L’Assemblée Nationale a adopté l’article 7 du projet de loi sur les jeux olympiques et para-olympique de 2024. Cet article met en place une vidéosurveillance algorithmique. Dans les débats, le ministre de l’Intérieur Gérald Darmanin a listé 28 « garanties » censées convaincre de l’absence de risque pour les libertés publiques. Débunkons-les une à une.

Porte jaune d'un immeuble parisien ouverte avec une caméra de vidéosurveillance filmant l'entrée

1) Le dispositif, applicable, jusqu’au 31 décembre 2024, aux seules manifestations sportives, récréatives et culturelles, particulièrement exposées à des risques de terrorisme, aura un caractère expérimental ;

Dans un projet de loi sur les jeux olympiques de 2024, cette disposition prévoit déjà de s’étendre à toutes les manifestations sportives, récréatives et culturelles. Le caractère expérimental est plus qu’inquiétant que rassurant. Il montre l’immaturité du dispositif.

2) Sa finalité sera limitée à la détection, en temps réel, des événements prédéterminés susceptibles de présenter ou de révéler ces risques et de les signaler ;

La liste des « événements prédéterminés » n’est pas déterminée et ne le sera que par décret (voir point 13). Par ailleurs, il est faux d’affirmer que la finalité de ce dispositif se limite à cela car la finalité est bien la sécurisation des événements, l’entrainement des algorithmes et l’évaluation de l’expérimentation.

3) Il ne pourra être mis en œuvre que par la police ou la gendarmerie nationale, les services d’incendie et de secours, la police municipale et les services de sécurité de la SNCF et de la RATP ;

La mise en œuvre sera bien de la responsabilité de ces acteurs mais confié à des entreprises privées (voir point 18).

4) Les agents pouvant accéder aux images devront être formés et spécialement habilités ;

Nous n’avons aucun détail sur la formation et l’habilitation.

5) Les algorithmes, y compris lors de leur conception, seront régis par le RGPD et par la Loi informatique et libertés ;

Ils seront aussi régit par la loi des jeux olympiques 2024 et par des décrets qui ne sont pas encore publiés.

6) L’information spécifique des personnes faisant l’objet du traitement sera préalable à la mise en œuvre du traitement ;

Cela est une disposition du RGPD (droit d’information). La préciser à nouveau n’est qu’un duplicata.

7) Une information générale du public sur l’emploi des traitements algorithmiques sera organisée par le ministère de l’Intérieur ;

Le fait que le ministère de l’Intérieur soit en charge de cette information générale n’est pas rassurant.

8) La reconnaissance faciale et le traitement des données biométriques seront interdits ;

Le dispositif doit être précisé par des décrets qui fixeront quelles données seront traitées et il est très probable que des données biométriques seront bien traitées même sans la volonté de le faire par les responsables de traitement puisque l’analyse des comportements qui permettent l’identification est une donnée biométrique selon l’article 4 du RGPD.

9) Tout rapprochement, toute interconnexion ou mise en relation automatisée avec d’autres fichiers à caractère personnel seront interdits ;

Cela est une disposition du RGPD (données biométriques). La préciser à nouveau n’est qu’un duplicata.

10) Il n’y aura aucune décision automatique, l’algorithme procédant exclusivement à un signalement d’attention ;

Il y a donc bien une décision automatique d’alerte des agents habilités. La définition du 1 de l’article 22 du RGPD pourrait s’appliquer car la décision d’intervention (qu’elle soit positive ou négative) pourrait être considérée pour la personne concernée comme « produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire ».

11) Les traitements demeureront sous le contrôle permanent des personnes chargées de leur mise en œuvre ;

Cela est une disposition du RGPD (responsable de traitement). La préciser à nouveau n’est qu’un duplicata.

12) Le recours au traitement algorithmique sera autorisé par décret, après avis de la Cnil ;

Comme précisé précédemment, nous n’avons pas la rédaction du décret et donc cela n’est pas rassurant.

13) Ce décret précisera les exigences requises pour ce qui concerne les matières, les événements, les finalités et les garanties concernés ;

Comme pour le point 12, cela n’est pas rassurant de ne pas avoir ces informations dès maintenant.

14) Parmi ces exigences, les données d’apprentissage devront être traitées de manière loyale et éthique, reposer sur des critères objectifs et permettre d’identifier et de prévenir l’occurrence de biais et d’erreurs ;

La définition de loyauté et d’éthique ne peut être que subjective. Le gouvernement a refusé d’inscrire la non-discrimination dans la loi.

15) L’Agence nationale de la sécurité des systèmes d’information (Anssi), en lien avec la Cnil, sera chargée de vérifier le respect des exigences relatives à la cybersécurité ;

La CNIL et l’ANSSI n’ont actuellement pas assez de moyens pour pourvoir faire des vérifications poussées et la CNIL ne s’oppose pas à la vidéosurveillance algorithmique, donc il parait illusoire d’espérer de ces autorités un contre-pouvoir efficace.

16) Le respect des exigences fera l’objet d’une attestation de conformité établie par l’autorité administrative compétente ;

Fournir une attestation de conformité pour ses propres traitements, c’est se donner soi-même une médaille, ça n’a aucune valeur.

17) Le décret d’autorisation sera accompagné d’une analyse d’impact relative à la protection des données personnelles ;

Cela est une disposition du RGPD (AIPD pour les traitements opérés par l’Etat). La préciser à nouveau n’est qu’un duplicata.

18) L’État assurera le développement du traitement ou, lorsqu’il le confie à un tiers ou l’acquiert, s’assurera du respect des nombreuses exigences comme la déclaration d’intérêts du prestataire, le contrôle des biais, la garantie d’assistance et de contrôle humains ;

Le rapporteur a affirmé dans les débats que « l’Etat n’a pas les moyens de développer les algorithmes. » Le gouvernement n’envisage donc pas d’assurer le développement du traitement mais que de le confier à un cabinet d’informatique externe. Comme à chaque prestation informatique, le cabinet externe garde le droit à préserver l’opacité sur les développements qu’il fait et cela est très préoccupant.

19) L’emploi du traitement pour un événement donné sera autorisé par le préfet du département concerné, sous condition de proportionnalité ;

Le préfet du département fourni déjà des autorisations à tour de bras pour les caméras sur la voie publique. Par ailleurs, ces autorisations pourront être délivrées par la préfecture pour la police (qui est un service de la préfecture). Se délivrer à soi-même une autorisation est ubuesque. De plus, la « condition de proportionnalité » n’est pas définie et sera donc à l’appréciation subjective du préfet.

20) La décision d’autorisation sera motivée, publiée et limitée à une durée d’un mois maximum ;

Les autorisations de la préfecture seront très probablement publiées dans les recueils des actes administratifs. Ce sont des PDF scannés illisibles noyés dans des milliers d’autres arrêtés. La durée d’un mois pourra être renouvelée à l’infinie rendant cette autre disposition caduque.

21) L’autorité responsable tiendra un registre des suites à apporter au signalement effectué par le traitement ainsi que des personnes ayant accès au signalement ;

Cela est une disposition du RGPD (obligation de traçabilité). La préciser à nouveau n’est qu’un duplicata.

22) Le préfet ou, à Paris, le préfet de police, ainsi que les maires des territoires concernés seront informés chaque semaine des conditions dans lesquelles le traitement est mis en œuvre. Le préfet ou le préfet de police tiendra lui-même la Cnil informée et pourra suspendre l’autorisation s’il le juge nécessaire ;

Les conditions dans lesquelles le traitement est mis en oeuvre n’a pas à changer toutes les semaines. Une information hebdomadaire est donc caduque. Informer la CNIL est un devoir prévu par le RGPD.

23) Les images traitées pourront être utilisées comme données d’apprentissage pendant une durée strictement nécessaire ;

Cela est une disposition du RGPD (durée de conservation). La préciser à nouveau n’est qu’un duplicata.

24) La Cnil exercera un contrôle sur l’application de l’ensemble de l’article ;

Cela est une disposition du RGPD (contrôle de l’autorité de contrôle). La préciser à nouveau n’est qu’un duplicata.

25) La Cnil sera informée tous les trois mois des conditions de mise en œuvre de l’expérimentation ;

Ce point est dupliqué avec la deuxième partie du point 22.

26) Le Gouvernement remettra au Parlement un rapport d’évaluation au plus tard le 31 décembre 2024 ;

Cette évaluation ne sera pas faite de façon indépendante puisque le gouvernement est juge et partie.

27) Ledit rapport d’évaluation sera transmis à la Cnil et rendu public ;

Tous les rapports du gouvernement remis au parlement devraient être publics.

28) Enfin, l’évaluation associera deux députés et deux sénateurs, dont au moins un député et un sénateur appartenant à un groupe de l’opposition, désignés respectivement par le président de l’Assemblée nationale et le président du Sénat.

Il n’est pas défini précisément quel « groupe d’opposition ». Ainsi, un député LR pourrait être considéré comme un député de groupe d’opposition alors qu’il est favorable à la vidéosurveillance algorithmique.

Sur ces 28 garanties, au moins sept d’entre elles sont un copier-coller du RGPD et donc ne sont que du remplissage. Le reste est soit flou soit n’est pas rassurant du tout, à l’inverse du but poursuivit. Bon nombre d’entre-elles sont aussi des dispositifs d’auto-certification qui laisse le pouvoir exécutif et policier s’évaluer lui-même.