La vidéoprotection est une composante du paysage urbain français après s’être imposée à la suite de débats intenses et houleux sur les libertés publiques dès la fin des années 1980. Si nous sommes encore très loin des quelques 460 000 caméras (de toutes natures et de toutes origines dont beaucoup de capteurs privés) déployées dans le seul Grand Londres, le débat tend à se déplacer en France, au nom d’un continuum technologique destiné à répondre à des besoins avérés ou fantasmés, sur le placage sur les systèmes de captation d’image de fonctionnalités nouvelles qui démultiplient leur impact pour les personnes.
Seconde partie de l'article, par Jean-Marc Peyrical, Avocat au Barreau de Paris et Jean-Christophe Moraud, Préfet et Inspecteur Général de l’Administration Vous êtes passé à côté de la première partie ? Elle est à découvrir ici : Première partie de l'article
Toute collecte, consultation ou enregistrement de données personnelles (dont des images reconnaissables du visage de personnes) constituent des traitements de données personnelles (1) qui doivent respecter les exigences du « Paquet européen de protection des données personnelles » de 2016 (RGPD et directive « Police-justice »). Ces textes ont été transposés en droit français- principalement lors de la modernisation de la loi de 1978 dite « informatique et liberté » mais pas –encore-dans ce qui correspond dans le CSI à la loi de 1995. Le cadre juridique que doivent respecter d’ores et déjà les responsables des dispositifs de vidéoprotection a donc évolué mais sans que tous en aient tiré toutes les conséquences juridiques et pratiques. Pour les responsables de ces traitements, une difficulté majeure résultant du droit européen consiste déjà à déterminer si leur système relève du RGPD ou du champ de la directive « Police-justice » en fonction des usages, des finalités : c’est quasiment du cas par cas, compte tenu de l’hétérogénéité des systèmes installés dans les collectivités territoriales. Un second problème pro- vient de la nature des systèmes : beaucoup de ces dispositifs seront qualifiés de « classique » quand ils ne recourent pas à une technologie innovante et biométrique telle que la reconnaissance faciale ou ne concernent ni les caméras individuelles des services de police municipale, ni les systèmes LAPI ( Lecture automatisée de plaques d’immatriculation) .Ce sont dans ces cas « simples » des traitements de données personnelles qui doivent satisfaire aux impératifs de protection de données ( RGPD). La détermination du régime juridique applicable à un système de vidéoprotection (RGPD/directive « Police-justice ») dépend de l’objectif exact du système mis en place - de ses usages. Pour y voir plus clair, il faut se référer aux principes suivants : • Si le dispositif est déployé, dans le cadre de leurs missions, par les autorités compétentes voire pour le compte de l’Etat à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites pénales, il relève de la directive « Police-Justice » et de ses dispositions transposées dans le CSI ( protection des bâtiments publics et de leurs abords, constatation des infractions aux règles de la circulation, du défaut d’assurance des véhicules, prévention des atteintes à la sécurité des personnes et des biens dans des lieux exposés aux risques d’agression, vol trafics de stupéfiants …et assurer la protection des abords immédiats de bâtiments et installations de commerçants installés dans des lieux particulièrement exposés à des risques d’agression, vol) ; • Dans le cas contraire, le système relève du RGPD et il couvre plutôt les finalités suivantes : régulation des flux de transport, prévention des risques naturels ou technologiques, sécurité des installations accueillant du public dans les parcs d’attraction et assurer la sécurité des personnes et des biens dans les lieux et établissements relevant de l’espace public dès lors qu’ils sont particulièrement exposés à des risques d’agression et de vol ; • Enfin, la vidéoprotection relève de la loi « informatique et libertés » (hors du champ du droit européen) dès lors qu’elle a pour objet la sauvegarde des installations utiles à la défense nationale et la prévention des actes terroristes (dans les conditions prévues au chapitre III du Titre II du Livre II de CSI). Comme le RGPD et la directive « Police-Justice » composent tous deux le « Paquet européen relatif à la protection des données à caractère personnel », les champs d’application sont distincts mais sont complémentaires ce qui explique certaines obligations communes incombant aux responsables de traitement : • Faire une demande d’autorisation (pour extension ou renouvellement) adressée au préfet territorialement compétent (obligation prévue par le CSI) ; • Avant même la rédaction de l’acte juridique l’y autorisant ( arrêté préfectoral pour les systèmes « simples » voire décret en Conseil d’État pour les plus « sensibles » en terme de finalités,il faut désormais prévoir une analyse d’impact sur la protection des données (AIPD) transmise pour avis à l’autorité de contrôle ( CNIL) dès lors que le système en place conduit à la « surveillance systématique à grande échelle d’une zone accessible au public - traitement explicitement visé par l’article 35.1 du RGPD car susceptible de présenter un « risque élevé pour les droits et libertés des personnes physiques ». L’analyse doit identifier précisément les risques et les dangers de la mise en œuvre du traitement fait courir et apprécier les manières d’y remédier. Elle devra également formuler les bases nécessaires à la définition notamment des méthodes d’emplois, des règles de sécurisation des matériels et des données, de certification et de contrôle des matériels, de formation des personnels. La CNIL sera vraisemblablement confrontée à un type d’AIPD « light » dans bien des cas mais une AIPD très argumentée et détaillée pour les traitements plus « intelligents » ; • Informer les personnes susceptibles d’être filmées par un tel système (par voie d’affiches, de panonceaux avec pictogramme qui précise l’identité et les coordonnées du responsable du traitement et du délégué à la protection des données, les finalités poursuivies par le traitement, la durée de conservation des images, l’existence des droits, en particulier le droit d’accès et la possibilité d’introduire une réclamation auprès de la CNIL) ; • Limiter la durée de conservation à ce qui est nécessaire aux finalités poursuivies (30 jours conformément à l’article L252-3 du CSI) ; • Assurer la conservation sécurisée des données : cette responsabilité incombe au responsable du traitement et les mesures techniques mises en œuvre doivent être détaillées dans l’AIPD la CNIL y étant particulièrement attentive ; • Répondre aux demandes de droit d’accès (commun à la directive, le RGPD et la loi « informatique et libertés ») tout en préservant les droits des tiers, ce qui peut entrainer le masquage ou « floutage » d’une partie des images. L’application de ces prescriptions fait l’objet d’un contrôle de la CNIL qui veille au respect de cadre légal. Les investigations de la CNIL portent - outre l’examen et l’émission d’un avis sur l’AIPD en amont de toute installation - sur l’existence et la validité de l’autorisation préfectorale, la finalité et le caractère proportionné du dispositif, la qualité des personnels et les différentes mesures de sécurisation des données et des traitements. En cas de manquement, la CNIL peut adresser une mise en demeure au responsable du traitement et si ceux-ci persistent peut aller jusqu’ à des sanctions prévues par la loi (suspension, sanction pécuniaire…). La principale innovation juridique prévue par les textes européen et applicable aux traitements de données à caractère personnel (selon la finalité) est l’exigence d’une AIPD (analyse d’impact sur la protection des données). Fondamentalement, l’AIPD préalable est nécessaire si le traitement, compte tenu de sa nature, sa portée, son contexte et ses finalités est susceptible d’engendrer un risque élevé sur les droits et libertés des personnes physiques ( articles 62 à 90 de la loi « informatique et libertés »), notamment en cas d’utilisation d’une nouvelle technologie ( articles 35 du RGPD et 27 de la directive), d’une surveillance systématique à grande échelle d’une zone accessible au public ( article 35 du RGPD et 62 de la loi « informatique et libertés). Cette analyse transmise à la CNIL précise que le traitement présente un risque élevé si le responsable du traitement ne prenait pas de mesures pour l’atténuer, et détaille techniquement le type de traitement en particulier quand il utilise de nouveaux mécanismes, technologies ou procédures présentant des risques élevés pour les droits et libertés des personnes concernées. Le traitement de données personnelles par l’adjonction de systèmes biométriques fait l’objet d’un encadrement juridique strict et resserré car il s’agit de données « sensibles » au sens de la législation en matière de protection des données. Dans le RGPD, de tels traitement sont en principe prohibés mais peuvent être mis en œuvre, par exception, que dans des cas limités (avec le consentement exprès des personnes, pour protéger leurs intérêts vitaux ou sur la base d’un intérêt public important). La logique est la même dans la directive « Police-justice » qui permet ces traitements qu’en cas de nécessité absolue. De facto, ces traitements de données « sensibles » sont réservés dans tous les pays européens aux forces de sécurité intérieure : ils requièrent une AIPD lourde car il faut justifier des besoins et usages spécifiques (sureté de l’État, lutte anti- terrorisme, renseignement, défense, affaires étrangères qui relèvent de la loi « informatique et libertés »). S’ils sont réalisés pour le compte de l’État en matière de sécurité publique ou de sureté, un arrêté (inter) ministériel est indispensable ( article 31 de la loi « informatique et libertés »)s’il s’agit de données à caractère personnel pris sur avis motivé de la CNIL (sur une AIPD), un décret en Conseil d’État s’il s’agit de données biométriques pris sur avis motivé de la CNIL (sur une AIPD) voire un texte législatif, s’il s’agit de poursuivre des finalités prévues par la directive « Police-justice ». Au total, les responsables des traitements vidéo urbains vont devoir évoluer vite pour se mettre en conformité avec les exigences protectrices des libertés publiques et données personnelles du cadre européen promulgué en 2016 – quand bien même la partie du CSI consacrée à la vidéoprotection (titre V du livre II : ordre et sécurité publics) ne les a pas - encore - intégrées. Ceci concerne potentiellement des centaines de collectivités territoriales - dont certaines s’y sont attelées - qui doivent recueillir l’avis de la CNIL sur leur AIPD - AIPD simple dans la majorité des systèmes « classiques » mais sans doute plus complexe dans certains dispositifs dits « intelligents » aux fonctionnalités plus intrusives. Il faut toutefois se rassurer : des caméras de vidéo protection filmant des personnes dans un espace délimité, notamment leur visage ne permettent pas en tant que telles de reconnaitre automatiquement des individus et la seule détection de visages par des caméras dites « intelligentes » ne constitue pas davantage un dispositif de reconnaissance biométrique. Les techniques informatiques de détection de comportements anormaux ou d’évènements violents, de reconnaissance d’émotion sur un visage ou même de silhouette ne constituent pas généralement selon la CNIL des systèmes biométrique ; pour autant, ils posent d’importantes questions en termes éthiques et d’efficacité… et de coût budgétaire ! L’AIPD rendue incontournable par le cadre européen doit suivre un raisonnement cas d’usage par cas d’usage, se poser la question des cas légitimes d’action, les justifier et en expliquer le caractère adapté et proportionné. Cet exercice juridico-technique est sans doute le meilleur des garants contre un emballement technologique instrumentalisé par les industriels agitant un « Zeitgeist » inquiétant, laissant accroire que tout est souhaitable et possible ! UN premier pas vient d’être franchi avec le décret 2021-269 du 10 mars 2021 relatif à la vidéo intelligente, dans le but de mesurer le taux du port du masque dans les transports publics. Il impose l’avis préalable de la CNIL pour les ASPD mais reste toujours hors du droit européen applicable dans ce domaine. Jean-Marc Peyrical Avocat au barreau de Paris Jean-Christophe Moraud Préfet, Inspecteur Général de l’Administration (1) Au sens de la jurisprudence de la Cour de justice des Communautés Européennes (arrêt Ruynes CJCE, notamment les considérants 22, 24 et 25, confirmé par un arrêt du 11 décembre 2019)