Date de l'avis : 15 juin 2023
N° de la délibération : 2023-068
N° de demande d'avis : 23006451
N° d'acte réglementaire unique : RU-75
Texte concerné : Projet de décret relatif aux modalités de mise en œuvre des traitements algorithmiques sur les images collectées au moyen de systèmes de vidéoprotection et de caméras installées sur des aéronefs, pris en application de l'article 10 de la loi n° 2023-380 du 19 mai 2023 relative aux jeux Olympiques et Paralympiques de 2024 et portant diverses autres dispositions
Thématiques : Jeux Olympiques et Paralympiques de 2024, caméras « augmentées », traitements algorithmiques.
Fondement de la saisine : Article 10, V. de la loi n° 2023-380 du 19 mai 2023 relative aux jeux Olympiques et Paralympiques de 2024 et portant diverses autres dispositions
L'essentiel :
Le projet de décret, pris en application de l'article 10 de la loi relative aux jeux Olympiques et Paralympiques de 2024 qui introduit la possibilité de mettre en œuvre des dispositifs de caméras « augmentées », a pour objet de lister les évènements prédéterminés qu'un traitement algorithmique peut avoir pour objet de détecter.
Le dispositif considéré se décompose en trois phases : phase de conception, phase d'exploitation et phase d'amélioration et de correction.
Par ailleurs, la CNIL rappelle que, aussi bien pour la phase de conception que pour la phase d'exploitation, l'information des personnes est un élément essentiel pour assurer la loyauté des traitements dans un objectif de transparence à l'égard du public. C'est pourquoi elle recommande notamment que les dérogations au droit à l'information prévues lors de la phase d'exploitation soient particulièrement limitées et précisées dans le projet de décret.
Enfin, la CNIL relève que le ministère a réalisé, comme le prévoit la loi, une étude d'impact abstraite relative à la protection des données (AIPD) des risques et avantages des dispositifs qui vont être expérimentées. Elle souligne que ces études d'impact devront être complétées lorsque les dispositifs seront choisis et mis en place, avant leur déploiement opérationnel.
La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet de décret relatif aux modalités de mise en œuvre des traitements algorithmiques sur les images collectées au moyen de systèmes de vidéoprotection et de caméras installées sur des aéronefs, pris en application de l'article 10 de la loi n° 2023-380 du 19 mai 2023 relative aux jeux Olympiques et Paralympiques de 2024 et portant diverses autres dispositions ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu le code de sécurité intérieure, notamment ses articles L. 251-1 à L. 255-1, L. 242-1 à L. 242-8 et L. 722-1 ;
Vu l'article 10 de la loi n° 2023-380 du 19 mai 2023 relative aux jeux Olympiques et Paralympiques de 2024 et portant diverses autres dispositions ;
Après avoir entendu le rapport de M. Claude CASTELLUCCIA, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Adopte la délibération suivante :
I. - La saisine
A. - Le contexte
La loi n° 2023-380 relative aux jeux Olympiques et Paralympiques de 2024 et portant diverses autres dispositions a été promulguée le 19 mai 2023 (ci-après la « loi »). Son article 10 instaure un cadre expérimental permettant la mise en œuvre de traitements algorithmiques d'analyse automatisée des images provenant des dispositifs de vidéoprotection et de caméras installées sur des aéronefs afin de détecter et de signaler en temps réel des évènements prédéterminés.
Ces traitements ne peuvent être mis en œuvre :
- qu'à la seule fin d'assurer la sécurité des manifestations sportives, récréatives ou culturelles qui, par l'ampleur de leur fréquentation ou par leurs circonstances, sont particulièrement exposées à des risques d'actes de terrorisme ou d'atteintes graves à la sécurité des personnes ;
- que par les services de la police et de la gendarmerie nationales, les services d'incendie et de secours, les services de police municipale et les services internes de sécurité de la SNCF et de la RATP dans le cadre de leurs missions respectives, qui assumeront la qualité de responsables de traitement.
La CNIL s'est prononcée le 8 décembre 2022 dans sa délibération n° 2022-118 sur ce projet de loi ; elle a notamment relevé que le recours à ces dispositifs soulève des enjeux nouveaux et substantiels en matière de vie privée, mais a néanmoins considéré que les garanties prévues permettent de limiter les risques d'atteinte aux données et à la vie privée des personnes et vont dans le sens des préconisations formulées dans sa prise de position sur les caméras « augmentées » publiée en juillet 2022.
Dans sa décision du 17 mai 2023, le Conseil constitutionnel a jugé l'article 10 de la loi conforme à la Constitution - avec une réserve d'interprétation - en ce qu'il ne méconnaît ni la liberté d'aller et de venir, ni le principe de sauvegarde de la dignité de la personne humaine, ni la liberté d'expression collective des idées et des opinions, ni le droit à la sûreté, ni le principe d'égalité devant la loi, ni aucune autre exigence constitutionnelle.
B. - L'objet de la saisine
Le V de l'article 10 de la loi prévoit que le recours au traitement algorithmique, visé au I du même article, doit être autorisé par un décret, pris après avis de la CNIL. Ce décret doit fixer les caractéristiques essentielles du traitement et indiquer notamment « les évènements prédéterminés que le traitement a pour objet de signaler, le cas échéant les spécificités des situations justifiant son emploi, les services mentionnés au même I susceptibles de le mettre en œuvre, les éventuelles conditions de leur participation financière à l'utilisation du traitement et les conditions d'habilitation et de formation des agents pouvant accéder aux signalements du traitement ».
C'est dans ce contexte que la CNIL a été saisie par le ministère de l'intérieur et des outre-mer du présent projet de décret.
Il ressort du projet de décret que le recours aux traitements algorithmiques se décompose en plusieurs phases :
- la phase de conception : conformément à l'article 4 du projet de décret, cette phase doit permettre d'identifier des indicateurs et des critères de pertinence caractérisant les évènements prédéterminés susceptibles de présenter ou de révéler un risque d'actes de terrorisme ou d'atteintes graves à la sécurité des personnes. Au cours de cette phase, un paramétrage peut être réalisé sur les images provenant des dispositifs de vidéoprotection et de caméras installées sur des aéronefs visant à adapter l'algorithme aux conditions d'utilisation réelles. A ce titre, la CNIL demande que la rédaction de l'article 4 du projet de décret soit clarifiée pour être pour être plus compréhensible et accessible. Elle prend acte de la volonté du Gouvernement d'ajouter une nouvelle finalité ayant pour objet de « paramétrer des outils permettant la détection et le signalement en temps réel, à partir de ces images, des évènements prédéterminés ».
Les traitements à des fins de conception sont mis en œuvre par l'Etat ou par un sous-traitant conformément aux dispositions du chapitre II du projet de décret. L'Etat a toutefois la possibilité d'acquérir des solutions algorithmiques qui ont déjà fait l'objet d'une phase de conception par un tiers fournisseur de solutions. Dans cette hypothèse, l'article 11 du projet de décret prévoit que l'Etat devra s'assurer que le traitement a été conçu dans le respect des exigences du VI de l'article 10 de la loi.
- la phase d'exploitation : les services autorisés mettent en œuvre les traitements algorithmiques afin de détecter et de signaler en temps réel les évènements prédéterminés dans les conditions prévues au chapitre IV du projet de décret. Il s'agit d'un signalement d'attention, les dispositifs ne pouvant pas fonder de décision individuelle ou acte de poursuite.
- la phase d'amélioration et de correction : si au cours de la phase d'exploitation, un besoin est identifié d'améliorer la qualité de la détection des événements prédéterminés, les biais ou erreurs peuvent être corrigés dans les conditions prévues au chapitre II du projet de décret.
Les dispositions du projet de décret appellent les observations suivantes.
II. - L'avis de la CNIL
A. - Sur les dispositions générales
Sur les évènements prédéterminés
L'article 3 du projet de décret liste les évènements prédéterminés qu'un traitement algorithmique, visé au I de l'article 10 de la loi, est autorisé à détecter. La CNIL relève que cet article prévoit bien, conformément à la décision précitée du Conseil constitutionnel, que de tels évènements ne pourront être détectés qu'en ce qu'ils sont susceptibles de présenter ou de révéler un risque d'acte de terrorisme ou d'atteinte grave à la sécurité des personnes.
La liste d'évènements prédéterminés de l'article 3 du projet de décret est limitative de telle sorte qu'aucun traitement algorithmique ne pourra être conçu, acquis par l'Etat ou mis en œuvre en phase d'exploitation pour détecter d'autres évènements que ceux qui y sont énumérés.
Les évènements prédéterminés listés à l'article 3 apparaissent pertinents dans le cadre de l'expérimentation. Leur définition appelle les observations suivantes :
En premier lieu, la CNIL prend acte de ce que la détection d'objets abandonnés a uniquement pour objet d'identifier l'abandon de ces objets et ne permet donc pas de suivre des individus.
En deuxième lieu, s'agissant de la détection du « non-respect du sens de circulation par une personne », la CNIL estime que ce cas d'usage ne s'entend que dans l'hypothèse où un sens de circulation serait imposé aux personnes. Elle prend acte de l'engagement du Gouvernement de compléter le décret en ce sens.
En troisième lieu, la CNIL considère que la détection d'une personne au sol ne devrait concerner que les seuls cas où celle-ci aurait chuté quelle qu'en soit la cause (par exemple un accident, un malaise ou un choc), et non les cas où une personne est assise à terre de façon continue. Elle prend acte de l'engagement du Gouvernement de préciser le décret en ce sens.
Sous les réserves énoncées ci-dessus, la CNIL considère que la liste des évènements prédéterminés entre dans le cadre de la loi.
Sur les garanties communes
L'article 2 du projet de décret rappelle les garanties prévues par la loi : les traitements ne peuvent utiliser aucune donnée biométrique ni aucune technique de reconnaissance faciale, ils ne peuvent procéder à aucun rapprochement, interconnexion ou mise en relation automatisée avec d'autres traitements ou encore fonder, par eux-mêmes, aucune décision individuelle ni poursuites automatisées.
La CNIL prend acte de l'engagement du Gouvernement selon lequel les traitements ne permettront pas le suivi ou la réidentification de personnes, et ce même grâce à des données autres que biométriques (par exemple par le biais de la reconnaissance de vêtements).
La CNIL insiste à nouveau sur l'importance de ces garanties, comme l'a d'ailleurs fait le Conseil constitutionnel dans sa décision précitée en indiquant que « si un tel traitement n'a ni pour objet ni pour effet de modifier les conditions dans lesquelles ces images sont collectées, il procède toutefois à une analyse systématique et automatisée de ces images de nature à augmenter considérablement le nombre et la précision des informations qui peuvent en être extraites. Dès lors, la mise en œuvre de tels systèmes de surveillance doit être assortie de garanties particulières de nature à sauvegarder le droit au respect de la vie privée ».
B. - Sur la mise en œuvre des traitements pendant la phase de conception lorsque cette dernière est assurée par l'Etat ou pour son compte
Sur le régime juridique applicable lors de la phase de conception
Le Gouvernement a précisé qu'eu égard aux finalités poursuivies :
- les traitements à des fins de conception de l'algorithme relèvent du RGPD ;
- les traitements mis en œuvre dans le cadre de la phase d'exploitation relèvent du titre III de la loi « informatique et libertés » concernant les dispositions applicables aux traitements relevant de la directive « police-justice », à l'exception de ceux mis en œuvre par les services d'incendie et de secours qui sont régis par le RGPD.
La CNIL relève à cet égard qu'une décision du Conseil d'Etat n° 451653 du 22 juillet 2022, est venue considérer que les traitements mis en œuvre en l'espèce lors de la phase de conception et d'apprentissage d'un système d'intelligence artificielle répondaient au même régime juridique (à savoir le titre III de la loi « informatique et libertés ») que ceux mis en œuvre lors de la phase d'exploitation du système au motif que les outils ainsi conçus visaient exclusivement à la recherche d'infractions pénales. Le Conseil d'Etat semble ainsi considérer que l'usage opérationnel des traitements algorithmiques en phase d'exploitation étant précisément identifié dès la phase de conception, les traitements opérés dans les deux phases satisfont une seule et même finalité globale et doivent relever du même régime juridique.
La CNIL prend toutefois acte de la position du Gouvernement considérant que la phase de conception des traitements algorithmiques sera unique, quelque soit le responsable du traitement en phase d'exploitation et qu'il ne pourra pas être déterminé durant cette phase de conception du traitement algorithmique s'il sera in fine utilisé par des autorités compétentes au sens du titre III de la loi « informatique et libertés » en phase d'exploitation.
Sur les garanties mises en œuvre et les mesures de sécurité
Le paragraphe VI de l'article 10 de la loi dispose que le traitement doit satisfaire à un certain nombre d'exigences (sur les données utilisées pour entraîner les algorithmes, sur la mise en œuvre de mesures de traçabilité, de prévention de biais, sur les modalités d'interruption du traitement à tout moment etc.).
A cet égard, l'article 6 du projet de décret prévoit que seules les exigences prévues aux deuxième à cinquième alinéas du VI de l'article 10 de la loi sont applicables à la phase de conception. Toutefois, et conformément au VI de l'article 10 de la loi, l'ensemble des exigences prévues au même VI (alinéa 1° à 5° compris) sont applicables aux traitements acquis ou conçus par l'Etat directement ou pour son compte. La CNIL prend acte de l'engagement du Gouvernement de modifier le projet de décret en ce sens.
Enfin, la CNIL demande que les données traitées dans le cadre de la phase de conception fassent systématiquement l'objet d'opérations de pseudonymisation ou de floutage lorsque de telles opérations ne compromettent pas la qualité technique du traitement. La CNIL prend acte de l'engagement du Gouvernement de suivre cette demande dans la mesure du possible.
Sur l'information des personnes concernées
L'information des personnes est un élément essentiel pour assurer la loyauté des traitements dans un objectif de transparence, et ce dès la phase de conception des traitements algorithmiques.
L'article 10 du projet de décret prévoit, pour la phase de conception, une information des personnes concernées sur le fondement de l'article 14 du RGPD. La CNIL insiste sur la nécessité, pour le ministère de l'intérieur en qualité de responsable du traitement durant cette phase, de fournir aux personnes concernées, a minima sur son site web, toutes les informations visées à l'article 14 du RGPD et particulièrement le lieu, la date de la manifestation filmées et la finalité de la réutilisation des images.
La CNIL insiste sur l'utilité d'anticiper, autant que possible, l'identification des manifestions pour lesquelles les images issues des dispositifs de vidéoprotection et de caméras installées sur des aéronefs, pourraient être utiles à la conception des algorithmes. En effet, dans cette hypothèse les personnes concernées pourraient être préalablement informées, par les responsables de traitement ayant mis en œuvre ces dispositifs de vidéoprotection ou ces caméras installées sur des aéronefs, conformément à l'article 13.3 du RGPD, de la réutilisation, par le ministère de l'intérieur, des images les concernant à des fins de conception de traitements algorithmiques. Une telle anticipation et le caractère préalable de l'information donnée aux personnes permettraient d'assurer une meilleure transparence et loyauté à l'égard du public. Dans cette hypothèse, si le Gouvernement ne serait pas tenu d'informer les personnes conformément à l'article 14.5 a) du RGPD, la CNIL recommande qu'il fournisse aux personnes une information générale contenant a minima le lieu et la date des manifestations concernées et la finalité de la réutilisation.
En tout état de cause, la CNIL insiste sur la nécessité de délivrer une information compréhensible et accessible afin de permettre aux personnes concernées de prendre conscience des conditions précises dans lesquelles leurs données sont susceptibles d'être collectées et pour quelles finalités.
C. - Sur la mise en œuvre des traitements pendant la phase d'exploitation
Sur les accédants
L'article 15 du projet de décret liste les agents des différents services responsables de traitements qui sont autorisés à accéder aux signalements du traitement algorithmique mis en œuvre.
Si seuls des agents individuellement désignés et spécialement habilités et dans la limite de leur besoin d'en connaître pourront accéder à ces signalements, en pratique, le nombre de ces accédants pourrait rapidement être élevé.
A cet égard, compte tenu du caractère novateur et de la haute technicité de ces traitements algorithmiques, des risques qu'il peuvent impliquer par nature pour les libertés individuelles et de leur déploiement inédit et en conditions réelles, la CNIL recommande :
- de limiter au strict nécessaire le nombre d'habilitations octroyées, par exemple en faisant remonter le niveau d'habilitation ;
- d'élargir la formation des agents aux fins d'être habilités, prévue au II de l'article 15 du projet de décret, a minima au fonctionnement opérationnel et technique de l'outil mis à disposition. La CNIL prend acte de l'engagement du Gouvernement de préciser le projet de décret en ce sens ;
- de fournir une doctrine d'emploi des traitements algorithmiques aux services responsables de traitements et aux agents habilités.
Si le contenu de la formation ne peut pas être défini dans le décret, la CNIL considère en l'état du projet que l'exigence du V de l'article 10 de la loi selon laquelle le décret doit indiquer « les conditions d'habilitation et de formation des agents pouvant accéder aux signalements du traitement » n'est pas entièrement satisfaite. En effet, ces modalités de formation présentent des enjeux majeurs au regard du caractère inédit du déploiement de ces dispositifs.
Enfin, le III de l'article 15 du projet de décret prévoit que « les signalements du traitement font l'objet d'un contrôle par un personnel chargé de superviser la mise en œuvre du traitement ». Cette disposition est particulièrement imprécise notamment quant au type de contrôle réalisé, leur objet et le personnel visé. La CNIL prend acte de l'engagement du Gouvernement de préciser la nature du contrôle dans le projet de décret.
Sur les éventuels accès de données hors de l'Union européenne
Il ressort de l'avis du délégué à la protection des données du ministère sur l'AIPD transmise par le Gouvernement que :
- pour les traitements relevant du titre III de la loi « informatique et libertés », aucun transfert de données hors de l'Union européenne n'est autorisé conformément à la règlementation ;
- pour les traitements soumis au RGPD, des transferts de données à caractère personnel hors de l'Union européenne sont susceptibles d'avoir lieu en cas d'hébergement de l'algorithme ou des données qui en sont issues (traitements opérés hors de l'UE par un sous-traitant) ou via le recours à un sous-traitant localisé en UE mais soumis à un droit extraterritorial tiers (accès en cas de réquisition des données par des autorités étrangères).
Cet avis indique à cet égard qu'il sera nécessaire d'ajouter dans l'AIPD une mise en garde ferme contre les risques de transfert ou de transfert potentiel sans les garanties appropriées. La CNIL estime que cette seule mise en garde ne saurait suffire et rappelle que :
- les éventuels transferts de données vers un pays ne faisant pas l'objet d'une décision d'adéquation de la Commission européenne ne peuvent avoir lieu sans être strictement encadrés par des garanties appropriées ou justifiés au regard des dérogations autorités par l'article 49 du RGPD. En l'absence de telles garanties ces transferts ne peuvent avoir lieu ;
- les responsables des traitements algorithmiques ayant recours à un sous-traitant soumis à un droit extraterritorial tiers devront s'assurer que celui-ci présente des garanties suffisantes conformément à l'article 28 du RGPD, en vérifiant notamment si les législations et les pratiques locales sont susceptibles de permettre aux autorités étrangères d'accéder aux données stockées sur le territoire de l'Union européenne.
En tout état de cause, la CNIL recommande fortement, au regard de la sensibilité et du caractère inédit des traitements algorithmiques envisagés, qu'aucun transfert de données hors de l'UE ou accès aux données par des autorités étrangères ne puisse avoir lieu, autant en phase de conception que d'exploitation.
Sur l'information des personnes concernées
Comme la CNIL l'a rappelé dans sa délibération sur le projet de loi sur les jeux Olympiques et Paralympiques de 2024, l'information des personnes « est indispensable pour permettre le déploiement de dispositifs de caméras « augmentées » dans un climat de confiance à l'égard des autorités publiques ».
A cet égard, une information du public est prévue à l'article 17 du projet de décret (en application des articles 104 de la loi « informatique et libertés » ou 14 du RGPD selon le déploiement considéré et le régime juridique applicable). Toutefois, ces articles sont applicables dans les hypothèses où les données personnelles n'auraient pas été collectées auprès des personnes concernées. Or, la CNIL constate qu'en l'espèce, les images seront, notamment lors de l'utilisation en temps réel du dispositif, collectées par les services responsables de traitement directement auprès des personnes concernées, comme c'est d'ailleurs le cas dans le cadre des déploiements de dispositifs de vidéoprotection soumis au CSI. L'information devra donc être mise à la disposition des personnes concernées conformément à l'article 104 de la loi « informatique et libertés » pour les traitements relevant de son titre III et fournie aux personnes concernées conformément à l'article 13 du RGPD pour les traitements qui y sont soumis. La CNIL demande donc que le projet de décret soit modifié en ce sens.
Par ailleurs, la CNIL rappelle, comme elle l'a exposé dans sa position de juillet 2022 sur les conditions de déploiement des caméras « augmentées » que, s'il est nécessaire que cette information soit fournie en des termes clairs et simples conformément au RGPD et à la loi « informatique et libertés », une telle information ne sera pas suffisante. En effet, celle-ci devra être adaptée au caractère sans contact et novateur de ces technologies. Ainsi, une simple mise à jour des panneaux d'affichage d'un système de vidéoprotection ou de drones ne saurait suffire. Il sera essentiel de porter à la connaissance des personnes concernées l'information centrale du dispositif, qui réside dans le caractère « augmenté » des caméras et également d'expliquer les caractéristiques et la portée d'une telle analyse. La CNIL insiste donc fortement sur la nécessité de prévoir systématiquement des modalités d'information directement sur les lieux de captation des images et sur des supports adaptés (panneaux d'information dédiés, vidéos, codes QR, marquage au sol, annonces sonores, etc.). Enfin, lorsque l'Etat acquiert une solution algorithmique auprès d'un tiers fournisseur, la CNIL recommande qu'il soit délivré une information sur cette acquisition afin de permettre aux personnes concernées de prendre conscience des conditions dans lesquelles l'algorithme a été conçu.
Si la loi prévoit une possibilité d'exclusion de l'information des personnes dans les cas où une telle information entrerait en contradiction avec les finalités poursuivies, la CNIL considère toutefois que la mise en œuvre de ces traitements ne peut se faire en principe à l'insu du public compte tenu du caractère inédit du déploiement de ces dispositifs. La transparence et la loyauté de ces traitements, assurées par l'information claire et accessible du public, constituent pour la CNIL une garantie essentielle de cette expérimentation. La CNIL recommande donc que les hypothèses dans lesquelles l'exclusion de l'information des personnes s'avèrerait nécessaire doivent être particulièrement limitées et expressément précisées dans le projet de décret. A ce titre, la CNIL prend acte de la précision du Gouvernement selon laquelle la loi a prévu cette exclusion afin de s'articuler avec les dispositions législatives relatives aux caméras installées sur des aéronefs et qu'en conséquence l'information des personnes ne sera exclue que dans les seuls cas où des aéronefs seraient eux-mêmes déployés dans des conditions qui excluent l'information des personnes.
En tout état de cause, il appartiendra au responsable de traitement de s'assurer, le cas échéant, des conditions dans lesquelles le droit à l'information pourrait être exclu au regard du régime applicable. Il lui reviendra notamment de vérifier si une information partielle, portant sur le principe du recours aux caméras « augmentées », peut être envisagée sans compromettre la sécurité de la manifestation.
Sur l'analyse d'impact relative à la protection des données (AIPD)
Conformément au V de l'article 10 de la loi, le décret est accompagné d'une AIPD qui expose notamment :
- le bénéfice escompté de l'emploi du traitement algorithmique au regard des évènements prédéterminés donnant lieu à signalement par le système ;
- les éventuels risques créés par le recours aux dispositifs de caméras « augmentées » ;
- les mesures envisagées afin de les minimiser et de les rendre acceptables au cours de leur fonctionnement.
La CNIL rappelle que la réalisation d'une telle AIPD dite « cadre » a vocation à constituer le socle de référence des garanties minimales à mettre en œuvre par l'ensemble des responsables de traitements visés au I de l'article 10 de la loi, au regard des risques identifiés dans le cadre de l'usage des dispositifs algorithmiques. Elle constate toutefois que l'analyse de risques réalisée par le Gouvernement au sein de cette AIPD « cadre » est nécessairement limitée à ce stade, en l'absence de connaissance des caractéristiques précises des solutions algorithmiques qui seront acquises auprès de tiers ou développées en propre.
C'est pourquoi la CNIL relève que l'AIPD « cadre » qui lui a été soumise sera complétée à deux étapes :
- tout d'abord par le Gouvernement à l'issue de l'appel d'offres auprès des fournisseurs de solutions (notamment sur les parties relatives à la sous-traitance et à la sécurité de l'exploitation de la solution), avant de la transmettre à nouveau à la CNIL et aux responsables de traitements ;
- ensuite, et conformément à l'article 13 du projet de décret, par les responsables de traitement qui devront compléter cette AIPD « cadre » des caractéristiques particulières de chacun des traitements algorithmiques mis en œuvre.
La CNIL relève par ailleurs que l'AIPD « cadre » des traitements algorithmiques doit être articulée finement avec celles des autres traitements soumis à AIPD : d'une part une AIPD « conception » qui sera réalisée par le ministère de l'intérieur sur la conception des traitements algorithmiques ; d'autre part et surtout, les AIPD applicables aux systèmes de vidéoprotection dont les images seront utilisées par les traitements algorithmiques. En particulier, la CNIL relève que les risques liés à la compromission des images sont traités principalement dans l'AIPD vidéoprotection et non dans celle sur les traitements algorithmiques.
Dans ce contexte, la CNIL attire l'attention des responsables de traitements sur le fait qu'il ne s'agira pas uniquement de renseigner quelques particularités de mise en œuvre au sein de l'AIPD « cadre », mais d'évaluer les risques créés par chaque solution algorithmique et les mesures envisagées afin de les minimiser. Il appartiendra notamment aux responsables de traitements de compléter l'AIPD concernant la mise en œuvre des traitements algorithmiques en lien avec l'AIPD sur la mise en œuvre des traitements provenant de systèmes de vidéoprotection, concernant :
- les mesures techniques et organisationnelles pour la consultation des images relatives aux événements détectés, leur enregistrement et l'éventuel déchargement des contenus vidéos ;
- les mesures organisationnelles particulières pour l'intervention des sous-traitants qui viendront installer et paramétrer les solutions et s'assurer de leur maintien en conditions opérationnelles.
A cet égard, la CNIL prend acte de l'engagement du Gouvernement de fournir une doctrine d'emploi aux services responsables de traitements, visés au I de l'article 10 de la loi, concernant notamment :
- le contenu des signalements effectués et des suites apportées ;
- le contenu de l'information des personnes ;
- les modalités du contrôle humain des signalements.
La CNIL invite le gouvernement à adapter la doctrine d'emploi en fonction des services destinataires, pour rappeler à chacun les spécificités du cadre juridique qui s'applique à lui et les particularités d'usage du dispositif dans le contexte de ses missions.Liens relatifs
La présidente,
M.-L. Denis