S’Abonner
Login
Caméras augmentées : La CNIL intensifie ses contrôles et met en demeure les autorités publiques

·

·

LegalPlanet > CNIL | RGDP > Caméras augmentées : La CNIL intensifie ses contrôles et met en demeure les autorités publiques
Caméras augmentées : La CNIL intensifie ses contrôles et met en demeure les autorités publiques
, ,

Sommaire

Qu’est-ce qu’une caméra augmentée ?

Les caméras augmentées sont des dispositifs technologiques équipés de logiciels d’analyse d’images automatisée. Ces caméras permettent non seulement de filmer des individus dans un espace public mais aussi d’en analyser le contenu en temps réel, permettant ainsi de tirer des conclusions sur des comportements (par exemple, comptage des personnes présentes, détection d’un abandon de bagage, identification du port de masque, etc.). Bien que ces technologies puissent offrir des avantages en matière de sécurité, elles présentent également des risques importants pour les libertés publiques.

Le cadre légal et les contrôles de la CNIL

Cadre légal en France

Depuis 2022, la CNIL a défini des règles strictes pour encadrer l’utilisation des caméras augmentées, en particulier dans l’espace public, où les risques pour les libertés individuelles sont élevés.

  • Loi « Jeux Olympiques et Paralympiques 2024 » (JOP 2024) : Un cadre expérimental a été mis en place pour autoriser l’usage de ces caméras dans les espaces publics afin d’assurer la sécurité lors des événements sportifs à risque, mais cet usage est limité dans le temps (jusqu’au 31 mars 2025) et géographiquement (uniquement pour les zones liées aux JOP 2024).
  • En dehors du cadre JOP 2024 : L’utilisation de caméras augmentées en temps réel est interdite, sauf pour des objectifs purement statistiques. Les seules exceptions sont les enquêtes judiciaires, où l’utilisation de ces technologies est régie par le code de procédure pénale.

Les contrôles de la CNIL

Dans son plan stratégique 2022-2024, la CNIL a fait des logiciels d’analyse d’images automatisée un sujet prioritaire de contrôle. En novembre 2023, une enquête a révélé que certains services du ministère de l’Intérieur utilisaient des logiciels de reconnaissance faciale (BriefCam) à des fins de surveillance, ce qui a poussé la CNIL à intervenir immédiatement.

  • Contrôles auprès du ministère de l’Intérieur : Dès décembre 2023, la CNIL a vérifié les pratiques des services du ministère de l’Intérieur concernant l’utilisation de caméras augmentées. En parallèle, une inspection générale de l’administration a également analysé la conformité des pratiques du ministère.
  • Contrôles auprès des communes : En plus des contrôles réalisés auprès du ministère, la CNIL a inspecté huit communes ayant utilisé ces technologies pour s’assurer du respect du cadre légal et des garanties nécessaires en matière de protection des données personnelles.

Constats et manquements de la CNIL

1. Utilisation des caméras augmentées par les services du ministère de l’Intérieur

Les contrôles ont permis de constater que, dans le cadre de la police et de la gendarmerie, l’utilisation de caméras augmentées en temps réel dans l’espace public est conforme à la loi, puisque ces services ne les utilisent pas à des fins opérationnelles en dehors des JOP 2024.

  • Analyse en différé autorisée : Par contre, des logiciels d’analyse d’images, comme ceux de BriefCam, ont été utilisés pour analyser des images enregistrées, dans le cadre de recherches judiciaires, en conformité avec le code de procédure pénale.
  • Manquement à la CNIL : La CNIL a relevé que bien que l’usage des logiciels en différé soit autorisé, les services du ministère n’avaient pas déclaré ces dispositifs comme relevant du cadre juridique des logiciels de rapprochement judiciaire (LRJ) avant 2023, ce qui a conduit à une mise en demeure de se mettre en conformité et de soumettre les engagements de conformité manquants.

2. Fonctionnalité de reconnaissance faciale : suppression ou restriction

Une mise à jour du logiciel BriefCam a introduit une fonctionnalité de reconnaissance faciale qui a été utilisée illégalement pour une enquête judiciaire, malgré des instructions claires interdisant cette fonction. La CNIL a mis en demeure les autorités compétentes de supprimer ou de restreindre cette fonctionnalité, car la reconnaissance faciale en temps réel dans l’espace public est interdite.

3. Utilisation des caméras augmentées par les communes

Les huit communes contrôlées par la CNIL ont utilisé des caméras augmentées pour des fins très variées :

  • Détection d’infractions et événements anormaux : L’utilisation pour détecter des infractions comme le stationnement interdit ou des événements potentiellement dangereux (attroupements, etc.) a été jugée illégale en raison de son caractère intrusif, non autorisé par la législation actuelle.
  • Génération de statistiques : Certaines communes ont utilisé les caméras pour mesurer la fréquentation de zones, notamment en différenciant les types de trafic (piétons, véhicules, vélos, etc.). Bien que cela soit autorisé, la CNIL a constaté qu’une information insuffisante des usagers avait été fournie, ce qui constitue une violation.
  • Recherche en réponse à des réquisitions judiciaires : Les communes ont aussi utilisé des fonctionnalités permettant de rechercher des éléments spécifiques dans des images, comme des numéros de plaques d’immatriculation. Bien que légal dans le cadre d’une réquisition judiciaire, la CNIL a rappelé que les policiers municipaux ne peuvent pas mener de telles enquêtes sans autorisation préalable.

Mises en demeure :

La CNIL a mis en demeure six communes de cesser les pratiques non conformes observées et de mettre à jour leur gestion des caméras augmentées en conformité avec la loi.

Caméras augmentées : les textes à connaître

Les logiciels de rapprochement judiciaire (Articles 230-20 à 230-27 du Code pénal)

Les logiciels de rapprochement judiciaire sont des outils permettant aux services chargés des enquêtes judiciaires de faciliter l’exploitation et la mise en correspondance des informations obtenues au cours des investigations. Ces logiciels sont soumis à des règles strictes afin de protéger les données personnelles et garantir la légalité de leur utilisation.

Article 230-20 : Mise en œuvre des logiciels sous contrôle judiciaire

Les services de la police nationale et de la gendarmerie nationale chargés des missions de police judiciaire, ainsi que le service sous l’autorité du ministre chargé du budget, peuvent utiliser des logiciels d’analyse et de rapprochement d’informations, sous le contrôle de l’autorité judiciaire, dans le cadre de :

  1. Enquêtes préliminaires, de flagrance, ou d’investigations exécutées sur commission rogatoire ;
  2. Procédures de recherche des causes de la mort ou d’une disparition, selon les articles 74 et 74-1 du Code de procédure pénale.

Article 230-21 : Sources des données exploitées

Les données utilisées par ces logiciels doivent provenir exclusivement des pièces et documents judiciaires déjà détenus par les services concernés. Les données exploitant indirectement l’identité des personnes ne peuvent la révéler qu’une fois les opérations de rapprochement effectuées, et uniquement pour celles qui concordent avec d’autres informations pertinentes.

Article 230-22 : Effacement des données personnelles

Les données personnelles révélées par l’exploitation des informations dans le cadre des enquêtes doivent être effacées :

  • Dans un délai de trois ans après la clôture de l’enquête, pour les enquêtes de type préliminaire ou de flagrance ;
  • Dès la résolution de l’enquête, lorsque la disparition d’une personne est résolue ou qu’aucune suspicion de crime ou délit n’est retenue.

Article 230-23 : Contrôle et accès des autorités

Le traitement des données personnelles est opéré sous le contrôle du procureur de la République, qui peut demander l’effacement, la correction ou la mise à jour des données, notamment en cas de requalification judiciaire. Le procureur dispose d’un accès direct aux logiciels dans le cadre de ses fonctions.

Article 230-24 : Rôle du magistrat chargé du contrôle

Un magistrat désigné par le ministre de la Justice veille au respect des conditions d’utilisation des logiciels, à la mise à jour des données et s’assure que les pratiques sont conformes aux normes légales. Il peut intervenir d’office ou à la demande des parties intéressées, et dispose également d’un accès direct aux logiciels.

Article 230-25 : Habilitation des utilisateurs

Seuls certains individus peuvent utiliser ces logiciels :

  1. Les agents des services judiciaires spécifiquement habilités, dans le cadre des enquêtes ;
  2. Les magistrats du parquet et les magistrats instructeurs pour les recherches liées aux infractions ;
  3. Le procureur de la République, pour le contrôle des données ;
  4. Le magistrat en charge du contrôle.

L’habilitation définit précisément les types de données accessibles.

Article 230-26 : Interdiction d’usage en dehors du cadre judiciaire

Les logiciels de rapprochement judiciaire ne peuvent en aucun cas être utilisés pour des enquêtes administratives ou pour des fins autres que celles définies par l’article 230-20.

Article 230-27 : Autorisation d’utilisation par décret

L’utilisation des logiciels de rapprochement judiciaire doit être autorisée par décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés. Ce décret précise les infractions concernées, les modalités de collecte des données, les conditions d’habilitation des utilisateurs, ainsi que les conditions d’accès aux données pour les personnes concernées.

Les logiciels de rapprochement judiciaire sont régis par des règles spécifiques d’habilitation, d’autorisation et de contrôle afin d’assurer leur conformité aux obligations légales. Ces règles sont détaillées dans les articles suivants :

Article R40-39 : Habilitation des agents

Les habilitations pour l’utilisation des logiciels de rapprochement judiciaire sont délivrées selon les conditions suivantes :

  1. Pour les agents de la police nationale exerçant des missions de police judiciaire :
    • Les habilitations sont données par les chefs des services territoriaux de la police nationale, par les chefs des services actifs à la préfecture de police ou, le cas échéant, le préfet de police, ou encore par les chefs des services centraux de la police nationale ou, le cas échéant, le directeur général dont ils relèvent.
  2. Pour les militaires de la gendarmerie nationale exerçant des missions de police judiciaire :
    • Les habilitations sont données par les commandants de groupement, par les commandants de la gendarmerie dans les départements, collectivités d’outre-mer, ou en Nouvelle-Calédonie, par les commandants de région, par les commandants des gendarmeries spécialisées, ou encore par le sous-directeur de la police judiciaire ou, le cas échéant, par le directeur général de la gendarmerie nationale.

Article R40-40 : Autorisation de mise en œuvre des logiciels

La mise en œuvre des logiciels de rapprochement judiciaire est autorisée pour chaque procédure par le magistrat saisi de l’enquête ou chargé de l’instruction. Les modalités sont les suivantes :

  • Enquête de flagrance : L’autorisation est réputée acquise, sauf décision contraire du procureur de la République.
  • Procédure judiciaire : La mise en œuvre des logiciels et l’autorisation du procureur ou de la juridiction d’instruction doivent faire l’objet d’une mention dans la procédure.
  • Clôture de l’enquête : Un rapport détaillant l’exploitation des données doit être joint à la procédure, accompagné, si nécessaire, d’une copie informatique de l’ensemble des données exploitées, à la demande du magistrat compétent.

Article R40-41 : Contrôle de l’utilisation et mise à jour des logiciels

La mise en œuvre et la mise à jour des logiciels de rapprochement judiciaire sont soumises à un contrôle rigoureux :

  • Un magistrat du parquet hors hiérarchie est nommé pour un mandat de trois ans par arrêté du garde des sceaux, ministre de la justice, pour superviser le contrôle de ces logiciels.
  • Ce magistrat est assisté par un comité de trois membres également nommés par arrêté du garde des sceaux.
  • Les autorités gestionnaires des traitements doivent fournir toute information relative à ces traitements à ce magistrat sur sa demande.
  • Le magistrat peut ordonner toute mesure nécessaire pour exercer son contrôle et établit un rapport annuel qu’il transmet au garde des sceaux, ministre de la justice, ainsi qu’une copie aux autorités gestionnaires des logiciels.

Décret n° 2012-687 du 7 mai 2012 relatif à la mise en œuvre de logiciels de rapprochement judiciaire à des fins d’analyse criminelle

Le Décret n° 2012-687 encadre l’utilisation des logiciels de rapprochement judiciaire dans le cadre des enquêtes criminelles, afin d’exploiter et de rapprocher des informations sur les modes opératoires d’infractions collectées par les services de police et de gendarmerie :

Article 1 : Mise en œuvre des traitements de données

Le ministre de l’Intérieur, par l’intermédiaire de la direction générale de la police nationale, de la direction générale de la gendarmerie nationale, et de la préfecture de police, est autorisé à utiliser des traitements de données à caractère personnel pour l’exploitation et le rapprochement d’informations au sein des enquêtes criminelles. Ces traitements concernent :

  1. Enquêtes de flagrance, enquêtes préliminaires, et investigations exécutées sur commission rogatoire, portant sur des crimes et délits punis d’une peine d’emprisonnement.
  2. Procédures de recherche des causes de la mort ou d’une disparition, conformément aux articles 74 et 74-1 du code de procédure pénale.

Article 2 : Données traitées

Les données à caractère personnel exploitées par les logiciels de rapprochement ne peuvent provenir que des pièces et documents déjà détenus par les services mentionnés à l’article 1. Ces données peuvent inclure :

  • Des informations personnelles nécessaires à la mise en œuvre des finalités définies à l’article 230-20 du code de procédure pénale.
  • Des éléments spécifiques comme des signes physiques particuliers ou éléments de signalement des personnes, liés à la nature ou aux circonstances de l’infraction, qui sont nécessaires pour la mise en œuvre des finalités.

Article 3 : Accès et destinataires des données

L’accès aux données à caractère personnel et aux informations est réservé à des personnes habilitées par l’article 230-25 du code de procédure pénale, principalement :

  1. Les officiers et agents de police judiciaire des services de police et de gendarmerie nationales.
  2. Les organismes de coopération internationale en matière de police judiciaire et les services de police étrangers, dans le cadre des dispositions légales prévues par la loi du 18 mars 2003.

Article 4 : Enregistrement des consultations

Toutes les consultations effectuées dans le cadre des logiciels de rapprochement doivent être enregistrées, avec les informations suivantes :

  • L’identifiant du consultant.
  • La date et l’heure de la consultation.

Ces données d’enregistrement doivent être conservées pendant une durée de cinq ans.

Article 5 : Droits des personnes concernées

Concernant les droits des personnes :

  1. Droit d’information et droit d’opposition : Ces droits, prévus par les articles 32 et 38 de la loi 78-17 du 6 janvier 1978, ne s’appliquent pas aux traitements de données effectués dans le cadre des logiciels de rapprochement judiciaire.
  2. Droits d’accès et de rectification : Ces droits doivent être exercés auprès de la Commission nationale de l’informatique et des libertés (CNIL), conformément aux articles 41 et 42 de la même loi.

Article 6 : Engagement de conformité

Lors de la mise en œuvre des logiciels de rapprochement judiciaire, les responsables doivent soumettre à la CNIL un engagement de conformité. Ce document doit être accompagné :

  1. D’un dossier technique de présentation du logiciel.
  2. Des informations concernant la mise en conformité avec les règles établies par le décret.

Les logiciels de rapprochement judiciaire, utilisés dans le cadre des enquêtes judiciaires, sont soumis à des conditions strictes de sécurité, de transparence et de protection des données personnelles. Leur usage est contrôlé par les autorités judiciaires, notamment le procureur de la République, et ne peut être effectué que par des agents spécifiquement habilités. Les données personnelles collectées doivent être effacées après une période déterminée, et toute utilisation doit être autorisée par décret, avec un contrôle constant de leur conformité aux règles en vigueur.

Mise en demeure du Ministère de l’intérieur

Décision n° MED-2024-150 du 15 novembre 2024 mettant en demeure le ministère de l’intérieur

(NMDM 241080)

Conformément à la décision no 2023-259C du 15 novembre 2023, la Commission nationale de l’informatique et des libertés (CNIL) a effectué un contrôle sur pièces du ministère de l’Intérieur et des Outre-mer (ci-après, le  » ministère de l’Intérieur « ) le 6 décembre 2023 ainsi que des contrôles sur place auprès des direction de la police judiciaire de la préfecture de police de Paris (DPJ-PP) et service central de renseignement criminel de la gendarmerie nationale (SCRC-GN). […]

Cette procédure de contrôle avait pour objet d’apprécier la conformité des traitements de données à caractère personnel relatifs aux logiciels de traitements d’analyse automatisée des images (ci-après,  » logiciels d’analyse vidéo « ) mis en œuvre par le ministère de l’Intérieur ou pour son compte aux dispositions de la loi no 78-17 du 6 janvier 1978 (la loi  » Informatique et Libertés « ), du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (le  » RGPD « ), de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 (la directive  » Police-Justice « ) ainsi que des dispositions prévues aux articles L. 233-1 et suivants et L. 251-1 et suivants du code de la sécurité intérieure (CSI).

À titre liminaire, je vous rappelle que cette décision de contrôle a été prise suite à la publication par le journal d’investigation Disclose, le 14 novembre 2023, d’une enquête révélant l’utilisation par les services du ministère de l’Intérieur d’un logiciel d’analyse vidéo commercialisé par la société BRIEFCAM. Cette enquête indiquait que plusieurs directions et services du ministère, commissariats de police et brigades de gendarmerie auraient utilisé, progressivement depuis 2015, ce logiciel afin notamment de rechercher un individu en fonction de différents critères. Selon cette enquête, ce logiciel disposerait également d’une fonctionnalité de reconnaissance faciale, laquelle serait utilisée par différents services du ministère.

Concomitamment à l’ouverture par la CNIL de cette procédure de contrôle, le ministre de l’Intérieur et des Outre-mer a annoncé le 17 novembre 2023  » une mission inter-inspections sur l’utilisation de logiciels d’analyse vidéo par les services de police et gendarmerie nationales « .

Dans le cadre de la procédure de contrôle de la CNIL, une réponse au questionnaire adressé au ministère de l’Intérieur, le 6 décembre 2023, a été apportée à la Commission le 18 mars 2024.

Suite à ces premiers éléments de réponse, des contrôles sur place ont eu lieu auprès de la DPJ-PP le 15 mai 2024 et du SCRC-GN le 21 mai 2024.

Les constatations effectuées lors de ces contrôles me conduisent à relever les éléments suivants.

I- Analyse des faits en cause

1. Sur le manquement à l’obligation de traiter des données de façon licite

En droitd’une part, l’article 4, 1o, de la loi  » Informatique et Libertés «  dispose que les données à caractère personnel doivent être  » traitées de manière licite, loyale « .

Par ailleurs, l’article 87 de cette loi prévoit que les traitements de données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales  » ne sont licites que si et dans la mesure où ils sont nécessaires à l’exécution d’une mission effectuée, pour l’une des finalités énoncées au premier alinéa, par une autorité compétente au sens du même premier alinéa et où sont respectées les dispositions des articles 89 et 90 « .

L’article 89 de cette loi précise quant à lui que  » si le traitement est mis en œuvre pour le compte de l’État pour au moins l’une des finalités énoncées au premier alinéa de l’article 87, il est prévu par une disposition législative ou réglementaire prise dans les conditions prévues au I de l’article 31 et aux articles 33 à 36 « . Ces derniers articles prévoient que les traitements doivent être autorisés, selon les cas par arrêté ou décret et que, lorsqu’un acte réglementaire unique autorise un ensemble de traitements similaires, chaque traitement doit ensuite faire l’objet d’une déclaration à la CNIL prenant la forme d’un  » engagement de conformité « .

D’autre part, l’exploitation des enregistrements visant à identifier a posteriori[1] les auteurs présumés d’infractions constitue une technique d’investigationencadrée par le code de procédure pénale (CPP)[2]. Les dispositions précitées des articles 87 et 89 de la loi  » Informatique et Libertés  » sont applicables à ces traitements.

À cet égard, la CNIL considère que l’exploitation d’enregistrements vidéo par le biais d’un logiciel d’analyse vidéo peut être autorisée, notamment si ce dernier constitue un logiciel de rapprochement judiciaire (ci-après,  » LRJ « ).

Afin d’être utilisé de façon licite, un logiciel d’analyse vidéo utilisé comme logiciel de rapprochement judiciaire doit être mis en œuvre dans le cadre défini au sein des CPP[3] et décret no 2012-687 du 7 mai 2012 relatif à la mise en œuvre de logiciels de rapprochement judiciaire à des fins d’analyse criminelle (ci-après, le  » décret du 7 mai 2012 « ). En particulier, ce décret impose que la mise en œuvre de tels logiciels soit précédée d’un engagement de conformité, accompagné d’une AIPD[4], adressé à la CNIL[5] – permettant à cette dernière d’exercer ses pouvoirs de contrôles[6] (v. infra).

À cet égard, la Commission a précisé dans son avis rendu en séance plénière le 15 décembre 2011 concernant le projet de ce décret que  » la mise en œuvre de chaque [LRJ] utilisé par la police nationale, la gendarmerie nationale ou la préfecture de police, devra ainsi être précédée de l’envoi d’un engagement de conformité faisant référence au[dit] décret « . Dans cet avis, la Commission a également précisé que  » d’autres logiciels [que les logiciels ANACRIM-ATRT et ANACRIM-ANB] mis en œuvre par la gendarmerie nationale, la police nationale et la préfecture de police, devraient par la suite être présentés à la Commission « [7]. Par cet engagement adressé à la CNIL, l’organisme déclarant atteste de la conformité de son traitement de données à caractère personnel à l’acte réglementaire unique  » RU-018 – Logiciel de rapprochement judiciaire à des fins d’analyse criminelle  » (ci-après,  » RU-018 « )[8], à l’appui d’un dossier technique de présentation du logiciel en question.

Enfin, je relève que le cadre juridique des LRJ prévoit des garanties fortes pour les droits et libertés des personnes. Ce type de logiciels, qui doit nécessairement s’inscrire dans le cadre d’une enquête judiciaire[9], ne peut en particulier être mis en œuvre que sous le contrôle, notamment, du magistrat saisi de l’enquête ou chargé de l’instruction[10].

En l’espèce, dans la réponse au contrôle sur pièces précité que vos services ont adressée aux miens le 18 mars 2024, ainsi qu’au cours des contrôles sur place effectués auprès des DPJ-PP et SCRC-GN en mai dernier, il a été indiqué que le ministère de l’Intérieur utilise des logiciels d’analyse vidéo depuis l’année 2015.

Lors du contrôle effectué auprès du SCRC-GN, il a été indiqué à la délégation que  » L’édiction d’un décret ad hoc, spécifiquement dédié aux logiciels d’analyse vidéo, a initialement été envisagée par la direction générale de la Police nationale (DGPN). Après analyse, la DLPAJ a considéré en janvier 2023 que les logiciels d’analyse vidéo relevaient de l’acte-cadre relatif aux logiciels de rapprochement judiciaire (LRJ). « . Il a également été précisé à la délégation de contrôle que  » Lors de l’utilisation du logiciel de la société BRIEFCAM à compter de 2018, le SCRC considérait ce logiciel comme un nouvel outil d’analyse vidéo « [11].

Or,en premier lieu, s’agissant de la direction générale de la Gendarmerie nationale (DGGN), je relève que le logiciel souverain  » Système V  » (ex- » Sigma enquêteurs « )[12] est notamment utilisé depuis 2021. Or, je relève que la DGGN a transmis à la CNIL un engagement de conformité au RU-18 concernant la mise en œuvre de ce logiciel le 20 novembre 2023, soit deux ans après le début de son utilisation.[13] Par ailleurs, s’agissant du SCRC-GN, je relève que, malgré l’utilisation depuis 2018 du logiciel d’analyse vidéo édité par la société BRIEFCAM, l’engagement de conformité n’a été transmis à la CNIL que le 7 octobre dernier, soit cinq ans après le début de son utilisation.

En deuxième lieu, s’agissant de la DGPN, je relève que, malgré l’utilisation depuis 2015 de plusieurs logiciels édités par la société BRIEFCAM par certains services de la direction, l’engagement de conformité au RU-18 de la DGPN n’a été transmis à la CNIL que le 14 décembre 2023, soit huit ans après ses premières utilisations.

En troisième lieu, s’agissant de la préfecture de police de Paris, je relève que le logiciel souverain  » Système V  » est notamment utilisé depuis 2021. Or, je relève que la préfecture de police de Paris a transmis à la CNIL un engagement de conformité concernant la mise en œuvre de ce logiciel le 30 octobre 2023, soit deux ans après le début de son utilisation. Par ailleurs, je relève que, malgré l’utilisation par la préfecture de police de Paris du logiciel  » Vidéo Synopsis  » (lors de deux phases d’expérimentation entre 2016 et 2022), du logiciel  » Axiom  » et du logiciel  » Physical Analyzer « , aucun engagement de conformité au RU-18 n’a à ce jour été reçu par la CNIL[14].

Aussi, entre 2015 et les premières transmissions en 2023, et encore récemment pour certains des logiciels, le ministère de l’Intérieur n’a pas respecté les dispositions du décret du 7 mai 2012, en ne transmettant pas d’engagement de conformité à la Commission préalablement à la mise en œuvre de ces logiciels. Dès lors qu’à l’époque le ministère n’analysait pas ces logiciels comme des LRJ, il est par ailleurs probable que les autres dispositions du décret du 7 mai 2012 n’ont pas été bien respectées, notamment en ce qu’elles prévoient une autorisation d’utilisation par un magistrat pour chaque procédure.

Dès lors, en l’absence d’engagement de conformité avant 2023 et en l’absence de décret spécifique les autorisant, certains des logiciels d’analyse vidéo ont été utilisés depuis 2015 en méconnaissance du décret du 7 mai 2012. Il convient en outre de transmettre à la Commission les engagements de conformité au RU-018 encore manquants.

Par ailleurs, je prends note qu’un projet de modification du décret du 7 mai 2012 encadrant les LRJ est actuellement en cours de rédaction, conformément à ce qui a été indiqué dans le cadre des contrôles susmentionnés. Je vous remercie de bien vouloir le finaliser dans les plus brefs délais afin que les traitements d’analyse vidéo y soient explicitement mentionnés.

2. Sur l’obligation d’effectuer une analyse d’impact relative à la protection des données (AIPD)

En droit,l’article 90, paragraphe 1er, de la loi  » Informatique et Libertés «  dispose que  » Si le traitement est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes physiques, notamment parce qu’il porte sur des données mentionnées au I de l’article 6 [telles que les  » données biométriques aux fins d’identifier une personne physique de manière unique « ], le responsable de traitement effectue une analyse d’impact relative à la protection des données à caractère personnel « .

De plus, le considérant 58 de la directive  » Police-Justice «  précise que  » Lorsque des opérations de traitement sont, du fait de leur nature, de leur portée ou de leurs finalités, susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées, le responsable du traitement devrait effectuer une analyse d’impact relative à la protection des données comprenant notamment les mesures, les garanties et les mécanismes envisagés pour assurer la protection des données à caractère personnel et pour apporter la preuve du respect de la présente directive « .

Ainsi, une évaluation de la nécessité et de la proportionnalité du dispositif envisagé, au regard des finalités poursuivies notamment, doit être opérée avant son implantation.

En l’espèce, dans la réponse au contrôle sur pièces précité, il a été indiqué que le ministère de l’Intérieur utilise des logiciels d’analyse vidéo depuis 2015.

Toutefois, en premier lieu, je relève que la DGGN a transmis à la CNIL une AIPD concernant le logiciel  » Système V  » le 23 novembre 2023 ainsi qu’une AIPD concernant le logiciel  » Video Synopsis  » de la société BRIEFCAM le 25 octobre dernier seulement, soit six ans après ses premières utilisations[15].

En second lieu, s’agissant de la DGPN, la direction a transmis à la CNIL une AIPD concernant le logiciel  » Video Synopsis  » de la société BRIEFCAM le 3 janvier 2024, utilisé depuis 2015 par les services de la police nationale, soit près de 9 ans après ses premières utilisations.

Entroisième lieu, je relève que la DPJ-PP a seulement transmis à la CNIL une AIPD concernant l’utilisation du logiciel souverain  » Système V « , le 22 novembre 2023. Quant aux autres logiciels de ce type tels que, notamment, le logiciel  » Axiom  » et le logiciel  » Physical Analyzer « , utilisés dans le cadre d’investigations pour le recueil de preuves numériques, la délégation de contrôle a été informée par la préfecture de police de Paris qu’aucune AIPD n’a été réalisée[16].

Or, la mise en œuvre de technologies d’analyse automatisée a posteriori des images issues de dispositifs vidéo est susceptible d’entrainer d’importantes conséquences pour les droits et libertés fondamentaux des personnes. La réalisation d’une AIPD avant la mise en œuvre de ces logiciels par le ministère de l’Intérieur aurait permis l’évaluation de tels risques et des mesures proportionnées à ceux liés, notamment, à l’inexactitude des données, à la consultation non-autorisée de ces dernières ou encore à leur perte.

Aussi, de tels traitements n’auraient pas dû être mis en œuvre, ou continué de l’être (l’obligation d’effectuer une AIPD étant prévue depuis le 1er juin 2019, date d’entrée en vigueur des dispositions afférentes de la loi  » Informatique et Libertés  » telles qu’issues de la transposition de la directive  » Police-Justice  » par voie d’ordonnance, la CNIL ayant généralement admis un délai de deux ans pour se mettre en conformité avec les nouvelles obligations en matière d’AIPD), sans avoir préalablement fait l’objet d’une AIPD. Le fait que ces traitements soient menés dans le cadre de phases expérimentales de  » tests « , ou qu’ils le soient dans des phases de déploiement opérationnel, est sans incidence sur cette obligation.

Dès lors, le ministère de l’Intérieur a méconnu les dispositions de l’article 90 de la loi  » Informatique et Libertés  » en ne réalisant pas d’AIPD préalablement à la mise en œuvre des logiciels d’analyse vidéo, dont notamment ceux de la société BRIEFCAM ainsi que les logiciels souverains  » Système V  » et  » SIGMA « ,  » Axiom  » et  » Physical Analyzer « . Vous voudrez bien transmettre l’ensemble des AIPD qui n’auraient pas été transmises à ce jour, notamment  » Axiom  » ou  » Physical Analyzer  » pour la préfecture de police de Paris.

3. Sur l’interdiction de principe de mettre en œuvre un traitement de données biométriques aux fins d’identifier une personne physique de manière unique, via un dispositif de reconnaissance faciale notamment

En droit,l’article 34 de la Constitution du 4 octobre 1958 prévoit que  » la loi fixe les règles concernant : (…) les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques (…) [ainsi que] la procédure pénale « .

Larticle 88 de la loi  » Informatique et Libertés «  dispose que le traitement de catégories particulières de données à caractère personnel telles que les données biométriques aux fins d’identifier une personne physique de manière unique » est possible uniquement en cas de nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée, et soit s’il est autorisé par une disposition législative ou réglementaire (…) « .

Leconsidérant 51 de la directive  » Police-Justice  » souligne que  » des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données qui pourraient entraîner des dommages physiques matériels ou un préjudice moral, en particulier (…) lorsque des données (…) biométriques sont traitées afin d’identifier une personne de manière unique (…) ou lorsque (…) des données relatives à (…) des infractions (…) sont traitées ; (…) ou lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées « .

Par ailleurs, conformément à l’article 20 de ladite directive, les responsables de traitements doivent intégrer les principes de protection des données à caractère personnel en mettant en œuvre toutes les mesures techniques et organisationnelles appropriées et nécessaires, à la fois dès la conception du produit ou du service et par défaut.

Pour rappel, malgré le strict encadrement par le législateur des dispositifs utilisant des données biométriques comme de leurs expérimentations, le développement rapide de nouveaux outils de captation des images et de nouvelles modalités d’exploitation des images de vidéoprotection dans l’espace public, dont la reconnaissance faciale, a poussé la CNIL, en 2018 déjà, à appeler  » d’urgence à un débat démocratique sur cette problématique, et à ce que le législateur puis le pouvoir réglementaire se saisissent de ces questions afin que soient définis les encadrements appropriés, en recherchant le juste équilibre entre les impératifs de sécurisation, notamment des espaces publics, et la préservation des droits et libertés de chacun « [17]. La reconnaissance faciale soulevant des questions inédites touchant à des choix de société, la CNIL a souhaité contribuer au débat qu’elle a appelé de ses vœux en présentant, en 2019, les éléments techniques, juridiques et éthiques devant selon elle être pris en compte dans l’approche de cette question complexe[18].

À ce jour, les dispositifs d’identification ou de caractérisation des personnes physiques à partir de leurs données biométriques, utilisés de manière opérationnelle comme expérimentale, ne sont pas autorisés par le législateur dans l’espace public.

En l’espèce, dans la réponse au contrôle sur pièces précité, il a été précisé que  » l’interdiction de toute utilisation d’un quelconque module de reconnaissance faciale a été rappelée par instruction du directeur général [de la Police nationale] du 6 février 2023 adressée à l’ensemble des services utilisateurs (DNSP, DNPJ, SNPS) « .

Toutefois, en premier lieu, lors du contrôle du SCRC-GN, il a été indiqué à la délégation de contrôle qu’une fonctionnalité de  » Reconnaissance faciale  » avait été intégrée par la société BRIEFCAM lors d’une mise à jour du logiciel, sans demande en ce sens du ministère. Il a été rapporté que cette fonctionnalité de  » Reconnaissance faciale  » a été utilisée  » une seule fois, lors des émeutes de l’Été 2023 « , semble-t-il pour une recherche ex post parmi les images et que,  » à l’usage, la fonctionnalité de  » reconnaissance faciale  » s’apparente plutôt à une fonctionnalité de similitude d’apparence du fait que celle-ci n’a pas la même efficacité que le module intégré au TAJ et par ailleurs qu’il est possible d’alimenter ce module à partir de la photo d’une personne prise de dos. « . Néanmoins, l’annexe 5 intitulée  » Point de situation BRIEFCAM  » et datée du 10 janvier 2023, contenue dans le document intitulé  » BRIEFCAM_IGA_Annexes 1 à 9.pdf  » transmis suite au contrôle, semble indiquer le contraire et confirmer, à cette occasion, une utilisation de ce logiciel à des fins de reconnaissance faciale pour rechercher un individu dans une bande vidéo, dans le cadre d’une enquête judiciaire. Il résulte de ce qui a été dit ci-dessus que cet usage était illégal.

De plus, en deuxième lieu, il a été précisé à la délégation de contrôle que, préalablement à la mise à jour du logiciel opérée en 2022 et dans le cadre de laquelle la fonctionnalité  » Reconnaissance faciale  » est apparue, une fonctionnalité intitulée  » Similitudes d’apparence  » lui préexistait. Le matériel du SCRC-GN ayant été désinstallé au mois de mars 2024, ladite délégation n’a pu effectuer aucune constatation lors du contrôle effectué en mai dernier.

Enfin, en troisième lieu, si la désinstallation du logiciel de la société BRIEFCAM a été ordonnée au sein de la gendarmerie nationale, tel n’a pas été le cas dans l’ensemble des services du ministère de l’Intérieur. Aussi, je relève que des fonctionnalités s’apparentant à des traitements biométriques sont toujours disponibles au sein des logiciels mis en œuvre par des services relevant du ministère de l’Intérieur, et que leur usage reste ainsi techniquement possible, du moins en théorie.

Or, je vous rappelle que la distinction entre les dispositifs biométriques et non biométriques a des conséquences juridiques importantes : les dispositifs biométriques impliquent des traitements de données dites  » sensibles  » qui sont, par principe, interdits par la loi  » Informatique et Libertés  » comme le RGPD, sauf exceptions. Il vous appartient, en tant que responsable de traitement, de vous assurer que ce type de traitement ne repose pas sur l’utilisation de données biométriques.

La fonctionnalité  » Reconnaissance faciale  » semblant être activée par défaut par certains éditeurs (au sein des logiciels de la société BRIEFCAM notamment), j’estime que le respect des textes cités ci-dessus implique que le ministre de l’Intérieur prenne des mesures pour empêcher l’utilisation de cette fonctionnalité, par exemple en en prévoyant la désactivation par un compte  » administrateur « , afin qu’elle ne puisse pas être mise en œuvre par les utilisateurs du logiciel, ainsi qu’une remontée d’alerte automatique au responsable de traitement en cas de réactivation. Idéalement, une version spécifique du logiciel n’intégrant pas ce type de fonctionnalité devrait être privilégiée (comme cela est désormais prévu par la société BRIEFCAM[19]).

Dès lors, le ministère de l’Intérieur a méconnu les dispositions de l’article 88 de la loi  » Informatique et Libertés  » :

  • du fait de l’usage de la fonctionnalité de reconnaissance faciale lors d’une procédure à l’été 2023 ;
  • plus généralement, en ne prenant pas de mesures de nature à empêcher l’utilisation de la fonctionnalité de reconnaissance faciale au sein des logiciels d’analyse vidéo qui proposent cette fonctionnalité par défaut, en particulier les logiciels de la société BRIEFCAM.

Enfin, au vu de ces éléments, je vous rappelle la nécessité, dans le cadre du développement du logiciel souverain  » Système V  » comme de tout autre logiciel développé par vos services, de garantir le respect des règles de protection des données à caractère personnel dès sa conception et par défaut, en n’incluant aucune fonctionnalité basée sur des données biométriques.

II- Mesures correctrices prononcées par la CNIL

En raison de l’ensemble de ces éléments et conformément aux dispositions de l’article 20 de la loi  » Informatique et Libertés « , il y a donc lieu de prononcer à l’égard du MINISTÈRE DE L’INTÉRIEUR, les mesures correctrices suivantes :

  • Un RAPPEL AUX OBLIGATIONS LÉGALES, pour avoir utilisé des logiciels d’analyse vidéo (logiciels de rapprochement judiciaire) sans transmission préalable à la CNIL des engagements de conformité correspondants, dans les conditions rappelées ci-dessus, ce qui méconnaît les articles 4 et 31 de la loi  » Informatique et Libertés « .
  • Une MISE EN DEMEURE, sous un délai de deux (2) mois à compter de la notification de la présente décision et sous réserve des mesures qu’il aurait déjà pu adopter :

• de transmettre des engagements de conformité au règlement unique RU-018 pour les différents logiciels de rapprochement judiciaire (LRJ) mis en œuvre n’en ayant encore pas fait l’objet, conformément aux dispositions des articles 31 de la loi  » Informatique et Libertés  » et 6 du décret du 7 mai 2012. Cela concerne notammentle logiciel  » Physical Analyzer  » et le logiciel  » Axiom  » mis en œuvre par la préfecture de Police de Paris. Dans l’hypothèse où le ministère aurait cessé l’utilisation de l’un ou plusieurs LRJ évoqués dans le cadre de la procédure de contrôle susmentionnée, il convient d’en informer la CNIL en réponse à la présente mise en demeure ;

  • deréaliser une analyse d’impact relative à la protection des données (AIPD) pour les différents LRJ n’en disposant pas encore, notamment les logiciels  » Physical Analyzer  » et  » Axiom « , conformément aux dispositions des articles 90 de la loi  » Informatique et Libertés  » et 6 du décret du 7 mai 2012 ;
  • deprendre les mesures adéquates permettant d’empêcher, conformément au cadre légal, l’utilisation des fonctionnalités de reconnaissance faciale pour l’ensemble des LRJ utilisés;
  • de justifier auprès de la CNIL que l’ensemble de ces demandes a bien été respecté, dans le délai imparti.

À l’issue de ce délai, si le ministère de l’Intérieur s’est conformé à la présente mise en demeure, la procédure sera close et un courrier sera adressé en ce sens.

À l’inverse, en l’absence de respect de la mise en demeure, il est rappelé que la présidente de la CNIL peut désigner un rapporteur pour requérir que la formation restreinte prononce l’une des sanctions prévues à l’article 20 de la loi du 6 janvier 1978.

Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.

[…]

La Présidente

Marie-Laure DENIS

[…]

[1] Analyse algorithmique des images de vidéos en temps différé et non pas en temps réel (à ce sujet, confer position de la CNIL de juillet 2022 sur les conditions de déploiement des caméras dites intelligentes ou augmentées dans les espaces publics).

[2] Articles 60-1, 60-2, 77-1-1, 77-1-2, 99-3 et 99-4 du code de procédure pénale (CPP).

[3] Art. 230-20 et suivants et R. 40-39 à R. 40-41 du CPP.

[4]dossier technique dans le décret no 2012-687 du 7 mai 2012 relatif à la mise en œuvre de logiciels de rapprochement judiciaire à des fins d’analyse criminelle (ci-après, décret du 7 mai 2012 ), concernant lequel la Commission a rendu un avis en prenant acte de l’engagement du ministère de l’intérieur à joindre à ces engagements de conformité des dossiers techniques précisant notamment les fonctionnalités exactes de chaque logiciel, son architecture technique ainsi que les mesures de sécurité encadrant le traitement projeté et soulignant qu’elle s’attacherait tout particulièrement, à l’occasion de la fourniture des dossiers de présentation technique des logiciels qui seront ultérieurement déclarés, à vérifier que l’utilisation de ces logiciels est limitée à l’échelon local dans le cadre d’une procédure judiciaire spécifique (délibération no 2011-418 du 15 décembre 2011 portant avis sur un projet de décret relatif à la mise en œuvre de logiciels de rapprochement judiciaire à des fins d’analyse criminelle).

[5] Art. 6 du décret du 7 mai 2012.

[6] Art. 230-23 du CPP.

[7] COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTES, Délibération no 2011-418 du 15 décembre 2011 portant avis sur un projet de décret relatif à la mise en œuvre de logiciels de rapprochement judiciaire à des fins d’analyse criminelle.

[8] https://www.cnil.fr/fr/declaration/acte-reglementaire-unique-18-logiciel-de-rapprochement-judiciaire-des-fins-danalyse-criminelle

[9] Art. 230-20 du CPP.

[10] Conformément à l’article R. 40-40 du CPP, ledit magistrat doit autoriser l’exploitation d’enregistrements vidéo par le biais d’un LRJ pour chaque procédure qu’il contrôle. Cette autorisation, comme la mise en œuvre elle-même, doivent faire l’objet d’une mention en procédure et, à la clôture de cette dernière, un rapport d’exploitation des données doit y être joint.

[11] Permettant un gain de temps de visionnage par la compression des temps morts ainsi que la détection d’un objet ou d’une personne, grâce [à] différents filtres (couleur, forme d’objet, direction, arrêt près de telle zone sélectionnée), plaques minéralogiques, similitudes d’apparence ( reconnaissance de formes d’une silhouette similaire grâce à une photo ) (PV 2023-259/2 du 21 mai 2024).

[12] Outil d’analyse souverain développé par le département des technologies appliquées à l’investigation D@TA-i de la direction nationale de la police judiciaire (DNPJ) et ayant vocation à être déployé de manière généralisée.

[13] Les engagements de conformité au RU-18 des logiciels suivants – ne rentrant pas dans le cadre des constatations effectuées lors des contrôles sur place menés par la CNIL – ont également été reçus : la DGGN a transmis à la CNIL deux engagements de conformité concernant respectivement le logiciel LARC (le 27 juillet 2023) et le logiciel DA-DT (le 28 juillet 2023), qui ne sont pas des logiciels d’analyse vidéo.

[14] Les engagements de conformité au RU-18 des logiciels suivants – ne rentrant pas dans le cadre des constatations effectuées lors des contrôles sur place menés par la CNIL – ont également été reçus : la DGPN a transmis à la CNIL, le 20 juillet 2023, deux engagements de conformité concernant respectivement le logiciel souverain Système V et le logiciel Pathfinder de la société CELLEBRITE, ainsi qu’un engagement relatif au logiciel souverain SIGMA le 23 mai 2024.

[15] Les AIPD des logiciels suivants – ne rentrant pas dans le cadre des constatations effectuées lors des contrôles sur place menés par la CNIL – ont également été reçus : la DGGN a transmis à la CNIL deux AIPD concernant respectivement le logiciel LARC et le logiciel DA-DT (le 9 janvier 2024), qui ne sont pas des logiciels d’analyse vidéo.

[16] La DGPN a transmis à la CNIL sans AIPD les engagements de conformité concernant respectivement le logiciel souverain Système V et le logiciel Pathfinder de la société CELLEBRITE – ne rentrant pas dans le cadre des constatations effectuées lors des contrôles sur place menés par la CNIL.

La DGPN a transmis à la CNIL le 11 juillet 2024 une AIPD concernant le logiciel souverain SIGMA .

[17] https://www.cnil.fr/fr/la-cnil-appelle-la-tenue-dun-debat-democratique-sur-les-nouveaux-usages-des-cameras-video

[18] https://www.cnil.fr/fr/reconnaissance-faciale-pour-un-debat-la-hauteur-des-enjeux

[19] Communiqué de presse de la société BRIEFCAM publié le 12 décembre 2023 sur son site web indiquant qu’ Avec la sortie de 2024 M1, BriefCam introduit la flexibilité d’implémenter une licence en excluant la capacité de reconnaissance faciale. Conçue pour étendre la puissante technologie BriefCam aux organisations soumises à des restrictions strictes en matière d’utilisation de la reconnaissance faciale, BriefCam a développé sa solution pour mieux répondre aux besoins réglementaires internationaux et en constante évolution. Les utilisateurs de BriefCam peuvent passer à une version où la reconnaissance faciale est complètement désactivée et exclue de l’interface utilisateur et des algorithmes. .

  • Bienvenue, je suis votre assistant juridique
Réflexion en cours .... ...
Chat Icon