Délibération 2022-118 du 8 décembre 2022

Délibération n° 2022-118 du 8 décembre 2022 portant avis sur un projet de loi portant sur les jeux Olympiques et Paralympiques de 2024 (demande d’avis n° 22017438)

La Commission nationale de l'informatique et des libertés,

Saisie par le ministre de l’intérieur et par la ministre chargée des sports et des jeux Olympiques et Paralympiques d’une demande d’avis concernant un projet de loi portant avis sur un projet de loi portant sur les jeux Olympiques et Paralympiques de 2024 ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;

Vu le code du sport, notamment ses articles L. 232-9 et suivants ;

Vu le code civil, notamment ses articles 16-10 et 16-11 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 8-I-4°-a) ;

Après avoir entendu le rapport de Mme Sophie LAMBREMON et M. Claude CASTELLUCCIA, commissaires, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,

ETANT RAPPELES LES ELEMENTS DE CONTEXTE SUIVANTS

La Commission a été saisie par le ministère de l’intérieur et des Outre-mer ainsi que par le ministère des sports et des jeux Olympiques et Paralympiques, des articles 4, 5, 6, 7, 9 et 10 du projet de loi relatif aux jeux olympiques et paralympiques.

Ces articles portent sur :

  • l’autorisation de l’examen des caractéristiques génétiques ou de la comparaison d’empreintes génétiques pour les analyses antidopage ;
  • la mise en conformité du code de la sécurité intérieure (CSI) avec le RGPD et la loi du 6 janvier 1978 modifiée ;
  • l’utilisation de traitements algorithmiques sur les images captées par des dispositifs de vidéoprotection ou des aéronefs afin de détecter et de signaler en temps réel des évènements prédéterminés susceptibles de menacer la sécurité des personnes ;
  • l’extension des images de vidéoprotection que les agents des services internes de la Société nationale des chemins de fer français -SNCF) et de la Régie autonome des transports parisiens (RATP) peuvent visionner lorsqu’ils sont affectés au sein des salles d’information et de commandement relevant de l’Etat ;
  • l’élargissement de la procédure de criblage prévue à l’article L211- 11-1 du CSI aux fans-zones et aux participants aux grands évènements ;
  • la possibilité de mettre en place des scanners corporels à l’entrée des enceintes sportives.

De manière générale, la Commission regrette d’avoir à se prononcer en urgence sur les évolutions envisagées par le projet de texte, compte tenu de la prévisibilité, largement connue à l’avance, de l’événement et des enjeux importants s’agissant de la vie privée des personnes concernées.

Les articles du projet de loi dont elle a été saisie appellent les observations suivantes.

EMET L’AVIS SUIVANT SUR LE PROJET DE LOI

Sur l’autorisation de l’examen des caractéristiques génétiques ou de la comparaison d’empreintes génétiques du sportif aux fins de la lutte contre le dopage (article 4)

L’article 4 du projet de loi autorise, aux seules fins de lutte contre le dopage, l’analyse des caractéristiques génétiques ou la comparaison des empreintes génétiques à partir des échantillons biologiques prélevés sur les sportifs à l’occasion d’un contrôle antidopage (mise en évidence d’une substance ou l’usage par le sportif d’une méthode, interdites en vertu de l’article L. 232-9 du code du sport). Il introduit une dérogation nouvelle aux différentes dispositions qui limitaient jusqu’à présent strictement les hypothèses pour lesquelles est autorisé l’examen des caractéristiques génétiques d’une personne ou son identification par ses empreintes génétiques. En effet, d’une part, s’agissant des tests génétiques (article 16-10 du Code civil), le consentement de la personne vivante doit systématiquement être recueilli sauf dans une hypothèse très spécifique liée à la recherche, hypothèse dans laquelle un droit d’opposition est prévu (article L.1130-5 du Code de la santé publique). D’autre part, la règle s’applique aussi pour les empreintes génétiques (article 16-11 du Code civil). Hors l’hypothèse du matériel biologique qui se serait naturellement détaché du corps de l'intéressé, seules les personnes condamnées pour crime ou déclarées coupables d'un délit puni de dix ans d'emprisonnement peuvent être contraintes à se soumettre à la réalisation de telles empreintes sur réquisitions écrites du procureur de la République (article 706-56, I, 5e alinéa du Code de procédure pénale). L’exception introduite par l’article 4 du projet de loi est donc beaucoup plus large que celles qui existaient antérieurement, tant en ce qui concerne les personnes (sont visés ici tous les sportifs) que de l’examen réalisé (examen des caractéristiques génétiques constitutionnelles d’une personne et non une simple identification par ses empreintes génétiques).

Cet article répond au besoin de mettre en conformité le droit français avec :

  • les dispositions de l’article 6-2 du code mondial antidopage (CMA) entré en vigueur le 1er janvier 2021 ;
  • plusieurs règlements antidopage adoptés par l’Agence mondiale antidopage (AMA).

Le projet de loi répond également au besoin d’autoriser le laboratoire antidopage français (LADF) à procéder à l’analyse, le cas échéant, des caractéristiques génétiques des échantillons prélevés sur les sportifs. En effet, lors des jeux olympiques et paralympiques de 2024, de telles analyses seront réalisées par le LADF pour le compte de l’International Testing Agency (ITA), organisme indépendant missionné par le Comité international olympique (CIO) et le Comité international paralympique (CIP) pour appliquer le programme mondial antidopage.

Le projet de loi indique que les conditions de réalisation des analyses génétiques à des fins de lutte contre le dopage seront précisées par un décret en Conseil d’État, pris après avis de la CNIL.

En premier lieu, le CMA harmonise les politiques, règles et règlements antidopage des organisations sportives et des autorités publiques à travers le monde.

Son article 6-2 prévoit que les échantillons et les données d’analyse afférentes, ainsi que les informations sur le contrôle du dopage, seront analysés afin d’y détecter les substances interdites et les méthodes interdites énumérées dans la liste des interdictions et toute autre substance dont la détection est demandée par l’AMA conformément à l’article 4.5, ou afin d’aider une organisation antidopage à établir un profil à partir des paramètres pertinents dans l’urine, le sang ou une autre matrice du sportif, y compris le profil ADN ou le profil génomique, ou à toute autre fin antidopage légitime .

Le standard international adopté par l’AMA portant Liste des interdictions recense parmi les méthodes interdites celles susceptibles de modifier les séquences génomiques et/ou d’altérer l’expression génétique et celles impliquant l’utilisation de cellules génétiquement modifiées.

Enfin, différents documents techniques élaborés par l’AMA décrivent les analyses ADN à réaliser pour mettre en évidence une substance ou une méthode interdite.

La majorité des États se sont engagés à adopter les mesures appropriées aux niveaux national et international qui soient conformes aux principes énoncés par le code , dans le cadre de la convention internationale contre le dopage dans le sport, adoptée le 19 octobre 2005 sous l'égide de l'Organisation des Nations unies pour l’éducation, la science et la culture (UNESCO).

En France, l’ordonnance n° 2021-488 du 21 avril 2021 relative aux mesures relevant du domaine de la loi nécessaires pour assurer la conformité du droit interne aux principes du code mondial antidopage et renforcer l’efficacité de la lutte contre le dopage a transposé en droit interne dans le code du sport les principes du nouveau CMA. Cependant, eu égard aux questionnements qu’un tel procédé pouvait soulever et au calendrier d’adoption de l’ordonnance, les analyses génétiques des échantillons n’ont pas été autorisées par ce texte.

D’après le ministère, l’AMA a considéré que l’impossibilité, en France, de procéder à une analyse génétique des échantillons prélevés sur les sportifs n’était pas conforme au CMA.

En second lieu, s’agissant plus particulièrement de la protection des données à caractère personnel, la CNIL prend acte de ce que les analyses consistant en l’examen des caractéristiques génétiques ou la comparaison d’empreintes génétiques – et les traitements de données qui en découleront – ne pourront être mises en œuvre qu’aux seules fins de mettre en évidence la présence et l’usage d’une substance ou d’une méthode interdite en vertu de l’article L. 232-9 . Toute autre utilisation de ces données est donc interdite.

L’article 4 du projet de loi appelle les observations complémentaires suivantes :

  • d’abord, le projet d’article L. 232-12-2 du code du sport instaure une nouvelle dérogation au principe d’obligation de recueil du consentement exprès, recueilli par écrit préalablement à l’examen des caractéristiques génétiques (article 16-10 du code civil) ou à l’identification d'une personne par ses empreintes génétiques (article 16-11 du code civil).

La CNIL estime que la formulation retenue par le projet de texte ( même en l’absence de consentement du sportif concerné ) apparaît équivoque et devrait être précisée afin de distinguer les cas dans lesquels le consentement du sportif est, ou non, recueilli (s’agissant notamment du prélèvement d’échantillon biologique et de l’examen génétique susceptible d’être réalisé) ainsi que les conséquences en cas de refus du sportif. En ce sens, selon les précisions apportées par le ministère, le projet de loi est en cours de révision afin notamment de prévoir des garanties accessoires à l’absence de consentement. La Commission estime que l’information du sportif, préalablement à sa participation à la compétition, portant sur la possibilité que ses échantillons puissent faire l’objet d’analyses génétiques, constitue une de ces garanties.

  • ensuite, le projet d’article L. 232-12-2 du code du sport prévoit une information préalable du sportif concerné, mais uniquement dans l’hypothèse d’une analyse portant sur ses caractéristiques génétiques constitutionnelles. Le ministère a précisé qu’une information sur la possibilité que le produit prélevé puisse faire l’objet des analyses génétiques autorisées sera systématiquement délivrée au sportif, lors du prélèvement.
  • enfin, le projet de loi envisage l’information du sportif concerné en cas de découverte, à l’occasion de la réalisation de ces analyses, de caractéristiques génétiques pouvant être responsables d’une affection justifiant des mesures de prévention ou de soins pour lui-même ou au bénéfice de membres de sa famille potentiellement concernés. La Commission estime cette information justifiée. Dans cette hypothèse, sauf s’il s’y est préalablement opposé, le projet de loi prévoit que le sportif est invité à se rendre à une consultation chez un médecin qualifié en génétique afin de pouvoir bénéficier d’une prise en charge adéquate. Le projet de loi renvoie aux dispositions du II de l’article L. 1130-5 du code de la santé publique (CSP) qui concerne la réutilisation d’échantillons biologiques pour réaliser des examens des caractéristiques génétiques d'une personne à des fins de recherche scientifique.

La Commission s’interroge sur le renvoi à cet article qui est de nature à créer une confusion quant à une éventuelle réutilisation des échantillons biologiques du sportif, alors même que celle-ci est, selon les précisions apportées par le ministère, exclue par les normes internationales applicables en matière de lutte contre le dopage. Contre ce risque de confusion, le ministère a précisé que le fait de renvoyer aux conditions de l’article L. 1130-5 du CSP signifie que seules les conditions procédurales sont applicables et non l’intégralité du régime juridique de la recherche scientifique, ce qui mériterait d’être davantage explicite dans le projet de loi.

Les autres points de l’article 4 du projet de loi n’appellent pas d’observations particulières de la Commission.

Sur la mise en conformité du CSI avec le RGPD et la loi du 6 janvier 1978 modifiée (article 5)

L’article 5 du projet de loi vise à mettre en conformité le régime de vidéoprotection prévu par les articles L251-1 à L255-1 du CSI avec le RGPD et la loi du 6 janvier 1978 modifiée.

La Commission a rappelé à plusieurs reprises que plusieurs dispositions du CSI étaient obsolètes depuis l’évolution de la réglementation en matière de protection des données à caractère personnel intervenue en 2018. En effet, elles ne permettent plus aux responsables de traitement de connaître l’état réel de leurs obligations en la matière ni aux personnes concernées de savoir de quelle manière exercer leurs droits, alors même que ces dispositions constituent le cadre juridique général en la matière. Si elle accueille ainsi favorablement la démarche de mise en conformité du ministère, la Commission constate que celui-ci a fait le choix de modifier a minima les dispositions existantes et souligne le fait qu’une réforme plus globale des traitements des images dans les espaces ouverts au public sera nécessaire pour sécuriser les acteurs et encadrer les usages.

En premier lieu, les principales modifications envisagées visent à préciser, à l’article L251-1 du CSI, que les traitements automatisés de données à caractère personnel qui résultent des enregistrements visuels de vidéoprotection sont régis par les dispositions applicables en matière de protection des données et à supprimer les dispositions relatives aux pouvoirs de la Commission qui sont dérogatoires à celles prévues par la loi du 6 janvier 1978 modifiée.

Sans remettre en cause le souhait du ministère de maintenir des règles particulières pour les systèmes de vidéoprotection dans le CSI, l’évolution de l’article L251-1 interroge. Le ministère a précisé que la modification projetée avait pour objectif de clarifier le fait , d’une part, que le CSI encadre le dispositif de vidéoprotection en lui-même (procédure d’autorisation, etc.) , d’autre part, que les traitements qui en découlent sont régis par la réglementation en matière de protection des données, dès lors que des données à caractère personnel sont traitées.

Si la Commission accueille favorablement cette interprétation, la rédaction retenue dans le projet de loi est ambigüe. En effet, dès lors qu’il est précisé par le projet de texte que les enregistrements visuels de vidéoprotection relèvent du CSI, il conviendrait de clarifier, dans la mesure où ils portent sur l’image de personnes, que ce sont des traitements de données à caractère personnel qui sont réalisés et soumis à la réglementation en la matière. A cet égard, la Commission rappelle que toute opération – notamment la captation, la transmission, la modification ou la consultation – portant sur l’image de personnes pouvant être reconnues constitue un traitement de données à caractère personnel. Elle considère par conséquent que les images captées par les dispositifs de vidéoprotection, même si elles ne font pas l’objet d’un enregistrement ultérieur, sont soumises à la réglementation en matière de protection des données à caractère personnel.

Il conviendrait ainsi de clarifier l’article L251-1 du CSI pour prévoir que les systèmes de vidéoprotection relèvent des dispositions du CSI et que le traitement (la captation, l’enregistrement, la conservation, etc.) d’images par ces systèmes constituent des traitements de données à caractère personnel soumis au respect de la loi du 6 janvier 1978 modifiée et du RGPD ainsi que de la directive (UE) 2016/680 le cas échéant. Cette articulation n’exclurait pas la possibilité de prévoir des dispositions spécifiques dans le CSI concernant les traitements de données à caractère personnel dès lors qu’elles sont compatibles avec les textes relatifs à la protection des données.

En second lieu, les modifications apportées par le projet de loi ne permettront pas de résoudre les difficultés plus spécifiques d’articulation entre le CSI et la réglementation en matière de protection des données à caractère personnel.

A cet égard, des modifications supplémentaires seraient nécessaires pour assurer la bonne articulation entre le CSI et la réglementation relative à la protection des données à caractère personnel.

D’une part, il conviendrait de compléter les dispositions du CSI s’agissant du droit des personnes, notamment afin d’écarter explicitement, le cas échéant, le droit d’opposition, de prévoir une information des personnes concernées conforme à la réglementation relative à la protection des données, et de clarifier l’articulation entre le droit d’accès aux enregistrements tel que prévu par le CSI (consultation des images intègres, y compris le cas échéant avec la présence de tiers) et le droit d’avoir accès ainsi que d’obtenir copie des données à caractère personnel prévu par le RGPD et la loi du 6 janvier 1978 modifiée (accès aux seules images du demandeur). Pour les droits des personnes, un renvoi à la loi informatique et libertés et au RGPD pourrait être ajouté dans les dispositions législatives du CSI, tandis que les modalités d’exercice de ces droits pourraient, elles, être prévues au niveau réglementaire. Le ministère a en effet précisé que l’encadrement des modalités d’exercice des droits sera prévu par un décret en Conseil d’Etat pris après avis de la CNIL, conformément à l’article L255-1 du CSI. Outre la difficulté liée à l’appréhension du périmètre des traitements résultant des systèmes de vidéoprotection, cet article précise que le décret fixera notamment les conditions dans lesquelles le public est informé de l'existence d'un dispositif de vidéoprotection sans qu’il fasse expressément référence aux autres droits des personnes concernées. Sur ce point, la Commission estime que l’article L255- 1 du CSI devrait être complété pour prévoir un encadrement au niveau réglementaire de l’ensemble des droits des personnes concernées.

Par ailleurs, le ministère envisage d’encadrer ces modalités par un décret qui a vocation à constituer un acte réglementaire unique pour l’ensemble de ces systèmes. La Commission s’interroge sur la faisabilité d’un tel encadrement par un seul texte général au regard de la diversité des finalités des systèmes visés, de leurs régimes juridiques susceptibles d’être distincts (notamment, le RGPD et/ou la directive (UE) 2016/680) ou encore de la pluralité des situations que les systèmes de captation et de traitement vidéo ont vocation à couvrir. Elle recommande ainsi au ministère, dans la mesure du possible, de prévoir un encadrement général mais différencié (au moyen, par exemple, de plusieurs actes réglementaires uniques) en fonction notamment des particularités présentées par les systèmes de vidéoprotection.

D’autre part, les finalités des dispositifs de vidéoprotection sont expressément mentionnées à l’article L251-2 du CSI. La Commission rappelle qu’il existe d’autres dispositifs qui filment la voie publique ou les lieux ouverts au public pour des finalités autres que celles mentionnées à l’article L251-2 du CSI (par exemple : visiophone, caméras de tableaux de bord, caméras balnéaires). Elle relève que le projet de loi modifie l’actuel article L254-1, afin de clarifier le champ de l’infraction, limité aux dispositifs et finalités du CSI. Elle rappelle que ces dispositifs seront soumis à la réglementation en matière de protection des données à caractère personnel. La Commission estime enfin que des précisions devraient être apportées dans le CSI quant à l’encadrement de ces dispositifs à des fins de clarification de l’ensemble.

En conclusion, au regard de l’ensemble des observations qui précèdent, la Commission insiste sur le fait qu’une mise en conformité plus générale du CSI est indispensable afin de permettre aux responsables de traitement de connaître l’état réel de leurs obligations en la matière et aux personnes concernées de savoir de quelle manière exercer leurs droits. Elle invite, par conséquent, le ministère à compléter le code de la sécurité intérieure notamment sur les points relevés ci-dessus.

Sur le recours à des traitements algorithmiques sur les images captées par des dispositifs de vidéoprotection ou des aéronefs afin de détecter et de signaler en temps réel des évènements prédéterminés susceptibles de menacer la sécurité des personnes (article 6)

L’article 6 du projet de loi instaure un cadre expérimental permettant la mise en œuvre de traitements algorithmiques d’analyse automatisée des images provenant des dispositifs de vidéoprotection et de caméras installées sur des aéronefs afin de détecter et de signaler en temps réel des évènements prédéterminés. Ces traitements ne pourraient être mis en œuvre qu’à la seule fin d’assurer la sécurité des manifestations sportives, récréatives ou culturelles, qui, par leur ampleur ou leurs circonstances, sont particulièrement exposées à des risques d’actes de terrorisme ou à des risques d’atteinte grave à la sécurité des personnes. Ces dispositifs, appelés plus communément caméras augmentées ou intelligentes , ne pourraient être mis en œuvre que par les services de la police et de la gendarmerie nationale, les services d’incendie et de secours, les services de police municipale et les services internes de sécurité de la SNCF et de la RATP dans le cadre de leurs missions respectives, qui assumeraient la qualité de responsables de traitement.

Le ministère fait valoir que les Jeux olympiques et paralympiques de 2024 impliquent la mise en place de mesures de sécurisation accrues de certains lieux et que la multiplicité des lieux concernés et le niveau de sécurité attendu rendent nécessaire l’optimisation de l’emploi des forces de sécurité intérieure et des forces de sécurité civile. Seul le traitement en temps réel, par des traitements algorithmiques, des images issues des dispositifs de vidéoprotection et des drones serait de nature à permettre cette optimisation. Le ministère considère ainsi qu’il est nécessaire de permettre l’utilisation des dispositifs de caméras augmentées pour sécuriser l’ensemble des manifestations sportives, récréatives et culturelles.

Si de tels objectifs sont légitimes, la Commission relève, comme l’indique d’ailleurs le ministère, que le recours à de telles technologies à des fins de prévention du terrorisme et d’atteinte à la sécurité des personnes est inédit en France. La Commission rappelle, dans sa position, publiée en juillet 2022, relative aux conditions de déploiement des dispositifs de caméras augmentées dans les espaces publics, que le recours à ces dispositifs soulève des enjeux nouveaux et substantiels en matière de vie privée. Ces outils d’analyse automatisée des images peuvent en effet conduire à un traitement massif de données à caractère personnel ; ils ne constituent pas une simple évolution technologique, mais une modification de la nature des dispositifs vidéo, pouvant entraîner des risques importants pour les libertés individuelles et collectives et un risque de surveillance et d’analyse dans l’espace public. C’est pourquoi la Commission considère que le déploiement, même expérimental, de ces dispositifs de caméras augmentées est un tournant qui va contribuer à définir le rôle qui sera confié dans notre société à ces technologies, et plus généralement à l’intelligence artificielle. La Commission renvoie à la position qu’elle a publié sur le sujet en juillet 2022, sur la nécessité d’une réflexion globale et éthique sur les usages de ces instruments, et sur l’importance de se prémunir de tout phénomène d’accoutumance et de banalisation de ces technologies de plus en plus intrusives.

Ces risques sont accrus lorsque les traitements algorithmiques sont utilisés sur des images provenant de caméras installées sur des aéronefs, qui sont eux-mêmes des dispositifs mobiles, discrets et dont la position en hauteur leur permet de filmer des lieux difficiles d’accès voire interdits aux caméras classiques.

La Commission souligne que l’encadrement des traitements algorithmiques, créé par le projet de loi, prend en compte une large partie de ses recommandations :

  • Cet encadrement relève du niveau législatif : la CNIL avait indiqué que les dispositifs mis en œuvre à des fins de police administrative générale ou de police judiciaire étaient susceptibles d’affecter les garanties fondamentales apportées aux citoyens pour l’exercice des libertés publiques et relevaient donc du domaine constitutionnellement réservé à la loi par l’article 34 de la Constitution ;
  • Le recours à des analyses automatisées est réservé à des hypothèses restreintes, puisqu’il ne s’agit que de certains types de manifestations, présentant des risques exceptionnels pour l’ordre public, de telle sorte que l’analyse automatique ne sera déployée que dans un ou plusieurs lieux précis, pour un temps limité et une finalité spécifique ;
  • Cet encadrement prévoit un certain nombre de garanties à même de limiter les risques d’atteinte aux données à caractère personnel et à la vie privée des personnes. La Commission relève à cet égard que le projet de loi prévoit un déploiement expérimental et limité dans le temps et dans l’espace des traitements algorithmiques. Ces traitements ne pourront utiliser aucune donnée biométrique aux fins d'identifier une personne physique de manière unique conformément à l’article 9 du RGPD (ce qui exclut notamment les dispositifs de reconnaissance faciale), ni procéder à aucun rapprochement, interconnexion ou mise en relation automatisée avec d’autres traitements de données à caractère personnel ou encore fonder, par eux-mêmes, aucune décision individuelle ni poursuites automatisées. La mise en œuvre de ces traitements est également conditionnée à l’existence et à la robustesse de mesures de contrôle humain et d’un système de gestion des risques permettant de prévenir et de corriger la survenue de biais éventuels ou de mauvaise utilisation.

Sur le cadre expérimental et le rôle de la Commission

L’article 6 du projet de loi crée un cadre juridique pour la mise en œuvre expérimentale de ces traitements algorithmiques, dont le terme est fixé au 31 décembre 2024. Compte tenu de l’ensemble des enjeux soulevés par les dispositifs de caméras augmentées , la CNIL considère qu’une expérimentation est indispensable.

Le Gouvernement devra mener dès le début de l’expérimentation une réflexion sur la mise en place d’un protocole d’évaluation permettant de mesurer de façon rigoureuse, contradictoire et pluridisciplinaire l’apport des technologies d’analyse automatisée des images. Cette expérimentation ne saurait en aucun cas préjuger d’une éventuelle pérennisation de ces systèmes.

Le cadre juridique prévu par le projet de loi doit, lui-même, être limité à la période expérimentale et temporaire et ne saurait préjuger d’un éventuel encadrement et du schéma de gouvernance applicables dans la perspective de la proposition de règlement pour l’intelligence artificielle actuellement en cours d’élaboration au niveau européen.

La Commission travaille actuellement à l’élaboration d’une doctrine générale en matière d’intelligence artificielle afin d’accompagner les responsables de traitement, et qui se traduira notamment par la publication de recommandations dans le courant de l’année 2023. En parallèle, la Commission se tiendra à la disposition des responsables de traitement pour les accompagner dans le déploiement conforme des dispositifs visés à l’article 6 du présent projet de loi. La légalité des dispositifs déployés pourra, en tout état de cause, être contrôlée par la Commission dans le cadre des pouvoirs de contrôle prévus à l’article 19 de la loi informatique et libertés .

Un rapport d’évaluation devra être produit dans un délai maximum de six mois avant le terme de l’expérimentation et remis au Parlement. La Commission s’interroge toutefois sur la cohérence de ce calendrier qui conduirait à une remise du rapport d’évaluation au Parlement avant la tenue des Jeux Olympiques et Paralympiques de 2024.

La Commission demande que ce rapport lui soit également transmis. Si elle prend acte du fait que son contenu sera fixé par décret, elle recommande d’ores et déjà qu’outre les éléments visés au paragraphe VIII de l’article 6, il contienne a minima :

  • une exposition du protocole d’évaluation (les étapes de l’évaluation, son organisation concrète, dans le temps et l’espace, les indicateurs et critères de succès et d’échecs…) afin de permettre un examen contradictoire fidèle à la méthodologie scientifique ;
  • une présentation détaillée :
    • des résultats obtenus au regard des performances techniques : il s’agit de fournir une appréciation scientifiquement étayée des outils développés après les phases d’apprentissage, de validation et de correction des paramètres des algorithmes (taux d’erreurs, analyse et interprétation de ces erreurs, retours sur le gain en performance obtenu lors des différentes phases, mesures des biais discriminatoires, comparaison avec l’état de l’art, etc.) ;
    • des résultats obtenus au regard des besoins ou objectifs opérationnels : il s’agit de mesurer, une fois ceux-ci déployés, l’apport véritable pour la ou les tâches à réaliser des outils développés et questionner l’impact des erreurs du dispositif pour l’atteinte de l’objectif. Une typologie des signalement remontés pourra notamment être réalisée, associée aux suites qui y auront été apportées ;
    • des résultats obtenus au regard des impacts sociétaux : il s’agit d’apprécier la perception des outils développés par les personnes concernées, une fois les dispositifs déployés, et de questionner l’impact des erreurs du dispositif pour les personnes concernées.
  • une présentation de l’évaluation des mesures de contrôle humain et du système de gestion des risques permettant de prévenir et de corriger la survenue de biais éventuels ou de mauvaise utilisation ;
  • des éléments relatifs à la mise en place de garanties pour la protection de la vie privée telles que la pseudonymisation ou le floutage des images et, dans le cas où le choix serait fait de ne pas appliquer de telles mesures, une analyse démontrant que leur impact sur le niveau de performance de l’algorithme en phase opérationnelle nuirait à l’atteinte des finalités des traitements ;
  • des éléments relatifs à l’information des personnes concernées (supports utilisés, éventuels motifs d’exclusion du droit à l’information…) ;
  • des éléments quantitatifs et qualitatifs concernant l’exercice des droits par les personnes concernées et ;
  • des éléments sur les mesures de sécurité mises en place afin d’assurer la disponibilité, la confidentialité et l’intégrité des données traitées.

La Commission recommande par ailleurs que l’évaluation soit conduite en association avec des experts indépendants.

Sur le régime juridique

Le paragraphe V du projet de loi prévoit que les traitements algorithmiques seront autorisés par un décret, pris après avis de la CNIL, qui aura notamment pour objet de lister les évènements prédéterminés qui en font l’objet. Un arrêté préfectoral devra ensuite autoriser le recours au traitement concernant la détection d’un évènement particulier au regard des circonstances d’espèce qui devront justifier sa mise en œuvre.

L’article 6 prévoit que les traitements algorithmiques visés au I sont régis par le RGPD et par la loi informatique et libertés (notamment son titre III concernant les dispositions applicables aux traitements relavant de la directive (UE) 2016/680, dite police-justice ). Il appartiendra à chaque responsable de traitement de déterminer le régime juridique applicable aux traitements qu’il envisagera de mettre en œuvre.

Pour les traitements relevant du titre III de la loi informatique et libertés , une analyse d'impact relative à la protection des données à caractère personnel (AIPD) devra être réalisée et être transmise pour consultation à la CNIL dans les conditions prévues à son article 90. Compte tenu du caractère inédit du cadre de déploiement de ces technologies, la CNIL recommande que soient généralisées la réalisation et la transmission d’une AIPD pour chaque traitement algorithmique qui serait autorisé et expérimenté dans le champ de l’article 6 du projet de loi. L’AIPD devra notamment comporter les éléments permettant à la Commission de vérifier les points mentionnés au paragraphe V de l’article 6 (caractères nécessaire et proportionné du traitement, robustesse des mesures de contrôle humain, validité des paramètres de conception, etc.).

Sur la finalité et le périmètre de déploiement des traitements algorithmiques mentionnés au I

L’article 6 du projet de loi prévoit que les traitements ont pour objet la détection et la signalisation d’évènements prédéterminés susceptibles de présenter ou de révéler des risques d’actes de terrorisme ou des risques d’atteinte grave à la sécurité des personnes lors des manifestations sportives, récréatives ou culturelles visées au I. La Commission insiste sur le fait que ces critères peuvent recouvrir un grand nombre d’hypothèses distinctes. Elle recommande que, au regard des enjeux et risques présentés par les dispositifs en cause, les critères permettant de déterminer leur périmètre de déploiement soient appréciés de manière restrictive. Elle prend par ailleurs acte de l’engagement du Gouvernement de lister de manière exhaustive et détaillée dans le décret les évènements prédéterminés que les traitements algorithmiques devront détecter et signaler. Elle demande que le projet de loi précise expressément que le décret listera ces évènements prédéterminés .

Les traitements algorithmiques peuvent présenter dans certaines circonstances des taux d’erreur importants, rendant le recours à ces technologies moins efficace en conditions opérationnelles qu’une détection humaine. Les évènements prédéterminés (mouvement de foule, détection de bagages, gestes et comportements suspects, etc.) dont la détection est recherchée devraient être sélectionnés au regard des performances des traitements algorithmiques, d’après l’état de l’art de la recherche en la matière.

La Commission prend acte des précisions apportées par le ministère selon lesquelles ces traitements ne peuvent être installés que sur des caméras situées aux abords des lieux accueillant les manifestations visées au paragraphe I et dans les moyens de transports et les voies desservant ces manifestations, et non l’ensemble des moyens de transport et les voies du territoire national ou des villes dans lesquelles se tiennent les manifestations.

La Commission souligne que l’autorisation préfectorale visée au VI devra s’assurer que le périmètre géographique et temporel de déploiement des traitements algorithmiques sera limité aux manifestations définies au I pour lesquelles ils sont déployés.

Sur les phases de conception, de validation et de correction des paramètres des traitements algorithmiques

Selon le VII de l’article 6 du projet de loi, les images issues de systèmes de vidéoprotection ou de drones peuvent être utilisées comme données d’entraînement, à la seule fin de permettre la validation des paramètres de conception des traitements algorithmes et éventuellement réutilisées pour la correction des paramètres du traitement .

La CNIL estime que cette réutilisation devrait s’accompagner de la mise en place de garanties appropriées telles que, si possible, la pseudonymisation ou le floutage des images, en particulier si celle-ci est réalisée par un tiers. A cet égard, la Commission demande que le projet de loi, ou a minima le décret, encadre expressément la possibilité pour des prestataires tiers, sous le contrôle du responsable du traitement, d’entraîner les images issues de systèmes de vidéoprotection ou de drones dans les conditions prévues au VII. Elle attire l’attention du gouvernement sur la nécessité de garantir que les images ne seront pas utilisées par ces prestataires à d’autres fins et seront détruites une fois utilisées. Elle rappelle à ce titre que les tiers réutilisant les données sont soumis aux mêmes obligations que les responsables de traitement mentionnés au I de l’article 6, en particulier en ce qui concerne les durées de conservation des données.

En tout état de cause, les traitements nécessaires à la conception, validation et correction des paramètres de conception des algorithmes sont soumis au RGPD et à la loi informatique et libertés . À ce titre, l’accès à ces images devrait être restreint aux seules équipes habilitées lors des phases de conception, de validation et de correction. Ces équipes devraient recevoir une formation spécifique portant sur la protection de la vie privée, en particulier si ces équipes étaient employées par un sous-traitant.

Seules les données réutilisées à des fins spécifiques de correction des paramètres du traitement au titre du paragraphe VII pourront être conservées et traitées pour une durée allant jusqu’au terme de l’expérimentation. La Commission souligne qu’il s’agit d’une durée maximale : les données considérées comme non pertinentes devront être immédiatement supprimées, sans attendre l’expiration du délai visé ci-dessus.

Par ailleurs, en raison du caractère potentiellement sensible et choquant des images collectées en conditions réelles si l’un des évènements redoutés venait à avoir lieu, la Commission recommande que des précautions particulières soient prises lors de leur traitement pour les finalités prévues à l’article 6, VII et pour l’apprentissage des modèles algorithmiques. Ces précautions devraient inclure une formation spécifique des agents ayant à en prendre connaissance, ainsi que des mesures de sécurité renforcées, afin de garantir notamment la confidentialité des sauvegardes.

La Commission accueille favorablement l’attention apportée à la fiabilité des données, à l’objectivité et à la pertinence des critères d’apprentissage ainsi qu’à la stricte nécessité des méthodes appliquées. Elle recommande toutefois que l’utilisation des modèles conçus lors de la phase d’apprentissage soit conditionnée à l’obtention d’un niveau de performance suffisamment élevé à son issue, tant en comparaison de l’état de l’art qu’au regard des besoins des équipes opérationnelles. En particulier, ce niveau de performance devrait être évalué au regard de l’impact potentiel pour les personnes que peuvent avoir par exemple un faux positif ou un faux négatif à la sortie du traitement algorithmique.

La Commission recommande que l’attention apportée à la fiabilité des données, à l’objectivité et à la pertinence des critères d’apprentissage, à la stricte nécessité des méthodes appliquées, ainsi qu’à l’existence de biais éventuels lors des phases de validation et de correction soit a minima équivalente à celle apportée à ces mêmes problématiques lors de la phase de conception des traitements algorithmiques. En effet, l’utilisation de données collectées en conditions réelles lors de ces phases comporte un risque particulier, dû par exemple à une dérive des données entraînant une modification des performances des algorithmes. La Commission considère qu’il convient d’encadrer cette utilisation par des mesures au moins aussi exigeantes que celles mises en œuvre lors de la phase de conception, et permettant de garantir que les modifications apportées aux algorithmes n’entraîneront pas leur dégradation.

Elle relève que le dispositif envisagé ne prévoit pas de contrôle spécifique du respect de ces exigences par les fournisseurs de solutions et les responsables de traitements. Elle comprend que les dispositions du projet de loi permettront à la Commission de vérifier ces propriétés dans le cadre des missions qui lui sont dévolues.

Sur l’information et les droits des personnes concernées

L’information des personnes est un élément essentiel pour assurer la loyauté des traitements dans un objectif de transparence à l’égard du public. Sa mise en œuvre est indispensable pour permettre le déploiement de dispositifs de caméras augmentées dans un climat de confiance à l’égard des autorités publiques. Il apparaît important que les personnes soient informées qu’une manifestation donnera lieu à l’usage de caméras augmentées dans un certain périmètre, ainsi que du contexte expérimental, des objectifs poursuivis et des caractéristiques de cet usage, afin de pouvoir le cas échéant contester, y compris devant le juge des référés, le respect des critères et garanties fixés par la loi.

La Commission relève à cet égard que le projet de loi prévoit une possibilité d’exclusion de l’information des personnes dans les cas où une telle information entrerait en contradiction avec les finalités poursuivies. La Commission s’interroge toutefois sur les hypothèses dans lesquelles une telle exclusion s’avèrerait nécessaire et recommande que celles-ci soient particulièrement limitées. En tout état de cause, il appartiendra au responsable de traitement de s’assurer, le cas échéant, des conditions dans lesquelles le droit à l’information pourrait être exclu au regard du régime applicable. Il lui reviendra notamment de vérifier si une information partielle, portant sur le principe du recours aux caméras augmentées , peut être envisagée sans compromettre la sécurité de la manifestation.

Enfin, le projet de loi n’exclut pas l’exercice des droits d’opposition, d’accès, de rectification et d’effacement. La Commission souligne donc qu’en principe l’ensemble des droits prévus au titre du RGPD et de la loi informatique et libertés s’appliqueront conformément au régime applicable aux traitements mis en œuvre et qu’il conviendra à chaque responsable de traitement de déterminer et de respecter, sauf à en prévoir l’exclusion conformément au RGPD et à la loi informatique et libertés . Elle s’interroge à cet égard sur les modalités d’exercice du droit d’opposition aux traitements algorithmiques de l’image des personnes, qui plus est dans un contexte où le droit d’opposition n’est pas ouvert pour la captation de l’image par la caméra fixe ou mobile.

Sur les durées de conservation des images analysées par les traitements algorithmiques

L’article 6 du projet de loi prévoit que les traitements algorithmiques analysent les images uniquement en temps réel. La Commission prend donc acte du fait que la mise en œuvre des traitements algorithmiques visés au I n’implique aucune durée de conservation supplémentaire – au regard de ce qui prévu dans le cadre du code de la sécurité intérieure – des images issues des dispositifs sur lesquels ils sont installés.

Sur l’extension des images de vidéoprotection que les agents des services internes de la SNCF et de la RATP peuvent visionner lorsqu’ils sont affectés au sein des salles d’information et de commandement relevant de l’Etat (article 7)

L’article 7 du projet de loi modifie l’article L2251-4-2 du code des transports afin d’étendre les images de vidéoprotection que les agents des services internes de sécurité de la SNCF et de la RATP peuvent visionner lorsqu’ils sont affectés au sein des salles d’information et de commandement relevant de l’Etat (CCOS). Cette disposition limite aujourd’hui le visionnage de ces agents aux images des systèmes de vidéoprotection transmises en temps réel dans ces salles depuis les véhicules et emprises immobilières des transports publics de voyageurs relevant de leurs compétences, aux seules fins de faciliter la coordination avec ces derniers lors des interventions de leurs services au sein desdits véhicules et emprises.

Le projet de loi élargit les possibilités de visionnage des agents des services internes de sécurité de la SNCF et de la RATP.

Le ministère indique que les agents des services internes de sécurité de la SNCF et de la RATP ne pourront pas avoir accès à l’ensemble des images des systèmes de vidéoprotection susceptibles d’être transmises en temps réel dans les salles d’information et de commandement relevant de l’Etat, mais seulement à celles issues des systèmes situés au sein de leurs véhicules, de leurs emprises et de leurs abords.

En pratique, cela permettra une meilleure gestion des flux de supporters se rendant vers des sites desservis par les moyens de transport des deux opérateurs, ou les quittant à l’issue de la manifestation sportive. L’objectif poursuivi par cette évolution, qui consiste en l’amélioration de la communication entre les différentes personnes étant amenées à intervenir sur le flux de personnes dans le cadre d’événements sportifs d’ampleur, est légitime.

Il est néanmoins rappelé que les services internes de sécurité de la SNCF et de la RATP sont uniquement chargés, dans le cadre d’une mission de prévention, de veiller à la sécurité des personnes et des biens dans l’emprise de leur entreprise, de protéger leurs agents, leur patrimoine et de veiller au bon fonctionnement des services.

A cet égard, la Commission estime que la possibilité offerte à ces agents de visualiser davantage d’images des systèmes de vidéoprotection transmises en temps réel ne doit pas conduire à étendre leurs compétences telles que définies par les textes, ou à leur permettre d’utiliser les images transmises à d’autres fins que celles prévues.

Au regard des précisions apportées par le ministère, la Commission considère que la rédaction retenue dans le projet de loi, qui pourrait laisser penser que ces agents auraient la possibilité d’accéder à l’ensemble des images transmises en temps réel au sein du CCOS (RATP, SNCF mais aussi préfecture de police notamment), sans restriction, devrait être clarifiée.

Sur l’élargissement de la procédure de criblage prévue à l’article L211- 11-1 du CSI aux fans-zones et aux participants aux grands évènements (article 9)

L’article 9 du projet de loi modifie le dispositif d’accès aux grands évènements désignés par décret en raison de leur exposition à un risque exceptionnel de menace terroriste en application de l’article L211-11-1 du CSI.

Cet article du CSI impose aujourd’hui aux organisateurs de certains grands évènements de demander l’avis de l’autorité administrative compétente avant d’autoriser une personne n’étant ni un spectateur ni un participant (par exemple : sportifs, équipe médicale, juges arbitres etc.) d’accéder à un établissement ou une installation accueillant ces évènements. Cet avis doit être rendu à la suite d’une enquête administrative sur la personne concernée qui peut donner lieu à la consultation de certains traitements automatisés de données à caractère personnel, selon les règles propres à chacun d'eux.

En premier lieu, l’article 9 du projet de loi prévoit que cette procédure s’applique également aux lieux situés dans l’espace public accueillant de grands rassemblements de personnes afin d’assister à des retransmissions de ces évènements désignés par décret, comme par exemple les fan zones .

Le ministère précise que la notion de lieux situés dans l’espace public fait référence à l’ensemble des espaces destinés à l’usage de tous sans restriction et vise à englober tant les voies publiques (les voies ouvertes à la circulation publique) que les lieux ouverts au public (les lieux non fréquentés exclusivement pour cet évènement, comme par exemple les parcs, les transports collectifs ou encore les commerces). Au regard du périmètre particulièrement large des lieux susceptibles d’être visés, la Commission invite le ministère à établir des critères objectifs permettant de définir ces lieux au niveau réglementaire ou dans une doctrine d’emploi, en lien avec l’appréciation de la menace qui permet de justifier la réalisation d’enquêtes administratives (par exemple, des critères relatifs au nombre de personnes, au type de retransmission, ou encore à la définition du risque au regard de la zone, etc.). Sur ce point, elle prend acte de ce que l’instruction du ministre de l'intérieur du 23 août 2021 relative à la mise en œuvre de la procédure de désignation d'un grand événement sera actualisée à la suite de ces évolutions législatives.

En second lieu, cet article ajoute les participants aux personnes dont l’accès est subordonné à une autorisation de l’organisateur délivrée après enquête préalable de l’autorité administrative. Selon le ministère, la notion de participant recouvre par exemple les acteurs, les sportifs mais aussi leurs équipes (entraîneurs, médecins, kinésithérapeutes, etc.) et les autres personnes participant au bon déroulement de l’évènement (arbitres, chronométreurs, etc.). Ainsi, à l’exception des spectateurs, l’intégralité des personnes accédant aux lieux concernés, quels que soient leur statut et leurs fonctions, devront faire l’objet d’une enquête administrative.

En l’espèce, une telle évolution conduira à élargir de manière très substantielle le périmètre des personnes concernées par ces dispositions. Cela pourrait en effet représenter environ 50.000 à 60.000 participants pour les seuls jeux olympiques et paralympiques selon le ministère.

D’une part, si l’organisation d’un évènement d’ampleur tel que les jeux olympiques et paralympiques comporte des risques pouvant justifier la réalisation d’enquêtes administratives, la Commission regrette toutefois de ne pas avoir eu davantage de précisions sur les éléments justifiant un tel élargissement pour les jeux olympiques et paralympiques de 2024 et de manière pérenne au-delà de cette période (par exemple quant aux éventuelles lacunes que présente le maillage actuel ou la nécessité d’étendre à ces catégories de personnes). Elle regrette également de ne pas avoir disposé d’éléments de comparaison pour déterminer si ce contrôle est habituel pour ce type de manifestation, notamment dans les pays de l’Union européenne ou déclarés adéquats pour le transfert de données à caractère personnel. La transmission de l’ensemble de ces informations aurait pu lui permettre d’apprécier la nécessité et la proportionnalité de cette extension particulièrement significative.

D’autre part, la réalisation de ces enquêtes administratives impliquera un traitement de données à caractère personnel ainsi que la consultation de certains fichiers dits de police . Les données collectées dans ce cadre par le service national des enquêtes administratives de sécurité (SNEAS) pourront être conservées pour une durée pouvant aller jusqu’à cinq ans au sein du fichier mis en œuvre par ce service, dans le cadre du traitement automatisé de données à caractère personnel dénommé Automatisation de la consultation centralisée de renseignements et de données (ACCReD).

A cet égard, la Commission souligne que les données ainsi traitées doivent être conservées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées et considère qu’elles ne sauraient être enregistrées pour une durée supérieure à celle des évènements concernés.

Elle rappelle en outre la nécessité de mettre en place des garanties pour que l’automatisation des consultations des fichiers concernés ne conduise pas à ce que des avis ou des décisions résultent de la seule inscription d’une personne dans un traitement de données à caractère personnel. En effet, des préjudices importants pour les personnes concernées peuvent découler d’un avis ou d’une décision défavorable à la suite de ces consultations. Elle prend acte de ce que le service en charge des enquêtes doit procéder à des vérifications complémentaires lorsqu'il prend connaissance de données pouvant a priori justifier un avis défavorable.

Sur la possibilité de mettre en place des scanners corporels à l’entrée des enceintes sportives (article 10)

L’article 10 du projet de loi permet l’utilisation de scanners à ondes millimétriques à l’entrée des enceintes accueillant des manifestations sportives. Le recours à cette technique pour procéder aux opérations d’inspection-filtrage des personnes, déjà déployée dans les aéroports, vise à fluidifier et sécuriser l’accès aux lieux concernés.

Leur usage est soumis à différentes conditions définies dans le projet de loi :

  • l’inspection-filtrage ne peut être réalisée qu’avec le consentement des personnes concernées ;
  • l’analyse des images est effectuée par des opérateurs qui ne connaissent pas l’identité de la personne et qui ne peuvent pas visualiser simultanément l’image produite par le dispositif d’imagerie ;
  • le dispositif doit comporter un système brouillant la visualisation du visage ;
  • l’enregistrement et la conservation des images sont interdits ;
  • ces opérations sont limitées aux zones déterminées par un arrêté conjoint du ministre chargé des sports et du ministre de l’intérieur.

La mise en place de ces garanties est de nature à réduire l’atteinte portée à la vie privée et l’intimité des personnes concernées.

Elle rappelle que la mise en œuvre d’un scanner corporel constitue un traitement de données à caractère personnel soumis à la réglementation en la matière. Sur ce point, il ressort de la Communication de la Commission au Parlement européen et au Conseil sur l'utilisation de scanners de sécurité dans les aéroports de l'Union européenne du 15 juin 2010 (COM/2010/0311 final) que la captation et le traitement de l'image d'une personne identifiée ou non identifiable par scanners corporels afin de permettre à un examinateur d'effectuer l'évaluation pertinente en matière de sécurité relèvent de la réglementation en matière de protection des données. En effet, certaines technologies peuvent révéler un affichage détaillé du corps humain ainsi que des particularités médicales.

Par ailleurs, s’agissant des modalités de recueil du consentement des personnes concernées, le ministère envisage de disposer des affiches qui pourront être apposées en amont du passage dans le scanner corporel et/ou des agents pourront être chargés d’orienter les participants et de s’assurer de leur consentement. En cas de refus, la personne pourra être soumise à un autre dispositif de contrôle. Elle sera alors orientée sur une autre file afin d’être soumise à des palpations manuelles, assurées par un agent du même sexe.

La Commission souligne l’importance des modalités de mise en œuvre d’information et de recueil du consentement des personnes afin de garantir leur effectivité. Ces dernières devront également être informées suffisamment à l’avance de l’existence d’un autre dispositif de contrôle afin de pouvoir faire un choix éclairé.

Enfin, l’article 31 de la loi du 6 janvier 1978 modifiée prévoit que les traitements de données qui intéressent la sûreté de l’Etat, la défense ou la sécurité publique mis en œuvre pour le compte de l’Etat, ce qui pourrait être le cas en l’espèce, doivent être autorisés par un acte réglementaire pris après avis motivé et publié de la CNIL. Le cas échéant, la Commission invite le ministre à préciser si le projet de texte tend à déroger à cette disposition et, si ce n’est pas le cas, estime qu’il conviendra de prendre les actes réglementaires en question.

La Présidente

Marie-Laure DENIS

Retourner en haut de la page