Vidéosurveillance et caméra augmentée : définir un cadre légal pour limiter les risques

Écrit par Edwige Massabki

Le 26 Juillet 2024 débuteront les Jeux Olympiques et Paralympiques de Paris. Pour en assurer le bon déroulement, un projet de loi dite « Olympique » est actuellement à l’étude. Parmi les nombreuses propositions de cette loi, celle de l’usage de la vidéosurveillance par caméras augmentées afin d’assurer la sécurité dans les espaces publics pose de nombreuses interrogations. 

Crédit photo Pixabay

Alors que les systèmes de vidéosurveillance « classiques » captent des images et permettent un enregistrement de celles-ci, les caméras dites « Intelligentes ou Augmentées » en permettent, par des logiciels d’IA, une analyse automatisée. L’utilisation de cette technologie suscite de plus en plus d’intérêt et une attention particulière doit donc y être prêtée. 

A cet effet, la CNIL, préoccupée par le sujet depuis quelques années déjà, a publié sa position en juillet 2022 (voir source 1), issue d’une consultation publique (voir source 2), sur les conditions de déploiement de ces caméras augmentées dans les lieux publics, en écartant de son champ de position : 

  • Les traitements par dispositifs biométriques notamment la reconnaissance faciale déjà abordée en 2019 (voir source 3). 

  • L’usage des dispositifs de vidéo “augmentée” dans les lieux non-ouverts au public, dans la sphère domestique, les dispositifs en temps différé, ceux détectant des sons ou même ceux destinés à des fins de recherches scientifiques au sens du RGPD. 

La commission nationale de l’informatique et des libertés met en lumière les multiples usages des vidéos augmentées (I) et présente les risques encourus pour les droits et les libertés des personnes concernées (II) engendrant la nécessité de mettre en place un cadre juridique spécifique (III). 


Une technologie attractive pour les pouvoirs publics 

La vidéosurveillance par caméra “augmentée” est l’un des usages potentiels des systèmes d’intelligence. Il ne s’agit pas uniquement d’améliorer une technologie préexistante mais bien d’en créer une nouvelle par traitements algorithmiques. Les analyses automatisées de ces images en temps réel, permettent de reconnaître des objets et silhouettes à des fins statistiques, de prévention ou d’étude comportementale. A noter que la CNIL, avant de l’exclure de son champ, a pris soin de souligner que les caméras biométriques permettent par ailleurs, l’identification de personne par traitement de données personnelles « sensibles », une pratique déjà encadrée par le Règlement général sur la protection des données (RGPD).  

 

La puissance d’analyse d’images de cette technologie surpasse l’intervention humaine ce qui incite les organisations publiques à s’en doter pour des questions d’efficacité. La CNIL balaye dans sa position, les différents usages envisageables des caméras intelligentes tels que la sécurisation des lieux, la détection d’infraction, la régulation de flux… Mais également la sécurisation des biens et des personnes, la mesure d’audiences, et la prospection ciblée. Face aux nombreux avantages qu’offre cette technologie, les organismes tant publics que privés, habitués ou non aux dispositifs classiques de surveillance par vidéo , manifestent fortement leur souhait de déploiement.  


Toutes ces finalités font naître de nouveaux risques pour les droits et les libertés des personnes concernées et complexifient l’équilibre entre les enjeux économiques, éthiques et juridiques. 


Des risques à ne pas ignorer pour les personnes concernées 

Au-delà des risques qu’engendre la vidéosurveillance dite « classique », les caméras augmentées font apparaître de nouvelles menaces pour les libertés fondamentales des personnes concernées. 

En effet, la généralisation de la surveillance dans les espaces publics ébranlerait les libertés individuelles. Le comportement des individus pourrait se voir modifié face à une constante observation et analyse des personnes. La CNIL souligne l’importance d’évaluer l’intérêt des responsables de traitement et de conduire une évaluation des risques avant toute mise en œuvre. 

Par ailleurs, comme tout dispositif incluant l’IA, la question des biais algorithmiques engendrant des résultats discriminants se pose - un enjeu éthique qui doit être porté par l’ensemble des parties prenantes, du concepteur à l’utilisateur, au travers des processus de vérification de l’algorithme. Bien que les traitements automatisés donnent l’illusion d’une certaine neutralité, la vidéosurveillance par caméras intelligentes n’est pas exempte de risques puisque son usage peut entraîner des résultats mettant en lumière des distinctions de genre, de physique, d’âge… . 

En outre, la CNIL alerte sur la nature plus ou moins intrusive pour la vie privée du système, dès lors que son utilisation demeure mal maîtrisée. C’est pour ces raisons d’atteintes à la vie privée que la commission appelle à la mise en place d’un cadre légal quant à l’usage de ce dispositif. 


La nécessité d’un cadre législatif

La mise en place d’un dispositif de surveillance classique est d’ores et déjà encadrée par la législation. L’usage de caméras dites « classiques » est une pratique courante dans les lieux publics et est soumis à deux règlementations spécifiques, à savoir, la Directive Police-Justice, transposée en droit français pour les traitements dont les finalités bien déterminées sont prévues par le code de la sécurité intérieure (CSI), ainsi que le RGPD, pour d’autres finalités issues du même code comme les flux de transports ou la prévention des risques naturels pour ne citer que deux exemples. L’ensemble règlementaire constitue le Paquet Européen de la protection des données personnelles. 

Cela étant, l’usage de la vidéosurveillance intelligente n’entrant pas dans le champ d’application du CSI, la règlementation en vigueur ne permet ni de trancher sur la licéité de cet usage, ni d’en interdire son utilisation. Pourtant, une chose est sûre, la législation en matière de données personnelles doit être respectée. Il s’agit des grands principes tels que la finalité du traitement, la base légale, les mentions d’information, le respect des droits des personnes, l’analyse de risque et, pour certains cas, la nomination d’un DPO.  Il convient donc d’identifier en premier lieu l’objectif (finalité) et la base légale qui permet de rendre licite cet objectif (une obligation légale, contractuelle ou l’intérêt légitime du Responsable de traitement). 

Toutefois, la CNIL insiste sur le caractère insuffisant de ces textes existants et demande aux législateurs de bouger le curseur légal afin de faire naître une règlementation spécifique adaptée. 

Plusieurs aspects peuvent être relevés. Le droit d’opposition, prévu par l’article 21 du RGPD, permet à toute personne dont les données personnes sont collectées de s’opposer à leurs traitements. 

La mise en application d’un tel droit, en dehors de l’aspect technique, pourrait s’avérer contre-productive pour certains traitements (ex : détection de comportement suspect). La mise en place d’un texte distinct semble inéluctable à la lumière de l’article 23 du RGPD (limitation des droits). A contrario, les traitements des données à des fins statistiques bénéficient d’une exemption de ce droit d’opposition à conditions que les données soient agrégées et anonymisées pour une finalité légitime résultant «[… ] d’une analyse de licéité, de nécessité et de proportionnalité ». Le juste équilibre entre ces trois principes est fondamental et doit être opéré avant tout traitement intégrant ce dispositif. C’est le principe même d’une conformité RGPD intégrée dès la conception, aussi appelée « privacy by design ». 

Par ailleurs, les caméras augmentées visant à assurer la sécurité des personnes par l’autorité publique pose débat puisque ne peut être ignorée la possibilité de porter atteinte aux droits fondamentaux des citoyens.  Une discussion parlementaire est donc préconisée par la commission afin de préciser les textes initiaux. 

Face aux multiples usages offerts par ce dispositif de vidéosurveillance augmentée et à l’engouement des acteurs publics et privés à s’en équiper, la CNIL renouvelle sa position de lanceur d’alerte et insiste sur les risques engendrés par cette technologie, en apportant au cas par cas une analyse selon les usages et en affirmant la nécessité de mettre en place un cadre législatif spécifique afin de réguler les usages et de préserver les droits et libertés des personnes. 

Néanmoins, l’usage de caméras “augmentées” à des fins statistiques peut être déployé sans cadre spécifique dès lors que les résultats sont constitués de données agrégées et anonymes, que les images sources peuvent être effacées très rapidement et que les grands principes du RGPD sont respectés. Il s’agit, entre autres, de réaliser une analyse des risques avant la mise en place du traitement (AIPD) et de mettre en œuvre toutes les mesures techniques et organisationnelles appropriées pour garantir la protection des personnes concernées, et ce, dès la conception du traitement.  


Auteure : Edwige Massabki

Co-auteure : Justine Cabanis

  1. https://www.cnil.fr/sites/default/files/atoms/files/cameras-intelligentes-augmentees_position_cnil.pdf 

  2. https://www.cnil.fr/sites/default/files/atoms/files/reconnaissance_faciale.pdf 

  3. https://www.cnil.fr/sites/default/files/atoms/files/consultation-publique-cameras-intelligentes-augmentees_synthese_des_contributions.pdf 

Edwige Massabki
Précédent

OSINT (Open Source INTelligence) : quel cadre légal ?
Suivant

Digital Services Act : quelles nouvelles obligations pour les hébergeurs et plateformes en ligne ?