Début juillet, le rapport de la Commission nationale consultative des droits de l’Homme (CNCDH) sur la vidéosurveillance dopée aux algorithmes ou VSA, a été publié au journal officiel : l’occasion de revenir, à moins de trois semaines des JO de Paris, sur le dispositif actuel de VSA autorisé en France. Robin Medard Inghilterra, maître de conférences en droit public, à l’Institut des sciences juridique et philosophique de la Sorbonne, avait été auditionné lors de l’élaboration de ce rapport. Ce spécialiste des droits fondamentaux a accepté de revenir, pour 01net.com, sur cette vidéosurveillance, et sur son utilisation dans l’Hexagone.
Pour rappel, la CNCDH, qui conseille le gouvernement en matière de droits de l’homme, avait rendu un rapport particulièrement critique sur ce dispositif : cette commission notait des garanties insuffisantes, des organes de contrôle qui ne jouent pas leur rôle de contre-pouvoir, ou encore un équilibre rompu entre libertés et sécurité. Elle appelait même les « pouvoirs publics à reconsidérer leur volonté d’accélérer le déploiement des dispositifs de vidéoprotection » : à tort ou à raison ?
A lire aussi : Vidéosurveillance dopée à l’IA : la Commission nationale consultative des droits de l’homme passe au vitriol le dispositif actuel
La CNCDH passe au crible, dans son avis, l’expérimentation de VSA introduite par la Loi du 18 mai 2023, appelée loi des JO de Paris. Le texte est souvent présenté comme la toute première autorisation de l’utilisation de cette technologie dans le pays et en Europe, expérimentée jusqu’en mars 2025. Pourriez-vous expliquer ce que change concrètement cette nouvelle législation en France ?
Cette loi donne, en réalité, un fondement législatif à la VSA, ces dispositifs de traitements algorithmiques des images de vidéoprotection. Car il faut considérer qu’avant la loi du 18 mai 2023, la vidéosurveillance algorithmée n’était pas nécessairement interdite. Ce que fait cette loi, c’est dire : “on va faire une expérimentation, et il nous faut un fondement législatif. On introduit différentes dispositions dans le Code de sécurité intérieure“. Cette loi vient donc sécuriser une pratique de VSA dans des cas déterminés, pour quatre lieux précis : les lieux qui accueillent des manifestations sportives, récréatives, culturelles, leurs abords, et les transports qui permettent d’accéder à ces lieux. Elle ne peut être utilisée que pour détecter des éléments prédéterminés par un décret d’août 2023, comme un départ de feu, un mouvement de personnes etc.
Mais je voudrais insister sur le fait que la VSA existait auparavant et elle existe toujours de manière, somme toute, assez peu documentée. Elle n’est pas pour autant interdite. Elle est régie par ce qu’on appelle le droit des données à caractère personnel. Donc le principal changement avec la loi de 2023 c’est juste la sécurisation pour les JO des usages de VSA. Mais ce n’est pas un big bang complet dans l’utilisation de la technologie.
Donc, la VSA (hors champ de la loi sur les JO de Paris) n’est pas interdite dans son principe en France ?
C’est ça. Vous avez typiquement une multitude de dispositifs de VSA déjà implantés dans des collectivités territoriales, dans des communes notamment, ou des EPCI, des établissements publics de coopération intercommunale : cette VSA relève du RGPD (le règlement européen sur les données personnelles), de la directive Police Justice, et de la loi Informatique et Libertés. Et là, il n’y a aucun contrôle, aucune sécurisation. Il existe une certaine opacité de ces pratiques qui fait que ces VSA n’ont jusque-là pas été, ou que très peu, contestées. Alors que la “VSA classique” (en dehors du champ de la loi sur les JO, NDLR) est déjà amplement déployée sur le territoire français, elle passe sous les radars pour différentes raisons, y compris pour la CNIL. (Le gardien de notre vie privée, NDLR) n’a en réalité pas les moyens de déclencher des procédures de contrôle suffisantes par rapport à l’ampleur de son utilisation. Il y a un immense problème de transparence.
Ce qui peut paraître surprenant, c’est qu’on a une attention institutionnelle, médiatique et académique sur la VSA introduite par la loi JO 2024. Mais il est en fait un dispositif tout à fait exceptionnel. D’abord parce que lui est sécurisé alors que les autres usages de la VSA ne le sont pas par une disposition législative. Ensuite parce que lui fait l’objet de nombreuses garanties supplémentaires au droit des données à caractère personnel qui sont mentionnées dans l’article 10 de la loi, à savoir : des événements prédéterminés seulement pour certains lieux, un recours seulement pour faire du temps réel, et seulement pour déclencher une alerte. Ces garanties sont en réalité plus poussées que celles existant pour la “VSA classique”.
Les JO, on se concentre tous dessus parce que c’est peut-être plus sexy et vendeur. Il y a une émulation autour des dispositifs sécuritaires pour les Jeux qui, accessoirement, vont très probablement être pérennisés par la suite. Mais jusque-là, on a eu très peu d’expérimentations de cette VSA, à savoir le concert de Taylor Swift, des Black Eyed Peas, la fête de la musique, un match PSG – Lyon et trois stations de métro. C’est résiduel, ce n’est même pas 1 % des usages de la VSA aujourd’hui.
Comment alors savoir si dans mon village, dans mon quartier, ou dans ma ville, il y a un dispositif de VSA déjà utilisé ? Existe-t-il une sorte de fichier centralisé qui permettrait d’accéder facilement à cette information ?
Non, mais il est possible de trouver des réponses de deux manières. La première, c’est une technique qui est amplement plébiscitée par la Quadrature du Net. L’association de défense des droits numériques a lancé une campagne « Technopolice » en 2019, dont une des stratégies d’accès à cette information est de multiplier ce qu’on appelle des « demandes CADA ». Il s’agit de demandes de communication de documents administratifs, pour obtenir auprès de chaque commune la copie des contrats des marchés publics de la VSA. Ces documents précisent la nature des dispositifs dont les communes ont souhaité s’équiper, et qui ont fait l’objet d’un contrat avec telle ou telle entreprise. Cela permet d’avoir un aperçu des VSA utilisées, et cela a considérablement permis de documenter ce phénomène.
La deuxième technique est de consulter les sites des industriels de la sécurité et de la VSA. Il y a Briefcam qui est bien connu, mais aussi Wintics, Videtics, Chapsvision. Et il y a également l’Association nationale de vidéoprotection, l’ANVP, qui publie chaque année un guide de la vidéoprotection dans lequel chaque industriel bénéficie d’une page pour présenter son produit et mentionner ses clients. Cela permet de voir que sur la page Briefcam, telle commune de tel département, ou tel établissement public, fait partie de ses clients. Le phénomène est massif.
Ces derniers mois, différents cas d’utilisations de VSA (en dehors du champ de la loi JO de Paris) par des municipalités ont été révélées, notamment par le média d’investigation Disclose. Cela a conduit à des contentieux : comment les juges ont-ils tranché ces affaires ?
Lorsque vos confrères de Disclose ont parlé de l’utilisation de Briefcam par plusieurs municipalités, et accessoirement par les services nationaux de police nationale et de gendarmerie, il y a eu quelques contentieux qui ont en effet été amorcés contre la ville de Roubaix, la ville de Nice et la communauté de communes Cœur Côte Fleurie (dont Trouville et Deauville).
A lire aussi : Briefcam : des villes condamnées à effacer des données acquises grâce à la reconnaissance faciale
Les contentieux ont échoué pour différentes raisons dans les trois cas, mais pour deux d’entre eux, c’est allé jusqu’au Conseil d’État. Et c’était intéressant parce qu’il y a eu une audience pendant laquelle la communauté de communes et leurs avocats ont présenté certaines justifications. Dans l’affaire qui impliquait Cœur Côte Fleurie, il était question d’une VSA commercialisée par Briefcam qui était utilisée à postériori, pour compiler des heures et des heures de bande passante d’images afin de retrouver un événement précis.
La communauté de communes avait acquis la VSA, mais les services nationaux, police nationale et gendarmerie, avaient un accès direct à ce logiciel. Sauf qu’en droit des données personnelles, si vous avez un traitement de données à caractère personnel qui est fait pour le compte de l’État, il vous faut un fondement réglementaire, donc un décret qui l’autorise. Et en l’état, il n’y en a pas.
Donc on était, selon la formule de Me Mathonnet (qui représentait notamment l’Association de défense des libertés constitutionnelles dans cette affaire, NDLR), dans une logique de Far West sur la VSA, avant la loi des JO de Paris. La loi des JO échappe à ce phénomène parce qu’elle le cadre précisément. Et c’est malgré tous ses défauts un de ses mérites : elle cadre et elle encadre bien plus l’usage de la VSA que ce qu’on avait jusqu’à présent. Je ne dis pas que cela est suffisant, mais au-delà de la VSA version JO, on a une logique de far west sur l’utilisation sur le terrain de la VSA, à ce stade.
Revenons à l’avis de la CNCDH, qui est assez critique sur le dispositif : cette dernière dit qu’il faut « rétablir l’équilibre rompu » « entre les atteintes aux droits et libertés fondamentaux et la sauvegarde de l’ordre public ». Elle émet plusieurs recommandations, notamment sur les demandes de VSA (version JO de Paris). Aujourd’hui, comment ces demandes sont-elles faites, en pratique ?
L’autorité chargée de la sécurisation du lieu concerné va faire la demande – c’est-à-dire soit l’enceinte qui accueille une manifestation sportive, récréative ou culturelle, soit l’entreprise publique ou privée qui est chargée de la sécurisation des véhicules de transport ou de leurs abords. Lors de la fête de la musique, c’est une demande de la RATP auprès de la préfecture qui a été faite.
La préfecture prend ensuite un arrêté d’autorisation du recours à un dispositif de traitement algorithmique des images tirées du système de vidéoprotection. La VSA est mise en œuvre pendant un laps de temps déterminé, dans un lieu déterminé, avec uniquement cette finalité de temps réel qui est prévue à l’article 10 de la loi.
Justement, qu’est-ce que c’est cette finalité de temps réel ?
La VSA version JO ne permet pas de faire du traitement a posteriori, c’est-à-dire d’utiliser des logiciels de VSA pour retrouver par exemple quelqu’un qui aurait commis une infraction. Tout ce qu’on peut faire, c’est simplement déclencher une alerte en temps réel pour détecter le plus vite possible un mouvement de foule, le port d’une arme, un départ de feu, une circulation en sens contraire, une densité excessive de personnes, ou une personne tombée au sol à la suite d’une chute.
La seule utilisation des images à postériori qui va pouvoir être faite, c’est que les images peuvent être gardées, et elles le sont pour l’instant pendant douze mois, pour entraîner le logiciel qui est testé, qui est en phase d’expérimentation.
Lorsqu’on a une expérimentation, par exemple, dans telles stations de métro à Paris, pendant la fête de la musique, sur 24 heures, toutes les images, avec la centaine de milliers de personnes qui passent devant les caméras, sont collectées. Ces données vont permettre par la suite d’entraîner l’outil algorithmique de l’entreprise qui a gagné le marché public pour la VSA version JO. En l’occurrence, pour la région parisienne, c’est l’entreprise Wintics, qui va pouvoir perfectionner son logiciel avec ces données publiques.
Dans son avis, la CNCDH liste précisément parmi ses recommandations « le respect de ces exigences de nécessité et de proportionnalité » dans les demandes, qui devraient faire « l’objet d’un contrôle indépendant systématique ». Qu’en pensez-vous ?
Je pense, comme le suggère la CNCDH, qu’il faudrait mettre en place des évaluations quantitatives et qualitatives. À ce stade, nous ne savons pas combien il y a de caméras sur le territoire, et quels sont les motifs de leurs installations. On ne sait pas quelle est la réalité des besoins qui ont justifié leurs utilisations. Et c’est en cela que la CNCDH précise qu’il y a un besoin de démontrer la nécessité et la proportionnalité de ces outils-là, ce qui n’est pour l’instant pas fait. Je discutais il y a peu avec un responsable d’un CSU, un centre de supervision urbain dans le sud de la France, qui très clairement explique qu’il suffit de faire une demande, et c’est approuvé. C’est-à-dire qu’il n’y a pas de contrôle de la réalité du besoin quand on implante de nouvelles caméras, en pratique. Alors que juridiquement, il est bien censé y en avoir un.
Je partage aussi le constat fait par la CNCDH de l’insuffisance du contrôle de la CNIL, qui n’a pas assez de moyens humains et financiers pour déclencher des procédures de contrôle efficaces sur le terrain. Lorsque Disclose annonce l’utilisation probable, selon eux, de logiciels de VSA par les services nationaux, la CNIL n’était pas au courant. Et donc au moment où il y a cette révélation, elle a déclenché une procédure de contrôle auprès du ministère de l’Intérieur. Autrement dit, même lorsqu’il y a un usage au niveau national, par le gouvernement, de VSA, la CNIL n’est pas informée. Or, c’est cette autorité qui est chargée d’assurer l’effectivité du droit des données à caractère personnel, y compris en matière de VSA.
Y a-t-il des choses qui manquent, dans cet avis ?
Pour être tout à fait clair, j’ai été formé en droits fondamentaux, donc ma priorité première est clairement l’effectivité des droits fondamentaux. Et oui, on peut noter des insuffisances. À commencer par les arrêtés de survol des drones. Aujourd’hui à Paris, on est à plus d’un arrêté d’autorisation de survol tous les deux jours, en moyenne, depuis un an. La difficulté, c’est que ces arrêtés sont publiés extrêmement tardivement par la préfecture. Il n’y a aucune possibilité de les contester efficacement. Pour que l’utilisation des caméras et des drones, lors de ces autorisations de survol, soit conforme aux droits fondamentaux, ce qui est tout à fait possible, encore faut-il pouvoir s’en assurer.
Et pour ce faire, il faut pouvoir contester l’arrêté devant le juge administratif, le cas échéant. Cette contestation est, dans les faits, réalisée par des associations. Et pour que ces dernières puissent déposer un recours, il faut que l’arrêté soit publié suffisamment de temps en avance. Or, à ce stade, la préfecture de police de Paris, régulièrement, et d’autres préfectures, notamment celle des Alpes-Maritimes, publie les arrêtés quelques heures avant le survol, ce qui rend impossible toute contestation et toute vérification par le juge administratif, du respect des droits fondamentaux. Il s’agit là d’une insuffisance que la CNCDH ne pointe pas dans son avis, mais qui pour moi aurait pu être ajoutée.
A lire aussi : Des drones ont été abusivement utilisés par des forces de l’ordre pendant cette manifestation, selon la justice
Et il y a une autre difficulté, c’est que les juges ne sont pas formés suffisamment, peut-être, pour appréhender correctement ces enjeux-là. Le tribunal administratif de Lille nous dit que la VSA n’est pas un traitement de données à caractère personnel. Alors qu’évidemment, l’utilisation de la VSA est un traitement de données à caractère personnel. Donc là aussi, il y a un vrai enjeu pour asseoir l’effectivité de ces outils-là.
Dans son avis, la commission demande aussi la tenue d’un débat démocratique sur l’utilisation de la VSA, elle va jusqu’à dire qu’il s’agit d’un choix de société. Va-t-elle trop loin ?
Je pense que cet avis s’inscrit en continuité d’observations qui avaient été faites par la CNIL au moment de l’adoption de la vidéoprotection. Il s’agit bien d’un changement fondamental dans la mesure où l’analyse automatisée et a fortiori la reconnaissance faciale, qui pourra être mise en place puisqu’elle est autorisée par exception par la dernière version du règlement sur l’intelligence artificielle de l’Union européenne, transforme complètement l’espace public.
Donc oui, à partir du moment où ces technologies et le recours au système d’intelligence artificielle transforment totalement l’espace public, qui passe d’un espace par principe d’exercice des libertés à un espace par principe de contrôle et de surveillance, il n’y a plus de vie privée dans l’espace public. Ce qui peut paraître contre-intuitif mais pourtant : il y a bien un droit à la vie privée dans l’espace public.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
