Le cadre juridique en matière de cadre juridique propre à la vidéoprotection (ou vidéosurveillance) algorithmique, ou « intelligente » était balbutiant mais, au fil de 2023, il a commencé à s’étoffer. 

De notables évolutions sont annoncées pour 2024.

Voyons ceci au fil d’une vidéo « En bref » puis d’un article. 

 

 

 

I. VIDEO « En bref »

 

Voici une vidéo « En bref » (série de vidéos qui sont des échanges avec le journaliste Stéphane MENU) à ce propos sur un peu plus de 25  mn :

https://youtu.be/hK6Y2kas00c

 

Voir précédemment, les autres vidéos de cette série « En bref » :

• Responsabilité des gestionnaires publics : 1e année de jurisprudence de la Cour des comptes
• Se protéger avant de préfigurer [EN BREF]
• Comment sécuriser les prestations de services intégrées (le « in house »)
• Communication de documents administratifs, caviardage listé par le juge et stratégie contentieuse [VIDEO « En bref »]
• Landot & associés, l’anniversaire, 2nd épisode : Merci… pour ces 25 ans et pour les plaisirs à venir [VIDEO]
• SRADDET, SAR et autres planifications : comment sécuriser, en droit, sans s’embourber, en fait ? [VIDEO ; En bref] 
• Dignité humaine et protection de l’enfance v. liberté de l’expression artistique : positions du Conseil d’Etat et de la Cour de cassation [VIDEO « En bref » et article] 
• Gérer la fin d’une délégation de service public : points de vue opérationnels sur le sort des biens
• Contrats autoroutiers : excès de vitesse dans les critiques ? ou sortie de route juridique ? [EN BREF] 
• Landot & associés, 25e anniversaire [VIDEO « En bref »] [1e épisode : le témoignage d’E. Landot]
• Affecter des agents à des emplois qui, en réalité, sont de cabinet : une pratique dangereuse [VIDEO « En bref »]
• Décharge de fonctions : mode d’emploi
• Concussion : le danger méconnu [VIDEO « En bref »]
• Transaction et secret [VIDEO « En bref »]
• Le forfait élève, prévenir plutôt que guérir [VIDEO « En bref »] 
• Audit de contrats, pièges et astuces [VIDEO « En bref »]
• Protection fonctionnelle des élus : de nouvelles souplesses, de nouveaux dangers [VIDEO « En bref »] 
• Contrats et cadeaux, les liaisons dangereuses [VIDEO « En bref »] 
• Accompagnement des transfert des compétences eau et assainissement : blocages et déblocages. [VIDEO « En bref »] 
• Nouveau régime de responsabilité financière : que retenir du 1er arrêt rendu par la Cour des comptes ? [VIDEO « En bref » et ARTICLE] 
• Interdiction de l’avion quand on peut prendre le train : que prévoit, réellement, le décret ? [VIDEO « En bref »] 
• GIP : le couteau suisse du droit public [VIDEO « En bref »] 

 

Voir plus largement notre chaîne YouTube :

• https://www.youtube.com/channel/UCNrG7PWLpfvBoBMHNnqMQSg/

 

 

 

II. ARTICLE

 

Le cadre juridique en matière de cadre juridique propre à la vidéoprotection (ou vidéosurveillance) algorithmique, ou « intelligente », voire à la combinaison de ces outils avec des drones, s’avère un peu moins lacunaire qu’on ne le dit souvent (II.A).

Or, une ordonnance du juge des référés du TA de Caen, en ce domaine, a apporté une pierre à cet édifice, dans le cas du discuté système Briefcam…. sauf que justement, cette ordonnance du TA de Caen vient d’être censurée par le juge des référés du Conseil d’Etat (II.B.), ce qui permet de commencer à fixer, en ce domaine, un peu l’état du droit. 

On y apprend que :

• la reconnaissance faciale est interdite, mais la possession du logiciel correspondant n’est pas illégale tant que cette fonctionnalité n’est pas activée, à charge pour la personne publique de le prouver.
• certaines fonctions discutables (research ; review ; respond… en l’espèce) sont quant à elles envisageables (ou en tous cas susceptibles de n’être pas censurées en référé liberté) si on peut prouver qu’elles ne sont pas utilisées en temps réel (usage différé afin d’analyses, de statistiques ou d’enquêtes).
• la CNIL va finaliser sa doctrine à ce sujet au 1er semestre 2024. 

 

 

II.A Rappel des éléments, de base, en matière de cadre juridique propre à la vidéoprotection (ou vidéosurveillance) algorithmique

 

La vidéoprotection (ou vidéosurveillance) algorithmique (VSA, ou vidéoprotection intelligente ou automatisée ou augmentée) est un système de vidéosurveillance utilisant l’intelligence artificielle. Parfois également appelés vidéosurveillance “intelligente”, “automatisée” ou “augmentées.

 

II.A.1. Un cadre moins lacunaire qu’on ne l’affirme souvent

 

Il est souvent présenté que ces régimes n’auraient pas de cadre juridique. Une telle assertion doit être, à tout le moins, relativisée car :

• la loi n° 2023-380 du 19 mai 2023 relative aux jeux Olympiques et Paralympiques comporte un tel dispositif, certes limité auxdits JO. Voir à ce sujet le décret n° 2023-828 du 28 août 2023 (voir ici ce texte et notre article).
• or, à l’occasion du contrôle de cette loi 2023-380 du 19 mai 2023, le Conseil constitutionnel a déjà fixé un cadre jurisprudentiel minimal.
  Etait, notamment, contesté par les parlementaires ayant saisi le Conseil constitutionnel, l’article 10 du projet de loi prévoyant, à titre expérimental, que les images collectées au moyen d’un système de vidéoprotection ou de caméras installées sur des aéronefs pouvaient faire l’objet de traitements algorithmiques afin de détecter et signaler certains événements. Or, les sages de la rue Montpensier avaient validé ce point avec une importante réserve d’interprétation.
  En des termes inédits, le Conseil constitutionnel avait ensuite jugé que, pour répondre à l’objectif de valeur constitutionnelle de prévention des atteintes à l’ordre public, le législateur peut autoriser le traitement algorithmique des images collectées au moyen d’un système de vidéoprotection ou de caméras installées sur des aéronefs. Si un tel traitement n’a ni pour objet ni pour effet de modifier les conditions dans lesquelles ces images sont collectées, il procède toutefois à une analyse systématique et automatisée de ces images de nature à augmenter considérablement le nombre et la précision des informations qui peuvent en être extraites. Dès lors, la mise en œuvre de tels systèmes de surveillance doit être, précisait le Conseil, assortie de garanties particulières de nature à sauvegarder le droit au respect de la vie privée.
  Source : décision 2023-850 DC – 17 mai 2023 – Loi relative aux jeux Olympiques et Paralympiques de 2024 et portant diverses autres dispositions – Non conformité partielle – réserve
• sur la reconnaissance faciale (qui n’est pas le même sujet mais qui à tout le moins s’en rapproche), et sur les caméras thermiques, qui là encore peuvent servir à titre d’analogie, le Conseil d’Etat s’est exprimé pour indiquer l’équilibre à trouver (or il est possible de défendre que la vidéoprotection algorithmique est moins intrusive que ces deux autres procédés). Voir à ce sujet :
  • CE, 4 novembre 2020, n° 432656  ; voir aussi notre article : « Reconnaissance faciale : le Conseil d’Etat, loin de grimacer, l’accepte sous des conditions qui ne sont pas que faciales »)
  • CE, ord., 26 juin 2020, LDH, n° 441065 : voir notre article « Caméras thermiques : le juge souffle le chaud et le froid »
• la saga du droit en matière de drones peut aussi servir d’élément de réflexion par analogie (voir ICI sur ce point un article un peu récapitulatif que j’avais commis sur un mode starwarsien)/
• s’appliquent aussi sans doute au moins en partie les articles 4, 8, 10, 27 et 28 de la directive « police justice » (ou plus précisément le RGPD, à savoir le règlement n° 2016/679 du 27 avril 2016 et la directive n° 2016/680 du 27 avril 2016) transposés aux articles 88 et 90 de la loi 78-17 du 6 janvier 1978
• on pourrait débattre du point de savoir si la VSA est, ou n’est pas, déjà prise en compte par le cadre juridique applicable, notamment en cas d’usage par les collectivités territoriales (pour les pouvoirs de police du maire : art. L. 2212-2 du CGCT ; voir aussi les articles L. 251-2, puis L. 252-2 et suivants du code de la sécurité intérieure [CSI])
• est en cours un règlement européen sur l’intelligence artificielle qui devrait adopter des positions prudentes, peu favorables à ces régimes, donc :
  • Voir ici ce projet de texte (avril 2023)
  • voir aussi :
    • https://www.touteleurope.eu/economie-et-social/intelligence-artificielle-que-fait-l-union-europeenne/#:~:text=Proposé%20en%20avril%202021%2C%20un,favoriser%20l%27innovation%20en%20Europe.&text=L%27Union%20européenne%20souhaite%20encadrer,en%20favorisant%20l%27innovation%20technologique.
    • https://www.europarl.europa.eu/news/fr/headlines/society/20230601STO93804/loi-sur-l-ia-de-l-ue-premiere-reglementation-de-l-intelligence-artificielle
    • https://www.vie-publique.fr/en-bref/279650-nouveau-reglement-europeen-sur-lintelligence-artificielle-ia
    • https://ec.europa.eu/commission/presscorner/detail/fr/ip_21_1682
    • Voir aussi cet article du Monde relatif à la prise en compte, ou non, de ce projet dans le débat, français, sur la loi, précitée, relative aux JO

 

Sur les contentieux, voir une affaire intéressante : TA Marseille, 2 juin 2023, n° 2009485

 

 

II.A.2. La position de la CNIL

 

La CNIL distingue à juste titre entre vidéo augmentée (où l’on analyse les gestes  entre autres, mais sans reconnaissance faciale) et reconnaissance biométrique. Citons la CNIL :

« La position de la CNIL concerne les dispositifs de vidéo « augmentée » qui se distinguent des dispositifs de reconnaissance biométriques comme par exemple les dispositifs de reconnaissance faciale. Deux critères permettent de distinguer ces dispositifs :

• • la nature des données traitées : caractéristique physique, physiologique ou comportementale ;
  • l’objectif du dispositif : identifier ou authentifier de manière unique une personne.

« Un dispositif de reconnaissance biométrique cumulera toujours ces deux critères tandis qu’une caméra « augmentée » n’en remplira aucun (par exemple une caméra « augmentée » qui filme la rue pour classer les différents usages : voitures, vélos, etc.) ou seulement un des deux (par exemple une caméra « augmentée » qui détecte les bagarres dans une foule).

« Cette distinction a des conséquences juridiques : les dispositifs de reconnaissance biométrique impliquent des traitements de données dites « sensibles » qui sont, par principe, interdits par le RGPD et la loi Informatique et Libertés, sauf exceptions.»

Voici la position de la CNIL à ce sujet :

«En l’absence de textes spécifiques encadrant l’usage des dispositifs de vidéo « augmentée », la CNIL a analysé les principes applicables à ces dispositifs par rapport à la réglementation actuellement en vigueur.

« Elle a notamment considéré que le Code de la sécurité intérieure, qui fixe le cadre applicable aux dispositifs de vidéoprotection traditionnels, n’était pas adapté à cette nouvelle technologie. Mais il n’interdit pas non plus son déploiement. La CNIL appelle plus particulièrement l’attention sur trois points.
« La nécessité de respecter les grands principes de la réglementation protégeant les données personnelles
« Tout acteur qui souhaiterait déployer un dispositif de vidéo « augmentée » devra se fonder sur une base légale déterminée au cas par cas. Si aucune n’est exclue ou privilégiée par principe, la base légale de « l’intérêt légitime » ne doit pas conduire à un déséquilibre manifeste entre les intérêts poursuivis par l’utilisateur d’un dispositif de vidéo « augmentée » et les attentes raisonnables des personnes (par exemple un magasin qui analyserait l’humeur des clients pour leur afficher des publicités adaptées). De façon plus générale, il faut faire, au préalable, une démonstration de la proportionnalité (c’est-à-dire des conditions de mise en œuvre du dispositif par rapport aux objectifs poursuivis) du dispositif envisagé.
« À ce titre, des mécanismes effectifs de protection des données et de la vie privée dès la conception (privacy by design) doivent être mis en œuvre pour permettre de réduire les risques pour les personnes concernées. Des garanties fortes consistent, par exemple, à intégrer des mesures permettant la suppression quasi-immédiate des images sources ou la production d’informations anonymes.
« La nécessité d’une loi pour la mise en œuvre de certains dispositifs
« La CNIL rappelle que les dispositifs les plus intrusifs, c’est-à-dire ceux susceptibles de modifier les conditions fondamentales d’exercice des droits et libertés fondamentaux des personnes, ne pourront être déployés que si une loi les autorise et les encadre spécifiquement.
« Elle estime notamment que les services de police de l’État ou les collectivités territoriales ne sont pas autorisés par la loi à brancher sur les caméras de vidéoprotection des dispositifs d’analyse automatique permettant de repérer des comportements contraires à l’ordre public ou des infractions.
« La question spécifique du droit d’opposition des personnes concernées
« Les personnes filmées et analysées par les dispositifs de caméras « augmentées » disposent de droits reconnus par la réglementation sur la protection des données (droit à l’information notamment). Parmi ceux-ci, figure souvent la possibilité de s’opposer au traitement mis en œuvre.
« Or, la CNIL a constaté que les personnes ne peuvent généralement pas s’opposer à l’analyse de leurs images, par exemple, lorsque les algorithmes ne conservent pas les images, ou que les conditions d’exercice de ce droit ne sont pas praticables (marquer son opposition impose d’appuyer sur un bouton, de faire un geste particulier devant une caméra, de stationner dans une zone dédiée, etc.).
« À ce stade, la CNIL considère que la mise en œuvre de caméras augmentées conduit fréquemment à limiter les droits des personnes filmées.
Une telle limitation des droits n’est possible que dans deux cas de figure :
• soit le traitement impliqué par le dispositif de vidéo « augmentée » poursuit une finalité statistique au sens du RGPD : c’est-à-dire que le traitement ne tend qu’à la production de résultats statistiques constitués de données agrégées et anonymes. Le traitement n’a pas de vocation directement opérationnelle ;
• soit le droit d’opposition est écarté, sur le fondement de l’article 23 du RGPD, par un texte spécifique, de nature au moins réglementaire. Cet acte devra acter la légitimité et la proportionnalité du traitement opéré au regard de l’objectif poursuivi, la nécessité d’exclure la faculté pour les personnes de s’y opposer, tout en fixant des garanties appropriées au bénéfice de ces dernières.
« Dans de nombreux cas, il sera donc nécessaire que des textes, réglementaires ou législatifs, autorisent l’usage des caméras augmentées dans l’espace public. Cette analyse juridique rejoint la nécessité politique pour la puissance publique de tracer la ligne, au-delà du « techniquement faisable », entre ce qu’il est souhaitable de faire d’un point de vue éthique et social et ce qui ne l’est pas dans une société démocratique.»

Sources :

• https://www.cnil.fr/fr/cameras-dites-augmentees-dans-les-espaces-publics-la-position-de-la-cnil
• https://www.cnil.fr/fr/deploiement-de-cameras-augmentees-dans-les-espaces-publics-la-cnil-publie-sa-position
• voir surtout : https://www.cnil.fr/sites/cnil/files/atoms/files/cameras-intelligentes-augmentees_position_cnil.pdf

 

Et une position mise à jour de la CNIL à ces sujets est attendue pour 2024, sans doute après les jeux olympiques (période de test grandeur nature de ce régime avec application des prudences exigées par le Conseil constitutionnel). 

 

II.A.3. Autre sources, utiles par analogie à tout le moins

 

Voir aussi par analogie :

• Loi sécurité globale : zoom sur la vidéoprotection 
• Surveillance par drone des JO de 2024 : le décret, sur les traitements des données, a été publié 
• Souriez, vous êtes filmé depuis le ciel ! [avis rendu par le CE] 
• Caméras dites « intelligentes » et caméras thermiques : les points de vigilance de la CNIL et les règles à respecter 
• Reconnaissance biométrique : 30 propositions sénatoriales pour tenter d’y voir clair 
• Reconnaissance faciale : le Conseil d’Etat, loin de grimacer, l’accepte sous des conditions qui ne sont pas que faciales 
• Technologies et sécurité : les 30 propositions du député J.-M. Mis 
• Les PM, destinataires d’images de vidéoprotection 
• Vidéosurveillance dans les chambres d’Ehpad : la CNIL lance une consultation publique 
• Un juge d’instruction peut autoriser une vidéosurveillance sur la voie publique 
• Sécurité globale : ce qui reste de la loi, après matraquage par le Conseil constitutionnel, se réfugie au JO de ce matin 
• Extension du domaine de la vidéo protection… à la lutte contre la circulation virale dans les transports 
• etc.

 

 

 

II.B. Une ordonnance du juge des référés du TA de Caen, en ce domaine, a apporté une importante pierre à cet édifice, dans le cas du discuté système Briefcam…. sauf que justement, cette ordonnance du TA de Caen vient d’être censurée par le juge des référés du Conseil d’Etat, ce qui permet de commencer à fixer, en ce domaine, un peu l’état du droit.

II.B.1.  Le cas du désormais célèbre logiciel Briefcam (logiciel d’analyse “Video synopsis”)

 

Les débats, très vifs en ces domaines, avec plus ou moins de bonne foi, se focalisent souvent sur le logiciel d’analyse “Video synopsis” (Briecam), utilisés par certaines collectivités et, selon une enquête journalistique (de Dispose) diffusée il y a quelques jours mais non confirmée de source sûre (une enquête CNIL est en cours), parfois par l’Etat.

Voici quelques sources :

• https://fr.wikipedia.org/wiki/Briefcam
• https://www.usine-digitale.fr/article/briefcam-le-logiciel-d-analyse-ultra-rapide-d-images-de-videosurveillance-vise-100-villes-francaises-d-ici-2018.N466663
• https://technopolice.fr/briefcam/
• https://www.briefcam.com
• https://www.sciencesetavenir.fr/high-tech/intelligence-artificielle/affaire-briefcam-qu-est-ce-que-la-videosurveillance-algorithmique_175086
• https://www.usine-digitale.fr/article/21-11-2023-l-affaire-briefcam-relance-le-debat-du-recours-a-la-reconnaissance-faciale-par-la-police.N2196573
• https://www.huffingtonpost.fr/france/article/un-logiciel-de-reconnaissance-faciale-utilise-illegalement-par-la-police-nationale-la-cnil-enquete_225795.html

 

II.B.2. Censure par le TA de Caen en 1e instance en référé 

 

Or, voici que le juge des référés du TA de Caen a ordonné en en novembre 2023 à une communauté de communes normande d’effacer les données personnelles acquises viace logiciel :

• https://www.paris-normandie.fr/id468974/article/2023-11-22/en-normandie-une-communaute-de-communes-epinglee-pour-lutilisation-du-logiciel

 

Le préfet du Calvados a autorisé la communauté de communes Coeur Côte Fleurie d’installer un système de vidéoprotection en divers emplacements de son territoire. Ce système comporte environ 200 caméras, relevant soit de la sphère de compétence de la communauté de communes soit de celle des communes, avec des serveurs dédiés pour chaque commune mais gérés par la communauté de communes.

Une quarantaine de ces caméras, situées principalement en périphérie et placées à des endroits stratégiques qualifiés de ” lignes de fuite “, ont été couplées au logiciel algorithmique édité par la société BriefCam.

Evoquons quelques éléments complémentaires tels que narrés par cette ordonnance :

« 7. Les requérants soutiennent que la communauté de communes Cœur Côte Fleurie utilise depuis plusieurs années un dispositif de caméras augmentées couplé à un logiciel de vidéosurveillance algorithmique produit par la société Briefcam. Ils exposent, sans que cela soit contesté, que ce dispositif permet, d’une part, d’identifier des personnes physiques en fonction de leurs caractéristiques propres, à savoir leur taille, couleur de peau, couleur de cheveux, âge, sexe, couleur des vêtements et apparence, ainsi que leur manière de se mouvoir et, d’autre part, de les suivre de manière automatisée. Il résulte de l’instruction, en particulier du guide des technologies de sûreté 2022 versé au dossier, que le logiciel Briefcam constitue une plateforme complète d’analyse de contenu vidéo qui s’intègre dans les systèmes de vidéosurveillance existants et permet d’exploiter le contenu de vidéosurveillance en simplifiant la consultation de ces systèmes et leur exploitation. Selon ce document, cette plateforme, ” basée sur une combinaison unique de la technologie brevetée de Vidéo Synopsis et deep learning ” offre notamment la possibilité d’accélérer les enquêtes en résumant des heures de vidéos en quelques minutes, avec plus de trente filtres de classification d’objets. Il ressort d’un communiqué de la communauté de communes Cœur Côte Fleurie que ce dispositif d’analyse vidéo a été mis en place en 2016 afin de transformer la vidéo brute en source de renseignements exploitables, en réduisant le temps d’identification des menaces de sécurité. Il est précisé dans ce communiqué que l’intercommunalité ” s’appuie quotidiennement sur Briefcam pour faire progresser les enquêtes “. »

Quelques requérants, dont la Ligue des droits de l’homme, le Syndicat de la magistrature et l’Union syndicale Solidaires, puis l’Association de défense des libertés constitutionnelles et le Syndicat des avocats de France, ont attaqué donc cette communauté de communes en référé liberté.

Avec une censure par ce TA, en s’appuyant notamment sur la position de la CNIL :

« 8. Il résulte des dispositions citées au point 6 qu’un tel dispositif de surveillance, qui constitue un traitement de données à caractère personnel et a pour finalités la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, relève du champ d’application de la directive du 27 avril 2016, dont le titre 3 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés assure la transposition en droit interne. Ainsi que l’a relevé la Commission nationale informatiques et libertés (CNIL) dans sa position publiée en juillet 2022 sur les conditions de déploiement des caméras dites ” intelligentes ” ou ” augmentées ” dans les espaces publics, le déploiement de ces dispositifs dans l’espace public présente des risques pour les droits et libertés fondamentaux des personnes et la préservation de leur anonymat dans l’espace public. La CNIL a rappelé que la loi n’autorisait pas les services de police de l’Etat ou les collectivités territoriales à brancher sur les caméras de vidéoprotection des dispositifs d’analyse automatique permettant de repérer des comportements contraires à l’ordre public ou des infractions.

« 9. Ainsi qu’il a été exposé au point 7, le dispositif de caméras augmentées utilisé par la communauté de communes Cœur Côte Fleurie en dehors de tout cadre légal ou réglementaire, qui a pour objet de simplifier l’exploitation du contenu de vidéosurveillance et d’accélérer le temps d’identification des menaces de sécurité, permet d’identifier des personnes physiques en fonction de leurs caractéristiques propres. Il n’est pas établi ni même allégué que d’autres moyens moins intrusifs au regard de la vie privée ne pouvaient être mis en œuvre afin de préserver l’ordre public. Dès lors, les requérants sont fondés à soutenir que l’utilisation du dispositif litigieux porte une atteinte grave et manifestement illégale au respect de la vie privée.

« 10. L’urgence de la mesure demandée sur le fondement de l’article L. 521-2 du code de justice administrative doit être appréciée en tenant compte non seulement de ses effets sur les intérêts défendus par les requérants mais aussi de l’objectif poursuivi par la collectivité. Eu égard, d’une part, au nombre de personnes susceptibles de faire l’objet des mesures de surveillance litigieuses, d’autre part, aux atteintes qu’elles sont susceptibles de porter au droit au respect de la vie privée, et alors, ainsi qu’il a été précédemment exposé, qu’il ne résulte pas de l’instruction que l’objectif de prévention des atteintes à l’ordre public ne pouvait être atteint en recourant à des mesures moins intrusives au regard du droit au respect de la vie privée, la condition d’urgence doit être regardée comme remplie.

« 11. Il résulte de la combinaison des dispositions des articles L. 511-1, L. 521-2 et L. 521-4 du code de justice administrative qu’il appartient au juge des référés, lorsqu’il est saisi sur le fondement de l’article L. 521-2 et qu’il constate une atteinte grave et manifestement illégale portée par une personne morale de droit public à une liberté fondamentale, de prendre les mesures qui sont de nature à faire disparaître les effets de cette atteinte. Ces mesures doivent en principe présenter un caractère provisoire, sauf lorsqu’aucune mesure de cette nature n’est susceptible de sauvegarder l’exercice effectif de la liberté fondamentale à laquelle il est porté atteinte. Le juge des référés peut, sur le fondement de l’article L. 521-2 du code de justice administrative, ordonner à l’autorité compétente de prendre, à titre provisoire, une mesure d’organisation des services placés sous son autorité lorsqu’une telle mesure est nécessaire à la sauvegarde d’une liberté fondamentale. Toutefois, le juge des référés ne peut, au titre de la procédure particulière prévue par l’article L. 521-2 précité, qu’ordonner les mesures d’urgence qui lui apparaissent de nature à sauvegarder, dans un délai de quarante-huit heures, la liberté fondamentale à laquelle il est porté une atteinte grave et manifestement illégale.

« 12. En l’espèce, il y a lieu d’enjoindre à la communauté de communes Cœur Côte Fleurie de procéder, dans un délai de cinq jours à compter de la notification de la présente ordonnance, à l’effacement des données à caractère personnel contenues dans le fichier initialement constitué et dans toutes les copies, totales ou partielles, qui auraient pu en être faites, à l’exception d’un seul exemplaire, dans sa dernière version à la date de la présente ordonnance, qui sera placé sous séquestre auprès de la Commission nationale informatique et libertés dans un délai d’un mois à compter de la notification de la présente ordonnance.»

 

Source :

TA Caen, ord., 22 novembre 2023, 2303004

 

II.B.3. Censure de la censure par le Conseil d’Etat, qui commence en ce domaine à fournir un début de mode d’emploi. La reconnaissance faciale est interdite, mais la possession du logiciel correspondant n’est pas illégale tant que cette fonctionnalité n’est pas activée, à charge pour la personne publique de le prouver. Certaines fonctions discutables (research ; review ; respond… en l’espèce) sont quant à elles envisageables si on peut prouver qu’elles ne sont pas utilisées en temps réel (usage différé afin d’analyses, de statistiques ou d’enquêtes). Et l’on apprend au passage que la CNIL va finaliser sa doctrine à ce sujet au 1er semestre 2024. 

 

Or, cette ordonnance du juge des référés du TA de Caen vient, elle-même, d’être censurée par une juge des référés du Conseil d’Etat.

Nulle décision de principe : cette ordonnance est d’ailleurs simplement côtée « C ». On reste loin des honneurs des tables du rec.

N’empêche : cette ordonnance existe et elle est assez solidement charpentée dans sa rédaction.

Hors éléments de procédures, l’argumentation de la communauté des communes est ainsi résumée par l’ordonnance et, techniquement, elle ne manque pas d’intérêt. Non sans d’ailleurs quelques effets comiques sur certains points (détérioration du logiciel en tentant d’appliquer l’ordonnance, ça fait un peu Ran-Tan-Plan mais c’est amusant). Selon cet EPCI, donc (dans ce qui suit j’ai enlevé les moyens peu pertinents) :

« – la condition d’urgence n’est pas satisfaite dès lors que ses communes membres et elle-même n’utilisent pas les fonctionnalités de reconnaissance faciale du logiciel BriefCam et n’ont aucune intention d’y recourir, que seule une cinquantaine de caméras est concernée, qu’à la suite des opérations mises en oeuvre pour exécuter l’ordonnance attaquée, le logiciel a été détérioré dans des conditions rendant impossible l’usage des fonctionnalités dénoncées et nécessitant une réinstallation qui ne pourra intervenir à court terme et que le temps mis à saisir le juge des référés est excessif dès lors que l’utilisation du logiciel BriefCam et ses fonctionnalités sont connues depuis de nombreuses années ;
[…]
– si une minorité des caméras de vidéoprotection installées sur son territoire est connectée au logiciel BriefCam, aucune fonctionnalité de reconnaissance faciale n’a été activée, aucune des requêtes effectuées par les utilisateurs n’a concerné l’utilisation de telles fonctionnalités et celle-ci n’est pas possible ;
– elle ne dispose d’aucun pouvoir de police et d’aucune compétence pour prendre des décisions en cette matière à la place de ses communes membres et ne saurait être regardée comme responsable de traitement au sens du RGPD et de la directive 2016/680 du 27 avril 2016 ;
– l’utilisation par elle de la fonction ” Research ” n’est faite qu’à des fins purement statistiques sur la mobilité et au vu de résultats agrégés, sans accès à la vidéo ;
– la fonction ” Review ” n’est pas utilisée en temps réel et la technologie contestée n’est pas utilisée pour analyser de façon proactive les comportements des individus ;
– le système mis en place est fondé sur les dispositions du code de la sécurité intérieure relatives à la vidéoprotection, a été autorisé par le préfet et respecte les exigences légales ; […] »

 

Les arguments des défenseurs (requérants en 1e instance) sont les suivants, pour citer ceux par exemple de la LDH qui, hors questions de procédure (et hors leur position sur l’urgence, le logiciel ayant été dégradé) , sur le fond, soutenait :

« […] que la communauté de communes [devait] être regardée comme responsable de traitements de données personnelles, [en ayant] mis en place de tels traitements, notamment de vidéosurveillance augmentée, dans des conditions portant une atteinte grave et manifestement illégale au droit au respect de la vie privée et au droit au respect des données personnelles faute d’autorisation et de base légale et en raison, en tout état de cause, du non-respect des règles de protection des données personnelles prévues par la RGPD et la loi du 6 janvier 1978, que la condition d’urgence est satisfaite et que les injonctions prononcées doivent être complétées pour tirer les conséquences du constat de l’usage illégal du logiciel BriefCam. »

 

Sur l’urgence, la juge des référés du Conseil d’Etat commence par rappeler que la condition d’urgence n’est pas automatiquement remplie du seul fait qu’une liberté fondamentale est, ou serait, en cause :

« si les requérants font valoir les atteintes qu’ils estiment portées à plusieurs libertés fondamentales, dont le droit au respect de la vie privée, qui comprend le droit à la protection de ses données personnelles, et la liberté d’aller et venir, la circonstance qu’une atteinte à une liberté fondamentale serait avérée n’est, par elle-même, pas de nature à caractériser l’existence d’une situation d’urgence.»

… ce qui est classique, avec une formulation qui désormais se stabilise en effet ainsi (voir CE, ord., 15/12/2023, 489972 ; CE, ord., 10/11/2023, 489207 ; CE, ord. 31/10/2023, 489058… pour citer trois ordonnances récentes rendues par des juges des référés différents).

Le premier apport de cette ordonnance est que la reconnaissance faciale est interdite, mais la possession du logiciel correspondant n’est pas illégale tant que cette fonctionnalité n’est pas activée, à charge pour la personne publique de le prouver :

« 8. En second lieu, d’une part, s’il n’est pas contesté que le logiciel litigieux dispose de fonctionnalités qui permettent de procéder à de la reconnaissance faciale, alors que l’usage de telles techniques est légalement interdit, il résulte des déclarations en appel de la communauté de communes Coeur Côte Fleurie, qui n’avait pas défendu en première instance, que ces fonctionnalités, pourtant présentes depuis 2018 à la suite d’une mise à jour du logiciel, n’ont jamais été activées dans son ressort. La communauté de communes produit des attestations du préfet du Calvados, de la Procureure de la République du tribunal judiciaire de Lisieux et des communes dont les services de police municipale utilisent les images des caméras couplées au logiciel BriefCam, selon lesquelles les ” surcouches ” en cause n’ont pas été utilisées ni leur mobilisation demandée. Elle produit également le constat d’un commissaire de justice réalisé dans le cadre de la présente procédure dont il ressort, sans que cela soit sérieusement contesté, que les fonctionnalités en cause sont désactivées et ne sont pas utilisables, même en phase de test. »

Certaines fonctions discutables (research ; review ; respond… en l’espèce) sont quant à elles envisageables si on peut prouver qu’elles ne sont pas utilisées en temps réel (usage différé afin d’analyses, de statistiques ou d’enquêtes)

« Par ailleurs, si la communauté de communes utilise le module ” Research ” du logiciel, il résulte de l’instruction qu’elle en fait un usage à des fins purement statistiques sur la mobilité par la détermination des flux de circulation sur les grands axes et au vu de résultats agrégés sur le nombre de véhicules, sans accès aux images.
« 9. D’autre part, s’il est vrai que le logiciel en cause comporte, dans le module ” Review “, des fonctionnalité d’analyse des images, notamment par l’application de filtres, par exemple par sexe, taille ou par type de vêtements, ou d’analyse des comportements de déplacement, la communauté de communes indique, que le logiciel n’est pas utilisé pour assurer, par la mise en oeuvre de traitements algorithmiques, un suivi de manière automatisée des personnes ou détecter des événements et déclencher des alertes en temps réel, le module ” Respond ” dont peut être équipé le logiciel n’étant d’ailleurs pas disponible. Déployé dans l’intercommunalité depuis plusieurs années, pour un nombre limité de caméras, il apparaît, en l’état de l’instruction, que ce système, tel qu’il est calibré et peut raisonnablement être mobilisé, n’est utilisé que pour une relecture en différé, sur une zone et un temps limités, des images collectées par les caméras concernées, notamment en vue d’une analyse de véhicules et une recherche de plaques d’immatriculation, pour les besoins d’une enquête et participe au bon déroulement de celle-ci en réduisant les délais de lecture et d’exploitation de ces images.

Et il n’y aura pas d’urgence en référé liberté si au jour où le juge statue, le matériel est hors service pour ses applications discutables :

« 10. Enfin et en tout état de cause, il ressort d’une expertise technique menée à la demande de la communauté de communes que les opérations mises en oeuvre pour assurer l’exécution de l’ordonnance attaquée ont causé la détérioration du logiciel, qui n’est plus fonctionnel, notamment en ce qu’il n’est plus possible d’importer des éléments vidéo et de les exploiter. Il en ressort également que les efforts pour le remettre en service, malgré le support de l’éditeur du logiciel, n’ont pas pu aboutir. Il en résulte qu’à la date de la présente ordonnance, aucune utilisation du logiciel n’est techniquement possible. Selon les déclarations de la communauté de communes à l’audience, une remise en service ne serait pas envisageable avant plusieurs semaines. Si une telle circonstance n’est pas de nature, contrairement ce que soutiennent les organisations en défense, à priver d’objet le litige dès lors que l’injonction prononcée, notamment la mise sous séquestre ordonnée, continue de produire des effets et que l’impossibilité actuelle d’utiliser le logiciel n’est pas définitive, elle limite, à l’heure actuelle et pour un certain temps, les atteintes susceptibles de découler de la détention, dans le ressort de la communauté de communes Coeur Côte Fleurie, du logiciel litigieux.»

La suite est intéressante :

« 11. Dans ces conditions et alors que comme l’a indiqué la CNIL, une procédure de contrôle de l’usage par les collectivités publiques du logiciel contesté est en cours et devrait aboutir dans quelques semaines et que, par ailleurs, la question des conditions d’utilisation d’algorithmes sur des séquences vidéo enregistrées fera l’objet de travaux de sa part au cours du premier semestre 2024, il n’est pas justifié, à la date de la présente ordonnance, d’une situation d’urgence particulière, de nature à conduire le juge des référés à prendre à très bref délai des mesures conservatoires sur le fondement de l’article L. 521-2 du code de justice administrative. »

Source :

Conseil d’État, ord., 21 décembre 2023, n° 489990

NB : le Conseil d’Etat, la veille, a statué sur un autre contentieux concernant le même logiciel Briefcam mais uniquement sur des questions de procédure en contentieux administratif. Voir ici :

• cette décision : Conseil d’État, 20 décembre 2023, n° 463151, aux tables du recueil Lebon
• notre article : REP contre des décisions implicites : avant l’heure… c’est pas l’heure… mais le juge administratif dispose de larges marges de manoeuvre à ce stade