La conformité RGPD des caméras «augmentées» ou «intelligentes»

La CNIL a récemment publié sa position sur les caméras « intelligentes », technologie en plein développement. Nos avocats apportent un éclairage sur le cadre juridique applicable.

Le 19 juillet dernier, la Commission Nationale Informatique et Libertés (« CNIL ») a publié sa position sur les conditions de déploiement des dispositifs de vidéo « augmentée » ou « caméras intelligentes » dans les lieux ouverts au public¹. Face au développement croissant de ce type de dispositifs dans un cadre juridique incertain, la CNIL avait appelé en septembre 2018 à un débat démocratique². La publication de la position de la CNIL s’inscrit dans ce débat et fait suite à une consultation publique lancée le 14 janvier 2022³.

Les caméras ou dispositifs vidéo « augmentés » sont définis comme « des dispositifs vidéo auxquels sont associés des logiciels permettant une analyse automatique de l’image afin de détecter par exemple des formes ou des objets, d’analyser des mouvements, etc. »⁴.

Les systèmes classiques de vidéoprotection par caméras se doublent aujourd’hui de nouvelles technologies constituées de logiciels de traitements automatisés d’images associés auxdites caméras et permettant la déduction d’informations supplémentaires et générant des données supplémentaires. Ces nouveaux dispositifs dépassent l’encadrement juridique applicable à la vidéoprotection.

A noter que la CNIL et le Comité européen de la protection des données (« CEPD »)⁵ distinguent la reconnaissance faciale en raison de son caractère particulièrement intrusif, puisqu’elle permet d’identifier automatiquement un individu et implique le traitement de données biométriques au sens de l’article 9 du RGPD. Elle est de ce fait soumise à des obligations complémentaires que nous ne commenterons pas ici.

Les enjeux soulevés par les dispositifs vidéo « augmentés » sont divers. Ces technologies ont déjà par le passé provoqué des interventions ponctuelles de la CNIL, notamment :

• Le premier cas pour lequel la CNIL a considéré le cadre juridique existant comme insuffisant concernait l’usage de « caméras-piétons » par les forces de l’ordre en 2015⁶. Le législateur est intervenu en 2016 pour encadrer leur usage⁷.
• En 2018, la CNIL appelait à nouveau le législateur à revoir le cadre juridique existant, cette fois face au développement de nouveaux usages de caméras vidéo « intelligentes » pour prévenir ou réprimer les troubles à l’ordre public⁸.
• La CNIL a aussi appelé à la vigilance en juin 2020 concernant les nouveaux dispositifs vidéo destinés à faciliter la gestion de la crise sanitaire et a demandé à ce que leur usage soit interrompu, faute d’un encadrement légal suffisant⁹. Le cas des caméras thermiques a été abordé plus particulièrement¹⁰, la CNIL ayant alerté sur la nécessité d’un encadrement normatif de ces traitements particulièrement intrusifs notamment en raison du traitement de données de santé¹¹.
• Toujours dans le cadre de la crise sanitaire, l’exécutif s’est prononcé par décret sur l’usage des caméras « intelligentes » pour mesurer le port du masque dans les transports, le 10 mars 2021¹². La CNIL a rendu un avis sur le projet, relevant notamment que le dispositif envisagé n’avait pas vocation à traiter des données biométriques et ne devait pas servir à poursuivre des infractions¹³. Nous reviendrons sur cet avis, en ce qui concerne plus particulièrement le droit d’opposition, dans la section 2.2 ci-dessous.

Au regard des éléments qui précèdent, on constatera que les situations déjà encadrées juridiquement sont spécifiques à plusieurs égards - en raison du contexte dans lequel elles ont émergé (ex. la crise sanitaire) et des personnes qui en sont à l’initiative ou destinataires (les forces de l’ordre ou services en charge d’une mission d’intérêt public). Ces situations ont tout de même pu servir de base à une réflexion plus générale en la matière.

Dans sa position de juillet 2022, la CNIL présente une liste de cas d’usage auxquels elle a été confrontée, aussi bien dans le secteur public (exercice de leurs missions de police administrative et judiciaire par des autorités publiques, régulation des flux de circulation et l’aménagement de leur territoire par des collectivités, mesure de l’affluence et de la fréquentation des quais du métro ou d’une gare à des fins de diffusion de messages informatifs dynamiques, ou encore évaluation du niveau de respect des règles sanitaires en vigueur, etc.) que dans le secteur privé (sécurisation des personnes et des biens dans des magasins en détectant les vols et comportements suspects, salles de concert ou autres établissements recevant du public, mesure de l’audience des panneaux publicitaires sur la base d’un comptage des individus passant à proximité ou prospection grâce à la prise en compte des attributs des individus passant près d’un panneau publicitaire, réalisation d’actions de prospection ciblée, analyse de la fréquentation des enseignes de centres commerciaux à des fins d’amélioration de leur gestion, développement de commerces autonomes sans caisses, etc.).

La CNIL n’interdit pas par principe le recours aux dispositifs de caméras « intelligentes ». Pour autant, leur déploiement requiert le respect de plusieurs conditions qui peuvent s’avérer difficiles à remplir en pratique.

1. Le cadre juridique applicable aux dispositifs de caméras « intelligentes »

Le régime juridique traditionnel du code de la sécurité intérieure applicable à la vidéoprotection se révèle insuffisant face aux nouveaux usages générés par les caméras « intelligentes » (1.1). En revanche, les traitements de données personnelles générés par l’utilisation de ces dispositifs sont appréhendés par le RGPD (1.2)¹⁴.

1.1. Le cadre juridique traditionnel prévu par le Code de la sécurité intérieure se révèle insuffisant

Le régime applicable aux dispositifs de vidéoprotection est régi par le Code de la sécurité intérieure (CSI), notamment les articles L.251-1 et L.251-2.

Ce régime implique l’obligation de demander une autorisation préfectorale¹⁵ préalable et s’applique aux systèmes de vidéoprotection mis en place sur la voie publique ou dans des lieux et établissements ouverts au public. Il se définit par opposition au régime de vidéosurveillance qui fait référence aux dispositifs permettant de filmer les lieux privés ou non ouverts au public¹⁶ (locaux d’entreprises, de commerces, d’hôtels réservés aux salariés, etc.)¹⁷.

Selon l’article L. 251-2 du CSI, un dispositif de vidéoprotection peut être mis en place (i) soit sur la voie publique par les autorités publiques compétentes et ne peut alors être utilisé que pour une liste limitative de finalités en lien avec la sécurité des personnes et des biens, (ii) soit par des acteurs privés « dans des lieux et établissements ouverts au public aux fins d'y assurer la sécurité des personnes et des biens lorsque ces lieux et établissements sont particulièrement exposés à des risques d'agression ou de vol. »

Un dispositif de vidéoprotection à des fins autres que sécuritaire n’est donc pas soumis au CSI. Cette interprétation est confortée par une Circulaire du 22 octobre 1996¹⁸ qui énonce explicitement « qu’une installation de vidéosurveillance motivée exclusivement par une finalité commerciale, fût-elle dans un lieu ouvert au public comme une grande surface, ne rentre pas dans le champ d'application de la loi », c’est-à-dire des articles L. 251-1 et suivants du CSI.

La CNIL confirme par ailleurs que le CSI, qui fixe donc le cadre applicable aux dispositifs de vidéoprotection « classiques » pour certaines finalités déterminées, n’est pas adapté à l’utilisation de nouvelles technologies, mais considère qu’il n’interdit pas non plus – par principe - son déploiement.

1.2. La conformité des traitements de données réalisés via les caméras « intelligentes » évaluée à l’aune du RGPD

Dès lors qu’un système de caméras « intelligente » traite des données personnelles, notamment des images permettant d’identifier des personnes, l’ensemble des règles et principes du RGPD doivent être respectés. Parmi ces règles et principes, nous pouvons noter en particulier :

• Le principe de limitation des finalités : le responsable de traitement doit au préalable définir la ou les finalités poursuivie(s), qui devront être déterminées, explicites et légitimes. La CNIL précise que le résultat de l’analyse réalisée via le dispositif doit être distingué de l’objectif poursuivi qui constitue la finalité. Par exemple, un dispositif qui analyse les comportements/mouvements de clients dans un magasin n’a pas pour objectif cette analyse elle-même mais éventuellement la détection et la comptabilisation des achats en magasin afin de leur éviter un passage en caisse.
• Le principe de minimisation des données : les données personnelles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. La CNIL rappelle que, de manière plus générale, il faut s’assurer du caractère nécessaire et proportionné du traitement à la finalité poursuivie. Ces critères devant être notamment démontrés au regard (i) de l’absence de moyens moins intrusifs permettant d’atteindre les finalités envisagées, (ii) des données personnelles impliquées (volume, sensibilité, etc.), (iii) des conditions du traitement et, en particulier, du périmètre de déploiement des dispositifs dans l’espace et dans le temps (nombre de caméras concernées, étendue de leur champ, durée de leur déploiement, etc.) et (iv) des garanties mises en œuvre et, en particulier, des remontées d’informations aux responsables de traitement¹⁹.
• Le principe de transparence et le droit à l’information des personnes concernées : les personnes concernées doivent être informées de l’objectif du traitement conformément aux articles 12 et 13 du RGPD. A titre d’exemple, le CEPD indique que toute vidéosurveillance invoquant le seul objectif de « sécurité » ou se fondant sur la mention « pour votre sécurité » n’est pas motivée de manière suffisamment précise. Une information à plusieurs niveaux peut être fournie. Enfin, en raison notamment de leur caractère innovant, les traitements mis en œuvre via les systèmes de caméras « intelligentes » répondent généralement à la nécessité de réaliser une analyse d’impact relative à la protection des données (« AIPD ») conformément à l’article 35 du RGPD²⁰.

2. Regard sur certaines conditions à remplir pour assurer la conformité des dispositifs de caméras « intelligentes »

Dans le cadre du déploiement de caméras « intelligentes », trois points majeurs de conformité sont susceptibles de générer des difficultés : (2.1) l’identification de la base de licéité, (2.2) le respect du droit d’opposition et (2.3) l’interprétation large de la notion de catégories particulières de données.

2.1. La base de licéité applicable

A date, les éléments de doctrine ou de jurisprudence en lien avec la question de la base de licéité des traitements reposant sur des systèmes de caméras vidéo dont nous disposons, concernent uniquement des dispositifs vidéo classiques utilisés à des fins de sécurité.

La jurisprudence européenne s’est notamment penchée sur la base de licéité des traitements de données personnelles réalisés par des dispositifs vidéo utilisés dans des lieux non-ouverts au public, par des particuliers. La CJUE a ainsi admis pour la première fois, dans l’arrêt Rynes du 11 décembre 2014²¹, que le propriétaire d’une habitation pouvait se prévaloir d’un intérêt légitime pour justifier l’installation de caméras de vidéosurveillance filmant l’entrée de son domicile, l’entrée de l’immeuble d’habitation situé en face en son domicile ainsi que la voie publique et ce, dans le but de protéger ses biens ainsi que la santé et la vie de sa famille.

De plus, dans ses lignes directrices sur les dispositifs vidéo, le CEPD rappelle qu’en principe chacune des bases de l’article 6 du RGPD peut fournir une base de licéité pour le traitement des données de vidéosurveillance, mais il indique tout de même que les « dispositions les plus susceptibles de s’appliquer » sont, en pratique : l’intérêt légitime, la mission d’intérêt public et à titre exceptionnel, le consentement. Il faut noter que les lignes directrices portent uniquement sur la vidéosurveillance pour une finalité « classique » de protection de biens et autres actifs²².

Pour les dispositifs vidéo « augmentés » à vocation économique ou commerciale, la détermination de la base de licéité reste une question ouverte. Nous envisagerons, en conséquence, les trois bases de licéité qui nous semblent les plus pertinentes en l’espèce à savoir l’intérêt légitime, le consentement et la nécessité d’exécuter un contrat :

• Dans sa dernière publication, la CNIL n’exclut pas a priori la possibilité de fonder le traitement sur l’intérêt légitime. Néanmoins, elle considère que l’intérêt légitime ne peut être retenu comme base de licéité pour certains traitements particulièrement intrusifs, c’est-à-dire ceux qui analysent le comportement notamment sur la base de la détection des gestes et des interactions. Une analyse approfondie de la balance des intérêts pourrait néanmoins être réalisée en prenant en compte la doctrine de la CNIL sur ce sujet, à savoir vérifier que l’intérêt poursuivi est « légitime », que le traitement satisfait à la condition de « nécessité » et que le traitement ne heurte pas les droits et intérêts des personnes dont les données sont traitées, compte tenu de leurs attentes raisonnables (ce point renvoie à la question du caractère nécessaire et proportionné du traitement évoquée ci-dessus – section 1.2).
• La CNIL n’exclut pas non plus a priori la possibilité de fonder le traitement sur la base du consentement. Toutefois, l’une des principales conditions, conformément au RGPD, est que le consentement soit libre²³. Il ne doit être ni contraint ni influencé et la personne ne doit pas subir de conséquences négatives en cas de refus. Par ailleurs, il convient de souligner que le consentement ne signifie pas une acceptation des risques d’atteinte à la vie privée par la personne concernée. Les conditions à respecter pour collecter un consentement valide peuvent donc être complexes à remplir dans le cas de caméras « intelligentes ». Le CEPD donne néanmoins quelques exemples de moyens de collecte du consentement dans ses lignes directrices²⁴ tels que :« faire glisser une barre sur un écran, agiter la main devant une caméra intelligente, faire tourner un smartphone dans le sens des aiguilles d’une montre ou pour former un huit sont différentes possibilités permettant d’indiquer son consentement, pour autant que des informations claires soient fournies et qu’il soit clair que le mouvement en question signifie que la personne concernée accepte une demande spécifique ».
• Il reste à envisager la base de licéité relative à la nécessité d’exécuter un contrat auquel la personne concernée est partie. Trois conditions doivent être remplies : une relation contractuelle, un contrat valide et la nécessité du traitement. En ce qui concerne cette dernière condition, le CEPD précise que le traitement doit être objectivement nécessaire à l’exécution d’un contrat avec la personne concernée (ex. la fourniture du produit ou du service prévu au contrat) ou afin de prendre des mesures précontractuelles à la demande de la personne concernée²⁵.

Certains dispositifs (et traitements associés) pourraient éventuellement s’inscrire dans le cadre d’une « mission d’intérêt public » ou bien d’une « obligation légale », deux autres bases de licéité du RGPD. Toutefois, ces deux fondements restent difficilement envisageables en pratique pour les systèmes à vocation économique ou commerciale.

2.2. La difficulté de respecter le droit d’opposition

Au titre de l’article 21 du RGPD, la personne concernée a le droit de s’opposer à tout moment à ce que ses données soient utilisées par un organisme pour un objectif précis, lorsque le traitement est fondé sur l’intérêt légitime ou la nécessité d’exécuter une mission d’intérêt public. Dans ce cas, elle doit justifier « de raisons tenant à [sa] situation particulière » et le responsable de traitement peut démontrer qu’il bénéficie de motifs légitimes et impérieux pour continuer le traitement.  En cas de traitement à des fins de prospection commerciale, la personne concernée a le droit de s’opposer au traitement de manière discrétionnaire.

S’il peut être envisageable d’exercer son opposition en appuyant sur un bouton, en faisant un geste particulier devant une caméra ou en stationnant dans une zone dédiée, ces moyens peuvent être complexes à mettre en place. De la même manière, le CEPD précise que la personne concernée peut, par exemple, formuler une objection au moment d’entrer dans une zone, de la traverser, ou après l’avoir quittée. Or, afin d’entériner cette opposition, le responsable de traitement doit être en mesure d’empêcher immédiatement la caméra de traiter les données de la personne concernée, et la zone concernée doit être délimitée, ce qui peut s’avérer particulièrement difficile à mettre en place.

Par ailleurs, bien que le droit d’opposition ne soit pas absolu (en dehors du cas de la prospection commerciale), il n’est pas possible d’anticiper les raisons tenant à la situation particulière des personnes concernées ou les motifs légitimes et impérieux que pourraient soulever les responsables de traitement afin de l’exclure a priori. Ni la CNIL, ni le CEPD ne précisent la notion de « situation particulière ». De plus, selon la CNIL, les motifs légitimes et impérieux du responsable de traitement doivent être appréciés in concreto, c’est-à-dire au cas par cas. 

Le RGPD prévoit à l’article 23 qu’il est possible d’écarter le droit d’opposition uniquement dans le cas où un texte réglementaire ou législatif le prévoit, « lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir ».  Cette possibilité a fait l’objet d’une application dans le décret sur l’usage des caméras intelligentes pour mesurer le port du masque dans les transports, du 10 mars 2021²⁶. Il permet aux exploitants de services de transports collectifs de voyageurs de mettre en œuvre des dispositifs de mesure du taux de port de masque au moyen du traitement automatisé d’images provenant des caméras de vidéoprotection existantes, en excluant le droit d’opposition des personnes concernées. Dans son avis du 17 décembre 2020²⁷, la CNIL reconnaissait que l’objectif à valeur constitutionnelle de lutte contre l’épidémie de COVID-19 et de protection de la santé était de nature à justifier une limitation des droits des personnes, et en particulier du droit d’opposition. Elle précisait néanmoins que cette exclusion devait être mentionnée par le décret et « [prenait] acte de l’engagement du ministère [des transports] d’ajouter une mention au décret imposant aux responsables de traitement, à travers l’information qu’ils fourniront en application du RGPD, de préciser que le droit d’opposition n’est pas ouvert » ce qui a été effectivement fait dans le décret susvisé.

2.3. L’interprétation large de la notion de catégories particulières de données au sens de l’article 9 du RGPD

L’utilisation de caméras « intelligentes » semble pouvoir facilement entrainer le traitement incident de catégories particulières de données (données de santé, données relatives aux opinions politiques ou religieuses d’une personne, etc.), d’autant que cette notion semble devoir être interprétée de manière large :

• Dès 2016, la CNIL avait considéré, dans son avis relatif au décret autorisant le traitement de données de la RATP via l’expérimentation de caméras piétons²⁸, que « les dispositifs projetés pourront, par la captation des images et des enregistrements sonores, enregistrer de manière incidente des données sensibles au sens de l'article 8 de la loi précitée, ce que le projet de décret prévoit expressément. La commission prend acte que ce dernier interdit de sélectionner dans le traitement une catégorie particulière de personnes à partir de ces seules données. »
• En 2019, le CEPD adopte une position plus souple à cet égard²⁹ et considère que la vidéosurveillance permet naturellement de collecter un nombre très important de données, qui peuvent être des données sensibles. Cependant, cela n’entraîne pas de facto l’application de l’article 9 du RGPD relatif au traitement de catégories particulières de données à caractère personnel à tout traitement de vidéosurveillance. Il appartient au responsable de traitement d’évaluer attentivement les risques liés à la mise en place de la vidéosurveillance et notamment d’évaluer le risque d’enregistrer des données sensibles bien que cela ne soit pas la finalité du système de vidéosurveillance.
• Dans son récent arrêt du 1^er août 2022, la CJUE adopte une interprétation large de la notion de catégories particulières de données³⁰. En l’espèce, elle considère que les données nominatives sur le conjoint, concubin ou partenaire dans une déclaration d’intérêts sont « susceptibles de dévoiler, de manière indirecte, des informations sensibles » et constituent des catégories particulières de données au sens de l’article 9 paragraphe 1 du RGPD. Dès lors, il est nécessaire de porter une attention particulière à cette notion dans le cadre du développement d’un dispositif vidéo « augmentée ».

La conséquence majeure serait, la plupart du temps, l’obligation de collecter le consentement explicite et distinct de la personne concernée au traitement des catégories particulières de données, ce qui peut s’avérer en pratique très compliqué à mettre en place.

Pour conclure, bien qu’une attention particulière doive être portée à la base de licéité, au droit d'opposition et au traitement de catégories particulières de données, il faut rappeler que les caméras intelligentes doivent être conformes à l'ensemble des règles du RGPD. Ces règles n'ont pas été abordées ici de manière exhaustive, dans la mesure où elles n’impliquent pas le même niveau de complexité dans leur mise en œuvre.

Les problématiques liées à la conformité des traitements de données personnelles impliqués par l’usage des caméras intelligentes se posent de plus en plus souvent, dans un contexte de développement accéléré de nouvelles technologies. Le développement important de l’intelligence artificielle en est un très bon exemple. Cette dernière fait d’ailleurs actuellement l’objet de nombreuses discussions et propositions législatives, en particulier au niveau européen³¹. En cas d’utilisation combinée de caméras vidéo et d’intelligence artificielle, ce nouveau cadre réglementaire - une fois en vigueur - devra faire l’objet d’une analyse préalable afin de tenir compte d’éventuels impacts.

Enfin, l’élargissement des usages des caméras intelligentes fait l’objet d’une attention particulière de la CNIL, comme en témoigne le dernier avis publié sur le projet de loi relatif aux Jeux olympiques et paralympiques de 2024³². Comme en juillet, la CNIL invite à nouveau le ministère de l’intérieur à mettre en conformité le CSI afin de permettre aux responsables de traitement de connaître l’état réel de leurs obligations et aux personnes concernées de savoir comment exercer leurs droits. La Commission insiste sur le cadre expérimental du déploiement de traitements algorithmiques sur les images captées par les dispositifs de vidéoprotection ou des drones, qu’elle qualifie de « tournant ». Enfin, elle rappelle « la nécessité d’une réflexion globale et éthique sur les usages de ces instruments, et sur l’importance de se prémunir de tout phénomène d’accoutumance et de banalisation de ces technologies de plus en plus intrusives. »

Source : Revue Lamy droit de l’immatériel, n°200, Février 2023.