Vidéosurveillance algorithmique dans l’espace public : premières sanctions

La présidence de la CNIL a prononcé le 15 novembre 2024 une mise en demeure à l’encontre du ministère de l’Intérieur sur la vidéosurveillance algorithmique dans l’espace public et son utilisation par les autorités policières. Très attendue, la décision précise le régime juridique de cet usage en matière de protection des données personnelles.

La vidéosurveillance algorithmique (VSA) dans l’espace public divise énormément, entre les partisans d’une forme de techno-solutionnisme et les défenseurs des droits et libertés fondamentaux qui craignent la mise en place d’une société de surveillance. La reconnaissance faciale, en particulier, a mobilisé les autorités de contrôle spécialisées dans la protection des données (v. par ex., Convention 108, Lignes directrices sur la reconnaissance faciale, 28 janv. 2021, T-PD(2020)03rev4, Dalloz IP/IT 2021. 361, obs. C. Lequesne Roth ; CNIL, Reconnaissance faciale : pour un débat à la hauteur des enjeux, 15 nov. 2019, Dalloz actualité, 22 nov. 2019, nos obs.).

Le 14 décembre 2023, une enquête menée par le journal Disclose révélait que les autorités de police et de gendarmerie ont déployé le logiciel de VSA Briefcam à partir de 2015 (G. Livolsi, M. Destal et C. Le Foll, La police nationale utilise illégalement un logiciel israélien de reconnaissance faciale). Analysant les images de vidéosurveillance – le cas échéant en les croisant avec d’autres bases de données –, le logiciel détecte automatiquement des situations anormales, tels que des attroupements ou colis suspects (v. pour une description, T. Jusquiame, Des robots derrière les caméras. Les cuisines de la surveillance automatisée, Le Monde diplomatique, févr. 2023). Ces pratiques ne sont pas en soi illicites. Elles ont par ailleurs été autorisées, à titre expérimental et jusqu’au 31 mars 2025, dans les lieux accueillant des manifestations sportives, récréatives ou culturelles et à leurs abords (Loi n° 2023-380 du 19 mai 2023, art. 10 ; Cons. const. 17 mai 2023, n° 2023-850 DC, pts 26 à 49, Dalloz actualité, 24 mai 2023, obs. C. Crichton ; JT 2023, n° 264, p. 6, obs. E. Royer ).

Toutefois, le logiciel analyse également le suivi des personnes en intégrant notamment des techniques de reconnaissance faciale, soit des données à caractère personnel. Or, et suivant l’enquête de Disclose, il s’est avéré que l’intégration du logiciel au sein des activités policières s’est effectuée au mépris des procédures propres au droit des données personnelles.

Ainsi la CNIL a-t-elle diligenté une enquête le 6 décembre 2023. En parallèle, et d’une part, les Inspections générales de la police nationale, de l’administration et de la gendarmerie nationale ont publié un rapport intitulé « Usage de logiciels d’analyse vidéo par les services de la police et de la gendarmerie nationales » (févr. 2024, en ligne). D’autre part, des premières saisines des juges administratifs n’ont malheureusement pas été satisfaisantes dans la mesure où les litiges se concentraient sur la fonctionnalité de reconnaissance faciale – prétendument désactivée par les services de police –, ce qui ne permet pas d’établir une jurisprudence ferme sur l’usage de la VSA (CE, ord. réf., 21 déc. 2023, n° 489990, AJDA 2024. 5 ; Dalloz IP/IT 2024. 485, obs. L. Huttner ; TA Lille, 29 nov. 2023, n° 2310103, Ligue des droits de l’homme, AJDA 2024. 363 ).

De ce fait, la décision de la CNIL du 15 novembre 2024 était attendue. La présidente de la CNIL a adressé à l’encontre du ministère de l’Intérieur un rappel à la loi et une mise en demeure de se mettre en conformité sur le fondement de trois ensembles textuels : la licéité du traitement, l’obligation d’effectuer une analyse d’impact, ainsi que le traitement de données sensibles.

Sur le manquement au principe de licéité du traitement

En présence d’un traitement de données personnelles par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, le droit commun des données personnelles prévu par le RGPD (Règl. [UE] 2016/679 du 27 avr. 2016) est exclu au profit de la directive « police justice » (UE) 2016/680 du 27 avril 2016 transposée au sein des articles 87 à 114 de la loi « Informatique et Liberté » n° 78-17 du 6 janvier 1978 (LIL). La CNIL rappelle à ce titre que de tels traitements doivent être autorisés par arrêté ou décret avant de faire l’objet d’un engagement de conformité auprès d’elle (LIL, art. 89). Il s’agit plus spécifiquement de l’engagement de conformité RU-18 concernant les logiciels de rapprochement judiciaire à des fins d’analyse criminelle (Décr. n° 2012-687 du 7 mai 2012).

En l’espèce, et d’une part, aucun décret n’autorise les traitements en cause.

D’autre part, les autorités compétentes n’ont commencé à transmettre leurs engagements de conformité qu’à partir de l’instant où l’opinion générale a manifesté ses inquiétudes. Ainsi en est-il de :

  • la Direction générale de la Gendarmerie nationale (DGNN), le 20 novembre 2023, alors que le logiciel Système V était utilisé depuis 2021 ;
  • le Service central de renseignement criminel (SCRC-GN), le 7 octobre 2024, alors que le logiciel Briefcam était utilisé depuis 2018 ;
  • la Direction générale de la Police nationale (DGPN), le 14 décembre 2023, alors que le logiciel Briefcam était utilisé depuis 2015 ;
  • la Préfecture de police de Paris, le 30 octobre 2023, alors que le logiciel Système V était utilisé depuis 2021.

En outre, aucun engagement de conformité n’a été transmis par cette dernière pour l’utilisation des logiciels Video Synopsis, Physical Analyzer, ainsi qu’Axiom.

Enfin, il est intéressant de relever que la présidente de la CNIL soupçonne que « les autres dispositions du décret du 7 mai 2012 [n’aient] pas été bien respectées, notamment en ce qu’elles prévoient une autorisation d’utilisation par un magistrat pour chaque procédure ». Il est à craindre qu’une utilisation sauvage de tels dispositifs s’effectue en méconnaissance de l’ensemble de dispositions applicables en la matière lorsqu’il est constaté un manquement ponctuel. Ce n’est effectivement pas la première fois que les autorités déploient sauvagement une technologie attentatoire aux libertés : en témoigne l’utilisation sans autorisation de drones durant le confinement, dont la révélation par le journal Mediapart a mené à la saisine des juges administratifs et à l’injonction de cesser la pratique (C. Le Foll et C. Pouré, Avec le confinement, les drones s’immiscent dans l’espace public, Mediapart, 25 avr. 2020 ; CE, ord. réf., 18 mai 2020, n° 440442, Dalloz actualité, 22 mai 2020, obs. C. Crichton ; AJDA 2020. 1031 ; ibid. 1552 , note X. Bioy ; D. 2020. 1336, obs. P. Dupont , note P. E. Audit ; ibid. 1262, obs. W. Maxwell et C. Zolynski ; AJCT 2020. 530, obs. R. Perray et Hélène Adda ; Dalloz IP/IT 2020. 573, obs. C. Rotily et L. Archambault ; RTD eur. 2020. 956, obs. A. Bouveresse ). Malgré l’existence d’un arsenal juridique imposant une forme d’autorisation a priori, le risque de contournements subsiste et démontre l’important rôle de la société civile – médias, lanceurs d’alerte, associations de défense des données personnelles – dont la vigilance a plus d’une fois alerté le régulateur.

Nonobstant le régime du droit de la protection des données personnelles, les autorités de police et de gendarmerie sont soumises à d’autres règles relatives à la licéité de la VSA qu’il convient de rappeler. Le droit français prohibe les rapprochements, interconnexions ou mises en relation automatisé avec d’autres traitements de données personnelles lorsque les images sont captées par des dispositifs aéroportés, y incluant les drones (CSI, art. L. 242-4, al. 2). En outre, la reconnaissance faciale en temps réel est explicitement interdite (ibid.), étant précisé que le Conseil constitutionnel a émis une réserve d’interprétation spécifiant que l’interdiction s’étend à « l’analyse des images au moyen d’autres systèmes automatisés de reconnaissance faciale qui ne seraient pas placés sur ces dispositifs aéroportés » (Cons. const. 20 janv. 2022, n° 2021-834 DC, Dalloz actualité, 27 janv. 2022, obs. E. Maupin ; Loi relative à la responsabilité pénale et à la sécurité intérieure, AJDA 2022. 127 ; D. 2023. 1235, obs. E. Debaets et N. Jacquinot ; AJCT 2022. 66, obs. E. Royer ).

De plus, le règlement sur l’intelligence artificielle (UE) 2024/1689 du 13 juin 2024 (AI Act) interdit à compter du 2 août 2025 et sauf exception « l’utilisation de systèmes d’identification biométrique à distance en temps réel dans des espaces accessibles au public à des fins répressives » (art. 5, § 1, h). À compter du 2 août 2027, tous les autres systèmes d’identification biométrique à distance seront soumis à un régime de conformité suivant le chapitre III du règlement (art. 6, § 2 ; annexe III, § 1) s’ils présentent un risque important de préjudice pour la santé, la sécurité ou les droits fondamentaux des personnes (art. 6, § 3).

Sur le manquement à l’obligation d’effectuer une analyse d’impact

L’article 90 de la LIL, lequel se substitue à l’article 35 du RGPD, impose l’élaboration d’une analyse d’impact relative à la protection des données (AIPD) en présence d’un risque élevé pour les droits et les libertés des personnes. Tel est le cas, selon la présidente de la CNIL, de l’utilisation « de technologies d’analyse automatisée a posteriori des images issues de dispositifs vidéo ».

Nous pouvons regretter l’absence de motifs, probablement car l’article 90 de la LIL impose explicitement l’APID lorsque le traitement « porte sur des données mentionnées au I de l’article 6 » relatif aux données sensibles qui, rappelle la CNIL, inclut des « données biométriques aux fins d’identifier une personne physique de manière unique ». Ainsi est-il naturellement possible d’en déduire que l’analyse automatisée d’images de personnes constitue un traitement de données biométrique. Toutefois, la mention « a posteriori » rend les propos de la CNIL confus car suppose une distinction entre le traitement biométrique en temps réel et en temps différé, renvoyant probablement à l’interdiction prescrite par l’AI Act.

Il convient également de souligner la mention suivante, mise en évidence par la CNIL en caractères gras : « Le fait que ces traitements soient menés dans le cadre de phases expérimentales de "tests", ou qu’ils le soient dans des phases de déploiement opérationnel, est sans incidence sur [l’obligation d’effectuer une AIPD] ».

En l’espèce, un parallélisme entre la transmission des AIPD et des engagements de conformité à la CNIL est à relever. Les autorités en cause n’ont effectué leurs analyses d’impact qu’après déclaration de l’utilisation des logiciels litigieux. Concernant les logiciels utilisés par la préfecture de police de Paris qui n’ont pas été déclarés à la CNIL, aucune analyse d’impact n’a été transférée. Ces éléments confortent l’idée selon laquelle il est probable que la méconnaissance d’une disposition entraîne en cascade la méconnaissance de l’ensemble des dispositions.

Sur le traitement de données biométriques

La CNIL rappelle – s’il en était besoin – que la reconnaissance faciale constitue un traitement de données biométrique donc sensible. Il aurait été souhaitable qu’elle s’attarde davantage sur l’exercice de qualification. Si la reconnaissance faciale ne fait aucun doute, les autres interconnexions d’images – démarche, gabarit ou tenue vestimentaire, par exemple – suscitent encore quelques incertitudes.

Se fondant sur l’article 88 de la LIL qui autorise le traitement de données sensibles en cas de nécessité absolue, notamment « s’il est autorisé par une disposition législative ou réglementaire », la CNIL souligne que « les dispositifs d’identification ou de caractérisation des personnes physiques à partir de leurs données biométriques, utilisés de manière opérationnelle comme expérimentale, ne sont pas autorisés par le législateur dans l’espace public ». Or, certains éditeurs, notamment Briefcam, incluent dans leurs solutions logicielles des fonctionnalités de reconnaissance faciale.

La présence d’une fonctionnalité de reconnaissance faciale implique, selon la CNIL, que son usage « reste ainsi techniquement possible, du moins en théorie ». Cette précision est importante car elle confirme le fait que la seule possibilité d’accéder à un traitement constitue un traitement. Qu’importe ainsi l’utilisation effective de la fonctionnalité : il suffit de pouvoir en disposer pour entrer dans le champ d’application du droit des données personnelles.

En l’espèce, la CNIL mobilise l’article 20 de la directive « police-justice » relative aux principes de protection des données dès la conception ou par défaut pour déterminer les hypothèses de détention légale d’un logiciel. Afin de respecter le principe de privacy by default, elle « estime que le respect des textes cités ci-dessus implique que le ministre de l’Intérieur prenne des mesures pour empêcher l’utilisation de cette fonctionnalité, par exemple en prévoyant la désactivation par un compte "administrateur", afin qu’elle ne puisse pas être mise en œuvre par les utilisateurs du logiciel, ainsi qu’une remontée d’alerte automatique au responsable de traitement en cas de réactivation ». Idéalement, ajoute-t-elle, « une version spécifique du logiciel n’intégrant pas ce type de fonctionnalité devrait être privilégiée », correspondant au principe de privacy by design.

Il convient de relever, enfin, que les autorités contrôlées auraient atténué l’utilisation réelle de la fonctionnalité de reconnaissance faciale. Le SCRC-GN a indiqué à la CNIL que le module de Briefcam aurait été utilisé une seule fois lors de la recherche d’un individu lors des émeutes de l’été 2023. Or, la CNIL relève qu’une pièce datant du 10 janvier 2023, soit antérieurement auxdites émeutes, démontre l’utilisation du module de reconnaissance faciale. À nouveau, ce n’est pas la première fois qu’une telle pratique est observée. Nous avions constaté une contradiction entre les pièces et les dires des autorités policières à l’occasion de la saisine des juges administratifs contre l’usage des drones par la préfecture de police de Paris lors du confinement (Surveillance policière par drones : le « oui, mais… » du Conseil d’État, Dalloz étudiant, 26 mai 2020), précédemment mentionnée (CE 18 mai 2020, préc., annulant TA Paris, ord. réf., 5 mai 2020, n° 2006861/9, Dalloz actualité, 15 mai 2020, nos obs.). Les pièces fournies en première instance – une communication et une interview au titre du droit de réponse adressé au média ayant révélé la pratique – font état de l’existence d’une carte mémoire par la formule : « dès la fin de la mission, les images sont supprimées de la carte mémoire ». Toutefois, face au Conseil d’État, la préfecture de police explique que les drones ne sont pas équipés de carte mémoire, ce qui n’a pas été relevé par la Haute juridiction. Si cette contradiction n’aurait pas changé l’issue du procès, elle témoigne néanmoins de la possibilité pour les pouvoirs publics de minimiser leurs pratiques ; possibilité confirmée par la présente décision de la CNIL.

 

CNIL, décis. n° MED-2024-150, 15 nov. 2024, JO 5 déc.

© Lefebvre Dalloz