Après avoir émis ses craintes dans l'usage des caméras dopées à l'intelligence artificielle (aka algorithmique ou augmentée) dans le cadre d'opérations de vidéosurveillance par les forces de l'ordre, la CNIL a fini par rendre un avis positif sur le sujet. Suite à la loi sur les JO 2024 promulguée le 19 mai dernier, un décret du 28 août paru au Journal Officiel le 30 août autorise ainsi à titre expérimental et jusqu'au 31 mars 2025, le recours à des traitements algorithmiques sur les images collectées au moyen de systèmes de vidéoprotection et de caméras installées sur des aéronefs (drones).
Dans le cadre de ce décret, la commission a été saisie par le ministère de l'Intérieur pour avis, ce qu'elle n'a pas manqué de faire dans sa délibération. « La Cnil insiste sur l’utilité d’anticiper, autant que possible, l’identification des manifestions pour lesquelles les images issues des dispositifs de vidéoprotection et de caméras installées sur des aéronefs, pourraient être utiles à la conception des algorithmes. En effet, dans cette hypothèse les personnes concernées pourraient être préalablement informées, par les responsables de traitement ayant mis en œuvre ces dispositifs de vidéoprotection ou ces caméras installées sur des aéronefs, conformément à l’article 13.3 du RGPD, de la réutilisation, par le ministère de l’intérieur, des images les concernant à des fins de conception de traitements algorithmiques », indique la commission. « Une telle anticipation et le caractère préalable de l’information donnée aux personnes permettraient d’assurer une meilleure transparence et loyauté à l’égard du public. Dans cette hypothèse, si le Gouvernement ne serait pas tenu d’informer les personnes conformément à l’article 14.5 a) du RGPD, la Cnil recommande qu’il fournisse aux personnes une information générale contenant a minima le lieu et la date des manifestations concernées et la finalité de la réutilisation ».
En attente de délivrer une information compréhensible et accessible
L’article 2 rappelle notamment les garanties prévues par la loi : les traitements ne peuvent utiliser aucun système d'identification biométrique, ne traitent aucune donnée biométrique et ne mettent en œuvre aucune technique de reconnaissance faciale. Ils ne peuvent procéder à aucun rapprochement, aucune interconnexion ni aucune mise en relation automatisée avec d'autres traitements de données à caractère personnel. Ils ne produisent aucun autre résultat et ne peuvent fonder, par eux-mêmes, aucune décision individuelle ni aucun acte de poursuite. Et de préciser dans l'article 3 les évènements prédéterminés qu'un traitement algorithmique peut avoir pour objet de détecter, en ce qu'ils sont susceptibles de présenter ou de révéler un risque d'acte de terrorisme ou d'atteinte grave à la sécurité des personnes dans certains cas (objets abandonnés, utilisation d'armes, mouvement de foule, départ de feux... En tout état de cause, la Cnil recommande fortement, au regard de la sensibilité et du caractère inédit des traitements algorithmiques envisagés, qu’aucun transfert de données hors de l’UE ou accès aux données par des autorités étrangères ne puisse avoir lieu, autant en phase de conception que d’exploitation. La commission a également fortement insisté sur la nécessité de prévoir systématiquement des modalités d’information directement sur les lieux de captation des images et sur des supports adaptés (panneaux d’information dédiés, vidéos, codes QR, marquage au sol, annonces sonores, etc.).
« La Cnil insiste sur l’utilité d’anticiper, autant que possible, l’identification des manifestions pour lesquelles les images issues des dispositifs de vidéoprotection et de caméras installées sur des aéronefs, pourraient être utiles à la conception des algorithmes. En effet, dans cette hypothèse les personnes concernées pourraient être préalablement informées, par les responsables de traitement ayant mis en œuvre ces dispositifs de vidéoprotection ou ces caméras installées sur des aéronefs, conformément à l’article 13.3 du RGPD, de la réutilisation, par le ministère de l’intérieur, des images les concernant à des fins de conception de traitements algorithmiques », prévient la commission. « Une telle anticipation et le caractère préalable de l’information donnée aux personnes permettraient d’assurer une meilleure transparence et loyauté à l’égard du public ». Et dans cette hypothèse, si le Gouvernement ne serait pas tenu d’informer les personnes conformément à l’article 14.5 a) du RGPD, la Cnil recommande qu’il fournisse aux personnes une information générale contenant a minima le lieu et la date des manifestations concernées et la finalité de la réutilisation. « En tout état de cause, la Cnil insiste sur la nécessité de délivrer une information compréhensible et accessible afin de permettre aux personnes concernées de prendre conscience des conditions précises dans lesquelles leurs données sont susceptibles d’être collectées et pour quelles finalités. ». Si la Cnil relève que le ministère a réalisé, comme le prévoit la loi, une étude d'impact abstraite relative à la protection des données (AIPD) des risques et avantages des dispositifs qui vont être expérimentées, elle souligne que ces études d'impact devront être complétées lorsque les dispositifs seront choisis et mis en place, avant leur déploiement opérationnel.
Un rapport d'évaluation attendu au tournant
« Le recours aux caméras augmentées est autorisé par le représentant de l’Etat dans le département ou par le préfet de police à Paris. L’autorisation sera accordée seulement si le recours aux caméras augmentés est proportionné à la finalité poursuivie », expliquait par ailleurs fin juin 2023 le cabinet d'avocats Alain Bensoussan. « La Cnil doit être informée tous les trois mois des conditions de mise en œuvre de l’expérimentation des caméras augmentées. Le Gouvernement devra alors remettre au Parlement, au plus tard le 31 décembre 2024, un rapport d’évaluation de la mise en œuvre de l’expérimentation ».
Commentaire