Reconnaissance faciale : la ville de Nice n’a pas reçu « d’autorisation » de la CNIL

Salade niçoise ? 27
Accès libre
image dediée
Crédits : imaginima/iStock
Loi
Marc Rees

Contrairement aux affirmations de Christian Estrosi, la ville de Nice n’a pas reçu de feu vert de la CNIL pour expérimenter un système de reconnaissance faciale à l’occasion du fameux carnaval, mais a plutôt bénéficié d'un accompagnement. La commission regrette surtout l’agenda serré dans lequel elle a été amenée à ausculter ce dispositif. Explications.

La ville de Nice va tester un système de reconnaissance faciale auprès de 1 000 volontaires. Six caméras seront implantées dans un corridor d’accès au carnaval organisé entre le 16 février et le 2 mars. Elles scruteront les visages pour tenter de détecter, trois jours durant, une correspondance entre les vidéos et des photos fournies préalablement par ces cobayes.

Selon Christian Estrosi, maire de Nice, la ville peut s’enorgueillir d’avoir reçu « l’autorisation » le 15 février d’expérimenter ce système. « Nous devons utiliser toutes les innovations possibles au service de notre sécurité » conclut-il.

Plus d’autorisation préalable depuis le 25 mai

Seul détail, la CNIL n’a su s’empêcher d’apporter une relecture de ces propos rappelant que depuis l’entrée en vigueur du règlement général sur la protection des données personnelles, ces dispositifs biométriques ne sont plus soumis à autorisation préalable, mais au consentement des personnes physiques concernées, filmées et reconnues par ces yeux électroniques.

Contactée, la mairie nous confirme finalement cette version des faits : « effectivement, il ne s’agit pas d’une autorisation au sens juridique du terme, mais nous avons travaillé avec la CNIL qui a posé des recommandations et observations que nous avons respectées, nous permettant ainsi de mener cette expérimentation ».

L’argument « Reporty »

Elle relativise néanmoins : « quand nous avions lancé l’expérimentation de Reporty, nous avions eu un refus. Là ce n’est pas le cas ». Reporty ? Cette application permettait aux citoyens de dénoncer des incivilités, des infractions, en les filmant depuis un smartphone pour adresser le flux au centre de supervision urbaine et donc les policiers municipaux. La CNIL avait pilonné ce système, jugé hors des clous de la loi.

En somme, puisque la CNIL ne s'oppose pas cette fois au déploiement de la reconnaissance faciale, mais au contraire adresse des recommandations, c'est finalement qu’elle y consent d'une certaine manière. Cette grille de lecture souffre cependant de fragilités calendaires. 

L’application Reporty date du début 2018, soit avant l’entrée en vigueur du RGPD. L'ère des régimes d’autorisation ou de déclaration préalable a disparu depuis le 25 mai, date de mise en musique du règlement qui s'appuie sur une logique de responsabilité préalable au plus tôt de la conception des systèmes (notre dossier, ligne par ligne).

En somme, ce n’est pas parce que l’autorité a dit « niet » à Reporty qu’elle dispose depuis de la faculté juridique d’autoriser ou interdire la reconnaissance faciale niçoise.

Les regrets de la CNIL

La CNIL nous a surtout adressé un historique complet de ce dossier. Elle a été informée par la municipalité le 1er février. Dans un calendrier restreint, elle a organisé une réunion et des échanges avec les équipes municipales. 

Surtout, la CNIL « regrette l’urgence dans laquelle ses services ont été sollicités, ces circonstances n’étant pas de nature à favoriser un travail d’analyse approfondie du dispositif projeté » nous souffle-t-elle.

Dans l’examen de ce dossier, la commission ajoute avoir porté « une vigilance toute particulière sur les garanties annoncées pour s’assurer de la validité du consentement » des personnes volontaires. « Le consentement serait « libre » dans la mesure où une entrée alternative est proposée pour les personnes ne souhaitant pas participer à cette expérimentation ».

De même, « il serait également « éclairé », car des formulaires d’information seraient distribués aux personnes concernées et des panneaux d’affichage informent les personnes de cette expérimentation en quatre langues et de leur possibilité d’utiliser un autre accès ». S’y ajoute une suppression des données enregistrées 24 heures après la fin de l’expérimentation.

En appui d'un courrier reçu de la CNIL le 15 février, la municipalité maintient le cap : ce document « nous permet donc de procéder à l’expérimentation. Nous en voulons pour preuve que celle-ci a fait de nombreuses recommandations que nous respections scrupuleusement. C’est une décision historique et qui va dans le bon sens car toutes nos précédentes demandes avaient été refusées. » 

Un bilan dans deux mois, une proposition de loi ensuite

La CNIL a surtout souhaité qu’un bilan soit dressé dans les deux mois de la fin de l’expérimentation qui ne pourra s’étendre au-delà. « En effet, si le dispositif était effectivement utilisé à des fins de sécurité ou de prévention (prévention et détection des infractions pénales, enquêtes et poursuites, protection contre les menaces pour la sécurité publique), il y aurait lieu de faire application non pas du RGPD, mais de la directive Police Justice du 27 avril 2016 ».

Cette fois, on change de périmètre. Le consentement des personnes ne suffira plus. Il faudra au contraire un décret en Conseil d’État ou une loi dédiée afin d’assurer une base légale solide à ce couplage entre caméras et d'éventuels fichiers de sécurité.

Ce n'est donc sans doute pas un hasard si Christian Estrosi a annoncé sur Twitter sa volonté, à l’issue de l’expérimentation, de rédiger une proposition de loi « qui doit permettre de faire évoluer les lois Informatique et Liberté de 1978 et celle sur la vidéosurveillance de 1995 ». « Nous avons saisi les parlementaires et le gouvernement qui seront destinataires tout comme la CNIL d’un rapport retraçant un bilan détaillé ayant pour objectif de faire évoluer la loi » nous précise encore la ville de Nice.

Le manque d’encadrement dézingué par la CNIL

Alors que depuis des années propositions de loi, amendement et expérimentations se succèdent pour marier reconnaissance faciale, big data et fichiers de sécurité, la commission avait justement invité en septembre dernier les pouvoirs publics à engager un « débat démocratique sur les nouveaux usages des caméras vidéo ».

Selon elle, en effet, « le cadre juridique actuel, précis sur certaines technologies (caméras fixes, certains usages de caméras-piétons) et certaines finalités (visionnage « simple » d’images), n’apporte (…) nécessairement de réponse appropriée à l’ensemble des techniques et usages nouveaux ». Et celle-ci d’exiger un réexamen complet du droit français, dont le Code de la sécurité intérieur.

Ces demandes sont pour l’heure restées lettre morte.


chargement
Chargement des commentaires...