu’une image « anormale » est détectée :

  • elle apparait en priorité sur les écrans du Centre Urbain de Supervision
  • ou bien elle fait l’objet d’un signalement via un moyen de communication à la personne chargée d’apprécier ensuite si une intervention est nécessaire des agents mobilisables.

Les signalements du traitement ne peuvent fonder par eux-mêmes, aucune décision individuelle ni aucun acte de poursuite, l’appréciation des acteurs de la procédure pénale devant rester seule décisive.

Ces traitements algorithmiques doivent demeurer en permanence sous le contrôle des personnes chargées de leur mise en œuvre. Seuls les agents individuellement désignés et habilités (2) peuvent visionner des images et accéder aux signalements des traitements.

L’information du public

Le recours à ces dispositifs soulève des enjeux majeurs en matière de droits et libertés fondamentales. Il présente néanmoins des garanties considérées par le Conseil constitutionnel (3) comme suffisantes pour limiter les risques d’atteinte aux données et à la vie privée des personnes.

L’information des personnes permet d’assurer la loyauté des traitements dans un objectif de transparence à l’égard du public (Art. 12 du RGPD). Il convient de s’assurer que cette information de l’emploi de traitements algorithmiques sur les images collectées, a bien été donnée par un moyen approprié, le cas échéant sur les lieux de captation des images (Art. 17 du décret).

Une dérogation existe cependant à cette obligation d’information lorsque les circonstances l’interdisent ou que cette information entrerait en contradiction avec les objectifs poursuivis. Il appartient dans ces cas au responsable de traitement de s’assurer qu’une information partielle ne compromette pas la sécurité de la manifestation.

A  ce sujet, la Cnil, avait recommandé une limitation des dérogations au droit à l’information lors de la phase d’exploitation (4). Mais le décret n’a pas été plus explicite sur la question, ce qui laisse en suspens cette question.

Le ministre de l’Intérieur doit par ailleurs organiser à l’échelle nationale, une information générale du public sur l’emploi de ces traitements algorithmiques.

Limitations des droits et traitements

L’article 10 du décret du 28 août 2023 écarte le droit d’opposition des personnes à la collecte et à l’analyse de leur image par les caméras augmentées. Elles conservent leur droit d’accès, de rectification, d’effacement et à la limitation des données. Cependant, afin de protéger la sécurité publique ou la sécurité nationale, ces droits peuvent faire l’objet de restrictions telles que celles prévues par l’article 23 du RGPD.

Au titre des garanties essentielles, les traitements algorithmiques ne doivent utiliser aucun système d’identification biométrique des personnes, ne doivent traiter aucune donnée biométrique, ni mettre en œuvre aucune technique de reconnaissance faciale ou par d’autres caractéristiques que les traits du visage tel que l’apparence vestimentaire ou une plaque d’immatriculation. Ainsi, pour dissiper les craintes légitimes relative à la surveillance de masse, le dispositif prévoit :

  • qu’une personne filmée connue des services de police ne pourra être confondue en procédant à une comparaison avec des images captées par ces dispositifs, et
  • qu’aucun rapprochement, aucune interconnexion, ni aucune mise en relation automatisée avec d’autres traitements de données à caractère personnel ne pourra être effectué.

La Cnil a recommandé la mise en place de mesures de pseudonymisation ou de floutage des images sous réserve que ces mesures :

  • n’impactent la performance de l’algorithme et
  • ne porte atteinte à la finalité du traitement.

L’attestation de conformité

La conception des traitements dotés d’une capacité d’analyse des données collectées, devra passer par un paramétrage assuré par :

  • des agents du ministère de l’intérieur dûment désignés et habilités,
  • et si besoin, assistés par l’Anssi en matière de cybersécurité et par la Cnil.

Le loi autorise uniquement les traitements algorithmiques développés par ou pour le compte de l’Etat ou bénéficiant d’une attestation de conformité délivrée par le ministre de l’intérieur.

Les défaillances et erreurs constatées lors de la phase d’exploitation pourront faire l’objet de correction et d’amélioration.

L’arrêté préfectoral d’autorisation

L’article 13 du décret du 28 août 2023 prévoit que le recours au traitement algorithmique doit faire l’objet d’une autorisation par arrêté du préfet de département ou, à Paris, par le préfet de police, après avis de la Cnil. Il fixera leurs caractéristiques essentielles et précisera notamment :

  1. L’identité du responsable du traitement et les services associés à sa mise en œuvre : celui-ci tiendra un registre des suites apportées aux signalements effectués par le traitement ainsi que des personnes ayant accès aux signalements ;
  2. La manifestation sportive, récréative ou culturelle concernée et les motifs de la mise en œuvre du traitement au regard de la finalité ;
  3. Le périmètre géographique concerné par la mise en œuvre du traitement ;
  4. Les modalités d’information du public, notamment sur ses droits, ou, lorsque cette information entre en contradiction avec les objectifs poursuivis, les motifs pour lesquels le responsable du traitement en est dispensé, accompagnés d’un renvoi vers l’information générale organisée par le ministère de l’intérieur ;
  5. La durée de l’autorisation. Cette durée ne peut excéder un mois, renouvelable lorsque les conditions de la délivrance de l’autorisation demeurent réunies. Le préfet du département peut suspendre l’autorisation ou y mettre fin à tout moment s’il constate le non-respect des conditions ayant justifié sa délivrance.

L’analyse d’impact et l’engagement de conformité

L’arrêté d’autorisation doit s’accompagner d’une analyse d’impact actualisée sur la protection des données à caractère personnel particulières de chacun des traitements algorithmiques expérimentés qui ne figurent pas dans l’analyse d’impact transmise par le ministère de l’Intérieur à la Commission nationale de l’informatique et des libertés (Art. 14 du décret).

La mise en œuvre des traitements algorithmiques est soumise à l’envoi préalable à la Cnil, d’un engagement de conformité aux dispositions du chapitre III du décret du 28 août 2023.

L’échange institutionnel

Par ailleurs, un échange devra se mettre en place entre :

  • le préfet du département et
  • les maires des communes utilisant les dispositifs concernés.

En effet, les maires devront informer le préfet chaque semaine, des conditions de mise en œuvre du traitement.

Le préfet quant à lui devra tenir informés les maires des communes sur le territoire desquelles son déploiement a lieu. Le préfet devra également informer la Cnil tous les trois mois des conditions de mise en œuvre de l’expérimentation de ces caméras.

Celle-ci se dit consciente du fait que « les traitements algorithmiques peuvent présenter dans certaines circonstances des taux d’erreur importants, rendant le recours à ces technologies moins efficace en conditions opérationnelles qu’une détection humaine », ce qui explique son souhait d’avoir des retours détaillés de ces expérimentations.

La tenue de journaux des opérations et d’un registre

A ce titre, font l’objet d’un enregistrement, les opérations suivantes :

  • collecte, consultation, communication,
  • modification et effacement des données à caractère personnel et informations traitées,
  • signalements générés par les traitements.

Les journaux recensant les opérations de consultation et de communication sont conservés pendant douze mois. Cela permet d’établir :

  • le motif, la date et l’heure des opérations et
  • les personnes en étant à l’origine dans l’année qui a suivi.

De plus, le responsable du traitement :

  • tient un registre des suites apportées aux signalements effectués par le traitement ainsi que
  • le nom et le prénom des personnes ayant accès aux signalements (Art. 16 du décret).

L’ensemble de ces mesures vide à prévenir les incidents et mouvements de foule tels que ceux qui ont eu lieu aux abords du Stade de France en mai 2022. Pour autant, il évite une dérive intrusive dans :

  • la liberté d’aller et venir anonymement et
  • le droit au respect de la vie privée plus largement.

Le bilan de cette expérimentation permettra notamment de mesurer l’efficacité de la vidéoprotection augmentée et son niveau d’impact sur l’exercice des libertés civiques fondamentales.

Anne Renard
Sophie-Charlotte Vito, Stagiaire EFB
Lexing Département Conformité & Certification

Notes

(1) Sur le fondement du chapitre II du titre IV du livre II du même code.
(2) Dans les conditions de l’article 15 du décret du 28 août 2023.
(3) Décision n° 2023-850 DC du 17 mai 2023.
(4) Délib. n° 2023-068 du 15 juin 2023 portant avis sur un projet de décret.

Retour en haut