Ces traitements ont pour finalité exclusive de détecter en temps réel des événements prédéterminés susceptibles de présenter ou de révéler les risques précités en adressant une alerte aux opérateurs de vidéoprotection. Parmi les huit cas d’usages autorisés par le décret du 28 août 2023 [3] , la RATP et la SNCF n’ont retenu que les quatre cas suivants :
- présence d’objets abandonnés ;
- franchissement ou présence d’une personne ou d’un véhicule dans une zone interdite ou sensible ;
- mouvement de foule ;
- densité trop importante de personnes.
En effet, dans les gares et stations il n’y pas d’intérêt à analyser le non-respect par une personne ou un véhicule du sens de circulation commun (cette notion n’existant pas ou à la marge), et concernant par exemple la détection de départs de feux, il existe déjà d’autres moyens fiables mis en place.
L’encadrement des porteurs de projet
Les porteurs de projet (gendarmerie, police nationale, police municipale, SDIS [4], SNCF et RATP) de ces expérimentations doivent déposer un dossier en préfecture pour chaque traitement, afin d’obtenir une autorisation préfectorale, et adresser dans le même temps à la CNIL un engagement de conformité au décret d’application [5] avec une Analyse d’Impact sur la Protection des Données (AIPD).
A noter que ces expérimentations peuvent être réalisées à partir de systèmes existants de vidéoprotection ou non. Dans le second cas, le porteur de projet devra, en plus du cadre réglementaire spécifique à l’expérimentation, obtenir une autorisation préfectorale en matière de vidéoprotection.
Ces expérimentations sont également coordonnées et suivies par un comité de pilotage présidé par la DEPSA [6] du ministère de l’intérieur et composé notamment des représentants de l’ensemble des services utilisateurs (AMF, SNCF, RATP, PP , DGGN, DGPN,..), qui doit être consulté par les porteurs de projet en amont de la demande en préfecture. Celui-ci doit ensuite adresser un rapport tous les 3 mois à la CNIL. Les premières expérimentations ayant été réalisées par la RATP et la SNCF fin avril lors du match PSG-OL et du concert des Black Eyed Peas, le premier rapport du comité de pilotage interviendra en juillet.
Enfin, un comité d’évaluation, composé de deux collèges regroupant des personnalités indépendantes [7] et les services utilisateurs, devra rendre un rapport au gouvernement avant le 31 décembre 2024. Ce rapport d’évaluation sera transmis à la CNIL et rendu public sur internet au même moment. Il devra notamment mesurer l’impact des traitements algorithmiques sur la sécurité et l’exercice des libertés publiques, ainsi que la perception de cet impact par le public.
Le DPO, l’acteur au cœur des enjeux de cette expérimentation
Les DPO des porteurs de projet sont en effet au cœur du dispositif. Ils doivent donner leur avis sur les AIPD ; mettre en place des sessions de formation RGPD spécifiques afin de garantir une utilisation éthique de ces outils par les opérateurs qui n’auraient pas traité les images remontées sans les alertes générées par ces algorithmes ; accompagner les équipes lors des contrôles de la CNIL, tout en collaborant avec cette autorité administrative indépendante pour mettre en œuvre ces expérimentations dans les meilleures conditions.
A titre d’exemple, les DPO de la RATP et de la SNCF ont travaillé par itération avec la CNIL sur les modalités d’information des usagers, ce qui a permis d’aboutir à l’adoption d’un pictogramme spécifique permettant de différencier l’information affichée en station de celle relative à la vidéoprotection classique.
Des cas d’école pour l’avenir
Dans le cadre de cette expérimentation, les DPO concernés, le comité d’évaluation et la CNIL sont les acteurs en charge d’évaluer les risques d’analyse généralisée et non les risques de surveillance généralisée dans la mesure où la loi interdit tout système d’identification biométrique, tout traitement de donnée biométrique et technique de reconnaissance faciale. Les traitements mis en œuvre ne peuvent en outre procéder à aucun rapprochement, à aucune interconnexion ni à aucune mise en relation automatisée avec d’autres traitements de données à caractère personnel [8].
Pour aller plus loin, les membres de l’AFCDP peuvent revoir le webinaire du 4 juin dernier « Expérimentation vidéoprotection algorithmique : cadre légal, enjeux et perspectives » avec la Cheffe du service des affaires économiques de la CNIL, la Cheffe du bureau de la vidéoprotection MIOM, les DPO de la RATP et de la SNCF et leurs Responsables Vidéo, ainsi que le DPO du MIOM.
