Parmi les axes du plan stratégique 2022-2024[1] de la Commission Nationale de l’Informatique et Libertés (CNIL) figure la réponse au défi de l’intensification de l’usage des données personnelles. En ce sens, elle a retenu comme prioritaire la thématique des caméras augmentées et de leurs usages, notamment par la mise en œuvre d’algorithmes prédictifs.
C’est sur la base de cet axe stratégique que la CNIL a diligenté plusieurs contrôles auprès d’autorités publiques utilisant des logiciels de traitement vidéo dans le cadre de leurs missions.
Ont notamment été contrôlés, les services du ministère de l’Intérieur et huit communes faisant usage des logiciels de la société Briefcam. Cette société israélienne a fait parler d’elle en raison des dispositifs de reconnaissance faciale et de recherches algorithmiques ciblées qu’elle propose. Dans un article de novembre 2023, le journal d’investigation Disclose a révélé[2] l’utilisation par les services du ministère de l’Intérieur d’un logiciel de cette société, ce qui a donné lieu à un contrôle des services ministériels.
A l’issue de ces contrôles, la CNIL a prononcé des mises en demeure à l’encontre des services du ministère de l’Intérieur (I) et de 6 communes sur les 8 contrôlées (II).
I. La mise en demeure adressée au ministère de l’Intérieur
La CNIL a tout d’abord ciblé les manquements à l’obligation de traiter les données de manière licite.
Le traitement d’enregistrements vidéo visant à identifier les auteurs d’infraction et à réunir des preuves à l’appui d’un logiciel est légal dans la seule hypothèse où constitue un logiciel de rapprochement judiciaire à des fins d’analyse criminelle (LRJ). La légalité de ce type de système se fonde notamment sur la procédure très encadrée dans laquelle s’inscrit ce mode de recherche d’infraction, placée sous le contrôle d’un magistrat, en raison des risques qu’il présente pour les droits et libertés des individus[3].
La CNIL, au même titre que le ministère de l’Intérieur, considère que les logiciels utilisés par les forces de l’ordre pour les traitements vidéo s’inscrivent dans le cadre des LRJ. Toutefois, la Commission relève que la doctrine du ministère de l’Intérieur sur le cadre légal d’utilisation de ces logiciels ne date que de 2023.
Ainsi, avant 2023, les services du ministère ont fait usage de ces dispositifs en dehors du cadre légal et réglementaire prévu, en ne transmettant pas les engagements de conformité à la CNIL, mais également en ne procédant pas aux demandes d’autorisations judiciaires pour chaque procédure, ce qui est réglementairement[4] prévu pour les LRJ.
La CNIL met donc en demeure le ministère de l’Intérieur de produire les engagements de conformité au règlement unique RU-18 et de lui transmettre le projet de révision du décret de 2012 traitant en particulier de l’encadrement des LRJ.
- Sur l’obligation de diligenter les analyses d’impact relatives à la protection des données (AIPD).
L’article 90 de la loi informatique et libertés (LIL)[5] prévoit l’obligation d’effectuer une analyse d’impact relative à la protection des données en cas de risque élevé pour les droits et libertés des personnes physiques concernées par les traitements de données.
Les logiciels de la société Briefcam sont utilisés depuis 2015 par les services du ministère de l’Intérieur.
Toutefois, ces analyses d’impact ont été transmises à la CNIL plusieurs années après le début de leur utilisation.
Si la Commission rappelle que l’obligation de diligenter une AIPD ne date que de 2019 et qu’elle avait laissé deux ans pour opérer une mise en conformité, force est de constater que le ministère de l’Intérieur n’avait pas transmis ces analyses à temps, emportant ainsi violation de l’article 90 de la LIL.
C’est pour cette raison qu’elle met également en demeure les services du ministère de réaliser ces études d’impact dans un délai de deux mois.
- Sur l’interdiction des dispositifs de reconnaissance faciale.
Conformément aux dispositions de l’article 88 de la LIL[6], le traitement de données biométriques n’est possible qu’en cas de nécessité absolue, sous réserve de garantir les droits et libertés de la personnes concernée par ce traitement.
Ce traitement ne peut ainsi être mis en œuvre uniquement s’il est autorisé par une disposition législative ou règlementaire, ou s’il est mis en œuvre pour protéger les intérêts vitaux d’une personne physiques, ou encore s’il porte sur des données rendues publiques par la personne objet du traitement.
La CNIL a relevé que le logiciel de la société Briefcam contenait une fonctionnalité de reconnaissance faciale sans pour autant que celle-ci ne soit utilisée par les services du ministère.
Ainsi, bien que la Gendarmerie ait désinstallé ce logiciel, tel n’est pas le cas des autres services. En ce sens, la CNIL relève une double violation de l’article 88 susmentionné en ciblant l’utilisation de la reconnaissance faciale et l’absence de garantie technique empêchant l’utilisation cette technique.
La CNIL met donc en demeure le ministère de prendre des mesures visant à empêcher l’utilisation de fonctionnalités de reconnaissance faciale.
II. Les mises en demeure adressées aux communes
Sur l’ensemble des communes ayant fait l’objet d’un contrôle, six d’entre-elles ont reçu une mise en demeure de la CNIL afin de mettre fin aux manquements constatés. Si la Commission n’a pas rendu publique ces mises en demeure contrairement à celle adressée au ministère de l’Intérieur, elle a toutefois établi la liste des différents usages des caméras augmentées qu’elle a relevés, dont certains sont interdits.
La CNIL portait ici son attention sur l’utilisation des caméras augmentées par les communes contrôlées. Tandis que la Commission n’avait pas relevé d’utilisation de telles caméras par les services du ministère de l’Intérieur, elle a constaté l’utilisation de tels dispositifs dans les communes contrôlées.
Pour rappel, les caméras augmentées mettent en œuvre des dispositifs de traitement automatisé des images captées par les caméras, sans pour autant se confondre avec un quelconque procédé de reconnaissance biométrique.
Leur utilisation fait l’objet d’un encadrement juridique très succinct et reste d’ailleurs toujours en construction comme en témoigne la récente prolongation[7] jusqu’au 1er mars 2027 de l’expérimentation du traitement algorithmique des images de vidéoprotection.
Leur utilisation est ainsi permise sous certaines conditions dont celle de ne pas analyser les images en temps réel, ce que rappelle la CNIL dans son bilan.
Ainsi, la CNIL a relevé les usages suivants :
- En premier lieu, elle a relevé un usage permettant la détection automatisée de situations laissant présumer une infraction sur le domaine public qui actuellement interdit.
- En second lieu, la Commission a relevé un usage permettant de générer des statistiques qui, à défaut d’être illégal, doit faire l’objet d’une publicité suffisamment importante à destination du public.
- Enfin, la CNIL fait mention d’une utilisation de dispositifs de recherche automatique d’informations dans les images collectées dans le cadre des réquisitions judiciaires et en profite pour rappeler l’importance de la sécurisation des images et la nécessité pour les policiers municipaux d’agir dans le cadre des réquisitions judiciaires en raison de leur défaut d’habilitation.
L’utilisation de caméras augmentées, en raison des risques qu’elle fait peser sur les droits et libertés fondamentaux, fait l’objet d’une attention particulière de la CNIL. L’utilisation de données personnelles dans le cadre des dispositifs de traitement algorithmique, proposés notamment par la société Briefcam, ne peut se faire que dans un cadre légal susceptible de prévenir une utilisation débridée de ces outils.
_____
[1] Commission nationale informatique et libertés (CNIL). 2021. Plan stratégique 2022-2024 « Être à vos côtés pour construire une société numérique de confiance ».
[2] Disclose. 14 novembre 2023. « La police nationale utilise illégalement un logiciel israélien de reconnaissance faciale ».
[3] Article 230-20 et suivants et R. 40-39 à R. 40-41 du code de procédure pénale (CPP) ; décret n°2012-687 du 7 mai 2012
[4] Décret n°2012-687 du 7 mai 2012 (NOR : IOCD1206343D) relatif à la mise en œuvre de logiciels de rapprochement judiciaire à des fins d’analyse criminelle
[5] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
[6] Ibid
[7] Loi relative au renforcement de la sécurité dans les transports adoptée par l’Assemblée nationale le 18 mars dernier par l’Assemblée nationale.