Délibération n° 2022-012 du 3 février 2022 portant avis sur un projet de décret pris en application de l’article 61 de la loi n° 2021-646 du 25 mai 2021 pour une sécurité globale préservant les libertés (demande d’avis n° 21021009)

La Commission nationale de l’informatique et des libertés,
Saisie par le ministère de la transition écologique d’une demande d’avis concernant un projet de décret pris en application de l’article 61 de la loi n° 2021-646 du 25 mai 2021 pour une sécurité globale ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 8-I-4°-a ;

1. 
   Après avoir entendu le rapport de Mme Sophie LAMBREMON, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
   Emet l’avis suivant :
   L’article 61 de la loi du 25 mai 2021 pour une sécurité globale préservant les libertés a ouvert la possibilité pour les opérateurs de transport public ferroviaire de voyageurs (ci-après les « opérateurs »), de capter, d’enregistrer et de transmettre des « images prises sur la voie publique et dans les lieux ouverts au public au moyen de caméras frontales embarquées sur les matériels roulants qu’ils exploitent ».
   La mise en œuvre de ces dispositifs doit se faire de manière expérimentale pour une durée de trois ans. A cet égard, la loi prévoit qu’elle fait l’objet d’une évaluation dans les deux ans suivant son entrée en vigueur, remise par le Gouvernement au Parlement et à la Commission nationale de l’informatique et des libertés (la Commission), afin d’évaluer l’opportunité du maintien des mesures qu’elle prévoit. Plus particulièrement, l’article 11 du projet de décret prévoit que l’opérateur adresse au ministre chargé des transports un bilan de l’emploi de ces caméras. A cet égard, la Commission estime qu’au titre des éléments qui devront figurer au sein de ce bilan, un point pourrait utilement être consacré au traitement des données à caractère personnel, en indiquant notamment les types d’infrastructures mis en œuvre (centralisé ou décentralisé), les modalités de pseudonymisation, anonymisation et suppression des données, ainsi que les mesures de sécurité mises en place et leur degré d’efficacité, etc.).
   La loi renvoie en outre à un décret en Conseil d’Etat s’agissant de la détermination des modalités d’application, de l’utilisation des données collectées ainsi que de la fixation des mesures techniques mises en œuvre pour garantir la sécurité des enregistrements et assurer la traçabilité des accès aux images. C’est dans ce contexte que la Commission a été saisie.
   Ces dispositifs permettront aux opérateurs de transport public ferroviaire de disposer de caméras frontales embarquées sur les trains à grande vitesse (TGV), les trains du transport express régional (TER), les rames de métro, les trains du réseaux express régional d’Ile de France (RER), les trams-trains, les trains de grandes lignes et les trains touristiques. La Commission interprète les termes de « caméras frontales » comme signifiant que la caméra doit être fixée à l’avant de la locomotive et de façon pertinente au regard de la finalité de prévention et d’analyse des accidents. Elle estime ainsi que les caméras devraient en principe être amenées à filmer uniquement la voie de circulation du train, à l’avant, ainsi que, éventuellement, ses abords immédiats (quais de gare, terrains et bâtiment privés, portion du domaine public, etc.). Le ministère a précisé que la captation pourrait se faire en continu.
   La Commission relève que de tels dispositifs poursuivent un objectif légitime. Il faut cependant souligner que, dans certaines circonstances, de nombreuses données à caractère personnel seront traitées : il en va ainsi notamment pour l’arrivée dans une gare ou pour des trains particuliers comme les trains touristiques, qui traversent à vitesse lente des zones parfois à forte densité de population. Dans ces conditions, ces dispositifs devront être mis en œuvre de façon à minimiser les atteintes à la vie privée (en filmant la voie et en réduisant la captation d’images des abords à ce qui est nécessaire pour repérer un risque d’accident effectivement encouru ou l’analyser s’il s’est produit). Si le ministère a indiqué ne pas pouvoir donner davantage de précisions sur la façon dont les caméras seront effectivement employées, s’agissant d’une expérimentation, la Commission rappelle que la mise en œuvre par chaque responsable de traitement devra prendre en compte le contexte d’utilisation et proportionner l’usage de ces caméras aux risques d’accidents effectivement encourus. Cette appréciation de la nécessité de la mise en œuvre de ces dispositifs pourra par exemple être réalisée au moyen de statistiques.
   Au regard des enjeux en matière de vie privée induits par l’utilisation de caméras dans ce contexte particulier, la Commission appelle le Gouvernement à renforcer et préciser l’encadrement prévu par le projet de décret sur les points suivants.
   Sur l’économie générale du dispositif :
   L’article 2 du projet de décret précise que les « matériels roulants » concernés par l’expérimentation sont ceux visés par le décret n° 2017-440 du 30 mars 2017, à l’exclusion des tramways, ainsi que les véhicules au sens du décret n° 2019-525 du 27 mai 2019.
   De manière générale, la Commission relève que le périmètre des matériels concernés est large. En effet, le projet de décret a vocation à fixer non pas les règles de chaque traitement particulier mais un cadre général d’usage pour les opérateurs de transport dans la mise en œuvre de traitements permettant la captation, transmission et l’enregistrement d’images prises sur la voie publique et dans les lieux ouverts au public. Elle rappelle qu’il appartiendra à chaque opérateur, en sa qualité de responsable de traitement, de se conformer à l’ensemble des obligations résultant du RGPD, de la loi « informatique et libertés et de l’article 61 de la loi du 25 mai 2021, ainsi que des modalités prévues par le présent projet de décret.
   En premier lieu, le ministère a précisé qu’il ne souhaitait ni orienter ni limiter les opérateurs par une doctrine d’emploi, en raison de la précision de la loi et du fait qu’il s’agit d’une expérimentation. La Commission formule néanmoins certaines recommandations relatives aux conditions de mise en œuvre des traitements projetés.
   D’une part, elle souligne qu’au-delà du respect de l’ensemble des principes de la réglementation en matière de protection des données et notamment du principe de « privacy by design », une attention particulière devra être portée à la sécurité des données traitées, et les risques liés à l’usage de ces dispositifs devront être correctement évalués et traités. Plus particulièrement, elle estime qu’il conviendra d’être vigilant quant à l’architecture retenue et notamment le stockage des données (qu’il soit local ou centralisé), et que les mesures de sécurité devront être adaptées à celle-ci. Elle estime en outre que la conception des systèmes devrait garantir que les données non pseudonymisées ou non anonymisées fassent l’objet d’un minimum d’opération manuelles et ce, afin d’assurer qu’elles ne soient pas utilisées pour d’autres fins que celles prévues par le projet de décret.
   D’autre part, la Commission souligne que l’article 61 de la loi du 25 mai 2021 prévoit que « le public est informé, par une signalétique spécifique, de l’équipement du moyen de transport par une caméra ». Le ministère considérant que la loi est suffisamment claire sur ce point, il n’a pas souhaité restreindre le choix des modalités de mise en œuvre de cette obligation. De manière générale, la Commission rappelle qu’il appartiendra aux opérateurs de s’assurer que cette information est délivrée de manière « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant », conformément à l’article 12 du RGPD. Elle estime que la mise en œuvre de l’expérimentation pourra notamment permettre de préciser les modalités concrètes de délivrance de cette information.
   Enfin, elle invite le ministère à émettre des recommandations à destination des opérateurs, pour permettre de clarifier les conditions et usages de ces dispositifs.
   En second lieu, la Commission observe que le projet de décret prévoit la possibilité d’enregistrer les images en continu, alors que l’article 61 de la loi ne contient aucune disposition imposant le recours à des systèmes de captation continue des images. Interrogé sur les raisons de son choix, le ministère a indiqué qu’il n’avait pas souhaité privilégier l’une ou l’autre de ces modalités. C’est pour cette raison que le projet de décret prévoit que « les images peuvent être enregistrées en continu ».
   A cet égard, la Commission reconnaît que la finalité de prévention ou d’analyse d’éventuels accidents pendant un trajet ferroviaire peut justifier que la caméra filme en continu, puisqu’il n’est pas possible de prévoir le moment de l’accident. Elle estime cependant que des garanties supplémentaires pourraient être introduites par le projet de décret. En particulier, elle s’interroge sur la possibilité de prévoir que la caméra ne peut filmer en continu que lorsque le train est en marche. En effet, lorsqu’il est à l’arrêt, notamment lors des arrêts en gare, l’intérêt de la captation des images par une caméra frontale sur la locomotive apparaît dans ce contexte particulièrement faible, et le risque d’atteinte à la vie privée plus élevé, la caméra filmant un endroit fixe pendant une certaine durée. A cet égard, la Commission prend acte de l’engagement du ministère de le prévoir expressément dans le projet de décret.
   Sur l’anonymisation des données :
   L’article 6 du projet de décret prévoit que « les données mentionnées au 1° de l’article 3 […] sont anonymisées par les agents mentionnés au I de l’article 7 en tant que de besoin et, notamment, aux fins de formation ».
   Le ministère a initialement précisé que l’intention du Gouvernement était de rendre obligatoire l’anonymisation des données à caractère personnel collectées dans le cadre des traitements mis en œuvre, quelles que soit les finalités pour lesquels ils sont mis en œuvre (prévention et analyse des accidents ferroviaires ainsi que pour la formation des personnels de conduite et de leur hiérarchie).
   De manière générale, la Commission estime qu’une telle mesure est de nature à limiter les atteintes aux droits et libertés des personnes concernées. Elle formule néanmoins les observations suivantes.
   D’une part, la Commission rappelle qu’il est extrêmement difficile d’anonymiser véritablement des vidéos (c’est-à-dire de rendre impossible toute réidentification ultérieure des personnes, par la mise en œuvre de procédés de floutage par exemple), tout en permettant leur exploitation, ce qui conduit donc le plus souvent à se limiter à une simple pseudonymisation des vidéos, qui permet leur utilisation pour les finalités assignées au traitement sans porter une atteinte disproportionnée aux droits des personnes. Compte tenu de ces éléments, la Commission prend acte de l’évolution envisagée par le ministère de prévoir la pseudonymisation des données collectées, et non leur anonymisation, pour leur utilisation durant les trente jours de conservation.
   D’autre part, l’article 61 de la loi du 25 mai 2021 prévoit que les enregistrements comportant des données à caractère personnel sont effacés au bout de trente jours. Ainsi, les données brutes peuvent par principe figurer pendant ce délai au sein des traitements mis en œuvre par les opérateurs. Le ministère a fait le choix de prévoir que ces données feront obligatoirement l’objet d’une pseudonymisation. Il précise néanmoins que des données brutes pourront être adressées aux autorités compétentes dans le cadre de procédures judiciaires, administratives ou disciplinaires. Il y aura donc en réalité, au moins dans certains cas, conservation des données sous deux formes distinctes.
   Si la Commission rappelle que la loi du 25 mai 2021 ne s’oppose pas à de telles modalités, elle considère que le projet de décret est insuffisamment précis sur ce point. A des fins de lisibilité pour les opérateurs et les personnes concernées, elle estime que le projet de décret doit être modifié s’agissant du processus exact de pseudonymisation des données.
   Par exemple, elle relève que la formulation du projet de décret est ambiguë au regard de la volonté du ministère d’imposer la pseudonymisation des données collectées. Elle estime que le projet de décret devrait être précisé, notamment aux fins de supprimer les termes « en tant que de besoin, et notamment aux fins de formation » et prend acte de l’engagement du ministère de modifier le projet en ce sens.
   Enfin, elle rappelle que ces dispositions imposent que les données soient effacées au bout de trente jours (hors les cas où les enregistrements sont utilisés dans le cadre de procédures. Sur ce point, voir infra). A cet égard, la Commission souligne que pendant ce délai, les données peuvent tout à fait faire l’objet de pseudonymisation, comme l’envisage le ministère et ainsi limiter les risques pour les personnes. Elle insiste en revanche sur le fait que les données ne pourront en aucun cas être conservées au sein des traitements au-delà de trente jours, sauf à ce qu’elles soient anonymisées dans les règles de l’art.
   Sur la durée de conservation des données :
   L’article 3 du projet de décret prévoit que les données et informations enregistrées dans le traitement « peuvent être conservées pendant une durée de trente jours maximum à compter du jour de leur enregistrement. Au terme de ce délai, ces données sont effacées automatiquement des traitements ».
   L’article 61 de la loi du 25 mai 2021 précise que ces enregistrements sont effacés dans le délai précité, « hors les cas où ils sont utilisés dans le cadre d’une procédure judiciaire, administrative ou disciplinaire ».
   De manière générale, la Commission relève que, dans toute hypothèse, les données collectées par les opérateurs pourront être traitées pendant une durée de trente jours, sauf à ce qu’elles soient anonymisées dans les conditions détaillées supra. Elle attire néanmoins l’attention des responsables de traitement sur le principe d’une conservation de ces données pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées, et qui pourra être inférieure à trente jours. Elle appelle par conséquent à ce que la durée de conservation des enregistrements soit fixée au regard tant des besoins opérationnels d’usage de ces données, que des contraintes techniques associées.
   S’agissant des cas dans lesquels les enregistrements auront vocation à être « utilisés » dans le cadre de procédures, la Commission rappelle que les règles propres à celles-ci s’appliquent, et que les données transmises dans cette hypothèse seront traitées conformément aux dispositions encadrant les traitements mis en œuvre dans ce cadre.
   Sur les autres conditions de mise en œuvre de ces dispositifs :
   Sur les accédants au traitement et les destinataires :
   L’article 7-I du projet de décret prévoit que « seuls les agents désignés par l’opérateur pour exercer ces fonctions, dans la limite de leurs attributions, peuvent accéder et procéder à l’extraction des données et informations mentionnées à l’article 3 ».
   Interrogé sur les raisons l’ayant conduit à retenir une formulation large, le ministère a indiqué que, compte tenu de la diversité d’organisation des entreprises concernées, il n’était pas possible de retenir une formulation plus précise, s’agissant tant des agents que des personnes chargées de les désigner.
   Si la Commission ne remet pas en cause les contraintes avancées par le ministère, a fortiori dans le cadre d’une expérimentation, elle l’invite à engager une réflexion pour permettre d’affiner cette disposition. Elle estime par exemple, que cet article pourrait indiquer, le cas échéant, que ces agents accèdent aux données aux seules fins de leur anonymisation.
   Sur la sécurité :
   L’article 61 de la loi pour une sécurité globale préservant les libertés prévoit que le décret « précise les mesures techniques mises en œuvre pour garantir la sécurité des enregistrements et assurer la traçabilité des accès aux images ». La Commission relève néanmoins que, excepté pour les exigences relativement générales fixées à son article 4, le projet de décret ne précise pas les mesures techniques qui devront être mises en place afin de garantir la confidentialité, la disponibilité et l’intégrité des données. La Commission considère que le ministère devrait compléter le projet de texte sur ce point afin d’assurer sa conformité à la loi.
   L’article 9 du projet de décret prévoit que chaque opération de consultation et d’extraction de données par les agents mentionnés au I de l’article 7 font l’objet d’un enregistrement ou d’une consigne dans un registre et que ces données seront conservées pendant trois ans.
   Interrogé sur la justification de cette durée de conservation, le ministère a indiqué la réduire à un an. Si la Commission accueille favorablement cette évolution elle s’interroge toutefois sur la pertinence de la durée envisagée, dans la mesure où le projet de décret précise que les données sources ne seront conservées que pendant trente jours et que les données auront été, selon le projet, anonymisées avant toute utilisation, et ne constitueront donc plus des données à caractère personnel.
   La Commission appelle donc l’attention du ministère sur ce point, afin qu’il évalue précisément les besoins de traçabilité et les risques de détournement et qu’il détermine la durée de conservation effectivement nécessaire. La Commission rappelle par ailleurs que lorsque les données de traçabilité seront conservées sous forme électronique, il conviendra de mettre en place des mécanismes d’analyse automatique de ces données afin de détecter au plus tôt des comportements suspicieux.
   
   Liens relatifs
   
   

La présidente,
M.-L. Denis