Vidéosurveillance algorithmique : pas de suivi ni de réidentification des individus

Le Journal officiel vient de publier le décret, et l'avis de la CNIL afférent, au sujet de l'expérimentation de traitements algorithmiques appliqués à des images issues de caméras « augmentées » de « vidéoprotection », ou déployées sur des drones, aux fins de détection d'évènements suspects.

Le décret autorisant, « à titre expérimental et jusqu'au 31 mars 2025 », le recours à des traitements algorithmiques sur les images collectées au moyen de systèmes de vidéoprotection et de caméras installées sur des aéronefs vient d'être publié au JO.

Dans sa délibération, la CNIL précise que ce décret a pour objet de « lister les évènements prédéterminés qu'un traitement algorithmique peut avoir pour objet de détecter » au moyen des caméras dites « augmentées », et notamment :

« les évènements prédéterminés que le traitement a pour objet de signaler,
le cas échéant les spécificités des situations justifiant son emploi,
les services mentionnés susceptibles de le mettre en œuvre,
les éventuelles conditions de leur participation financière à l'utilisation du traitement et
les conditions d'habilitation et de formation des agents pouvant accéder aux signalements du traitement. »

En l'espèce, les « évènements prédéterminés » qu'un traitement algorithmique peut avoir pour objet de détecter, « en ce qu'ils sont susceptibles de présenter ou de révéler un risque d'acte de terrorisme ou d'atteinte grave à la sécurité des personnes », sont :

présence d'objets abandonnés ;
présence ou utilisation d'armes ;
non-respect par une personne ou un véhicule, du sens de circulation commun ;
franchissement ou présence d'une personne ou d'un véhicule dans une zone interdite ou sensible ;
présence d'une personne au sol à la suite d'une chute ;
mouvement de foule ;
densité trop importante de personnes ;
départs de feux.

La CNIL rappelle que cette liste est « limitative de telle sorte qu'aucun traitement algorithmique ne pourra être conçu, acquis par l'État ou mis en œuvre en phase d'exploitation pour détecter d'autres évènements que ceux qui y sont énumérés ».

Les algorithmes ne permettent donc pas de suivre des individus

Si ces évènements prédéterminés lui « apparaissent pertinents dans le cadre de l'expérimentation », elle prend acte que :

la détection d'objets abandonnés a uniquement pour objet d'identifier l'abandon de ces objets et ne permet donc pas de suivre des individus ;
la détection du « non-respect du sens de circulation par une personne » ne s'entend que dans l'hypothèse où un sens de circulation serait imposé aux personnes ;
la détection d'une personne au sol ne devrait concerner que les seuls cas où celle-ci aurait chuté « quelle qu'en soit la cause » (par exemple un accident, un malaise ou un choc), « et non les cas où une personne est assise à terre de façon continue », ce qui exclut de facto la reconnaissance et surveillance des SDF.

Le décret précise que ces traitements pourront porter, pendant la phase de conception, sur des images collectées au moyen de systèmes de vidéoprotection et de caméras installées sur des aéronefs autorisées, mais également d'images qui ont fait l'objet d'un « traitement algorithmique dont les biais ou les erreurs doivent être corrigés ».

Les données afférentes seront conservées pendant une durée « strictement nécessaire ». Dans tous les cas, elle ne pourra pas excéder 12 mois à compter de l'enregistrement des images et s’arrêtera à la fin de l'expérimentation fixée au 31 mars 2025.

« Les opérations de collecte, de consultation, de communication, de modification et d'effacement des données à caractère personnel et informations traitées, ainsi que les signalements générés par les traitements font l'objet d'un enregistrement », dont les journaux permettant d'établir le motif, la date et l'heure de ces opérations et les personnes en étant à l'origine seront, eux aussi, conservés pendant 12 mois.

Les agents habilités à accéder aux signalements du traitement devront en outre bénéficier d'une formation en matière de protection des données à caractère personnel adaptée aux missions effectivement confiées.

Aucune donnée biométrique, ni technique de reconnaissance faciale

La CNIL précise que les traitements sont mis en œuvre par l'État « ou par un sous-traitant », qu'ils peuvent être acquis auprès d'un tiers fournisseur de solutions algorithmiques, que leur objectif est de fournir des « signalements d'attention », qu'ils ne pourront donc pas fonder de décision individuelle ou acte de poursuite, et qu'ils ne peuvent être mis en œuvre :

« qu'à la seule fin d'assurer la sécurité des manifestations sportives, récréatives ou culturelles qui, par l'ampleur de leur fréquentation ou par leurs circonstances, sont particulièrement exposées à des risques d'actes de terrorisme ou d'atteintes graves à la sécurité des personnes ;
que par les services de la police et de la gendarmerie nationales, les services d'incendie et de secours, les services de police municipale et les services internes de sécurité de la SNCF et de la RATP dans le cadre de leurs missions respectives, qui assumeront la qualité de responsables de traitement ».

De plus, et conformément aux garanties prévues par la loi, ces traitements ne peuvent utiliser aucune donnée biométrique ni aucune technique de reconnaissance faciale. Ils ne peuvent procéder à aucun rapprochement, interconnexion ou mise en relation automatisée avec d'autres traitements ou encore « fonder, par eux-mêmes, aucune décision individuelle ni poursuites automatisées ».

Pas de suivi ni de réidentification de personnes

La CNIL prend également acte de l'engagement du Gouvernement selon lequel les traitements ne permettront pas le suivi ou la réidentification de personnes, « et ce même grâce à des données autres que biométriques (par exemple par le biais de la reconnaissance de vêtements) ».

En tout état de cause, la CNIL « recommande fortement », au regard de la sensibilité et du caractère inédit des traitements algorithmiques envisagés, qu'aucun transfert de données hors de l'UE ou accès aux données par des autorités étrangères ne puisse avoir lieu, autant en phase de conception que d'exploitation.

La CNIL estime en outre qu'une simple mise à jour des panneaux d'affichage d'un système de vidéoprotection ou de drones ne saurait suffire, et que le public devra être informé du « caractère sans contact et novateur de ces technologies ».

Elle « insiste donc fortement » sur la nécessité de prévoir systématiquement des modalités d'information directement sur les lieux de captation des images et sur des supports adaptés (panneaux d'information dédiés, vidéos, codes QR, marquage au sol, annonces sonores, etc.).

Une AIPD « nécessairement limitée à ce stade »

Elle constate par ailleurs que l'analyse d'impact relative à la protection des données (AIPD) transmise par le Gouvernement « est nécessairement limitée à ce stade », en l'absence de connaissance des caractéristiques précises des solutions algorithmiques qui seront acquises auprès de tiers ou développées en propre, et qu'elle devra donc être mise à jour et complétée :

tout d'abord par le Gouvernement à l'issue de l'appel d'offres auprès des fournisseurs de solutions (notamment sur les parties relatives à la sous-traitance et à la sécurité de l'exploitation de la solution) ;
dans un second temps par les responsables de traitement qui devront compléter cette AIPD « cadre » des caractéristiques particulières de chacun des traitements algorithmiques mis en œuvre.

Dans ce contexte, la CNIL attire aussi l'attention des responsables de traitements sur le fait qu'il ne s'agira pas uniquement de renseigner quelques particularités de mise en œuvre au sein de l'AIPD « cadre », mais d'évaluer les risques créés par chaque solution algorithmique et les mesures envisagées afin de les minimiser.

Il appartiendra notamment aux responsables de traitements de compléter l'AIPD au sujet des mesures techniques et organisationnelles pour la consultation des images relatives aux événements détectés, leur enregistrement et l'éventuel déchargement des contenus vidéos d'une part, d'autre part des mesures organisationnelles particulières pour l'intervention des sous-traitants qui viendront installer et paramétrer les solutions et s'assurer de leur maintien en conditions opérationnelles.

Restera à savoir ce sur quoi débouchera cette expérimentation, lancée sous couvert de jeux Olympiques et Paralympiques de 2024, alors même que l'AI Act européen a, lui aussi, vocation à encadrer ce que de tels algorithmes seront autorisés à faire, ou pas.