Vidéoprotection et caméra augmentée : définir un cadre légal pour limiter les risques
L’usage de caméras intelligentes ou augmentées est désormais rendu possible à titre expérimental, sous réserve de respecter des conditions strictes liées au traitement des données personnelles des personnes, ainsi qu’aux droits et libertés fondamentales qui s’y rattachent.
À l’approche des Jeux Olympiques et Paralympiques dans un contexte géopolitique préoccupant, la question de la sécurité des biens et des personnes a introduit le besoin de modifications de certaines dispositions du Code de la Sécurité Intérieure (CSI), s’alignant avec le régime du Règlement Général sur la Protection des Données (RGPD) et la directive Police-Justice, notamment avec le décret d’application n° 2023-1102 du 27 novembre 2023.
Ce décret, qui intègre la nouvelle application des articles L. 251-1 et suivants, ainsi que les R.253-1 et suivants du Code de la sécurité intérieure, vise à encadrer la mise en œuvre des traitements de données à caractère personnel issus de systèmes de vidéoprotection, y compris les caméras installées sur des aéronefs. Il définit les finalités de ces traitements, les données enregistrées, leurs modalités et durée de conservation, les conditions d'accès aux données ainsi que les droits des personnes concernées.
La Robe Numérique décrypte ce nouveau cadre en faisant suite à son article publié en mars dernier.
I- Distinction entre la vidéosurveillance et la vidéoprotection
Vidéosurveillance
Lieu privé, non ouvert au public ;
Aucune formalité administrative particulière ;
Cadre réglementaire : RGPD + articles 226-1 et s. du Code Pénal ;
Pas de formalité à réaliser auprès de la CNIL ;
Limitation aux personnes habilitées (employeur, responsable de la sûreté)
Si un DPO est désigné, il doit être associé à la mise en œuvre du dispositif
Vidéoprotection
Lieu public ou accueillant du public ;
Une demande d'autorisation en préfecture doit être effectuée ;
Cadre réglementaire : RGPD + Loi Informatique et Libertés (Directive Police Justice si applicable) + article L.252-1 et s. + articles L.223-1 et s. du Code de la Sécurité Intérieure ;
Une déclaration de conformité auprès de la CNIL doit être effectuée en amont de la mise en place du dispositif ;
Les caméras ne doivent pas permettre de visualiser l'entrée et l'intérieur des immeubles d'habitation ;
Si une personne privée souhaite mettre en place un tel dispositif, il doit effectuer une notification au maire de la commune et sera obligé de décorréler les caméras intérieures et extérieures ;
Seules les forces de sécurité intérieure et services associés peuvent être destinataire des images
II- Qui est concerné par l'application de la loi JOP ?
Sur la voie publique :
Les autorités publiques compétentes pour les finalités mentionnées dans le nouveau formulaire CERFA ;
Les autres personnes morales pour assurer la protection des abords immédiats de leurs bâtiments et installations dans des lieux susceptibles d'être exposés à des actes de terrorisme ;
Les commerçants pour assurer la protection des abords immédiats des bâtiments et installations mentionnés à l'article R. 251-2 du CSI dans les lieux particulièrement exposés à des risques d'agression et de vol.
Dans des lieux et établissements ouverts au public :
Les personnes morales concernées pour assurer la sécurité des personnes et des biens lorsque ces lieux sont particulièrement exposés à des risques d'agression ou de vol ou sont susceptibles d'être exposés à des actes de terrorisme.
Les personnes mentionnées ci-dessus sont responsables des traitements de données à caractère personnel provenant des systèmes de vidéoprotection.
III- Les points clés de l’évolution législative relative à la vidéoprotection exploitée au moyen de caméras installées sur des aéronefs
Auteurs de la mise en place de systèmes de vidéoprotection
Les personnes publiques, et désormais les personnes privées exposées à des actes de terrorisme (ex : commerçants, parcs d’attractions, stades…) filmant la voie publique sous conditions spécifiques (abords immédiats), tout en respectant la vie privée et la protection des données : notamment, une information au maire de la commune est requise lorsqu’est envisagée la mise en place de vidéoprotection des abords immédiats des bâtiments et installations.
Les collectivités territoriales financent souvent les caméras en raison de l'obligation de sécurité des maires, mais le pouvoir revient principalement à la police intérieure et au ministère de l’Intérieur. Pour leur extraction, une réquisition judiciaire est nécessaire.
En Ile-de-France, les images de vidéoprotection seront visibles par les agents de la RATP et de la SNCF (lorsqu’ils sont affectés au sein des salles d’information et de commandement relevant de l’État).
Autorisation Préfectorale
S’assurer de l’obtention de toutes les autorisations nécessaires et du rassemblement de la documentation pertinente avant l'installation, en vertu du décret de 2023.
Nouveau formulaire CERFA 13806*04 (en joignant une AIPD ayant permis l’évaluation de la proportionnalité du dispositif envisagé en y opposant les droits et libertés des personnes).
Les demandes d'autorisation doivent être effectuées avec une large avance, souvent 20 à 26 mois avant la mise en place des caméras.
Valide pour cinq ans une fois l’autorisation émise, dépendant du nombre de caméras (moins de 8 unités ne requièrent pas de plan d'implantation).
Clarification de la Finalité
Définir précisément les objectifs de la vidéosurveillance, conformément aux limitations réglementaires.
Élargissement des finalités pouvant être déterminées lors de la demande d’autorisation.
Respect des Restrictions Techniques
L'enregistrement de sons et la reconnaissance faciale sont interdits. Les traitements mentionnés dans le décret ne peuvent procéder à aucun rapprochement ou interconnexion avec d’autres traitements de données à caractère personnel.
Changement des normes techniques, telles que définies à l’article R.252-3, 11° du Code de la sécurité intérieure.
N.B. : Nouvelles normes de conformité pour l’installateur du système de vidéoprotection
Information du Public
Mettre en place des informations claires sur les panneaux ou affiches concernant la surveillance, en indiquant la présence de caméras, la nature du traitement (automatisé ou non) l'identité du responsable, les objectifs du traitement des données, et les droits des individus filmés. Un QR code est envisageable par manque d’espace et de lisibilité, en s’assurant de l’immédiateté d’accès aux informations fournies.
Conservation des Données
Stockage sécurisé des données pour une durée conforme aux exigences légales : 30 jours maximum, cette durée pouvant être réduite par arrêté préfectoral ou à la demande du responsable de traitement.
Dérogation : Une conservation au-delà de cette durée est possible pour les données à caractère personnel traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques.
Respect des Droits des Personnes
Permettre aux personnes filmées d'exercer leurs droits d'accès, de rectification et de suppression des données les concernant.
Inscription des demandes de droit dans le registre des traitements de données qui doit être tenu à jour systématiquement.
Surveillance Éthique
Garantir que la surveillance respecte les principes éthiques et de loyauté et évite tout traitement discriminatoire des données pour les personnes concernées.
Mesures de Sécurité
Mise en place de mesures de sécurité techniques et opérationnelles pour protéger les données contre les accès non autorisés ou les fuites. Des mesures de contrôle humain sont également requises pour prévenir et corriger les biais éventuels ou les mauvaises utilisations.
Formation et Sensibilisation
Formation et sensibilisation du personnel impliqué à la réglementation en vigueur et aux bonnes pratiques.
Contrôle et Audit
Réalisation de contrôles et d'audits réguliers pour assurer la conformité avec la réglementation.
Renforcement des contrôles de la CNIL, notamment sur les caméras augmentées.
Collaboration avec les Autorités
Collaboration avec les autorités compétentes, notamment la CNIL, pour les questions liées à la vidéoprotection, surtout en cas de contrôle ou d’enquête administrative.
Préparation aux Incidents
Établissement de procédures pour une réponse efficace en cas de violation de données ou d'utilisation inappropriée du système.
Spécificités
La loi permet des expérimentations jusqu'au 31 mars 2025, notamment dans les lieux accueillant des activités culturelles et sportives de grande ampleur.
Les utilisations de la vidéoprotection dans le cadre du travail doivent respecter certaines règles, notamment en matière de droit social et de consultation des comités sociaux et économiques (CSE).
Les responsables de traitement et les sous-traitants doivent se conformer aux réglementations, y compris la directive NIS II.
Pour les entités non concernées par la loi JOP, l'accent doit être mis sur la conformité avec le RGPD et les procédures de mise en place de la vidéosurveillance.
Conclusion
L’enjeu actuel de l’usage des caméras augmentées est celui de l’entraînement des algorithmes, afin de vérifier que les images qui sont soumises correspondent aux événements prédéterminés et attester de l’efficience du dispositif. C’est le cas depuis les 3 et 5 mars à l’Arena de Bercy. Néanmoins, selon la rapporteure de la mission d’information sénatoriale Agnès Canayer en ce début d’avril, le dispositif tel que déployé reste « loin des objectifs fixés » ; elle précise que « la vidéoprotection augmentée ne sera pas optimum au moment des JO. Mais les JO seront un grand terrain de jeux pour l’expérimenter ». Elle assure par ailleurs que les scanners à ondes millimétriques ne seront pas mis en œuvre.
La pérennisation du dispositif sur le territoire est source de crispations dans le débat public. La CNIL revendique l’absolue nécessité de garde-fous et la protection des droits et libertés des personnes, tandis que le ministère de l’Intérieur considère la sécurisation des événements de grande ampleur comme un défi que les caméras augmentées sont susceptibles de fortifier. Le projet d’une acception « à la française » de la vidéoprotection semble être la volonté première du gouvernement, qui tirera les conclusions des événements liés aux Jeux Olympiques et Paralympiques.
L’expérimentation fera l’objet d’un rapport d’évaluation indépendant remis au Parlement en décembre 2024.