Le média Disclose révélait en novembre 2023 que la police française avait acquis dès 2015 le logiciel « Vidéo Synopsis » de l'entreprise Briefcam et généralisé son utilisation ensuite. Ces révélations ont conduit à deux enquêtes, l’une diligentée par la CNIL, l’autre par les inspections. Fin octobre, le rapport conjoint de l’IGA, IGPN et IGGN a été publié, concluant que la reconnaissance faciale a bien été utilisée par la gendarmerie.

• BriefCam : la reconnaissance faciale a bien été utilisée par la gendarmerie

Le ministère de l'Intérieur doit empêcher l’utilisation des fonctionnalités de reconnaissance faciale

C'est maintenant au tour de la CNIL de tirer les conclusions de son enquête. Dans une décision prise le 15 novembre et publiée au Journal officiel ce jeudi 05 décembre, l'autorité a mis en demeure le ministère de l'Intérieur, entre autres, de prendre des mesures adéquates pour empêcher l’utilisation des fonctionnalités de reconnaissance faciale pour l’ensemble des logiciels de rapprochement judiciaire utilisés, dont celui de BriefCam, dans un délai de deux mois.

La CNIL rappelle que cette décision de contrôle a été prise « suite à la publication » de l'enquête de Disclose le 14 novembre 2023.

Comme l'évoque le rapport conjoint de l’IGA, IGPN et IGGN, la CNIL confirme avoir constaté dans les documents transmis sur BriefCam qu'il y a bien eu « une utilisation de ce logiciel à des fins de reconnaissance faciale pour rechercher un individu dans une bande vidéo, dans le cadre d’une enquête judiciaire ». Elle précise que « cet usage était illégal ».

La reconnaissance faciale par défaut chez Briefcam

Si la fonctionnalité « Reconnaissance faciale » dans le logiciel est apparue dans le cadre d'une mise à jour opérée en 2022, « une fonctionnalité intitulée "Similitudes d’apparence" lui préexistait ». Mais l'autorité n'a pas pu vérifier si cette ancienne fonctionnalité intégrait de la reconnaissance faciale : « le matériel du SCRC-GN [service central de renseignement criminel de la gendarmerie nationale] ayant été désinstallé au mois de mars 2024, ladite délégation n’a pu effectuer aucune constatation lors du contrôle effectué en mai dernier ».

La CNIL explique que « la désinstallation du logiciel de la société BRIEFCAM a été ordonnée au sein de la gendarmerie nationale », mais que cela « n'a pas été cas dans l’ensemble des services du ministère de l’Intérieur ». Elle relève donc que «  des fonctionnalités s’apparentant à des traitements biométriques sont toujours disponibles au sein des logiciels mis en œuvre par des services relevant du ministère de l’Intérieur, et que leur usage reste ainsi techniquement possible, du moins en théorie ». Les dispositifs biométriques sont pourtant interdits par le RGPD et la loi Informatique et Libertés, sauf exceptions.

La CNIL relève aussi que la fonctionnalité « Reconnaissance faciale » « [semble] être activée par défaut par certains éditeurs (au sein des logiciels de la société BRIEFCAM notamment) ». Elle demande donc au ministre de l'Intérieur de prendre « des mesures pour empêcher l’utilisation de cette fonctionnalité, par exemple en prévoyant la désactivation par un compte "administrateur", afin qu’elle ne puisse pas être mise en œuvre par les utilisateurs du logiciel, ainsi qu’une remontée d’alerte automatique au responsable de traitement en cas de réactivation ». Elle remarque qu' « idéalement, une version spécifique du logiciel n’intégrant pas ce type de fonctionnalité devrait être privilégiée ».

Des engagements de conformité envoyés tardivement ou pas du tout

L'autorité ajoute que le simple engagement de conformité que doivent lui transmettre les autorités utilisatrices de logiciels de rapprochement judiciaire a été fait très tardivement pour certains d'entre eux.

Plus précisément, elle constate que la direction générale de la Gendarmerie nationale (DGGN) lui a transmis l'engagement de conformité à l'acte réglementaire unique RU-18 pour l'utilisation des logiciels de BriefCam un mois après les révélations de nos confrères. Cette transmission n'a été faite « malgré [leur] utilisation depuis 2015 [...] que le 14 décembre 2023 », souligne la CNIL.

Pour le logiciel souverain "Système V", la CNIL fait remarquer que la DGGN ne lui a transmis son engagement de conformité que le 20 novembre 2023, alors qu'elle l'utilise depuis 2021. De même, la préfecture de police de Paris n'a transmis cet engagement que le 30 octobre 2023 alors qu'elle l'utilise aussi depuis 2021.

« Malgré l’utilisation par la préfecture de police de Paris du logiciel "Vidéo Synopsis" (lors de deux phases d’expérimentation entre 2016 et 2022), du logiciel "Axiom" et du logiciel "Physical Analyzer", aucun engagement de conformité au RU-18 n’a à ce jour été reçu par la CNIL », ajoute la Commission.

Elle met donc aussi en demeure le ministère « de transmettre des engagements de conformité au règlement unique RU-018 pour les différents logiciels de rapprochement judiciaire (LRJ) mis en œuvre n’en ayant encore pas fait l’objet » et de « réaliser une analyse d’impact relative à la protection des données (AIPD) pour les différents LRJ n’en disposant pas encore, notamment les logiciels " Physical Analyzer " et " Axiom " ».

L'autorité rappelle que si sa mise en demeure n'est pas respectée, elle peut désigner un rapporteur pour prononcer ensuite une sanction prévue par l'article 20 de la loi Informatique et libertés. Le ministère peut faire un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification. La CNIL a pris la décision de rendre publique cette mise en demeure après avoir réuni son bureau le 18 novembre dernier.

Dans son communiqué de presse concernant cette mise en demeure, la CNIL signale avoir adressé des mises en demeure à six communes à propos de leur utilisation du logiciel de Briefcam.

Elle souligne ne pas avoir relevé d’utilisation de fonctionnalités de reconnaissance faciale mais son utilisation pour « la détection automatisée de situations laissant présumer une infraction sur le domaine public » (ce qui est interdit), la génération de statistiques sur l'usage de l'espace public, ou « l'utilisation des fonctionnalités de recherche automatique dans les images pour répondre à des réquisitions judiciaires » (ce qui est encadré par la loi).