Le ministère de l'Intérieur vient de lancer un appel d'offres afin d'identifier un prestataire privé à même de l'aider à concevoir, puis réaliser, les audits de conformité visant à sélectionner les « solutions algorithmiques » d'intelligence artificielle qui analyseront les images de vidéosurveillance lors des Jeux Olympiques de Paris 2024.
Le bureau des achats numériques (BAN) du ministère de l'Intérieur vient de publier un appel d'offres « pour la réalisation d'un audit de conformité et de conseil au choix d’une ou plusieurs solutions algorithmiques mises en œuvre dans le cadre de l’expérimentation relative à l’application de l’intelligence artificielle sur certaines images captées par la vidéo protection ou les caméras aéroportées » :
« Le présent accord-cadre a pour objet la réalisation par le titulaire d’une prestation d’assistance à maîtrise d’ouvrage pour la réalisation d’un audit de conformité obligatoire de la ou des solutions algorithmiques proposée(s) dans le cadre des dispositions prévues par la loi relative aux jeux Olympiques et paralympiques de 2024 et le conseil de l’administration lors de l’analyse des offres dans le cadre du marché d’acquisition de solution(s) algorithmique(s). »
Le marché, estimé à 100 000 euros, mais « avec un montant maximum de 250 000 € HT », sera conclu pour une période de 24 mois à compter de sa date de notification, envisagée au plus tard au 1er juillet 2023.
- Les Jeux olympiques, beta-test de la surveillance algorithmique
- Vidéosurveillance algorithmique : les JO 2024 serviront aussi de « vitrine industrielle »
- Les JO 2024 constitueront « un tournant » pour la surveillance algorithmique de l'espace public
À titre expérimental, et sous réserve de nombreuses conditions
Le cahier des clauses particulières (CCP) de l'appel d'offres rappelle que le recours à des traitements algorithmiques portant sur les images captées lors de grands évènements a certes été autorisé, mais « à titre expérimental jusqu’au 31 mars 2025 », et à de nombreuses conditions.
Ces algorithmes ne pourront ainsi être utilisés qu' « à la seule fin d’assurer la sécurité de manifestations sportives, récréatives ou culturelles, qui, par leur ampleur ou leurs circonstances, sont particulièrement exposées à des risques d’actes de terrorisme ou d’atteintes graves à la sécurité des personnes (notamment dans le cadre des prochains jeux Olympiques de 2024) ».
Ils ne pourront, en outre, être utilisés que « dans les lieux accueillant ces manifestations, à leurs abords ainsi que dans les moyens de transport et sur les voies les desservant, au moyen de systèmes de vidéo-protection et de caméras installées sur des aéronefs autorisés par le code de la sécurité intérieure ».
Ces traitements, en outre, « ont pour unique objet de détecter, en temps réel, des événements prédéterminés susceptibles de présenter ou de révéler ces risques et de les signaler, aux forces de sécurité intérieure, aux services de police municipale, aux services de la sécurité civile en charge des secours ou aux services internes de sécurité de la RATP ou de la SNCF, qui pourront confirmer l’alerte et prendre les mesures adaptées ».
La liste (partielle) des évènements prédéterminés
Cette liste d' « évènements prédéterminés », dont la liste sera fixée par décret pris après avis de la CNIL, devront être en lien avec les finalités autorisées par la loi, « à savoir la détection de risques d’actes de terrorisme ou d’atteintes graves à la sécurité des personnes », qui pourraient être, « par exemple » (l'expression est soulignée dans le CCP) :
- La présence ou utilisation d’objets abandonnés, armes, départs de feux ;
- Des comportements individuels ou collectifs :
- Non-respect du sens de circulation ;
- Franchissement ou présence dans une zone interdite ou sensible ;
- Présence d’une personne au sol ;
- Mouvement de foule ;
- Regroupement de personnes.
Le CCP rappelle également que ces traitements « n’utiliseront aucun système d’identification biométrique, ne traiteront aucune donnée biométrique et ne mettront en œuvre aucune technique de reconnaissance faciale », et qu'ils ne pourront procéder à « aucun rapprochement, aucune interconnexion ni aucune mise en relation automatisée avec d’autres traitements de données à caractère personnel » :
« Ils procèderont exclusivement à un signalement d’attention, en temps réel et strictement limité aux événements prédéterminés tels qu’ils ont été programmés pour détecter. Ils ne produiront aucun autre résultat et ne pourront fonder, par eux-mêmes, aucune décision individuelle ou acte de poursuite. »
La liste (complète) des exigences imposées
Dans le cadre de cette expérimentation, l'État devra également, et « avant tout déploiement », attester de la conformité aux exigences imposées par le point V. de l’article 7 de la loi (votée, mais pas encore promulguée, dans l'attente de l'avis du Conseil constitutionnel, cf le dossier), et qui devront être vérifiées dans le cadre de l’audit de conformité dont fait l'objet ce marché, à savoir :
- des garanties devront être apportées afin que les données d’apprentissage, de validation et de test soient pertinentes, adéquates et représentatives ;
- le traitement des données d’apprentissage, de validation et de test devra être loyal, reposer sur des critères objectifs et permettre d’identifier et prévenir l’occurrence de biais et d’erreurs ;
- ces données font l’objet de mesures de sécurisation appropriées ;
- le traitement devra comporter un enregistrement automatique des signalements des évènements prédéterminés détectés permettant d’assurer la traçabilité de son fonctionnement ;
- le traitement devra permettre des mesures de contrôle humain et un système de gestion des risques permettant de prévenir et de corriger la survenue de biais éventuels ou de mauvaise utilisation ;
- le traitement pourra être arrêté à tout instant ;
- le traitement devra être accompagné d’une documentation technique complète ;
- le traitement devra faire l’objet d’une phase de test conduite, au cours de la procédure de sélection des offres, dans des conditions analogues à celle de son emploi tel qu’autorisé par le décret d’application de la loi, donnant lieu à un rapport sur la conformité de l’offre aux exigences de la loi.
Les prestataires pourront être « accompagnés » par la CNIL
Le CCP précise que les fournisseurs de solutions algorithmiques intéressés « pourront, en amont de la procédure de marché, être accompagnés par la Commission nationale de l’informatique et des libertés (CNIL), pour mieux appréhender ces exigences afin de remettre une offre conforme », mais également être en mesure de « procéder à la correction d’erreurs lors de la mise en œuvre et prévenir leur itération ».
Le titulaire du marché d'audit de conformité, qui devra faire montre d'une parfaite connaissance du contexte du projet, du contenu de la loi et du décret d’application, pourra lui aussi « solliciter la CNIL pour mettre au point le référentiel sur lequel s’appuiera sa propre grille d’évaluation technique » :
« Ce référentiel technique devra comprendre tous les éléments servant à vérifier les exigences de conformité prévues par la loi : critères de conformité, définition opérationnelle, mode d’évaluation, nature des tests, atteinte ou non des résultats. »
Il devra ainsi fournir, dans un premier temps, conseils et assistance techniques au ministère « dans l’objectif de réaliser des audits de conformité qui satisfont aux exigences normatives (avis sur les données de tests, sur les tests mis en place, ...) ».
Il devra, dans un deuxième temps, réaliser l’audit de chacune des solutions algorithmiques proposées, et vérifier que les solutions proposées le sont en conformité avec les exigences fixées par la loi et le décret d’application, ainsi qu'avec la grille d’évaluation technique qui aura été fixée avec le ministère.
Entre 5 à 20 « solutions algorithmiques » à auditer
Dans un troisième temps, il devra en outre assister le ministère « lors de l’examen de la qualité technique des offres jugées conformes aux exigences de la loi et de leur comparaison », afin de l'aider à envisager (ou non) leur acquisition, en fournissant au ministère une « note de 20 pages maximum » pour chacune des offres déposées :
« Au vu du ou des critère (s) technique (s) de choix, le titulaire rédige, pour chaque offre déposée et jugée conforme, une note décrivant les avantages et les inconvénients de chaque offre, d’un point de vue technique, et donne une appréciation de l’offre technique permettant d’aider le pouvoir adjudicateur à établir le rapport d’analyse des offres. »
Les éventuels candidats ont jusqu'au 12 juin pour envoyer leurs offres, qui seront jugées à 40 % en fonction de leurs prix, et 60 % de leur valeur technique. Cette dernière se subdivise elle-même en deux sous-critères, à savoir la qualité des moyens humains pour l’exécution des prestations d'une part (40 %), et la qualité de la méthodologie et les moyens proposés (60 %) d'autre part.
« A titre indicatif, le nombre de solutions algorithmiques à auditer sera de 5 à 20 », précise le CCP, les audits devant être réalisés « principalement entre les mois d’août et octobre 2023 ».
Commentaires (3)
#1
d’ailleurs, vous connaissez des entreprises d’IA embarquées dans la vidéosurveillance autre que videtics, wintics et evitech?
#2
Ce sont des actes de terrorisme ou bien des atteintes graves à la sécurité des personnes, ça ?
#3
Les réunions de plus de 2 personnes sont considérées comme risques de préparation d’actes de terrorisme, et donc d’atteintes graves à la sécurité des données, surtout si les personnes concernées marchent dans le sens opposé à celui de la circulation