Loi JOP 2024 : Sécurité physique des évènements sportifs de grande ampleur et protection des données personnelles
Du 24 juillet au 8 septembre 2024, auront lieu à Paris et dans d’autres villes de France les Jeux Olympiques et Paralympiques (JOP). Dans ce contexte, la loi JOP, entrée en vigueur le 19 mai 2023, intègre des dispositions nouvelles, en termes de sécurité des individus lors d’évènements de grande ampleur.
Elle prévoit notamment l’autorisation à titre expérimental de la vidéosurveillance intelligente. Cette expérimentation aura lieu du 19 mai 2023 au 31 mai 2025. L’utilisation de ces procédés innovants ne sera pas limitée aux seuls JOP, mais s’étendra également à toute manifestation sportive, récréative ou culturelle considérée comme particulièrement exposée à des risques. De nouvelles mesures de contrôle et de sanction des individus ont également été implémentées.
Quels systèmes de vidéoprotection intelligente seront autorisés dans le cadre de la Loi JOP 2024 ?
Le système de vidéoprotection « intelligente » évoqué dans la loi vise à utiliser des caméras augmentées, via des dispositifs de vidéoprotection ou de drones, qui auront la capacité de détecter en temps réel des évènements prédéterminés (voir ci-après) dans des lieux accueillant des manifestations ou à proximité, y compris dans les transports en commun. Ces événements prédéterminés ne doivent pas engendrer de la reconnaissance faciale ou le traitement de données biométriques et doivent se limiter aux cas suivants :
Présence d’objets abandonnés
Présence ou utilisation d’armes
Non-respect par une personne ou un véhicule du sens de circulation commun
Franchissement ou présence d’une personne ou d’un véhicule dans une zone interdite ou sensible
Présence d’une personne au sol à la suite d’une chute
Mouvements de foule
Densité trop importante de personnes
Départs de feu
La détection de tels évènement a pour objectif de faciliter l’identification des risques et de les signaler aux services concernés (ex : police et gendarmerie nationale, secours, police municipale, service de sécurité de la SNCF ou de la RATP) afin de prendre les mesures nécessaires à la gestion de la situation.
Les traitements de données conduits ne peuvent être interconnectés ou mis en relation de manière automatique avec d’autres traitements de données personnelles. Par ailleurs, ils ne pourront produire aucun résultat ni fonder par eux-mêmes de décision individuelle ou acte de poursuite.
La loi précise également la liste des exigences auxquelles le traitement de données personnelles sera soumis, à savoir :
Garanties : les données d'apprentissage, de validation et de test choisies sont pertinentes, adéquates et représentatives.
Le traitement doit être loyal et éthique, reposer sur des critères objectifs et permettre d'identifier et de prévenir l'occurrence de biais et d'erreurs. Ces données doivent faire l'objet de mesures de sécurisation appropriées ;
Il doit comporter un enregistrement automatique des signalements des événements prédéterminés détectés, afin d'assurer la traçabilité de son fonctionnement ;
Il doit permettre que des contrôles humains soient effectués ;
Les modalités permettant d’interrompre le traitement à tout instant doivent être définies ;
Il doit être soumis à une phase de test conduite dans des conditions analogues à celles de son emploi autorisé par le décret d’application, attestée par un rapport de validation.
Seuls les traitements développés par ou pour le compte de l’Etat ou bénéficiant d’une attestation de conformité délivrée par le ministère de l’Intérieur pourront être mis en œuvre. Par ailleurs, le responsable de traitement sera tenu de fournir au préalable à la CNIL :
Un engagement de conformité aux dispositions du décret d’application en matière de mise en œuvre du traitement ;
Une analyse d’impact sur la protection des données, lorsque le traitement comprend des caractéristiques particulières qui ne figurent pas dans l’analyse d’impact-cadre transmise par le ministère de l’Intérieur à la CNIL.
Quelles obligations seront imposées pour une utilisation conforme de caméra augmentées ?
Les autorisations préfectorales
L’utilisation des caméras « augmentées » ne pourra être mise en œuvre qu’avec une autorisation préfectorale. Cette autorisation peut être retirée à tout moment si des manquements aux exigences sont relevés. La décision d’autorisation, qui doit être motivée et publiée, doit préciser les éléments suivants :
Le responsable du traitement et les services associés à sa mise en œuvre ;
La manifestation sportive, récréative ou culturelle concernée et les motifs de la mise en œuvre du traitement au regard de la finalité ;
Le périmètre géographique concerné par la mise en œuvre du traitement ;
Les modalités d’information du public, notamment sur ses droits, ou, lorsque cette information entre en contradiction avec les objectifs poursuivis, les motifs pour lesquels le responsable du traitement en est dispensé, accompagnés d’un renvoi vers l’information générale organisée par le ministère de l’intérieur ;
La durée de l’autorisation, qui ne peut excéder un mois et est renouvelable lorsque les conditions de la délivrance de l’autorisation demeurent réunies.
Catégories de personnes ayant accès aux signalements
Les catégories de personnes ayant accès aux signalements ont été identifiées dans le décret d’application. Pour chacune d’entre elles, les personnes doivent être individuellement désignées et habilitées par leur hiérarchie :
Les agents de la police nationale et municipale, ainsi que les militaires de la gendarmerie nationale ;
Les personnels des services d'incendie et de secours ;
Les agents des services internes de sécurité de la SNCF et de la RATP.
Ces personnes doivent bénéficier d'une formation en matière de protection des données personnelles adaptée aux missions confiées ainsi que d'une formation sur le fonctionnement opérationnel et technique du traitement et sa prise en main. Leur responsabilité sera de contrôler les signalements du traitement et de déterminer les suites à y apporter. Les services de l’Etat seront, dans ce cadre, en mesure d’échanger des informations avec les services internes de la RATP et de la SNCF.
Obligation du responsable de traitement
Le responsable du traitement est par ailleurs tenu d’informer chaque semaine le préfet des conditions de mise en œuvre du traitement, de dresser et mettre à jour un registre des suites apportées aux signalements effectués par le traitement, incluant les noms et prénoms des personnes ayant accès aux signalements. Ils sont également tenus de dresser, et conserver pendant 12 mois, des journaux des opérations de consultation et de communication, comprenant le motif, la date et l’heure de ces opérations et les personnes en étant à l’origine.
Obligation d’information préalable du public et exercice des droits
L’information préalable du public constitue également un élément central. A ce titre, l’article 9 de la loi JOP prévoit que les modalités d’information des personnes concernées dans le cadre de l’utilisation des systèmes de vidéoprotection augmentée seront précisées dans un décret d’application dédié. Une exception à l’obligation d’information des personnes est toutefois prévue lorsque les circonstances l’interdisent ou que cette information entrerait en contradiction avec les objectifs poursuivis. Le décret d’application en la matière n’a, pour l’heure, pas encore été publié, mais la CNIL a rappelé dans sa délibération du 15 juin 2023 que l’information des personnes constitue un élément essentiel pour assurer la loyauté des traitements dans un objectif de transparence à l’égard du public. Elle a également précisé que les dérogations au droit à l’information devront être particulièrement limitées et précisées.
La loi prévoit aussi que les personnes concernées peuvent exercer leurs droits d’accès, de rectification, d’effacement, et de la limitation des données directement auprès du responsable de traitement.
Quel rôle jouera la CNIL dans l’application de la loi JOP 2024 ?
Par ailleurs, une fois que ces nouvelles modalités seront définies, elles entreront dans le champ de mise en conformité du Code de la Sécurité Intérieure (CSI). Cette démarche est prévue dans le texte de la loi JOP et sa nécessité a été rappelée dans l’avis que la CNIL a rendu..
La CNIL est également amenée à jouer un rôle central dans l’encadrement de l’application de cette loi, qui lui confère un rôle d’accompagnement mais également de contrôle, tandis que l’Agence nationale de la sécurité des systèmes d'information (ANSSI) apporte les mêmes garanties concernant le volet cybersécurité de la loi JOP. La CNIL doit être informée au moins tous les trois mois des conditions de mise en œuvre du traitement, qu’il soit effectué à des fins d’expérimentation ou non.
Quelles mesures de contrôle et de sanction des individus sont prévues par la loi JOP 2024 ?
Utilisation de scanners corporels à l’entrée des stades
La loi JOP prévoit qu’il sera possible de mettre en place des dispositifs d’imagerie utilisant des ondes millimétriques à l’entrée des enceintes sportives, récréatives ou culturelles accueillant plus de 300 personnes. dans le but de s’assurer que la personne contrôlée ne possède aucun objet interdit sur elle, et afin de fluidifier les contrôles.
Le recours à ce dispositif sera soumis au consentement exprès de la personne concernée, qui aura été informée au préalable d’un dispositif de contrôle alternatif. Par ailleurs, il est prévu que le dispositif d’imagerie doit pouvoir brouiller le visage, tandis que le stockage ou l’enregistrement des images ne sont pas autorisés. La CNIL a souligné le caractère indispensable de la mise en œuvre de ces garanties.
Extension du périmètre de la procédure de criblage
L’article 15 de la loi JOP prévoit qu’un décret d’application doit viser à étendre les possibilités de procédure de criblage (enquêtes administratives de sécurité) aux évènements ayant pour objet d'assister à la retransmission d'événements exposés à un risque d'actes de terrorisme en raison de leur nature et de l'ampleur de leur fréquentation. Les personnes ciblées par ces mesures pourront être les athlètes et leurs délégations, ou encore les médias accrédités.
La CNIL a émis des réserves concernant la justification de l’extension de cette mesure au contexte de la loi JOP, et a rappelé le besoin d’en apprécier la nécessité et la proportionnalité. Elle indique également que les données traitées ne devront pas être conservées plus longtemps que pour atteindre la finalité identifiée, et jamais plus longtemps que l’évènement concerné. Par ailleurs, le traitement identifié comprenant une consultation automatisée de fichiers, l’autorité administrative rappelle que des garanties devront être mises en œuvre afin de prendre en compte les préjudices importants qui pourraient découler d’une décision défavorable pour la personne concernée. Le décret d’application visant à encadrer cette mesure n’est pas encore publié à ce jour.
EN CONCLUSION, la loi JOP présente de grands enjeux opérationnels concernant la mise en balance des exigences de sécurité et le maintien de garanties relatives aux droits et libertés des personnes. Les mesures relatives à l’exploitation de systèmes de vidéoprotection via des caméras « augmentées », ainsi que l’emploi de scanner corporels disposent de précisions opérationnelles permettant de délimiter le périmètre et les modalités de mise en œuvre du traitement. Toutefois, concernant les éléments relatifs à l’information des personnes concernées et aux procédures de criblage, un encadrement réglementaire complémentaire sera nécessaire pour faciliter leur mise en œuvre par les organismes concernés.