Le document était attendu de longue date. La CNIL met en ligne ce jour sa « position » sur le déploiement des caméras dites « augmentées » ou « intelligentes » installées dans les espaces publics. Celles disposant d’une couche informatique permettant de détecter des « évènements » de toutes natures, voire des émotions.
Les 18 pages de cette position officielle vont fixer le cap de l’autorité de contrôle des données à caractère personnel dans la régulation de ces estomacs à données à caractère personnel que sont les caméras de vidéo augmentée.
La CNIL exclut du périmètre de son opinion les caméras biométriques, puisqu’elles ont fait l’objet d’un développement spécifique en novembre 2019, embrassant un champ particulier dans le sacro-saint RGPD. Elle écarte tout autant les dispositifs de détection du son, ou ceux en temps différés ou encore installés « à des fins de recherche scientifique au sens du RGPD ».
Sa cible se concentre en conséquence sur les caméras filmant en continu et en temps réel l’espace public, avec derrière une couche informatique pour analyser comportements (bagarre, incivilité, etc.), formes ou objets (automobiliste/piéton, motos/voitures).
Tout comme il n’y a pas qu’un type seul de cookies, l’expression de « caméras augmentées » est par définition plurielle, avec des revendications multiples :
« On peut notamment mentionner le souhait des autorités publiques de s’équiper de dispositifs toujours plus perfectionnés pour l’exercice de leur mission de sauvegarde de l’ordre public, de protection des populations ou encore d’aménagement des territoires, ou celui des commerçants de vouloir optimiser le pilotage de leur activité et la rentabilité de celle-ci, au moyen d’une connaissance encore plus fine des conditions et caractéristiques de fréquentation de leurs espaces de vente ».
Les hypothèses ont donc la couleur de l’arc-en-ciel : détection d’infraction au Code de la route, détection d’évènements considérés par les autorités comme suspects, comme un attroupement, « expressions faciales » et autres « comportements traduisant un état d’angoisse », sécurisation des concerts, régulation des flux de circulation pour améliorer la signalétique routière, détection de bagages abandonnés, les mesures d’affluences, de port du masque, d’audience d’un panneau électronique, ou d’un rayon de supermarché…
Une certitude : ces instruments ne sont pas les simples prolongements de la « vidéoprotection », novlangue de la vidéosurveillance dans les espaces publics, mais soulève des questions éthiques et juridiques au regard des intérêts en jeu avec en tête la vie privée, la liberté d’aller et venir, la liberté de réunion, la liberté de conscience et des cultes, le respect des données à caractère personnel.
Des données sensibles peuvent ainsi passer dans l’objectif, tout comme des émotions, sans oublier le risque de traçage des populations avec des données parfois identifiantes et des droits d’accès et d’opposition parfois réduits à peau de chagrin.
Ces yeux électroniques mobilisés ici pour des questions de prévention et de sécurité, là à des fins commerciales, sont autant d'incises dans les droits et libertés des personnes filmées.
Le rôle de la CNIL n’est évidemment pas celui du législateur. Ce n’est pas sa casquette, mais « dès lors que la légitimité de certains usages de ces technologies serait actée, [l’autorité] estime indispensable d’établir un socle de confiance nécessaire à leur implantation et à leur pérennisation ».
Tel est donc l’objet de ce document, en quête de « "lignes rouges" à ne pas franchir », avec en haut du panier « des dispositifs de caméras augmentées mettant en œuvre une notation sociale sur la base de l’analyse de comportements dans certains lieux publics ».
Une approche au cas par cas, sous l'angle du RGPD
Au regard de la pluralité de situation, la CNIL préfère mettre le cap sur une évaluation « au cas par cas », avec une ventilation selon les risques soulevés, non sans relever que les intérêts financiers sont vertigineux. « Le marché français est détenu essentiellement par des acteurs étrangers » relève-t-elle :
« En 2015, plus d’un tiers des équipements de vidéoprotection installés étaient importés de Chine, mais des acteurs états-uniens, allemands et suédois sont également présents. »
De plus, « le secteur de la vidéoprotection représentait 1,6 milliard d’euros de chiffre d’affaires en France en 2020 selon l’Association nationale de la vidéoprotection (AN2V), à comparer aux 28 milliards d’euros de chiffre d’affaires pour l’ensemble des industries de sécurité privées ».
Sur le volet des données personnelles, périmètre des compétences de la CNIL, le document relève que « ces nouveaux outils vidéo peuvent ainsi conduire à un traitement massif de données à caractère personnel, y compris parfois de données sensibles », où les personnes filmées sont aussi analysées, suivant les situations :
« La CNIL rappelle à cet égard qu’une vigilance particulière doit être accordée à l’égard de la tentation du "solutionnisme technologique" qui consisterait à considérer que les dispositifs de vidéo "augmentée" sont par nature efficaces et permettraient de résoudre de nombreux problèmes. »
Le risque d'une surveillance bien plus généralisée
Avec ces caméras augmentées placées dans l’espace public, le risque d’une surveillance généralisée est aujourd’hui décuplé par rapport à l’ère des caméras sous contrôle humain :
« Les dispositifs automatisés offrant un champ, une systématisation et une précision d’analyse impossibles jusque-là pour un humain. Au-delà de créer un phénomène d’accoutumance et de banalisation de technologies de plus en plus intrusives, ces dispositifs pourraient offrir à leurs utilisateurs la faculté de connaître des éléments nouveaux sur les personnes filmées pour prendre des décisions et des mesures les concernant ».
Elle cite là encore plusieurs exemples : « analyser le parcours d’achat d’une personne dans un magasin et en déduire ses goûts et ses habitudes, analyser le visage d’une personne pour en déduire son humeur et afficher une publicité ou des promotions en conséquence, etc. »
« La préservation de l’anonymat dans l’espace public est une dimension essentielle pour l’exercice de ces libertés », souligne la Commission qui sait que ces technologies sont insidieuses (« invisible et "sans contact" », pouvant évoluer facilement à l’aide de mises à jour logiciel vers des dispositifs encore plus intrusifs).
Dans son évaluation au cas par cas, la CNIL distingue les solutions qui engendrent des conséquences individuelles (par exemple un panneau publicitaire qui va s’adapter en fonction du genre de la personne ou un système de détection d’infractions) ou ceux qui ne sont calibrés que pour produire des statistiques sur un taux de fréquentation d’un lieu quelconque.
« L’impact de ces dispositifs pourra varier en fonction des lieux dans lesquels ils sont déployés et des catégories de population les fréquentant » note ceci dit la CNIL, qui cite l’exemple d’une caméra dans un magasin de jeux vidéo, plus souvent fréquentés par des mineurs, ou proche d’un lieu de culte, d’un hôpital ou syndicat.
D’autres variables peuvent peser quand ces dispositifs « ont vocation à entièrement automatiser certaines activités de la vie courante ».
La CNIL évoque cette fois l’exemple des magasins dits « autonomes » qui « fonctionneraient uniquement à partir de dispositifs de caméras "augmentées" qui suivraient les clients afin d’analyser leurs achats pour leur permettre de les régler directement (en caisse ou sur une application mobile) ».
Ces différents critères ont un poids différent dans l’approche RGPD de ces solutions, avec une attention particulière pour le « privacy by design », cher au règlement, qui consiste à penser au respect de la vie privée à tous les niveaux de leur conception.
Du Code de la sécurité intérieure au RGPD
Sur le terrain purement juridique, ces caméras dans l’espace public relèvent en principe du Code de la sécurité intérieure, seulement, « aucune disposition du CSI n’encadre, à ce jour, les conditions » de leur mise en œuvre, le code en question ne s’occupant que des caméras traditionnelles. Dans la doctrine de la CNIL, partagée par le gouvernement, cette lacune ne permettrait pas de considérer ces appareils comme toujours illicites, ni même autorisés.
La Commission plaide là encore pour une analyse au cas par cas, avec le RGPD et la loi CNIL sur les genoux, puisque la simple captation d’images d’individus reconnaissables entre dans le périmètre des traitements de données à caractère personnel.
Ceci posé, les conséquences arrivent par déluge : respect des droits, obligations des responsables de traitements et des sous-traitants, etc. Il faut aussi définir des finalités, et s’y tenir, outre justifier de l’existence d’une base légale appropriée.
La solution confortable de l’intérêt légitime, l’une des six bases légales prévues par le RGPD avec notamment le consentement, le contrat ou la mission d’intérêt public, ne peut pas toujours être revendiquée puisqu’elle impose une analyse de proportionnalité entre les intérêts du responsable de traitements et les droits et intérêts des personnes physiques.
Or, la CNIL estime que cet équilibre n’est pas toujours au rendez-vous, par exemple lorsqu’une caméra augmentée « analyse et segmente les personnes sur la base de leurs émotions pour leur proposer des contenus en conséquence ».
Surtout, il faudra respecter le principe de nécessité et de proportionnalité au fil d’une analyse d’impact, en désignant en outre un délégué à la protection des données personnelles. Et ce test échouera lorsqu’existent d’autres moyens moins intrusifs pour poursuivre la finalité du traitement (vigiles, technologies infrarouges pour compter des personnes, etc.).
Sur le volet sécurité, central dans le RGPD, la CNIL suggère plusieurs pistes comme le floutage, une limitation du nombre d’images captées, etc. Et, évidemment, elle n’oublie pas de rappeler la nécessaire information des personnes concernées. Elle suggère plusieurs pistes : « panneaux d’information dédiés, vidéos, codes QR, marquages au sol, annonces sonores, etc. ».
Au-delà de la tergiversation de la base légale justifiant ces traitements, la CNIL recommande chaudement d’adopter un texte spécifique pour les autoriser et encadrer. Et pour cause, sans un tel véhicule taillé pour l’occasion, le RGPD oblige le responsable de traitement à respecter le droit d’opposition des personnes, sauf s’agissant de certains traitements purement statistiques (voir page 17 de la position de la CNIL).
Quel texte ? Quand les garanties fondamentales sont en jeu, l’article 34 de la Constitution réserve cette compétence au seul législateur :
« Même en étant temporaires et limités à la protection de certains évènements ou à des finalités de prévention de troubles graves à l’ordre public, ces traitements sont susceptibles de modifier la façon dont l’action des services de police influe sur l’exercice par les citoyens de leurs libertés et droits fondamentaux, et ne peuvent trouver un fondement juridique suffisant dans les dispositions générales de la loi Informatique et Libertés ou dans le pouvoir réglementaire du gouvernement ou, a fortiori, des maires ».
Le document de la Commission réclame donc un débat démocratique, une loi, apte à concilier les objectifs poursuivis et la protection des données à caractère personnel.
Dans les dernières lignes du rapport, la CNIL « appelle avec insistance à une réflexion globale sur le juste emploi des caméras augmentées dans l’espace public afin que soit évitée leur multiplication désordonnée, aboutissant à une densité d’observation automatisée qui modifierait notre rapport à l’espace public – et ce, quelle que soit la légitimité de chaque dispositif pris isolément ».
Elle invite le Parlement et le gouvernement à faire « des choix », non sans lui recommander de réserver ces technologies aux cas où elles « présentent la plus-value la plus forte, si possible en lien avec l’intérêt général, en les assortissant de garanties appropriées ».
La déception de la Quadrature du Net
Du côté de la Quadrature, c’est malgré tout la soupe à la grimace, celle-ci considérant que l'autorité « a échoué à prendre la mesure du danger de ces technologies qui se déploient massivement dans nos villes. »
« Plutôt que d’utiliser le droit existant pour exiger l’arrêt du déploiement de la vidéosurveillance algorithmique, la CNIL appelle au contraire à discuter un nouveau texte, laissant la porte ouverte à un changement de paradigme dans la protection de notre vie privée » écrit-elle dans un « thread » sur Twitter.
L’association aurait ainsi préféré que cette « vidéosurveillance algorithmique » (ou VSA) relève plus amplement du champ des traitements de données biométriques, impliquant alors « une protection particulièrement forte » voire « l'interdiction de la VSA ».
