La Loi d’exception n°2023-380 du 19 mai pour les Jeux olympiques et paralympiques (JOP) de Paris 2024 apporte une remise à niveau de la réglementation sur la vidéoprotection. Clos le 11 septembre, les résultat de l’appel d’offre (4 lots) devraient prochainement être divulgués. Reste que l’IA continue de soulever des interrogations.
De la Loi d’exception pour les Jeux olympiques et paralympiques (JOP) de Paris 2024 du 19 mai 2023 jusqu’au décret du 28 août 2023, comment évolue le cadre juridique de la sûreté en France cette année jusqu’au 31 mars 2025 ? « Quelles seront les suites de l’appel d’offres du 6 août 2023 du ministère de l’Intérieur « solution algorithmiques de vidéoprotection » dont les dossiers ont été rendus le 11 septembre dernier ? Quelle est la position de la Commission nationale Informatique et Libertés (CNIL) à ce jour sur ces sujets ? Notamment en vue de l’entrée en vigueur d’ici deux à trois ans du règlement européen sur l’intelligence artificielle (AI Act) », interroge Dominique Legrand, président de l’Association nationale pour la vidéoprotection (AN2V) à l’occasion de la visioconférence qu’elle a organisée le 18 octobre dernier.
Après la DPSIS, place à la DEPSA
Côté ministère de l’Intérieur, a été créée par décret du 5 juillet la direction des entreprises et partenariats de sécurité et des armes (DEPSA), rattachée au secrétariat général qui unifie la politique de l’État en direction des acteurs de la sécurité et coordonne leur action dans le cadre de conventions nationales, dont elle assure le suivi et l’évaluation en lien avec les échelons locaux, notamment les communes. Concrètement, plusieurs services du ministère de l’Intérieur et des Outre-mer sont regroupés, dont la délégation ministérielle aux partenariats, stratégies et innovations de sécurité (DPSIS), le service central des armes et explosifs (SCAE) et la direction de projet « sécurité du quotidien ». « La DEPSA prend également en charge la gestion des crédits d’équipements en vidéoprotection, qui relevait jusqu’à présent du comité interministériel de prévention de la délinquance et de la radicalisation (CIPDR), ainsi que le secrétariat de la commission consultative des polices municipales auparavant dévolu à la direction des libertés publiques et des affaires juridiques (DLPAJ) », explique Élisabeth Sellos-Cartel, adjointe au Délégué ministériel aux partenariats, stratégies et innovations à la DEPSA, en charge de la vidéoprotection et de la sécurité électronique.
L’article 9 de la loi JOP : vidéo et RGPD
Concernant la Loi d’exception n°2023-380 du 19 mai pour les Jeux olympiques et paralympiques (JOP) de Paris 2024, l’attention concerne, en particulier, les articles 9 et 10 qui traitent de la vidéoprotection et des expérimentations en matière de vidéo algorithmique. « L’article 9 met à niveau notre corpus national qui encadre la vidéoprotection en tenant compte des textes supra-nationaux dont le Règlement général sur la protection des données personnelles (RGPD) », précise Élisabeth Sellos-Cartel. En effet, les images vidéo sont des données à caractère personnel et la vidéo algorithmique est un traitement appliqué à ces données.
« La CNIL alerte depuis longtemps sur la prudence à avoir vis-à-vis des technologies qui peuvent influer sur nos libertés individuelles dans l’espace public. Mais la loi JOP a réformé le cadre de la vidéoprotection en conformité avec le RGPD et le Code de la sécurité intérieure (CSI). A cet égard, la CNIL alerte depuis 2007 sur la nécessité de clarifier les choses sur cet aspect. D’ailleurs, la Commission a rendu un avis sur la loi JOP et les décrets. Et elle salue cette harmonisation, remarque Marion de Gasquet, adjointe à la cheffe du service des affaires régaliennes et des collectivités territoriales à la CNIL. La CNIL rappelle que les images captées sont soumises à la protection des données à caractère personnel et des traitements. La refonte du cadre juridique vient asseoir cette notion. Cependant, la loi JOP fait un toilettage a minima. Beaucoup de priorités portent sur l’abrogation de dispositions obsolètes. En réalité, il aurait fallu aller plus dans la précision des modalités d’exercice des droits. Là aussi, il faut clarifier les choses. »
Un décret et une circulaire prochainement publiés
Reste que l’article 9 stipule que les modalités d’application du présent titre et d’utilisation des données collectées par les systèmes de vidéoprotection sont précisées par un décret en Conseil d’Etat, pris après avis de la CNIL. Ce décret fixe les conditions dans lesquelles le public est informé de l’existence d’un traitement de données à caractère personnel par un système de vidéoprotection et de la manière dont les personnes concernées peuvent exercer leurs droits au titre du règlement européen (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Vidéoprotection : les préfets conservent leur pouvoir
Quel changement le décret va-t-il apporter ? « Ce décret est finalisé et il a reçu l’assentiment du Conseil d’Etat », poursuit Elisabeth Sellos-Cartel. En revanche, il va assez loin dans le détail puisqu’il prévoit de modifier le formulaire Cerfa de demande d’autorisation des systèmes de vidéoprotection auprès des préfets. « La modification du Cerfa prend du temps. J’ai alors suggéré de publier le décret ainsi que la circulaire afférente car les préfectures sont prêtes à s’y adapter. Donc le Cerfa ne devrait pas empêcher la mise en place de ces dispositions », enchaîne Elisabeth Sellos-Cartel qui souligne que le décret sera publié prochainement. Important : les préfets de département conservent leur pouvoir en matière de vidéoprotection car il s’agit d’un outil de sécurité au services des forces intérieures et des polices municipales. Ensuite, les référents sûreté restent aussi en place pour donner leur avis aux commissions départementales et aux préfets.
Des changements mineurs
Ce qui change, c’est la nature des pièces à produire. A cet égard, le RGPD prévoit la production d’une analyse d’impact relative à la protection des données à caractère personnel (AIPD) qui peut s’appliquer à la vidéosurveillance grande échelle ou aux grands centres commerciaux. « Il y aura donc une mise à jour des pièces pour autorisations en cours de la part des acteurs concernés. C’est un peu perturbant mais cela sera demandé au fur et à mesure afin de ne pas bousculer les projets », rassure Elisabeth Sellos-Cartel.
Autre changement : les règles applicables en matière d’information à apporter au public. Depuis quelques mois, certaines parties prenantes indiquent que les panneaux d’affichage des communes ne sont plus conformes. Jusqu’ici, un simple panneau doté d’un pictogramme de caméra, accompagné des coordonnées de la personne à qui s’adresser pour exercer son droit d’accès à ses données personnelles suffisait. Or, malgré cela, certaines communes se vues contrariées par des demandes complémentaires. Effectivement, le RGPD prévoit que les demandes dépendent de la finalité de la vidéosurveillance. « Dans le décret et la circulaire, les informations manquantes (qui seront précisées) pourront faire l’objet d’un affichage complémentaire. Donc il n’est pas nécessaire de retirer les affichages actuels », indique Elisabeth Sellos-Cartel.
L’article 10 de la loi : dispositions concernant l’IA
« A titre expérimental et jusqu’au 31 mars 2025, à la seule fin d’assurer la sécurité de manifestations sportives, récréatives ou culturelles qui […] sont particulièrement exposées à des risques d’actes de terrorisme ou d’atteintes graves à la sécurité des personnes, les images collectées au moyen de systèmes de vidéoprotection autorisés […] ou au moyen de caméras installées sur des aéronefs autorisées […] dans les lieux accueillant ces manifestations et à leurs abords ainsi que dans les véhicules et les emprises de transport public et sur les voies les desservant, peuvent faire l’objet de traitements algorithmiques, indique l’article 10 de la loi JOP du 19 mai 2023. Ces traitements ont pour unique objet de détecter, en temps réel, des événements prédéterminés susceptibles de présenter ou de révéler ces risques et de les signaler en vue de la mise en œuvre des mesures nécessaires par les services de la police nationale et de la gendarmerie nationale, les services d’incendie et de secours, les services de police municipale et les services internes de sécurité de la SNCF et de la Régie autonome des transports parisiens dans le cadre de leurs missions respectives. »
A noter : les traitements des images vidéo par l’IA « n’utilisent aucun système d’identification biométrique, ne traitent aucune donnée biométrique et ne mettent en œuvre aucune technique de reconnaissance faciale, stipule la loi. Ils ne peuvent procéder à aucun rapprochement, à aucune interconnexion ni à aucune mise en relation automatisée avec d’autres traitements de données à caractère personnel. » Autrement dit, ils procèdent exclusivement à un signalement d’attention, strictement limité à l’indication des événements prédéterminés qu’ils ont été programmés à détecter. Ils ne produisent aucun autre résultat et ne peuvent fonder, par eux-mêmes, aucune décision individuelle ni aucun acte de poursuite. Ils demeurent en permanence sous le contrôle des personnes chargées de leur mise en œuvre.
Décret du 28 août 2023 : cas d’application de l’IA
Pour sa part, le décret du 28 août 2023 associé à la loi du 19 mai 2023 précise ce que les traitements algorithmiques peuvent détecter. A savoir des événements susceptibles de présenter ou de révéler un risque d’acte de terrorisme ou d’atteinte grave à la sécurité des personnes. Citons la présence d’objets abandonnés, la présence ou l’utilisation d’armes, le non-respect par une personne ou un véhicule du sens de circulation commun, le franchissement ou la présence d’une personne ou d’un véhicule dans une zone interdite ou sensible, la présence d’une personne au sol à la suite d’une chute, les mouvements de foule, la densité trop importante de personnes et les départs de feux.
Appel d’offre clôturé le 11 septembre
Par ailleurs, le traitement des images vidéo par algorithme d’IA est accompagné d’une AIPD qui expose le bénéfice escompté ainsi que l’ensemble des risques éventuellement créés par le système. Sans oublier les mesures envisagées afin de les minimiser et de les rendre acceptables au cours de son fonctionnement. Dans cette perspective, un comité de pilotage a été créé pour veiller à la mise en œuvre de dispositifs d’IA conformes. Ainsi, plutôt que de développer ou faire développer les systèmes en question, l’État a-t-il fait le choix de lancer en aout dernier un appel d’offre qui s’est clôturé le 11 septembre. « Pour l’heure, le processus d’achat n’est pas finalisé. L’analyse technique des offres et l’analyse de leur conformité au texte de loi ainsi que les tests de performance et d’ergonomie compteront dans le choix final qui sera opéré par le comité de pilotage », souligne Elisabeth Sellos-Cartel, directrice de ce comité.
Quoi qu’il en soit, le marché propose quatre lots : un pour la région Île-de-France, un autre pour la région Sud, un troisième pour le reste de la France et un dernier pour les opérateurs de transport. « Il faudra que le préfet autorise la mise en œuvre de l’IA à base de caméras validées. Les utilisateurs pourront alors commander au ministère de l’Intérieur le téléchargement des IA en fonction des risques à prévenir. De son côté, le préfet devra confirmer que l’événement à protéger correspond à l’esprit du texte », insiste Elisabeth Sellos-Cartel.
CNIL : un appel d’offre pour les bases de données d’apprentissages de l’IA
Deux points importants : « Tout d’abord, les collectivités publiques peuvent adopter la loi JOP pour protéger des événements en dehors des Jeux olympiques et paralympiques, dans le cadre de l’article 23 du RGPD. Dans ce cas, la CNIL peut accompagner les acteurs dans l’analyse juridique et technique des algorithmes, pointe Sarah Artola qui travaille également service des affaires régaliennes et des collectivités territoriales à la CNIL. Ensuite, dans son plan pour l’intelligence artificielle, la CNIL a lancé un appel à contributions sur la constitution de base de données servant à l’apprentissage des algorithmes d’intelligence artificielle. » « Ouvert depuis le 16 juillet jusqu’au 16 novembre, cet appel de la CNIL n’a reçu, pour l’heure, que neuf réponses. Il est surprenant qu’il y en ait aussi peu », reconnaît Thibault du Manoir de Juaye, avocat à la cour qui, dans le sillage -du RGPD, invite les acteurs de l’IA à se conformer dès à présent à l’AI Act et au Cyber Resilience Act.
Erick Haehnsen
Commentez