matière de cadre juridique propre à la vidéoprotection (ou vidéosurveillance) algorithmique, ou « intelligente » était balbutiant mais, au fil de 2023, il a commencé à s’étoffer, avec notamment d’intéressantes jurisprudences.

Puis, le 5 décembre 2024, la CNIL a communiqué sur des contrôles qu’elle a déployé (auprès du ministère de l’Intérieur et de plusieurs communes) en ce domaine en novembre 2024. Il s’agissait pour la CNIL de vérifier les conditions dans lesquelles des logiciels d’analyse automatique des images, tels que le logiciel BriefCam, sont utilisés… et à cette occasion d’affiner un peu sa doctrine. 

Voyons ceci au fil de deux vidéos complémentaires (dont la principale est à jour de décembre 2023, l’autre étant plus récente mais portant moins directement sur ce sujet) puis d’un article (mis à jour au 24 février 2025 ; avec début 2025 les conclusions du « rapport Vigouroux » et les réactions du Ministère de l’Intérieur à ce sujet).

 

 

I. DEUX VIDEOS COMPLÉMENTAIRES

I.A. VIDÉO « En bref » (à jour à fin décembre 2023 mais le droit qui y est exposé a été confirmé, et non pas infirmé, depuis)

 

Voici une vidéo « En bref » (série de vidéos qui sont des échanges avec le journaliste Stéphane MENU) à ce propos sur un peu plus de 25  mn :

https://youtu.be/hK6Y2kas00c

 

I.B. VIDÉO « Sécurité, collectivités et technologies »

• M. Cédric Renaud
  Secrétaire général – CFTC Police Municipale, Sécurités et Préventions Territoriales
  Président d’honneur de l’Association Nationale des Cadres Territoriaux de la sécurité (ANCTS)

https://youtu.be/vsqeHTQP7w4

Il s’agit d’un extrait de notre chronique vidéo hebdomadaire, « les 10′ juridiques », réalisation faite en partenariat entre Weka et le cabinet Landot & associés : http://www.weka.fr

 

II. ARTICLE (à jour au 24 février 2025)

 

Le cadre juridique en matière de cadre juridique propre à la vidéoprotection (ou vidéosurveillance) algorithmique, ou « intelligente », voire à la combinaison de ces outils avec des drones, s’avère un peu moins lacunaire qu’on ne le dit souvent (II.A).

Or, une ordonnance du juge des référés du TA de Caen, en ce domaine, a apporté une pierre à cet édifice, dans le cas du discuté système Briefcam…. sauf que justement, cette ordonnance du TA de Caen a été ensuite censurée par le juge des référés du Conseil d’Etat (II.B.), ce qui permet de commencer à fixer, en ce domaine, un peu l’état du droit.

On y apprend que :

• la reconnaissance faciale est interdite, mais la possession du logiciel correspondant n’est pas illégale tant que cette fonctionnalité n’est pas activée, à charge pour la personne publique de le prouver.
• certaines fonctions discutables (research ; review ; respond… en l’espèce) sont quant à elles envisageables (ou en tous cas susceptibles de n’être pas censurées en référé liberté) si on peut prouver qu’elles ne sont pas utilisées en temps réel (usage différé afin d’analyses, de statistiques ou d’enquêtes).
• la CNIL va finaliser sa doctrine à ce sujet en cette année 2024

 

Puis le TA d’Orléans a étendu de telles censures à un dispositif de « détection automatisée des bruits anormaux » (II.C.)….

Avant que, censurant divers dispositifs, en novembre 2024 (par des décisions annoncées en décembre 2024), la CNIL n’entame un coup de vis supplémentaire (II.D.). 

Ce à quoi, début 2025, un rapport et l’Etat répondent en appelant (au contraire) à un approfondissement de l’expérimentation en ce domaine (II.E.).

 

 

II.A Rappel des éléments, de base, en matière de cadre juridique propre à la vidéoprotection (ou vidéosurveillance) algorithmique

 

La vidéoprotection (ou vidéosurveillance) algorithmique (VSA, ou vidéoprotection intelligente ou automatisée ou augmentée) est un système de vidéosurveillance utilisant l’intelligence artificielle. Parfois également appelés vidéosurveillance “intelligente”, “automatisée” ou “augmentées.

 

II.A.1. Un cadre moins lacunaire qu’on ne l’affirme souvent

 

Il est souvent présenté que ces régimes n’auraient pas de cadre juridique. Une telle assertion doit être, à tout le moins, relativisée car :

• la loi n° 2023-380 du 19 mai 2023 relative aux jeux Olympiques et Paralympiques comporte un tel dispositif, certes limité auxdits JO. Voir à ce sujet le décret n° 2023-828 du 28 août 2023 (voir ici ce texte et notre article).
• or, à l’occasion du contrôle de cette loi 2023-380 du 19 mai 2023, le Conseil constitutionnel a déjà fixé un cadre jurisprudentiel minimal.
  Etait, notamment, contesté par les parlementaires ayant saisi le Conseil constitutionnel, l’article 10 du projet de loi prévoyant, à titre expérimental, que les images collectées au moyen d’un système de vidéoprotection ou de caméras installées sur des aéronefs pouvaient faire l’objet de traitements algorithmiques afin de détecter et signaler certains événements. Or, les sages de la rue Montpensier avaient validé ce point avec une importante réserve d’interprétation.
  En des termes inédits, le Conseil constitutionnel avait ensuite jugé que, pour répondre à l’objectif de valeur constitutionnelle de prévention des atteintes à l’ordre public, le législateur peut autoriser le traitement algorithmique des images collectées au moyen d’un système de vidéoprotection ou de caméras installées sur des aéronefs. Si un tel traitement n’a ni pour objet ni pour effet de modifier les conditions dans lesquelles ces images sont collectées, il procède toutefois à une analyse systématique et automatisée de ces images de nature à augmenter considérablement le nombre et la précision des informations qui peuvent en être extraites. Dès lors, la mise en œuvre de tels systèmes de surveillance doit être, précisait le Conseil, assortie de garanties particulières de nature à sauvegarder le droit au respect de la vie privée.
  Source : décision 2023-850 DC – 17 mai 2023 – Loi relative aux jeux Olympiques et Paralympiques de 2024 et portant diverses autres dispositions – Non conformité partielle – réserve
• sur la reconnaissance faciale (qui n’est pas le même sujet mais qui à tout le moins s’en rapproche), et sur les caméras thermiques, qui là encore peuvent servir à titre d’analogie, le Conseil d’Etat s’est exprimé pour indiquer l’équilibre à trouver (or il est possible de défendre que la vidéoprotection algorithmique est moins intrusive que ces deux autres procédés). Voir à ce sujet :
  • CE, 4 novembre 2020, n° 432656  ; voir aussi notre article : « Reconnaissance faciale : le Conseil d’Etat, loin de grimacer, l’accepte sous des conditions qui ne sont pas que faciales »)
  • CE, ord., 26 juin 2020, LDH, n° 441065 : voir notre article « Caméras thermiques : le juge souffle le chaud et le froid »
• la saga du droit en matière de drones peut aussi servir d’élément de réflexion par analogie (voir ICI sur ce point un article un peu récapitulatif que j’avais commis sur un mode starwarsien)/
• s’appliquent aussi sans doute au moins en partie les articles 4, 8, 10, 27 et 28 de la directive « police justice » (ou plus précisément le RGPD, à savoir le règlement n° 2016/679 du 27 avril 2016 et la directive n° 2016/680 du 27 avril 2016) transposés aux articles 88 et 90 de la loi 78-17 du 6 janvier 1978
• on pourrait débattre du point de savoir si la VSA est, ou n’est pas, déjà prise en compte par le cadre juridique applicable, notamment en cas d’usage par les collectivités territoriales (pour les pouvoirs de police du maire : art. L. 2212-2 du CGCT ; voir aussi les articles L. 251-2, puis L. 252-2 et suivants du code de la sécurité intérieure [CSI])
• est en cours un règlement européen sur l’intelligence artificielle qui devrait adopter des positions prudentes, peu favorables à ces régimes, donc :
  • Voir ici ce projet de texte (avril 2023)
  • voir aussi :
    • https://www.touteleurope.eu/economie-et-social/intelligence-artificielle-que-fait-l-union-europeenne/#:~:text=Proposé%20en%20avril%202021%2C%20un,favoriser%20l%27innovation%20en%20Europe.&text=L%27Union%20européenne%20souhaite%20encadrer,en%20favorisant%20l%27innovation%20technologique.
    • https://www.europarl.europa.eu/news/fr/headlines/society/20230601STO93804/loi-sur-l-ia-de-l-ue-premiere-reglementation-de-l-intelligence-artificielle
    • https://www.vie-publique.fr/en-bref/279650-nouveau-reglement-europeen-sur-lintelligence-artificielle-ia
    • https://ec.europa.eu/commission/presscorner/detail/fr/ip_21_1682
    • Voir aussi cet article du Monde relatif à la prise en compte, ou non, de ce projet dans le débat, français, sur la loi, précitée, relative aux JO

 

L’utilisation de logiciels d’analyse automatique des images en différé, c’est-à-dire à partir d’images déjà enregistrées, est en revanche autorisée pour les besoins des enquêtes judiciaires, sous réserve de respecter un certain nombre de conditions posées par le code de procédure pénale (article 230-20 et suivants et articles R. 40-39 et suivants) ainsi que le décret n° 2012-687 du 7 mai 2012.

Sur les contentieux, voir une affaire intéressante : TA Marseille, 2 juin 2023, n° 2009485

 

 

II.A.2. La position de la CNIL en 2022

 

La CNIL distingue à juste titre entre vidéo augmentée (où l’on analyse les gestes  entre autres, mais sans reconnaissance faciale) et reconnaissance biométrique. Citons la CNIL :

« La position de la CNIL concerne les dispositifs de vidéo « augmentée » qui se distinguent des dispositifs de reconnaissance biométriques comme par exemple les dispositifs de reconnaissance faciale. Deux critères permettent de distinguer ces dispositifs :

• • la nature des données traitées : caractéristique physique, physiologique ou comportementale ;
  • l’objectif du dispositif : identifier ou authentifier de manière unique une personne.

« Un dispositif de reconnaissance biométrique cumulera toujours ces deux critères tandis qu’une caméra « augmentée » n’en remplira aucun (par exemple une caméra « augmentée » qui filme la rue pour classer les différents usages : voitures, vélos, etc.) ou seulement un des deux (par exemple une caméra « augmentée » qui détecte les bagarres dans une foule).

« Cette distinction a des conséquences juridiques : les dispositifs de reconnaissance biométrique impliquent des traitements de données dites « sensibles » qui sont, par principe, interdits par le RGPD et la loi Informatique et Libertés, sauf exceptions.»

Voici la position de la CNIL à ce sujet en 2022 (voir aussi ci-après II.D.) :

«En l’absence de textes spécifiques encadrant l’usage des dispositifs de vidéo « augmentée », la CNIL a analysé les principes applicables à ces dispositifs par rapport à la réglementation actuellement en vigueur.

« Elle a notamment considéré que le Code de la sécurité intérieure, qui fixe le cadre applicable aux dispositifs de vidéoprotection traditionnels, n’était pas adapté à cette nouvelle technologie. Mais il n’interdit pas non plus son déploiement. La CNIL appelle plus particulièrement l’attention sur trois points.
« La nécessité de respecter les grands principes de la réglementation protégeant les données personnelles
« Tout acteur qui souhaiterait déployer un dispositif de vidéo « augmentée » devra se fonder sur une base légale déterminée au cas par cas. Si aucune n’est exclue ou privilégiée par principe, la base légale de « l’intérêt légitime » ne doit pas conduire à un déséquilibre manifeste entre les intérêts poursuivis par l’utilisateur d’un dispositif de vidéo « augmentée » et les attentes raisonnables des personnes (par exemple un magasin qui analyserait l’humeur des clients pour leur afficher des publicités adaptées). De façon plus générale, il faut faire, au préalable, une démonstration de la proportionnalité (c’est-à-dire des conditions de mise en œuvre du dispositif par rapport aux objectifs poursuivis) du dispositif envisagé.
« À ce titre, des mécanismes effectifs de protection des données et de la vie privée dès la conception (privacy by design) doivent être mis en œuvre pour permettre de réduire les risques pour les personnes concernées. Des garanties fortes consistent, par exemple, à intégrer des mesures permettant la suppression quasi-immédiate des images sources ou la production d’informations anonymes.
« La nécessité d’une loi pour la mise en œuvre de certains dispositifs
« La CNIL rappelle que les dispositifs les plus intrusifs, c’est-à-dire ceux susceptibles de modifier les conditions fondamentales d’exercice des droits et libertés fondamentaux des personnes, ne pourront être déployés que si une loi les autorise et les encadre spécifiquement.
« Elle estime notamment que les services de police de l’État ou les collectivités territoriales ne sont pas autorisés par la loi à brancher sur les caméras de vidéoprotection des dispositifs d’analyse automatique permettant de repérer des comportements contraires à l’ordre public ou des infractions.
« La question spécifique du droit d’opposition des personnes concernées
« Les personnes filmées et analysées par les dispositifs de caméras « augmentées » disposent de droits reconnus par la réglementation sur la protection des données (droit à l’information notamment). Parmi ceux-ci, figure souvent la possibilité de s’opposer au traitement mis en œuvre.
« Or, la CNIL a constaté que les personnes ne peuvent généralement pas s’opposer à l’analyse de leurs images, par exemple, lorsque les algorithmes ne conservent pas les images, ou que les conditions d’exercice de ce droit ne sont pas praticables (marquer son opposition impose d’appuyer sur un bouton, de faire un geste particulier devant une caméra, de stationner dans une zone dédiée, etc.).
« À ce stade, la CNIL considère que la mise en œuvre de caméras augmentées conduit fréquemment à limiter les droits des personnes filmées.
Une telle limitation des droits n’est possible que dans deux cas de figure :
• soit le traitement impliqué par le dispositif de vidéo « augmentée » poursuit une finalité statistique au sens du RGPD : c’est-à-dire que le traitement ne tend qu’à la production de résultats statistiques constitués de données agrégées et anonymes. Le traitement n’a pas de vocation directement opérationnelle ;
• soit le droit d’opposition est écarté, sur le fondement de l’article 23 du RGPD, par un texte spécifique, de nature au moins réglementaire. Cet acte devra acter la légitimité et la proportionnalité du traitement opéré au regard de l’objectif poursuivi, la nécessité d’exclure la faculté pour les personnes de s’y opposer, tout en fixant des garanties appropriées au bénéfice de ces dernières.
« Dans de nombreux cas, il sera donc nécessaire que des textes, réglementaires ou législatifs, autorisent l’usage des caméras augmentées dans l’espace public. Cette analyse juridique rejoint la nécessité politique pour la puissance publique de tracer la ligne, au-delà du « techniquement faisable », entre ce qu’il est souhaitable de faire d’un point de vue éthique et social et ce qui ne l’est pas dans une société démocratique.»

Sources :

• https://www.cnil.fr/fr/cameras-dites-augmentees-dans-les-espaces-publics-la-position-de-la-cnil
• https://www.cnil.fr/fr/deploiement-de-cameras-augmentees-dans-les-espaces-publics-la-cnil-publie-sa-position
• voir surtout : https://www.cnil.fr/sites/cnil/files/atoms/files/cameras-intelligentes-augmentees_position_cnil.pdf

 

Et une position mise à jour de la CNIL à ces sujets était attendue pour 2024, après les jeux olympiques (période de test grandeur nature de ce régime avec application des prudences exigées par le Conseil constitutionnel). En fait (voir II.D. ci-après) c’est par des sanctions, et non par une expression doctrinale complète, qu’en 2024 la CNIL a affiné sa position. 

 

II.A.3. Autre sources, utiles par analogie à tout le moins

 

Voir aussi par analogie :

• Loi sécurité globale : zoom sur la vidéoprotection 
• Surveillance par drone des JO de 2024 : le décret, sur les traitements des données, a été publié 
• Souriez, vous êtes filmé depuis le ciel ! [avis rendu par le CE] 
• Caméras dites « intelligentes » et caméras thermiques : les points de vigilance de la CNIL et les règles à respecter 
• Reconnaissance biométrique : 30 propositions sénatoriales pour tenter d’y voir clair 
• Reconnaissance faciale : le Conseil d’Etat, loin de grimacer, l’accepte sous des conditions qui ne sont pas que faciales 
• Technologies et sécurité : les 30 propositions du député J.-M. Mis 
• Les PM, destinataires d’images de vidéoprotection 
• Vidéosurveillance dans les chambres d’Ehpad : la CNIL lance une consultation publique 
• Un juge d’instruction peut autoriser une vidéosurveillance sur la voie publique 
• Sécurité globale : ce qui reste de la loi, après matraquage par le Conseil constitutionnel, se réfugie au JO de ce matin 
• Extension du domaine de la vidéo protection… à la lutte contre la circulation virale dans les transports 
• etc.

 

 

 

II.B. Une ordonnance du juge des référés du TA de Caen, en ce domaine, a apporté une importante pierre à cet édifice, dans le cas du discuté système Briefcam…. sauf que justement, cette ordonnance du TA de Caen a ensuite été censurée par le juge des référés du Conseil d’Etat, ce qui permet de commencer à fixer, en ce domaine, un peu l’état du droit.

II.B.1.  Le cas du désormais célèbre logiciel Briefcam (logiciel d’analyse “Video synopsis”)

 

Les débats, très vifs en ces domaines, avec plus ou moins de bonne foi, se focalisent souvent sur le logiciel d’analyse “Video synopsis” (Briecam), utilisés par certaines collectivités et, selon une enquête journalistique (de Dispose) diffusée il y a quelques jours mais non confirmée de source sûre (une enquête CNIL est en cours), parfois par l’Etat.

Voici quelques sources :

• https://fr.wikipedia.org/wiki/Briefcam
• https://www.usine-digitale.fr/article/briefcam-le-logiciel-d-analyse-ultra-rapide-d-images-de-videosurveillance-vise-100-villes-francaises-d-ici-2018.N466663
• https://technopolice.fr/briefcam/
• https://www.briefcam.com
• https://www.sciencesetavenir.fr/high-tech/intelligence-artificielle/affaire-briefcam-qu-est-ce-que-la-videosurveillance-algorithmique_175086
• https://www.usine-digitale.fr/article/21-11-2023-l-affaire-briefcam-relance-le-debat-du-recours-a-la-reconnaissance-faciale-par-la-police.N2196573
• https://www.huffingtonpost.fr/france/article/un-logiciel-de-reconnaissance-faciale-utilise-illegalement-par-la-police-nationale-la-cnil-enquete_225795.html

 

II.B.2. Censure par le TA de Caen en 1e instance en référé 

 

Or, le juge des référés du TA de Caen a ordonné en en novembre 2023 à une communauté de communes normande d’effacer les données personnelles acquises viace logiciel :

• https://www.paris-normandie.fr/id468974/article/2023-11-22/en-normandie-une-communaute-de-communes-epinglee-pour-lutilisation-du-logiciel

 

Le préfet du Calvados a autorisé la communauté de communes Coeur Côte Fleurie d’installer un système de vidéoprotection en divers emplacements de son territoire. Ce système comporte environ 200 caméras, relevant soit de la sphère de compétence de la communauté de communes soit de celle des communes, avec des serveurs dédiés pour chaque commune mais gérés par la communauté de communes.

Une quarantaine de ces caméras, situées principalement en périphérie et placées à des endroits stratégiques qualifiés de ” lignes de fuite “, ont été couplées au logiciel algorithmique édité par la société BriefCam.

Evoquons quelques éléments complémentaires tels que narrés par cette ordonnance :

« 7. Les requérants soutiennent que la communauté de communes Cœur Côte Fleurie utilise depuis plusieurs années un dispositif de caméras augmentées couplé à un logiciel de vidéosurveillance algorithmique produit par la société Briefcam. Ils exposent, sans que cela soit contesté, que ce dispositif permet, d’une part, d’identifier des personnes physiques en fonction de leurs caractéristiques propres, à savoir leur taille, couleur de peau, couleur de cheveux, âge, sexe, couleur des vêtements et apparence, ainsi que leur manière de se mouvoir et, d’autre part, de les suivre de manière automatisée. Il résulte de l’instruction, en particulier du guide des technologies de sûreté 2022 versé au dossier, que le logiciel Briefcam constitue une plateforme complète d’analyse de contenu vidéo qui s’intègre dans les systèmes de vidéosurveillance existants et permet d’exploiter le contenu de vidéosurveillance en simplifiant la consultation de ces systèmes et leur exploitation. Selon ce document, cette plateforme, ” basée sur une combinaison unique de la technologie brevetée de Vidéo Synopsis et deep learning ” offre notamment la possibilité d’accélérer les enquêtes en résumant des heures de vidéos en quelques minutes, avec plus de trente filtres de classification d’objets. Il ressort d’un communiqué de la communauté de communes Cœur Côte Fleurie que ce dispositif d’analyse vidéo a été mis en place en 2016 afin de transformer la vidéo brute en source de renseignements exploitables, en réduisant le temps d’identification des menaces de sécurité. Il est précisé dans ce communiqué que l’intercommunalité ” s’appuie quotidiennement sur Briefcam pour faire progresser les enquêtes “. »

Quelques requérants, dont la Ligue des droits de l’homme, le Syndicat de la magistrature et l’Union syndicale Solidaires, puis l’Association de défense des libertés constitutionnelles et le Syndicat des avocats de France, ont attaqué donc cette communauté de communes en référé liberté.

Avec une censure par ce TA, en s’appuyant notamment sur la position de la CNIL :

« 8. Il résulte des dispositions citées au point 6 qu’un tel dispositif de surveillance, qui constitue un traitement de données à caractère personnel et a pour finalités la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, relève du champ d’application de la directive du 27 avril 2016, dont le titre 3 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés assure la transposition en droit interne. Ainsi que l’a relevé la Commission nationale informatiques et libertés (CNIL) dans sa position publiée en juillet 2022 sur les conditions de déploiement des caméras dites ” intelligentes ” ou ” augmentées ” dans les espaces publics, le déploiement de ces dispositifs dans l’espace public présente des risques pour les droits et libertés fondamentaux des personnes et la préservation de leur anonymat dans l’espace public. La CNIL a rappelé que la loi n’autorisait pas les services de police de l’Etat ou les collectivités territoriales à brancher sur les caméras de vidéoprotection des dispositifs d’analyse automatique permettant de repérer des comportements contraires à l’ordre public ou des infractions.

« 9. Ainsi qu’il a été exposé au point 7, le dispositif de caméras augmentées utilisé par la communauté de communes Cœur Côte Fleurie en dehors de tout cadre légal ou réglementaire, qui a pour objet de simplifier l’exploitation du contenu de vidéosurveillance et d’accélérer le temps d’identification des menaces de sécurité, permet d’identifier des personnes physiques en fonction de leurs caractéristiques propres. Il n’est pas établi ni même allégué que d’autres moyens moins intrusifs au regard de la vie privée ne pouvaient être mis en œuvre afin de préserver l’ordre public. Dès lors, les requérants sont fondés à soutenir que l’utilisation du dispositif litigieux porte une atteinte grave et manifestement illégale au respect de la vie privée.

« 10. L’urgence de la mesure demandée sur le fondement de l’article L. 521-2 du code de justice administrative doit être appréciée en tenant compte non seulement de ses effets sur les intérêts défendus par les requérants mais aussi de l’objectif poursuivi par la collectivité. Eu égard, d’une part, au nombre de personnes susceptibles de faire l’objet des mesures de surveillance litigieuses, d’autre part, aux atteintes qu’elles sont susceptibles de porter au droit au respect de la vie privée, et alors, ainsi qu’il a été précédemment exposé, qu’il ne résulte pas de l’instruction que l’objectif de prévention des atteintes à l’ordre public ne pouvait être atteint en recourant à des mesures moins intrusives au regard du droit au respect de la vie privée, la condition d’urgence doit être regardée comme remplie.

« 11. Il résulte de la combinaison des dispositions des articles L. 511-1, L. 521-2 et L. 521-4 du code de justice administrative qu’il appartient au juge des référés, lorsqu’il est saisi sur le fondement de l’article L. 521-2 et qu’il constate une atteinte grave et manifestement illégale portée par une personne morale de droit public à une liberté fondamentale, de prendre les mesures qui sont de nature à faire disparaître les effets de cette atteinte. Ces mesures doivent en principe présenter un caractère provisoire, sauf lorsqu’aucune mesure de cette nature n’est susceptible de sauvegarder l’exercice effectif de la liberté fondamentale à laquelle il est porté atteinte. Le juge des référés peut, sur le fondement de l’article L. 521-2 du code de justice administrative, ordonner à l’autorité compétente de prendre, à titre provisoire, une mesure d’organisation des services placés sous son autorité lorsqu’une telle mesure est nécessaire à la sauvegarde d’une liberté fondamentale. Toutefois, le juge des référés ne peut, au titre de la procédure particulière prévue par l’article L. 521-2 précité, qu’ordonner les mesures d’urgence qui lui apparaissent de nature à sauvegarder, dans un délai de quarante-huit heures, la liberté fondamentale à laquelle il est porté une atteinte grave et manifestement illégale.

« 12. En l’espèce, il y a lieu d’enjoindre à la communauté de communes Cœur Côte Fleurie de procéder, dans un délai de cinq jours à compter de la notification de la présente ordonnance, à l’effacement des données à caractère personnel contenues dans le fichier initialement constitué et dans toutes les copies, totales ou partielles, qui auraient pu en être faites, à l’exception d’un seul exemplaire, dans sa dernière version à la date de la présente ordonnance, qui sera placé sous séquestre auprès de la Commission nationale informatique et libertés dans un délai d’un mois à compter de la notification de la présente ordonnance.»

 

Source :

TA Caen, ord., 22 novembre 2023, 2303004

 

II.B.3. Censure de la censure par le Conseil d’Etat, qui commence en ce domaine à fournir un début de mode d’emploi. La reconnaissance faciale est interdite, mais la possession du logiciel correspondant n’est pas illégale tant que cette fonctionnalité n’est pas activée, à charge pour la personne publique de le prouver. Certaines fonctions discutables (research ; review ; respond… en l’espèce) sont quant à elles envisageables si on peut prouver qu’elles ne sont pas utilisées en temps réel (usage différé afin d’analyses, de statistiques ou d’enquêtes). Et l’on apprend au passage que la CNIL va finaliser sa doctrine à ce sujet en 2024. 

 

Or, cette ordonnance du juge des référés du TA de Caen a, elle-même, été censurée par une juge des référés du Conseil d’Etat.

Nulle décision de principe : cette ordonnance est d’ailleurs simplement côtée « C ». On reste loin des honneurs des tables du rec.

N’empêche : cette ordonnance existe et elle est assez solidement charpentée dans sa rédaction.

Hors éléments de procédures, l’argumentation de la communauté des communes est ainsi résumée par l’ordonnance et, techniquement, elle ne manque pas d’intérêt. Non sans d’ailleurs quelques effets comiques sur certains points (détérioration du logiciel en tentant d’appliquer l’ordonnance, ça fait un peu Ran-Tan-Plan mais c’est amusant). Selon cet EPCI, donc (dans ce qui suit j’ai enlevé les moyens peu pertinents) :

« – la condition d’urgence n’est pas satisfaite dès lors que ses communes membres et elle-même n’utilisent pas les fonctionnalités de reconnaissance faciale du logiciel BriefCam et n’ont aucune intention d’y recourir, que seule une cinquantaine de caméras est concernée, qu’à la suite des opérations mises en oeuvre pour exécuter l’ordonnance attaquée, le logiciel a été détérioré dans des conditions rendant impossible l’usage des fonctionnalités dénoncées et nécessitant une réinstallation qui ne pourra intervenir à court terme et que le temps mis à saisir le juge des référés est excessif dès lors que l’utilisation du logiciel BriefCam et ses fonctionnalités sont connues depuis de nombreuses années ;
[…]
– si une minorité des caméras de vidéoprotection installées sur son territoire est connectée au logiciel BriefCam, aucune fonctionnalité de reconnaissance faciale n’a été activée, aucune des requêtes effectuées par les utilisateurs n’a concerné l’utilisation de telles fonctionnalités et celle-ci n’est pas possible ;
– elle ne dispose d’aucun pouvoir de police et d’aucune compétence pour prendre des décisions en cette matière à la place de ses communes membres et ne saurait être regardée comme responsable de traitement au sens du RGPD et de la directive 2016/680 du 27 avril 2016 ;
– l’utilisation par elle de la fonction ” Research ” n’est faite qu’à des fins purement statistiques sur la mobilité et au vu de résultats agrégés, sans accès à la vidéo ;
– la fonction ” Review ” n’est pas utilisée en temps réel et la technologie contestée n’est pas utilisée pour analyser de façon proactive les comportements des individus ;
– le système mis en place est fondé sur les dispositions du code de la sécurité intérieure relatives à la vidéoprotection, a été autorisé par le préfet et respecte les exigences légales ; […] »

 

Les arguments des défenseurs (requérants en 1e instance) sont les suivants, pour citer ceux par exemple de la LDH qui, hors questions de procédure (et hors leur position sur l’urgence, le logiciel ayant été dégradé) , sur le fond, soutenait :

« […] que la communauté de communes [devait] être regardée comme responsable de traitements de données personnelles, [en ayant] mis en place de tels traitements, notamment de vidéosurveillance augmentée, dans des conditions portant une atteinte grave et manifestement illégale au droit au respect de la vie privée et au droit au respect des données personnelles faute d’autorisation et de base légale et en raison, en tout état de cause, du non-respect des règles de protection des données personnelles prévues par la RGPD et la loi du 6 janvier 1978, que la condition d’urgence est satisfaite et que les injonctions prononcées doivent être complétées pour tirer les conséquences du constat de l’usage illégal du logiciel BriefCam. »

 

Sur l’urgence, la juge des référés du Conseil d’Etat commence par rappeler que la condition d’urgence n’est pas automatiquement remplie du seul fait qu’une liberté fondamentale est, ou serait, en cause :

« si les requérants font valoir les atteintes qu’ils estiment portées à plusieurs libertés fondamentales, dont le droit au respect de la vie privée, qui comprend le droit à la protection de ses données personnelles, et la liberté d’aller et venir, la circonstance qu’une atteinte à une liberté fondamentale serait avérée n’est, par elle-même, pas de nature à caractériser l’existence d’une situation d’urgence.»

… ce qui est classique, avec une formulation qui désormais se stabilise en effet ainsi (voir CE, ord., 15/12/2023, 489972 ; CE, ord., 10/11/2023, 489207 ; CE, ord. 31/10/2023, 489058… pour citer trois ordonnances récentes rendues par des juges des référés différents).

Le premier apport de cette ordonnance est que la reconnaissance faciale est interdite, mais la possession du logiciel correspondant n’est pas illégale tant que cette fonctionnalité n’est pas activée, à charge pour la personne publique de le prouver :

« 8. En second lieu, d’une part, s’il n’est pas contesté que le logiciel litigieux dispose de fonctionnalités qui permettent de procéder à de la reconnaissance faciale, alors que l’usage de telles techniques est légalement interdit, il résulte des déclarations en appel de la communauté de communes Coeur Côte Fleurie, qui n’avait pas défendu en première instance, que ces fonctionnalités, pourtant présentes depuis 2018 à la suite d’une mise à jour du logiciel, n’ont jamais été activées dans son ressort. La communauté de communes produit des attestations du préfet du Calvados, de la Procureure de la République du tribunal judiciaire de Lisieux et des communes dont les services de police municipale utilisent les images des caméras couplées au logiciel BriefCam, selon lesquelles les ” surcouches ” en cause n’ont pas été utilisées ni leur mobilisation demandée. Elle produit également le constat d’un commissaire de justice réalisé dans le cadre de la présente procédure dont il ressort, sans que cela soit sérieusement contesté, que les fonctionnalités en cause sont désactivées et ne sont pas utilisables, même en phase de test. »

Certaines fonctions discutables (research ; review ; respond… en l’espèce) sont quant à elles envisageables si on peut prouver qu’elles ne sont pas utilisées en temps réel (usage différé afin d’analyses, de statistiques ou d’enquêtes)

« Par ailleurs, si la communauté de communes utilise le module ” Research ” du logiciel, il résulte de l’instruction qu’elle en fait un usage à des fins purement statistiques sur la mobilité par la détermination des flux de circulation sur les grands axes et au vu de résultats agrégés sur le nombre de véhicules, sans accès aux images.
« 9. D’autre part, s’il est vrai que le logiciel en cause comporte, dans le module ” Review “, des fonctionnalité d’analyse des images, notamment par l’application de filtres, par exemple par sexe, taille ou par type de vêtements, ou d’analyse des comportements de déplacement, la communauté de communes indique, que le logiciel n’est pas utilisé pour assurer, par la mise en oeuvre de traitements algorithmiques, un suivi de manière automatisée des personnes ou détecter des événements et déclencher des alertes en temps réel, le module ” Respond ” dont peut être équipé le logiciel n’étant d’ailleurs pas disponible. Déployé dans l’intercommunalité depuis plusieurs années, pour un nombre limité de caméras, il apparaît, en l’état de l’instruction, que ce système, tel qu’il est calibré et peut raisonnablement être mobilisé, n’est utilisé que pour une relecture en différé, sur une zone et un temps limités, des images collectées par les caméras concernées, notamment en vue d’une analyse de véhicules et une recherche de plaques d’immatriculation, pour les besoins d’une enquête et participe au bon déroulement de celle-ci en réduisant les délais de lecture et d’exploitation de ces images.

Et il n’y aura pas d’urgence en référé liberté si au jour où le juge statue, le matériel est hors service pour ses applications discutables :

« 10. Enfin et en tout état de cause, il ressort d’une expertise technique menée à la demande de la communauté de communes que les opérations mises en oeuvre pour assurer l’exécution de l’ordonnance attaquée ont causé la détérioration du logiciel, qui n’est plus fonctionnel, notamment en ce qu’il n’est plus possible d’importer des éléments vidéo et de les exploiter. Il en ressort également que les efforts pour le remettre en service, malgré le support de l’éditeur du logiciel, n’ont pas pu aboutir. Il en résulte qu’à la date de la présente ordonnance, aucune utilisation du logiciel n’est techniquement possible. Selon les déclarations de la communauté de communes à l’audience, une remise en service ne serait pas envisageable avant plusieurs semaines. Si une telle circonstance n’est pas de nature, contrairement ce que soutiennent les organisations en défense, à priver d’objet le litige dès lors que l’injonction prononcée, notamment la mise sous séquestre ordonnée, continue de produire des effets et que l’impossibilité actuelle d’utiliser le logiciel n’est pas définitive, elle limite, à l’heure actuelle et pour un certain temps, les atteintes susceptibles de découler de la détention, dans le ressort de la communauté de communes Coeur Côte Fleurie, du logiciel litigieux.»

La suite est intéressante :

« 11. Dans ces conditions et alors que comme l’a indiqué la CNIL, une procédure de contrôle de l’usage par les collectivités publiques du logiciel contesté est en cours et devrait aboutir dans quelques semaines et que, par ailleurs, la question des conditions d’utilisation d’algorithmes sur des séquences vidéo enregistrées fera l’objet de travaux de sa part au cours du premier semestre 2024, il n’est pas justifié, à la date de la présente ordonnance, d’une situation d’urgence particulière, de nature à conduire le juge des référés à prendre à très bref délai des mesures conservatoires sur le fondement de l’article L. 521-2 du code de justice administrative. »

Source :

Conseil d’État, ord., 21 décembre 2023, n° 489990

NB : le Conseil d’Etat, la veille, a statué sur un autre contentieux concernant le même logiciel Briefcam mais uniquement sur des questions de procédure en contentieux administratif. Voir ici :

• cette décision : Conseil d’État, 20 décembre 2023, n° 463151, aux tables du recueil Lebon
• notre article : REP contre des décisions implicites : avant l’heure… c’est pas l’heure… mais le juge administratif dispose de larges marges de manoeuvre à ce stade 

 

 

II.C. Le TA d’Orléans a, quant à lui, étendu de telles censures à un dispositif de « détection automatisée des bruits anormaux » (avec couplage vidéo), selon un système algorithmique. 

 

En 2021, la ville d’Orléans et la société Sensivic concluent une convention visant à l’expérimentation des nuisances sonores.

La commune soutenait que pour cette expérimentation, d’ailleurs terminée à la date du recours :

« le dispositif de la société Sensivic, qui notamment ne capte pas de sons mais perçoit uniquement des vibrations, ne comporte aucun traitement de données personnelles, alors même qu’il serait couplé avec des caméras – ce que la convention ne prévoit pas obligatoirement »

Tel n’était pas le point de vue de la requérante, à savoir bien sûr l’association La Quadrature du Net, selon laquelle  :

« la convention litigieuse permet et met en place une expérimentation d’un dispositif constituant, qu’il y ait ou non couplage avec des caméras de vidéosurveillance, un traitement de données personnelles […] dont des données sensibles »

Plus précisément, le TA d’Orléans estime que :

« les dispositifs dont la convention litigieuse prévoit l’installation comportent des capteurs, constitués de microphones ayant une fréquence comprise entre 50 et 16 000 Hertz, et d’un micro-contrôleur qui traite les informations issues des capteurs. Les sons captés, qui ne font l’objet d’aucun enregistrement ni d’aucune retransmission, sont découpés en échantillons de l’ordre de 10 millisecondes et comparés avec les sons recherchés, chargés en mémoire du logiciel. En cas de correspondance entre un son capté et un type de son recherché (bris de vitre, détonations, cris ), la caméra de vidéoprotection associée au détecteur est orientée vers la source du son et un signal est émis à destination de l’agent du centre de sécurité chargé du suivi du dispositif qui peut identifier la personne se trouvant à l’origine ou à proximité du bruit anormal capté par le dispositif. En tant qu’ils collectent et utilisent ainsi des informations se rapportant à des personnes susceptibles, au moyen des caméras avec lesquelles ils sont couplés, d’être identifiées par l’opérateur, les dispositifs litigieux procèdent ainsi au traitement de données personnelles au sens des dispositions citées au point 8 ci-dessus. Si la commune d’Orléans fait valoir que lesdits dispositifs ne sont pas nécessairement couplés aux caméras de vidéoprotection, ce couplage est prévu par la convention litigieuse – notamment dans son préambule et son article 3 – et il ressort tant de la délibération par laquelle le conseil municipal d’Orléans a autorisé le maire à signer cette convention que des déclarations publiques de l’adjoint au maire chargé de la sécurité que l’objet même de l’expérimentation et son intérêt pour la ville d’Orléans résident dans ce couplage. »

Avec une censure formulées en termes nets :

« 10. En deuxième lieu, le traitement en litige, qui ne remplit aucune des conditions prévues par l’article 5 de la loi du 6 janvier 1978 – alors notamment qu’à le supposer utile pour l’exercice des pouvoirs de police confiés au maire par les articles L. 2212-1 et suivants du code général des collectivités territoriales, il ne peut être regardé comme nécessaire à l’exercice de ces pouvoirs – méconnaît ainsi l’obligation de traitement licite des données personnelles résultant de l’article 4 de la même loi.

« 11. Enfin, dès lors qu’ainsi qu’il vient d’être dit le traitement objet de la convention du 12 octobre 2021 méconnaît l’obligation de traitement licite des données personnelles résultant de l’article 4 de la loi du 6 janvier 1978, la commune d’Orléans ne peut invoquer utilement l’article 5 de la Déclaration des droits de l’homme et du citoyen, aux termes duquel :  » La Loi n’a le droit de défendre que les actions nuisibles à la Société. Tout ce qui n’est pas défendu par la Loi ne peut être empêché, et nul ne peut être contraint à faire ce qu’elle n’ordonne pas « . Le droit à la sûreté garanti par l’article 2 de la même Déclaration ne peut pas plus être invoqué par la commune, dès lors en tout état de cause que celle-ci n’invoque aucun risque pour la sûreté des personnes mais uniquement des risques pour leur sécurité.»

Source :

TA Orléans, 12 juillet 2024, 2104478

 

II.D. Puis, le 5 décembre 2024, la CNIL a communiqué sur des contrôles qu’elle a déployé (auprès du ministère de l’Intérieur et de plusieurs communes) en ce domaine en novembre 2024. Il s’agissait pour la CNIL de vérifier les conditions dans lesquelles des logiciels d’analyse automatique des images, tels que le logiciel BriefCam, sont utilisés… et à cette occasion d’affiner un peu sa doctrine. 

 

 

Voici comment la CNIL décrit les principaux constats et manquements par elle constatés :

 

S’agissant de l’usage au pénal, à noter cette formulation de la CNIL dans sa décision concernant l’Etat :

« Afin d’être utilisé de façon licite, un logiciel d’analyse vidéo utilisé comme logiciel de rapprochement judiciaire doit être mis en œuvre dans le cadre défini au sein des CPP[3] et décret n^o 2012-687 du 7 mai 2012 relatif à la mise en œuvre de logiciels de rapprochement judiciaire à des fins d’analyse criminelle (ci-après, le  » décret du 7 mai 2012 « ). En particulier, ce décret impose que la mise en œuvre de tels logiciels soit précédée d’un engagement de conformité, accompagné d’une AIPD[4], adressé à la CNIL[5] – permettant à cette dernière d’exercer ses pouvoirs de contrôles[6] (v. infra).»

 

Sur l’obligation d’effectuer une analyse d’impact relative à la protection des données (AIPD), concernant l’Etat, à noter ces formulations de la CNIL :

« la mise en œuvre de technologies d’analyse automatisée a posteriori des images issues de dispositifs vidéo est susceptible d’entrainer d’importantes conséquences pour les droits et libertés fondamentaux des personnes. La réalisation d’une AIPD avant la mise en œuvre de ces logiciels par le ministère de l’Intérieur aurait permis l’évaluation de tels risques et des mesures proportionnées à ceux liés, notamment, à l’inexactitude des données, à la consultation non-autorisée de ces dernières ou encore à leur perte.
« Aussi, de tels traitements n’auraient pas dû être mis en œuvre, ou continué de l’être (l’obligation d’effectuer une AIPD étant prévue depuis le 1^er juin 2019, date d’entrée en vigueur des dispositions afférentes de la loi  » Informatique et Libertés  » telles qu’issues de la transposition de la directive  » Police-Justice  » par voie d’ordonnance, la CNIL ayant généralement admis un délai de deux ans pour se mettre en conformité avec les nouvelles obligations en matière d’AIPD), sans avoir préalablement fait l’objet d’une AIPD. Le fait que ces traitements soient menés dans le cadre de phases expérimentales de  » tests « , ou qu’ils le soient dans des phases de déploiement opérationnel, est sans incidence sur cette obligation. » [méconnaissance de ces obligations par l’Etat]

Sur « l’interdiction de principe de mettre en œuvre un traitement de données biométriques aux fins d’identifier une personne physique de manière unique, via un dispositif de reconnaissance faciale » notamment… la CNIL se contente de rappeler sa doctrine et son appel à un grand débat à ce sujet. Il n’y avait rien de plus à dire, puisque « les dispositifs d’identification ou de caractérisation des personnes physiques à partir de leurs données biométriques, utilisés de manière opérationnelle comme expérimentale, ne sont pas autorisés par le législateur dans l’espace public.»

Mais cela n’est toujours pas la nouvelle définition de la position de la CNIL en ce domaine, telle qu’elle était attendue.

 

 

II.E. Début 2025, un rapport et l’Etat répondent à ces critiques ou ces menaces en appelant (au contraire) à un approfondissement de l’expérimentation en ce domaine

 

On l’a dit ci-avant : la seule vraie application de la VSA (ou vidéo protection intelligente ou augmentée.. ou algorithmique) est donc celle issue de la loi du 19 mai 2023 relative aux Jeux olympiques et paralympiques de 2024 (avec les verrous posés par le Conseil constitutionnel, en ce domaine : voir le début du présent article à ce sujet).

Cette loi a prévu que cette expérimentation inédite ferait l’objet d’une évaluation « pluridisciplinaire et objective », dans le cadre d’un rapport du Gouvernement au Parlement (confié à un comité de personnalités indépendantes, présidé par M. Christian Vigouroux, président de section honoraire au Conseil d’État), également transmis à la CNIL.

Rappelons avec cet extrait d’un texte (voir ici) du Ministère de l’Intérieur, que cette expérimentation restait très encadrée :

Or voici ce « rapport Vigouroux » :

               27/01/2025 – Rapport du comité d’évaluation – Expérimentation de traitements algorithmiques d’images légalement collectées PDF – 4,59 Mo     

               Annexes 7 à 14 du rapport du comité d’évaluation PDF – 7,4 Mo     

 

Voir aussi en pdf (rapport et annexes 1 à 6) pour le cas où les liens ci-dessus deviendraient inactifs :

• Rapport1701_v200125 avecannexes1à6

 

Lire surtout la conclusion, toute en nuances, pages 104 à 109, de ce rapport.