IMPORTANTE MISE À JOUR AU 23 DÉCEMBRE 2023, VOIR :

Vidéoprotection intelligente (algorithmique) : le Conseil d’Etat rend une importante décision (illégalité de certaines fonctions ; y compris sur Briefcam ; mais pas de sanction si elles ne sont pas activées, ou au moins pas en temps réel) 

 

 

 

 

 

 

Le cadre juridique en matière de cadre juridique propre à la vidéoprotection (ou vidéosurveillance) algorithmique, ou « intelligente », voire à la combinaison de ces outils avec des drones, s’avère un peu moins lacunaire qu’on ne le dit souvent (I).

Or, une ordonnance du juge des référés du TA de Caen, en ce domaine, vient d’apporter une importante pierre à cet édifice (II), dans le cas du très discuté système Briefcam.

 

I. Rappel des éléments, de base, en matière de cadre juridique propre à la vidéoprotection (ou vidéosurveillance) algorithmique

 

La vidéoprotection (ou vidéosurveillance) algorithmique (VSA, ou vidéoprotection intelligente ou automatisée ou augmentée) est un système de vidéosurveillance utilisant l’intelligence artificielle. Parfois également appelés vidéosurveillance “intelligente”, “automatisée” ou “augmentées.

 

I.A. Un cadre moins lacunaire qu’on ne l’affirme souvent

 

Il est souvent présenté que ces régimes n’auraient pas de cadre juridique. Une telle assertion doit être, à tout le moins, relativisée car :

• la loi n° 2023-380 du 19 mai 2023 relative aux jeux Olympiques et Paralympiques comporte un tel dispositif, certes limité auxdits JO. Voir à ce sujet le décret n° 2023-828 du 28 août 2023 (voir ici ce texte et notre article). 
• or, à l’occasion du contrôle de cette loi 2023-380 du 19 mai 2023, le Conseil constitutionnel a déjà fixé un cadre jurisprudentiel minimal.
  Etait, notamment, contesté par les parlementaires ayant saisi le Conseil constitutionnel, l’article 10 du projet de loi prévoyant, à titre expérimental, que les images collectées au moyen d’un système de vidéoprotection ou de caméras installées sur des aéronefs pouvaient faire l’objet de traitements algorithmiques afin de détecter et signaler certains événements. Or, les sages de la rue Montpensier avaient validé ce point avec une importante réserve d’interprétation.
  En des termes inédits, le Conseil constitutionnel avait ensuite jugé que, pour répondre à l’objectif de valeur constitutionnelle de prévention des atteintes à l’ordre public, le législateur peut autoriser le traitement algorithmique des images collectées au moyen d’un système de vidéoprotection ou de caméras installées sur des aéronefs. Si un tel traitement n’a ni pour objet ni pour effet de modifier les conditions dans lesquelles ces images sont collectées, il procède toutefois à une analyse systématique et automatisée de ces images de nature à augmenter considérablement le nombre et la précision des informations qui peuvent en être extraites. Dès lors, la mise en œuvre de tels systèmes de surveillance doit être, précisait le Conseil, assortie de garanties particulières de nature à sauvegarder le droit au respect de la vie privée.
  Source : décision 2023-850 DC – 17 mai 2023 – Loi relative aux jeux Olympiques et Paralympiques de 2024 et portant diverses autres dispositions – Non conformité partielle – réserve
• sur la reconnaissance faciale (qui n’est pas le même sujet mais qui à tout le moins s’en rapproche), et sur les caméras thermiques, qui là encore peuvent servir à titre d’analogie, le Conseil d’Etat s’est exprimé pour indiquer l’équilibre à trouver (or il est possible de défendre que la vidéoprotection algorithmique est moins intrusive que ces deux autres procédés). Voir à ce sujet :
  • CE, 4 novembre 2020, n° 432656  ; voir aussi notre article : « Reconnaissance faciale : le Conseil d’Etat, loin de grimacer, l’accepte sous des conditions qui ne sont pas que faciales »)
  • CE, ord., 26 juin 2020, LDH, n° 441065 : voir notre article « Caméras thermiques : le juge souffle le chaud et le froid »
• la saga du droit en matière de drones peut aussi servir d’élément de réflexion par analogie (voir ICI sur ce point un article un peu récapitulatif que j’avais commis sur un mode starwarsien)/
• s’appliquent aussi sans doute au moins en partie les articles 4, 8, 10, 27 et 28 de la directive « police justice » (ou plus précisément le RGPD, à savoir le règlement n° 2016/679 du 27 avril 2016 et la directive n° 2016/680 du 27 avril 2016) transposés aux articles 88 et 90 de la loi 78-17 du 6 janvier 1978
• on pourrait débattre du point de savoir si la VSA est, ou n’est pas, déjà prise en compte par le cadre juridique applicable, notamment en cas d’usage par les collectivités territoriales (pour les pouvoirs de police du maire : art. L. 2212-2 du CGCT ; voir aussi les articles L. 251-2, puis L. 252-2 et suivants du code de la sécurité intérieure [CSI])
• est en cours un règlement européen sur l’intelligence artificielle qui devrait adopter des positions prudentes, peu favorables à ces régimes, donc :
  • Voir ici ce projet de texte (avril 2023)
  • voir aussi :
    • https://www.touteleurope.eu/economie-et-social/intelligence-artificielle-que-fait-l-union-europeenne/#:~:text=Proposé%20en%20avril%202021%2C%20un,favoriser%20l%27innovation%20en%20Europe.&text=L%27Union%20européenne%20souhaite%20encadrer,en%20favorisant%20l%27innovation%20technologique.
    • https://www.europarl.europa.eu/news/fr/headlines/society/20230601STO93804/loi-sur-l-ia-de-l-ue-premiere-reglementation-de-l-intelligence-artificielle
    • https://www.vie-publique.fr/en-bref/279650-nouveau-reglement-europeen-sur-lintelligence-artificielle-ia
    • https://ec.europa.eu/commission/presscorner/detail/fr/ip_21_1682
    • Voir aussi cet article du Monde relatif à la prise en compte, ou non, de ce projet dans le débat, français, sur la loi, précitée, relative aux JO

 

Sur les contentieux, voir une affaire intéressante : TA Marseille, 2 juin 2023, n° 2009485

 

 

I.B. La position de la CNIL

 

La CNIL distingue à juste titre entre vidéo augmentée (où l’on analyse les gestes  entre autres, mais sans reconnaissance faciale) et reconnaissance biométrique. Citons la CNIL :

« La position de la CNIL concerne les dispositifs de vidéo « augmentée » qui se distinguent des dispositifs de reconnaissance biométriques comme par exemple les dispositifs de reconnaissance faciale. Deux critères permettent de distinguer ces dispositifs :

• • la nature des données traitées : caractéristique physique, physiologique ou comportementale ;
  • l’objectif du dispositif : identifier ou authentifier de manière unique une personne.

« Un dispositif de reconnaissance biométrique cumulera toujours ces deux critères tandis qu’une caméra « augmentée » n’en remplira aucun (par exemple une caméra « augmentée » qui filme la rue pour classer les différents usages : voitures, vélos, etc.) ou seulement un des deux (par exemple une caméra « augmentée » qui détecte les bagarres dans une foule).

« Cette distinction a des conséquences juridiques : les dispositifs de reconnaissance biométrique impliquent des traitements de données dites « sensibles » qui sont, par principe, interdits par le RGPD et la loi Informatique et Libertés, sauf exceptions.»

Voici la position de la CNIL à ce sujet :

«En l’absence de textes spécifiques encadrant l’usage des dispositifs de vidéo « augmentée », la CNIL a analysé les principes applicables à ces dispositifs par rapport à la réglementation actuellement en vigueur.

« Elle a notamment considéré que le Code de la sécurité intérieure, qui fixe le cadre applicable aux dispositifs de vidéoprotection traditionnels, n’était pas adapté à cette nouvelle technologie. Mais il n’interdit pas non plus son déploiement. La CNIL appelle plus particulièrement l’attention sur trois points.
« La nécessité de respecter les grands principes de la réglementation protégeant les données personnelles
« Tout acteur qui souhaiterait déployer un dispositif de vidéo « augmentée » devra se fonder sur une base légale déterminée au cas par cas. Si aucune n’est exclue ou privilégiée par principe, la base légale de « l’intérêt légitime » ne doit pas conduire à un déséquilibre manifeste entre les intérêts poursuivis par l’utilisateur d’un dispositif de vidéo « augmentée » et les attentes raisonnables des personnes (par exemple un magasin qui analyserait l’humeur des clients pour leur afficher des publicités adaptées). De façon plus générale, il faut faire, au préalable, une démonstration de la proportionnalité (c’est-à-dire des conditions de mise en œuvre du dispositif par rapport aux objectifs poursuivis) du dispositif envisagé.
« À ce titre, des mécanismes effectifs de protection des données et de la vie privée dès la conception (privacy by design) doivent être mis en œuvre pour permettre de réduire les risques pour les personnes concernées. Des garanties fortes consistent, par exemple, à intégrer des mesures permettant la suppression quasi-immédiate des images sources ou la production d’informations anonymes.
« La nécessité d’une loi pour la mise en œuvre de certains dispositifs
« La CNIL rappelle que les dispositifs les plus intrusifs, c’est-à-dire ceux susceptibles de modifier les conditions fondamentales d’exercice des droits et libertés fondamentaux des personnes, ne pourront être déployés que si une loi les autorise et les encadre spécifiquement.
« Elle estime notamment que les services de police de l’État ou les collectivités territoriales ne sont pas autorisés par la loi à brancher sur les caméras de vidéoprotection des dispositifs d’analyse automatique permettant de repérer des comportements contraires à l’ordre public ou des infractions.
« La question spécifique du droit d’opposition des personnes concernées
« Les personnes filmées et analysées par les dispositifs de caméras « augmentées » disposent de droits reconnus par la réglementation sur la protection des données (droit à l’information notamment). Parmi ceux-ci, figure souvent la possibilité de s’opposer au traitement mis en œuvre.
« Or, la CNIL a constaté que les personnes ne peuvent généralement pas s’opposer à l’analyse de leurs images, par exemple, lorsque les algorithmes ne conservent pas les images, ou que les conditions d’exercice de ce droit ne sont pas praticables (marquer son opposition impose d’appuyer sur un bouton, de faire un geste particulier devant une caméra, de stationner dans une zone dédiée, etc.).
« À ce stade, la CNIL considère que la mise en œuvre de caméras augmentées conduit fréquemment à limiter les droits des personnes filmées.
Une telle limitation des droits n’est possible que dans deux cas de figure :
• soit le traitement impliqué par le dispositif de vidéo « augmentée » poursuit une finalité statistique au sens du RGPD : c’est-à-dire que le traitement ne tend qu’à la production de résultats statistiques constitués de données agrégées et anonymes. Le traitement n’a pas de vocation directement opérationnelle ;
• soit le droit d’opposition est écarté, sur le fondement de l’article 23 du RGPD, par un texte spécifique, de nature au moins réglementaire. Cet acte devra acter la légitimité et la proportionnalité du traitement opéré au regard de l’objectif poursuivi, la nécessité d’exclure la faculté pour les personnes de s’y opposer, tout en fixant des garanties appropriées au bénéfice de ces dernières.
« Dans de nombreux cas, il sera donc nécessaire que des textes, réglementaires ou législatifs, autorisent l’usage des caméras augmentées dans l’espace public. Cette analyse juridique rejoint la nécessité politique pour la puissance publique de tracer la ligne, au-delà du « techniquement faisable », entre ce qu’il est souhaitable de faire d’un point de vue éthique et social et ce qui ne l’est pas dans une société démocratique.»

Sources :

• https://www.cnil.fr/fr/cameras-dites-augmentees-dans-les-espaces-publics-la-position-de-la-cnil
• https://www.cnil.fr/fr/deploiement-de-cameras-augmentees-dans-les-espaces-publics-la-cnil-publie-sa-position
• voir surtout : https://www.cnil.fr/sites/cnil/files/atoms/files/cameras-intelligentes-augmentees_position_cnil.pdf

 

 

I.C. Autre sources, utiles par analogie à tout le moins

 

Voir aussi par analogie :

• Loi sécurité globale : zoom sur la vidéoprotection 
• Surveillance par drone des JO de 2024 : le décret, sur les traitements des données, a été publié 
• Souriez, vous êtes filmé depuis le ciel ! [avis rendu par le CE] 
• Caméras dites « intelligentes » et caméras thermiques : les points de vigilance de la CNIL et les règles à respecter 
• Reconnaissance biométrique : 30 propositions sénatoriales pour tenter d’y voir clair 
• Reconnaissance faciale : le Conseil d’Etat, loin de grimacer, l’accepte sous des conditions qui ne sont pas que faciales 
• Technologies et sécurité : les 30 propositions du député J.-M. Mis 
• Les PM, destinataires d’images de vidéoprotection 
• Vidéosurveillance dans les chambres d’Ehpad : la CNIL lance une consultation publique 
• Un juge d’instruction peut autoriser une vidéosurveillance sur la voie publique 
• Sécurité globale : ce qui reste de la loi, après matraquage par le Conseil constitutionnel, se réfugie au JO de ce matin 
• Extension du domaine de la vidéo protection… à la lutte contre la circulation virale dans les transports 
• etc.

 

 

 

II. Censure par le TA de Caen, dans le cadre du désormais célèbre logiciel Briefcam

 

Les débats, très vifs en ces domaines, avec plus ou moins de bonne foi, se focalisent souvent sur le logiciel Briecam, utilisés par certaines collectivités et, selon une enquête journalistique (de Dispose) diffusée il y a quelques jours mais non confirmée de source sûre (une enquête CNIL est en cours), parfois par l’Etat.

Voici quelques sources :

• https://fr.wikipedia.org/wiki/Briefcam
• https://www.usine-digitale.fr/article/briefcam-le-logiciel-d-analyse-ultra-rapide-d-images-de-videosurveillance-vise-100-villes-francaises-d-ici-2018.N466663
• https://technopolice.fr/briefcam/
• https://www.briefcam.com
• https://www.sciencesetavenir.fr/high-tech/intelligence-artificielle/affaire-briefcam-qu-est-ce-que-la-videosurveillance-algorithmique_175086
• https://www.usine-digitale.fr/article/21-11-2023-l-affaire-briefcam-relance-le-debat-du-recours-a-la-reconnaissance-faciale-par-la-police.N2196573
• https://www.huffingtonpost.fr/france/article/un-logiciel-de-reconnaissance-faciale-utilise-illegalement-par-la-police-nationale-la-cnil-enquete_225795.html

 

 

Or, voici que le juge des référés du TA de Caen a ordonné à une communauté de communes normande d’effacer les données personnelles acquises via ce logiciel :

• https://www.paris-normandie.fr/id468974/article/2023-11-22/en-normandie-une-communaute-de-communes-epinglee-pour-lutilisation-du-logiciel

 

Evoquons les faits tels que narrés par cette ordonnance :

« 7. Les requérants soutiennent que la communauté de communes Cœur Côte Fleurie utilise depuis plusieurs années un dispositif de caméras augmentées couplé à un logiciel de vidéosurveillance algorithmique produit par la société Briefcam. Ils exposent, sans que cela soit contesté, que ce dispositif permet, d’une part, d’identifier des personnes physiques en fonction de leurs caractéristiques propres, à savoir leur taille, couleur de peau, couleur de cheveux, âge, sexe, couleur des vêtements et apparence, ainsi que leur manière de se mouvoir et, d’autre part, de les suivre de manière automatisée. Il résulte de l’instruction, en particulier du guide des technologies de sûreté 2022 versé au dossier, que le logiciel Briefcam constitue une plateforme complète d’analyse de contenu vidéo qui s’intègre dans les systèmes de vidéosurveillance existants et permet d’exploiter le contenu de vidéosurveillance en simplifiant la consultation de ces systèmes et leur exploitation. Selon ce document, cette plateforme,  » basée sur une combinaison unique de la technologie brevetée de Vidéo Synopsis et deep learning  » offre notamment la possibilité d’accélérer les enquêtes en résumant des heures de vidéos en quelques minutes, avec plus de trente filtres de classification d’objets. Il ressort d’un communiqué de la communauté de communes Cœur Côte Fleurie que ce dispositif d’analyse vidéo a été mis en place en 2016 afin de transformer la vidéo brute en source de renseignements exploitables, en réduisant le temps d’identification des menaces de sécurité. Il est précisé dans ce communiqué que l’intercommunalité  » s’appuie quotidiennement sur Briefcam pour faire progresser les enquêtes « . »

Quelques requérants, dont la Ligue des droits de l’homme, le Syndicat de la magistrature et l’Union syndicale Solidaires, puis l’Association de défense des libertés constitutionnelles et le Syndicat des avocats de France, ont attaqué donc cette communauté de communes en référé liberté.

Avec une censure par ce TA, en s’appuyant notamment sur la position de la CNIL :

« 8. Il résulte des dispositions citées au point 6 qu’un tel dispositif de surveillance, qui constitue un traitement de données à caractère personnel et a pour finalités la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, relève du champ d’application de la directive du 27 avril 2016, dont le titre 3 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés assure la transposition en droit interne. Ainsi que l’a relevé la Commission nationale informatiques et libertés (CNIL) dans sa position publiée en juillet 2022 sur les conditions de déploiement des caméras dites  » intelligentes  » ou  » augmentées  » dans les espaces publics, le déploiement de ces dispositifs dans l’espace public présente des risques pour les droits et libertés fondamentaux des personnes et la préservation de leur anonymat dans l’espace public. La CNIL a rappelé que la loi n’autorisait pas les services de police de l’Etat ou les collectivités territoriales à brancher sur les caméras de vidéoprotection des dispositifs d’analyse automatique permettant de repérer des comportements contraires à l’ordre public ou des infractions.

« 9. Ainsi qu’il a été exposé au point 7, le dispositif de caméras augmentées utilisé par la communauté de communes Cœur Côte Fleurie en dehors de tout cadre légal ou réglementaire, qui a pour objet de simplifier l’exploitation du contenu de vidéosurveillance et d’accélérer le temps d’identification des menaces de sécurité, permet d’identifier des personnes physiques en fonction de leurs caractéristiques propres. Il n’est pas établi ni même allégué que d’autres moyens moins intrusifs au regard de la vie privée ne pouvaient être mis en œuvre afin de préserver l’ordre public. Dès lors, les requérants sont fondés à soutenir que l’utilisation du dispositif litigieux porte une atteinte grave et manifestement illégale au respect de la vie privée.

« 10. L’urgence de la mesure demandée sur le fondement de l’article L. 521-2 du code de justice administrative doit être appréciée en tenant compte non seulement de ses effets sur les intérêts défendus par les requérants mais aussi de l’objectif poursuivi par la collectivité. Eu égard, d’une part, au nombre de personnes susceptibles de faire l’objet des mesures de surveillance litigieuses, d’autre part, aux atteintes qu’elles sont susceptibles de porter au droit au respect de la vie privée, et alors, ainsi qu’il a été précédemment exposé, qu’il ne résulte pas de l’instruction que l’objectif de prévention des atteintes à l’ordre public ne pouvait être atteint en recourant à des mesures moins intrusives au regard du droit au respect de la vie privée, la condition d’urgence doit être regardée comme remplie.

« 11. Il résulte de la combinaison des dispositions des articles L. 511-1, L. 521-2 et L. 521-4 du code de justice administrative qu’il appartient au juge des référés, lorsqu’il est saisi sur le fondement de l’article L. 521-2 et qu’il constate une atteinte grave et manifestement illégale portée par une personne morale de droit public à une liberté fondamentale, de prendre les mesures qui sont de nature à faire disparaître les effets de cette atteinte. Ces mesures doivent en principe présenter un caractère provisoire, sauf lorsqu’aucune mesure de cette nature n’est susceptible de sauvegarder l’exercice effectif de la liberté fondamentale à laquelle il est porté atteinte. Le juge des référés peut, sur le fondement de l’article L. 521-2 du code de justice administrative, ordonner à l’autorité compétente de prendre, à titre provisoire, une mesure d’organisation des services placés sous son autorité lorsqu’une telle mesure est nécessaire à la sauvegarde d’une liberté fondamentale. Toutefois, le juge des référés ne peut, au titre de la procédure particulière prévue par l’article L. 521-2 précité, qu’ordonner les mesures d’urgence qui lui apparaissent de nature à sauvegarder, dans un délai de quarante-huit heures, la liberté fondamentale à laquelle il est porté une atteinte grave et manifestement illégale.

« 12. En l’espèce, il y a lieu d’enjoindre à la communauté de communes Cœur Côte Fleurie de procéder, dans un délai de cinq jours à compter de la notification de la présente ordonnance, à l’effacement des données à caractère personnel contenues dans le fichier initialement constitué et dans toutes les copies, totales ou partielles, qui auraient pu en être faites, à l’exception d’un seul exemplaire, dans sa dernière version à la date de la présente ordonnance, qui sera placé sous séquestre auprès de la Commission nationale informatique et libertés dans un délai d’un mois à compter de la notification de la présente ordonnance.»

 

Source :

TA Caen, ord., 22 novembre 2023, 2303004