Connexion
Abonnez-vous

L’audiosurveillance algorithmique (ASA) est « illicite » quand elle est couplée à la vidéoprotection

Souriez, vous êtes (aussi) écoutés

L’audiosurveillance algorithmique (ASA) est « illicite » quand elle est couplée à la vidéoprotection

Le 02 octobre 2023 à 06h15

Les systèmes de « détection audio intelligente » de bruits suspects ne peuvent pas, en l'état, être associés aux systèmes de « vidéoprotection », explique la CNIL, du fait qu'ils seraient dès lors « susceptibles de permettre la réidentification d'une personne physique  ». 

Le dispositif d’audiosurveillance algorithmique (ASA) déployé à Orléans dans le cadre d’une convention avec la start-up locale de surveillance USS Sensivic était « illicite », vient de répondre la CNIL à la Quadrature du Net (LQDN), qui avait attaqué le dispositif en 2021.

Le système de « détection audio intelligente » de Sensivic des « bruits anormaux (ondes de choc de type coups de feu, explosion, voiture bélier, bris de vitre, accident...) » avait été relié au dispositif de vidéoprotection de la ville, afin qu'elles puissent être réorientées en cas d'alerte vers l'origine de la source du bruit. 

La novlangue de la mairie d'Orléans

En réponse, la mairie d'Orléans avait répliqué qu'il ne s'agissait pas de micros, mais de « détecteurs de vibration de l’air » (sic), allant jusqu'à souligner qu' « il convient de préciser que le traitement numérique s’opère par un code “firmware” c’est-à-dire embarqué dans le processeur électronique, et non pas de code “informatique” utilisé dans des ordinateurs classiques. Il s’agit, donc, d’électronique numérique. »

Sensivic avance pour sa part que ses produits « respectent la vie privée en anonymisant les sons, conformément au RGPD », qu'ils ont été audités par « un laboratoire indépendant référent sur le métier », et que « les sons captés par les produits Sensivic sont transformés de manière à rendre impossible de remonter à des voix, à des conversations, et qu’ainsi, aucune donnée pouvant être interprétée comme une donnée à caractère personnel n’est accessible sur nos produits » : 

« Effectivement, nos systèmes fonctionnent via un apprentissage non supervisé, sans bases de données en entrée. Par conséquent, ils n’offrent aucune possibilité de comparaison et d’identification d’une personne par rapport à une référence sonore donnée en entrée. »

Les caméras ne peuvent pas être couplées à des micros

La CNIL souligne que « les sons n'étaient ni enregistrés ni retransmis (ni à la société, ni au centre de sécurité orléanais), et qu'aucune des données traitées n'avait une durée de vie supérieure à 64 millisecondes, temps nécessaire à l'anonymisation de l'échantillon sonore ».

Elle n'en constate pas moins que « pour autant, il doit être considéré que le couplage des données sonores et visuelles constitue un traitement de données à caractère personnel, en ce qu'il est susceptible de permettre la réidentification d'une personne physique  ».

L'expérimentation a beau avoir été achevée en octobre 2022, la CNIL rappelle que les dispositions applicables du code de la sécurité intérieure (CSI) « prévoient uniquement la possibilité d'installer des systèmes de vidéoprotection de les (sic) communes sans captation du son », ce pourquoi l'expérimentation est qualifiée d' « illicite » : 

« seule une loi spécifique, adaptée aux caractéristiques techniques et aux enjeux en question serait de nature à fournir un encadrement adéquat, en application de l'article 34 de la Constitution. »

Une « victoire décevante »

La Quadrature se félicite du fait que « la CNIL vient ici rappeler ce qu’elle avait déjà dit à Saint-Étienne » qui, en 2019, avait envisagé un projet d'ASA similaire avec l'aide de l'entreprise Serenicity. La CNIL avait alors déjà rappelé qu’il est illégal de capter des sons dans l’espace public pour améliorer la vidéosurveillance.

LQDN qualifie néanmoins la réponse de la CNIL de « décevante ». D'une part parce que « la CNIL a mis presque trois ans à instruire ce dossier et à prendre une décision, alors qu’il ne s’agissait que de l’application stricte d’une décision déjà prise dans le passé à Saint-Étienne ».

D'autre part parce que « la CNIL limite son raisonnement à la question du couplage de l’ASA avec la vidéosurveillance » :

« A contrario, elle considère que, lorsque l’ASA n’est pas couplée à de la vidéosurveillance, il pourrait ne pas y avoir de traitement de données personnelles. Cette analyse de la CNIL, bien que sans conséquence pratique, reste très contestable juridiquement. En bref, elle semble laisser une marge à l’industrie de la surveillance sur la question de l’analyse automatisée des sons. »

Dans sa réponse à LQDN, la CNIL souligne en effet que lors d'une seconde expérimentation, les détecteurs étaient toujours en place, qu'USS Sensivic a continué à les exploiter « aux fins d'amélioration de son dispositif, sans que le couplage avec le dispositif de vidéoprotection ne perdure » et que, dès lors, « la société ne met pas en œuvre de traitement de données à caractère personnel ».

LQDN, pour qui « cette victoire devant la CNIL est une bonne nouvelle », attend désormais la décision de la justice administrative, qu'elle avait également saisi à ce sujet.

Commentaires (13)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Concernant le cas de Saint-Etienne, dommage que l’article ne cite pas ce journal de qualité ;)




LQDN qualifie néanmoins la réponse de la CNIL de « décevante ». D’une part parce que « la CNIL a mis presque trois ans à instruire ce dossier et à prendre une décision, alors qu’il ne s’agissait que de l’application stricte d’une décision déjà prise dans le passé à Saint-Étienne ».


Plusieurs choses :



Tout d’abord, non, ce n’est pas la même chose qu’à Saint-Etienne. A Saint-Etienne, les sons étaient, semble-t-il, transmis tels quels. Dont les voix => données personnelles. Ici, ce n’est pas le cas, puisque les sons sont anonymisés par le dispositif de capture de son lui-même.



La durée de la procédure, bien que dommageable j’en conviens parfaitement, peut aussi s’expliquer sur le besoin de recul pour évaluer l’anonymisation des sons mis en oeuvre.



De plus, si les sons sont anonymisés, le RGPD ne s’applique pas. A lire la réponse de la Quadrature du Net, on a l’impression que même un relevé de l’intensité sonore serait une atteinte à la vie privée :eeek2:

votre avatar

Tu énonces les arguments de l’industrie de la surveillance (cf. la partie de l’article «La novlangue de la mairie d’Orléans»).



D’abord, l’anonymisation n’est jamais vraiment assurée en matière de collectes de données personnelles.



Enfin, quand bien même l’anonymisation serait optimale, le traitement d’une donnée personnelle reste le traitement d’une donnée personnelle. En l’occurrence, il s’agit in fine de comparer un son avec une base de modèles (comme dans l’affaire de St Etienne).



Extrait de l’article que tu cites dans ton commentaire :




Certes, il est parfois difficile d’identifier une personne par ce biais. Cependant, associé comme ici avec un système de caméra de surveillance (la « vidéoprotection » chère à la LOPPSI), un son « peut permettre in fine cette identification ».



Pour justifier un peu plus l’emprise « RGPDienne », la CNIL constate l’existence d’un traitement sur ces données personnelles, soit la deuxième condition d’application du texte européen : une collecte puis une analyse algorithmique pour déterminer la nature des sons et les comparer avec une base de modèles.


votre avatar

(quote:2156188:consommateurnumérique)
Tu énonces les arguments de l’industrie de la surveillance (cf. la partie de l’article «La novlangue de la mairie d’Orléans»).


Désolé, mais non. Faire remarquer que les deux cas ne sont pas les mêmes ce n’est pas reprendre sans réfléchir les arguments de l’industrie de la surveillance. D’un côté, les données sont brutes, et de l’autre anonymisé/pseudonymisé (je le rajoute pour te faire plaisir ;) ). Ce qui n’est drastiquement pas du tout la même chose.




D’abord, l’anonymisation n’est jamais vraiment assurée en matière de collectes de données personnelles.


Bien sur que si, l’anonymisation existe. Elle est délicate à mettre en oeuvre, beaucoup font de la pseudonymisation en pensant faire de l’anonymisation, mais cela n’empêche pas l’anonymisation d’être une réalité tangible.



Maintenant, l’anonymisation de données sonores, j’avoue ne pas y connaitre grand chose. Surtout que nous ne connaissons pas le procédé qui est employé, difficile donc de juger de son efficacité.



Quoi qu’il en soit, si je déplore que le résultat de l’analyse par un laboratoire indépendant ne soit pas librement accessible, ni même le nom du laboratoire, tu peux le demander par mail.



Je note également que l’entreprise ne sait pas contenté de faire un truc sur l’honneur (comme on voit beaucoup) mais est passé par un laboratoire indépendant.



Nous manquons d’information pour pouvoir se faire une idée précise. Mais je pense que la CNIL, elle, a eu toutes les informations nécessaires pour pouvoir répondre à la plainte.



Maintenant, je ne reproche ni n’approuve la position de la CNIL (je n’ai pas les éléments nécessaires pour me faire une idée précise), je reproche la position de LQDN, qui me semble bien approximative et relever plus du dogmatisme qu’une réelle analyse profonde du fait de “comparaisons de choux et de carottes”.




Enfin, quand bien même l’anonymisation serait optimale, le traitement d’une donnée personnelle reste le traitement d’une donnée personnelle.


Non, une donnée anonymisée n’est plus une donnée personnelle.




En l’occurrence, il s’agit in fine de comparer un son avec une base de modèles (comme dans l’affaire de St Etienne).


Ben non, justement. Les deux affaires, bien que semblable en apparence, sont en réalité très différentes sur le fond.

votre avatar

Le problème de captation du son est plus vaste que la seule analyse algorithmique. La cadre réglementaire ne permet pas la captation du son en même temps que les images. Donc, pour de la vidéo dont il n’est fait aucune analyse algorithmique et dont l’analyse n’est réalisée que par des opérateurs suite à une réquisition judiciaire, il est demandé de stopper la prise de son par le micro.



C’est le cas en ce moment chez nous, nous allons devoir tout couper. Je pense que c’est une totale aberration. Se priver de l’exploitation du son, c’est s’empêcher de connaitre le contexte de l’incident/l’agression etc. Je ne suis pas sûr que les victimes apprécient.

votre avatar

Aberration peut-être, mais même avec les meilleures intentions du monde, tout les outils finissent par être détournés pour un autre usage.
Et si on suit la logique, les caméras auraient dû avoir dés le début des micros.

votre avatar

avoir le son+l’image, c’est de l’espionnage en plus d’être de la surveillance. Il y a intérêt à avoir un encadrement légal et des procédures admnistratives strictes pour voir ces dispositifs autorisés. Mais nul doute que ces dispositifs seront mis au goût du jour dans le futur quand on voit les ambitions de la 5G et l’appétence des élu·es de droite et de gauche sur le sujet.

votre avatar

la mairie d’Orléans avait répliqué qu’il ne s’agissait pas de micros, mais de « détecteurs de vibration de l’air »


Elle est collector celle-là !

votre avatar

fdorin a dit:


Non, une donnée anonymisée n’est plus une donnée personnelle.


Et pour obtenir cette donnée anonymisée sans traiter la donnée personnelle, tu fais comment ?




Arkeen a dit:


Elle est collector celle-là !


À leur décharge, tu pourrais avoir un capteur qui détecte seulement l’intensité sonore, sans détecter les sons.
(Mais ce qui n’est à priori pas le cas ici, puisqu’ils ont besoin de traiter le signal pour l’anonymiser)

votre avatar

Mihashi a dit:


Et pour obtenir cette donnée anonymisée sans traiter la donnée personnelle, tu fais comment ?


Pour commencer la donnée traitée n’est pas une donnée personnelle, mais une donnée potentiellement personnelle. Dès la capture des sons, un procédé est mis en place d’un point de vue matériel (via le firmware) afin de garantir, dans l’éventualité où il y aurait une donnée personnelle, qu’elle ne soit plus personnel via un processus d’anonymisation.



Maintenant, c’est mon avis et mon interprétation ne compte pas. Par contre, celle de la CNIL, oui. Dans la délibération, elle précise notamment :




Il ressort des caractéristiques matérielles du dispositif développé par la société USS SENSIVIC, tel que paramétré au moment du contrôle pris isolément, que la société ne met pas en œuvre de traitement de données à caractère personnel.


Donc non, la capture d’un son et son traitement matériel (et je pense que la présence du mot matériel dans la décision de la CNIL est très importante) immédiat afin de l’anonymiser si nécessaire ne constitue pas un traitement à caractère personnel. Et quand on regarde les caractéristiques du traitement, avec des sons découpés par intervalle de 64ms, et traité indépendamment les uns des autres, je vois effectivement mal comment il serait possible de reconstituer une conversation par exemple.



Et dans un sens, heureusement. Sinon, même les sismographes seraient considérés comme réalisant des traitements de données à caractère personnel !



Dans sa décision, la CNIL précise bien ce qui relève de données à caractères personnels:




Pour autant, il doit être considéré que le couplage des données sonores et visuelles constitue
un traitement de données à caractère personnel, en ce qu’il est susceptible de permettre la
réidentification d’une personne physique.


Et c’est tout à fait logique, puisque la donnée visuelle est en elle-même identifiante. Lui rajouter une donnée ne change pas son caractère identifiant.



Pour en revenir sur le fond de mon premier commentaire, les situations de Saint-Etienne et d’Orléans sont donc très différentes sur le fond, car dans le premier cas, les sons ne sont pas anonymisés avant traitement et ont donc potentiellement un caractère personnel, tandis que ce n’est pas le cas dans le second.



[edit]
Voici la délibération de la CNIL, sur le site de LQDN.

votre avatar

tiens, j’ai loupé un épisode? je croyais que sensivic ne faisait “”“que”“” détecter des coups de feu, bris de glace, cris, etc. et envoyait une instruction à la caméra associée pour tourner vers la source du bruit (et qui en plus galère à gérer les échos etc.)?

votre avatar

Faut faire sauter ce découplage son et image, ça devient ridicule ! Mais il faut être strict sur la RGPD aussi. Qui à intérêt à ne pas se faire identifier sur les lieux d’une fusillade ? Si au moins ça permettait d’identifier plus facilement des narco-terroristes venus d’Afrique…

votre avatar

C’est possible de faire sauter ce découplage. La CNIL le dit : il faut juste une loi.

votre avatar

Edward Snowden ne voulait pas révéler au journliste qui l’interviewait la marque du nouveau mixer qu’il venait d’acheter pour sa cuisine… parce qu’apparemment la NSA aurait des empreintes acoustiques très fidèles de mixeurs de cuisine…et des capteurs top pour les repérer ensuite…

L’audiosurveillance algorithmique (ASA) est « illicite » quand elle est couplée à la vidéoprotection

  • La novlangue de la mairie d'Orléans

  • Les caméras ne peuvent pas être couplées à des micros

  • Une « victoire décevante »

Fermer