Par une décision en date du 30 janvier 2026, le Conseil d’État rejette le recours pour excès de pouvoir formé par la commune de Nice contre une délibération de la Commission nationale de l’informatique et des libertés (CNIL) relative à un traitement algorithmique de vidéoprotection dénommé « zone d’intrusion entrées des écoles ».

À la suite d’un contrôle, la CNIL avait estimé que ce dispositif, consistant à détecter en temps réel et de manière automatisée les véhicules stationnant irrégulièrement devant les écoles afin d’alerter la police municipale, ne pouvait être mis en œuvre en l’état du droit. La commune soutenait notamment que la délibération était entachée de vices de procédure et d’erreur de droit.

Sur la légalité externe, le Conseil d’État écarte les moyens tirés d’un vice de procédure et d’une insuffisance de motivation, relevant que les règles de quorum et de majorité avaient été respectées et que la délibération exposait de manière suffisante ses motifs de droit et de fait.

Sur la légalité interne, le cœur du raisonnement du Conseil d’État se concentre sur l’interprétation des dispositions du Code de la sécurité intérieure.

La Haute juridiction rappelle que les systèmes de vidéoprotection autorisés par l’article L. 251-2 du Code de la sécurité intérieure constituent des traitements de données à caractère personnel soumis au règlement général sur la protection des données et à la loi du 6 janvier 1978. Ces systèmes peuvent être déployés notamment pour la protection des bâtiments publics et de leurs abords, la prévention des atteintes à la sécurité des personnes et des biens ou encore la constatation de certaines infractions. Le cadre légal vise ainsi l’installation et l’exploitation de dispositifs de captation d’images, dans des finalités limitativement énumérées.

Le Conseil d’État décrit précisément la nature du traitement litigieux. Il ne s’agissait pas d’un simple dispositif de captation et de consultation d’images, mais d’un mécanisme d’analyse algorithmique continue, en temps réel, permettant une détection automatisée d’un comportement déterminé — en l’espèce, le stationnement irrégulier — et la génération d’alertes. Le traitement impliquait donc une analyse systématique des flux vidéo par un algorithme, sans intervention humaine préalable.

C’est sur ce point que s’articule l’apport majeur de la décision. Le Conseil d’État juge que les dispositions de l’article L. 251-2, si elles autorisent la mise en œuvre de systèmes de vidéoprotection, ne sauraient être interprétées, « dans leur silence », comme habilitant les autorités publiques à procéder à une analyse algorithmique systématique et automatisée des images collectées dans l’espace public. Autrement dit, l’autorisation de capter et de visionner des images ne vaut pas, par elle-même, autorisation d’y adjoindre des outils d’analyse automatisée.

La Haute juridiction relève qu’aucune autre disposition législative ne prévoit expressément la possibilité de mettre en œuvre de tels traitements algorithmiques. En l’absence de base légale spécifique, le principe de légalité fait obstacle à leur déploiement. Le Conseil d’État précise en outre que cette conclusion s’impose indépendamment de la qualification du dispositif au regard du règlement (UE) 2024/1689 sur l’intelligence artificielle. Même à supposer que le traitement ne relève pas des systèmes d’IA à « haut risque », cette circonstance est sans incidence sur l’exigence préalable d’une habilitation législative nationale.

A ce titre, le Conseil d’État en déduit que la commune de Nice n’est pas fondée à demander l’annulation de la délibération de la CNIL. La requête est rejetée dans son intégralité, y compris les conclusions présentées au titre de l’article L. 761-1 du Code de justice administrative.

La portée de cette décision est significative. Elle consacre une distinction nette entre la vidéoprotection « classique », fondée sur la captation et la consultation d’images, et les traitements d’analyse algorithmique automatisée appliqués à ces images. Ces derniers, en raison de leur caractère systématique et potentiellement intrusif, ne peuvent être regardés comme implicitement couverts par le cadre législatif existant. Ils requièrent une intervention expresse du législateur.

Le Conseil d’État affirme ainsi, avec une particulière clarté, que l’évolution technologique des outils de sécurité ne peut suppléer l’exigence de base légale. Toute extension fonctionnelle substantielle d’un dispositif de surveillance publique par adjonction d’algorithmes d’analyse doit trouver son fondement dans une base législative précise et explicite.