Actualité
4 min de lecture
25 avril 2023
Le projet de loi relatif aux jeux Olympiques et Paralympiques de 2024 a été définitivement adopté par le Parlement cette semaine. Le texte prévoit notamment que tout événement particulièrement exposé à des risques d’actes de terrorisme ou d’atteintes graves à la sécurité des personnes pourrait désormais être surveillé par la vidéoprotection intelligente jusqu’en 2025. Explication avec Nicolas Samarcq, administrateur de l'AFCDP.

L'article 10 du projet de loi relatif aux jeux Olympiques et Paralympiques de 2024 prévoit l’utilisation d’un traitement algorithmique des images captées par vidéoprotection. Nicolas Samarcq, administrateur de l'AFCDP, revient avec nous sur le fonctionnement du dispositif, les exceptions prévues en matière d'information des personnes concernées et sur les garde-fous prévus par le texte.

Que pensez-vous du texte qui a été adopté par le Parlement cette semaine ?

Rappelons tout d’abord que les débats autour du texte se sont focalisés sur les Jeux olympiques. Or, l’expérimentation envisagée par le texte vise à renforcer la sécurité des événements culturels, récréatifs et sportifs qui présenteraient un risque particulier grâce à ce type de dispositif jusqu’au 31 mars 2025. Tout événement « particulièrement exposé à des risques d’actes de terrorisme ou d’atteintes graves à la sécurité des personnes » pourrait donc être surveillé par la vidéoprotection intelligente jusqu’en 2025.

L’encadrement et la pertinence du dispositif concernant l’équilibre à avoir entre les objectifs de sécurité et les libertés individuelles et collectives dépendra des deux décrets d’application qui seront pris.

Que devront prévoir les deux décrets d’application ?

Un premier décret va fixer les caractéristiques essentielles du traitement et soumettra l’autorisation du traitement au respect d’un certain nombre de critères. Il désignera également une autorité administrative chargée d’attester de la conformité de ces critères. Attention, cette autorité devra avoir les compétences et les moyens d’analyser lesdits critères. Ce décret précisera aussi le périmètre afin de prédéterminer les événements ciblés par le texte de manière plus précise.

Le second décret pris en Conseil d’État après avis de la CNIL précisera ce que doit contenir le rapport d’évaluation que le gouvernement devra remettre au Parlement avant le 31 décembre 2024.

Il fixera les modalités de pilotage et les indicateurs utilisés pour l’évaluation du traitement. Il serait intéressant que le gouvernement implique des organisations pluridisciplinaires de la société civile, des représentants de professions intéressés par les enjeux de protection des données mais aussi d’éthique, philosophiques et juridiques. Pourraient notamment être auditionnés des membres de l’AFCDP, association représentative des Délégués à la protection des données, et des acteurs de la cybersécurité. Une véritable consultation de ces organisations serait la bienvenue afin de fournir aux parlementaires l’ensemble de la matière garantissant la tenue d’un débat démocratique. A ce titre, il serait intéressant que le décret pose et liste les organisations qui seront auditionnées.

A quels critères devra répondre le traitement algorithmique ?

Ils sont au nombre de 4 :

  • des garanties devront être apportées sur les techniques d’apprentissage de l’intelligence artificielle,
  • la traçabilité du fonctionnement du traitement (afin de prévenir et de corriger d’éventuels « faux positifs » ou une mauvaise utilisation du traitement),
  • des modalités devront être prévues afin d’interrompre le traitement à tout moment,
  • le traitement devra avoir fait l’objet d’une phase de test avec un rapport de validation.

De plus, une AIPD (Analyse d’Impact relative à la Protection des Données personnelles) devra démontrer les bénéfices que l’on peut tirer de la mise en place du traitement, identifier les risques éventuels créés par ce traitement et détailler les mesures envisagées afin de minimiser et de rendre acceptables ces risques.

L’autorité compétente pour analyser ces critères pourrait être la CNIL ?

Peut-être, mais rien ne l’indique dans la loi alors que celle-ci fait plusieurs fois référence à la Commission, notamment concernant la transmission de l’AIPD.

Que prévoit la loi en matière d’information des personnes ?

Le texte prévoit que le public devra préalablement être informé du traitement algorithmique sauf lorsque les circonstances l’interdisent ou quand l’information entre en contradiction avec les objectifs poursuivis. En pratique, de quel côté va pencher la balance ? C’est un gros point d’interrogation. 

Autre élément, la durée d’autorisation de mise en œuvre du traitement ne pourra pas excéder un mois. L’autorisation pourra toutefois être renouvelée.

Quelles pourraient être les conséquences de cette expérimentation ?

Le rapport d’évaluation nous permettra de statuer : soit on décidera de tout stopper, soit on décidera de prolonger l’expérimentation. Ce régime d’exception pourrait aussi devenir du droit commun, on pourrait également l’assouplir ou le rendre plus strict si nous identifions des failles. D’où l’importance d’auditer l’ensemble des corps intermédiaires afin de ne pas entrer dans une société de surveillance globale.

La loi prévoit-elle des garde-fous ?

Notons qu’il n’y aura pas de décision automatisée prise par l’algorithme. Concrètement, l’algorithme fera remonter les images aux humains qui prendront une décision. Les autres garde-fous sont :

  • l’interdiction de la reconnaissance faciale et de la biométrie,
  • l’interdiction du rapprochement entre le traitement réalisé par l’algorithme via les dispositifs vidéoprotection avec d’autres traitements. Ainsi, il sera par exemple interdit de croiser ces traitements avec les fichiers de police, de gendarmerie ou de renseignement.  

C’est d’ailleurs ce qu’il s’est passé à l’encontre des opposants politiques en Birmanie il y a quelques années et c’est ce que font les dictatures. Tous les pays riches ont cette technologie mais en France nous ne la mettons pas en œuvre car nous sommes une démocratie.

L'expérimentation du recours aux caméras « intelligentes » a été raccourcie de 6 mois et la loi impose que les échantillons d’images utilisés comme données d’apprentissage devront être détruites 12 mois après leur enregistrement. Ces garanties sont-elles suffisantes ?

Le dispositif entourant les critères à respecter, la procédure d’autorisation du traitement par le préfet et les obligations d’information périodiques des maires concernés et de la CNIL sur les conditions dans lesquelles les traitements sont mis en œuvre tendent à garantir leur sécurité et leur conformité. Encore faut-il que les autorités sollicitées aient les moyens de leurs missions. Ce qui sera notamment déterminant ce sont les moyens qu’auront la CNIL et l’ANSSI pour analyser la conformité des traitements mis en œuvre.

On se pose encore des questions sur une explosion éventuelle des traitements mis en œuvre.

Il faudra aussi rester vigilant sur l’ensemble des sous-traitants, des technologies utilisées et la localisation des données en France ou a minima au sein de l’Union européenne.

Avez-vous une idée de la date de publication des décrets ?

Nous n’avons pas encore d’information sur ce point mais nous espérons être dans la boucle au moment de leur rédaction.  

ChatGPT, révolution ou gadget technologique sans intérêt ?

Retrouvez dans cet article l'analyse de 2 spécialistes, Guillaume Jagerschmidt, avocat en droit des nouvelles technologies et Zacharie Laïk. avocat au barreau de New York, sur l’impact de l’utilisation de ChatGPT pour le métier des avocats en 2 points : pour une utilisation raisonnée de ChatGPT et faire monter les exigences et les compétences des juristes

Leslie BRASSAC
Aller plus loin
Revue de jurisprudence de droit des affaires
Un résumé des décisions essentielles du mois, des chroniques assurées par des spécialistes du droit des affaires...
738,18 € TTC/an
Revue de jurisprudence de droit des affaires
Autres articles sur le même thème
« Pay or okay »  : le CEPD remet en cause les modèles des plateformes en ligne
Droit des affaires
Protection des données personnelles (RGPD)
« Pay or okay »  : le CEPD remet en cause les modèles des plateformes en ligne
19 avr. 2024
Traitement illicite de données personnelles : pouvoir de l’autorité de contrôle d’exiger leur effacement en l’absence de demande de la personne concernée
Droit des affaires
Protection des données personnelles (RGPD)
Traitement illicite de données personnelles : pouvoir de l’autorité de contrôle d’exiger leur effacement en l’absence de demande de la personne concernée
18 avr. 2024
20 % des violations de données sont causées par des erreurs humaines
Droit des affaires
Protection des données personnelles (RGPD)
20 % des violations de données sont causées par des erreurs humaines
29 mars 2024
  2. Droit des affaires
Trouvez rapidement et gratuitement une réponse fiable à votre question juridique
www.lefebvre-dalloz.fr
formation.lefebvre-dalloz.fr
Nous contacter
Nos sites édition
www.dalloz.fr
www.efl.fr
www.editions-legislatives.fr
Mentions légales
CGU
politique de confidentialité
Paramétrage des cookies
© Éditions Francis Lefebvre, 2024
© Éditions Législatives, 2024
© Éditions Dalloz, 2024