Vidéosurveillance algorithmique dans l’espace public : premières sanctions

La vidéosurveillance algorithmique (VSA) dans l’espace public divise énormément, entre les partisans d’une forme de techno-solutionnisme et les défenseurs des droits et libertés fondamentaux qui craignent la mise en place d’une société de surveillance. La reconnaissance faciale, en particulier, a mobilisé les autorités de contrôle spécialisées dans la protection des données (v. par ex., Convention 108, Lignes directrices sur la reconnaissance faciale, 28 janv. 2021, T-PD(2020)03rev4, Dalloz IP/IT 2021. 361, obs. C. Lequesne Roth ; CNIL, Reconnaissance faciale : pour un débat à la hauteur des enjeux, 15 nov. 2019, Dalloz actualité, 22 nov. 2019, nos obs.).

Le 14 décembre 2023, une enquête menée par le journal Disclose révélait que les autorités de police et de gendarmerie ont déployé le logiciel de VSA Briefcam à partir de 2015 (G. Livolsi, M. Destal et C. Le Foll, La police nationale utilise illégalement un logiciel israélien de reconnaissance faciale). Analysant les images de vidéosurveillance – le cas échéant en les croisant avec d’autres bases de données –, le logiciel détecte automatiquement des situations anormales, tels que des attroupements ou colis suspects (v. pour une description, T. Jusquiame, Des robots derrière les caméras. Les cuisines de la surveillance automatisée, Le Monde diplomatique, févr. 2023). Ces pratiques ne sont pas en soi illicites. Elles ont par ailleurs été autorisées, à titre expérimental et jusqu’au 31 mars 2025, dans les lieux accueillant des manifestations sportives, récréatives ou culturelles et à leurs abords (Loi n° 2023-380 du 19 mai 2023, art. 10 ; Cons. const. 17 mai 2023, n° 2023-850 DC, pts 26 à 49, Dalloz actualité, 24 mai 2023, obs. C. Crichton ; JT 2023, n° 264, p. 6, obs. E. Royer ).

Toutefois, le logiciel analyse également le suivi des personnes en intégrant notamment des techniques de reconnaissance faciale, soit des données à caractère personnel. Or, et suivant l’enquête de Disclose, il s’est avéré que l’intégration du logiciel au sein des activités policières s’est effectuée au mépris des procédures propres au droit des données personnelles.

Ainsi la CNIL a-t-elle diligenté une enquête le 6 décembre 2023. En parallèle, et d’une part, les Inspections générales de la police nationale, de l’administration et de la gendarmerie nationale ont publié un rapport intitulé « Usage de logiciels d’analyse vidéo par les services de la police et de la gendarmerie nationales » (févr. 2024, en ligne). D’autre part, des premières saisines des juges administratifs n’ont malheureusement pas été satisfaisantes dans la mesure où les litiges se concentraient sur la fonctionnalité de reconnaissance faciale – prétendument désactivée par les services de police –, ce qui ne permet pas d’établir une jurisprudence ferme sur l’usage de la VSA (CE, ord. réf., 21 déc. 2023, n° 489990, AJDA 2024. 5 ; Dalloz IP/IT 2024. 485, obs. L. Huttner ; TA Lille, 29 nov. 2023, n° 2310103, Ligue des droits de l’homme, AJDA 2024. 363 ).

De ce fait, la décision de la CNIL du 15 novembre 2024 était attendue. La présidente de la CNIL a adressé à l’encontre du ministère de l’Intérieur un rappel à la loi et une mise en demeure de se mettre en conformité sur le fondement de trois ensembles textuels : la licéité du traitement, l’obligation d’effectuer une analyse d’impact, ainsi que le traitement de données sensibles.

Sur le manquement au principe de licéité du traitement

En présence d’un traitement de données personnelles par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, le droit commun des données personnelles prévu par le RGPD (Règl. [UE] 2016/679 du 27 avr. 2016) est exclu au profit de la directive « police justice » (UE) 2016/680 du 27 avril 2016 transposée au sein des articles 87 à 114 de la loi « Informatique et Liberté » n° 78-17 du 6 janvier 1978 (LIL). La CNIL rappelle à ce titre que de tels traitements doivent être autorisés par arrêté ou décret avant de faire l’objet d’un engagement de conformité auprès d’elle (LIL, art. 89). Il s’agit plus spécifiquement de l’engagement de conformité RU-18 concernant les logiciels de rapprochement judiciaire à des fins d’analyse criminelle (Décr. n° 2012-687 du 7 mai 2012).

En l’espèce, et d’une part, aucun décret n’autorise les traitements en cause.

D’autre part, les autorités compétentes n’ont commencé à...