Les enjeux de protection des données personnelles liés aux tests et déploiements de la vidéoprotection algorithmique

juillet 2024 par Nicolas Samarcq, administrateur AFCDP

Pour rappel, ces expérimentations peuvent être réalisées jusqu’au 31 mars 2025 uniquement « dans les lieux accueillant les manifestations sportives, récréatives ou culturelles qui, par l’ampleur de leur fréquentation ou leurs circonstances, sont particulièrement exposées à des risques d’actes de terrorisme ou d’atteintes graves à la sécurité des personnes et à leurs abords, ainsi que dans les véhicules et emprises de transport public et sur les voies les desservant (...) ».

Ces traitements ont pour finalité exclusive de détecter en temps réel des événements prédéterminés susceptibles de présenter ou de révéler les risques précités en adressant une alerte aux opérateurs de vidéoprotection. Parmi les huit cas d’usages autorisés par le décret du 28 août 2023, la RATP et la SNCF n’ont retenu que les quatre cas suivants :

● présence d’objets abandonnés ;

● franchissement ou présence d’une personne ou d’un véhicule dans une zone interdite ou sensible ;

● mouvement de foule ;

● densité trop importante de personnes.

En effet, dans les gares et stations il n’y pas d’intérêt à analyser le non-respect par une personne ou un véhicule du sens de circulation commun (cette notion n’existant pas ou à la marge), et concernant par exemple la détection de départs de feux, il existe déjà d’autres moyens fiables mis en place.

L’encadrement des porteurs de projet

Les porteurs de projet (gendarmerie, police nationale, police municipale, SDIS, SNCF et RATP) de ces expérimentations doivent déposer un dossier en préfecture pour chaque traitement, afin d’obtenir une autorisation préfectorale, et adresser dans le même temps à la CNIL un engagement de conformité au décret d’applicationavec une Analyse d’Impact sur la Protection des Données (AIPD).

A noter que ces expérimentations peuvent être réalisées à partir de systèmes existants de vidéoprotection ou non. Dans le second cas, le porteur de projet devra, en plus du cadre réglementaire spécifique à l’expérimentation, obtenir une autorisation préfectorale en matière de vidéoprotection.

Ces expérimentations sont également coordonnées et suivies par un comité de pilotage présidé par la DEPSA du ministère de l’intérieur et composé notamment des représentants de l’ensemble des services utilisateurs (AMF, SNCF, RATP, PP , DGGN, DGPN,..), qui doit être consulté par les porteurs de projet en amont de la demande en préfecture. Celui-ci doit ensuite adresser un rapport tous les 3 mois à la CNIL. Les premières expérimentations ayant été réalisées par la RATP et la SNCF fin avril lors du match PSG-OL et du concert des Black Eyed Peas, le premier rapport du comité de pilotage interviendra en juillet.

Enfin, un comité d’évaluation, composé de deux collèges regroupant des personnalités indépendantes et les services utilisateurs, devra rendre un rapport au gouvernement avant le 31 décembre 2024. Ce rapport d’évaluation sera transmis à la CNIL et rendu public sur internet au même moment. Il devra notamment mesurer l’impact des traitements algorithmiques sur la sécurité et l’exercice des libertés publiques, ainsi que la perception de cet impact par le public.

Le DPO, l’acteur au cœur des enjeux de cette expérimentation

Les DPO des porteurs de projet sont en effet au cœur du dispositif. Ils doivent donner leur avis sur les AIPD ; mettre en place des sessions de formation RGPD spécifiques afin de garantir une utilisation éthique de ces outils par les opérateurs qui n’auraient pas traité les images remontées sans les alertes générées par ces algorithmes ; accompagner les équipes lors des contrôles de la CNIL, tout en collaborant avec cette autorité administrative indépendante pour mettre en œuvre ces expérimentations dans les meilleures conditions.

A titre d’exemple, les DPO de la RATP et de la SNCF ont travaillé par itération avec la CNIL sur les modalités d’information des usagers, ce qui a permis d’aboutir à l’adoption d’un pictogramme spécifique permettant de différencier l’information affichée en station de celle relative à la vidéoprotection classique.

Des cas d’école pour l’avenir

Dans le cadre de cette expérimentation, les DPO concernés, le comité d’évaluation et la CNIL sont les acteurs en charge d’évaluer les risques d’analyse généralisée et non les risques de surveillance généralisée dans la mesure où la loi interdit tout système d’identification biométrique, tout traitement de donnée biométrique et technique de reconnaissance faciale. Les traitements mis en œuvre ne peuvent en outre procéder à aucun rapprochement, à aucune interconnexion ni à aucune mise en relation automatisée avec d’autres traitements de données à caractère personnel.

Les quatre autres événements prédéterminés sont :

● présence ou utilisation d’armes, parmi celles mentionnées à l’article R. 311-2 du code de la sécurité intérieure ;

● non-respect par une personne ou un véhicule, du sens de circulation commun ;

● présence d’une personne au sol à la suite d’une chute ;

● départs de feux.

Services d’incendie et de secours.

