L’essentiel
Dans le contexte de déconfinement suite à l’épidémie de COVID-19, de nouveaux dispositifs de caméras vidéo dites « intelligentes » sont déployés, notamment dans l’espace public ou dans des lieux ouverts au public. En pratique, il s’agit :
- soit de l’ajout d’une couche logicielle à des systèmes de vidéoprotection préexistants ;
- soit du déploiement de dispositifs de prise de température automatique (caméras thermiques), de détection du port de masque, de respect des mesures de distanciation sociale, etc.
Ces dispositifs doivent apporter des garanties au regard du RGPD :
- la démonstration de leur proportionnalité ;
- une durée de conservation limitée ;
- des mesures de pseudonymisation ou d’anonymisation ;
- l’absence de suivi individuel ; etc.
Si des données sensibles sont traitées, telle que la captation d’informations personnelles de santé ou d’informations biométriques, ou si le droit d’opposition n’est pas possible (du fait, par exemple, du « balayage vidéo » de la caméra dans une rue), il est nécessaire de mettre en place un cadre légal adapté qui respecte l’article 9 et/ou l’article 23 du RGPD.
La mise en place de ces dispositifs dans le contexte de la crise sanitaire
Les dispositifs utilisés et leurs objectifs
La CNIL constate que le développement rapide de dispositifs de caméras vidéo dites « intelligentes » est envisagé dans l’espace public ou dans des lieux ouverts au public. En pratique, il s’agit soit de l’ajout d’une couche logicielle à des systèmes de vidéoprotection préexistants, soit du déploiement de nouveaux systèmes vidéo dédiés : dispositifs de prise de température automatique (caméras thermiques), de détection du port de masque, de respect des mesures de distanciation sociale, etc.
Les dispositifs sont présentés comme pouvant permettre d’évaluer le risque de contagion, et de mener toute action utile pour le réduire : sensibilisation, information, rappel à la loi, distribution de masques, etc.
La CNIL constate que ces dispositifs sont envisagés sur la voie publique voire dans (ou aux abords) des commerces, des transports ou encore des lieux de travail, ce qui aurait des conséquences importantes pour la vie privée des personnes, qu’il s’agisse de passants, de clients ou de salariés.
Les enjeux pour les libertés individuelles
Si les objectifs généralement assignés à ces dispositifs, c’est-à-dire participer à la lutte contre la propagation du virus ou veiller à la salubrité publique, sont le plus souvent légitimes, la CNIL rappelle que leur déploiement implique une collecte et une analyse systématiques de données d’individus circulant dans l’espace public ou dans des lieux recevant du public. Leur développement incontrôlé présente le risque de généraliser un sentiment de surveillance chez les citoyens, de créer un phénomène d’accoutumance et de banalisation de technologies intrusives, et d’engendrer une surveillance accrue, susceptible de porter atteinte au bon fonctionnement de notre société démocratique.
L’espace public est en effet un lieu où s’exercent de nombreuses libertés individuelles : droit à la vie privée et à la protection des données personnelles, liberté d’aller et venir, d’expression et de réunion, droit de manifester, liberté de conscience et d’exercice des cultes, etc. La préservation de l’anonymat dans l’espace public est une dimension essentielle pour l’exercice de ces libertés et la captation de l’image des personnes dans ces espaces est incontestablement porteuse de risques pour les droits et libertés fondamentaux de celles-ci.
Le déploiement massif de ces dispositifs de captation de l’image des individus et de détection de certains de leurs attributs, comportements ou émotions pourraient conduire, chez les personnes concernées, à une modification – voulue ou subie – de leurs comportements.
Ces usages spécifiques de dispositifs de vidéo « intelligente » dans le cadre de l’état d’urgence sanitaire actuel soulèvent d’importantes problématiques sur lesquelles la CNIL a déjà insisté en appelant à la tenue d’un débat démocratique sur les nouveaux usages vidéo en septembre 2018 et plus spécifiquement concernant la reconnaissance faciale en novembre 2019. Les dispositifs légalement mis en œuvre dans cette période doivent être considérés comme exceptionnels et rester proportionnés aux objectifs particuliers de cette période.
Des garanties spécifiques doivent être apportées
La mise en œuvre de tels systèmes de surveillance doit être assortie de garanties de nature à préserver les libertés individuelles et particulièrement le droit à la vie privée. C’est notamment pour ces raisons que les dispositifs de vidéoprotection, comme d’autres dispositifs de captation d’images dans l’espace public, font l’objet d’un encadrement législatif spécifique dans le Code de la sécurité intérieure. Or, le recours à des caméras « intelligentes » n’est aujourd’hui prévu par aucun texte particulier.
Leur utilité et intérêt réels, en fonction de circonstances précises, n’ont pu en ce sens être évalués et débattus à un niveau plus général que les organisations décidant de leur mise en place.
Ces garanties devront nécessairement compléter les grands principes de la protection des données au regard du RGPD.
Les grands principes de la protection des données à respecter
Dès lors qu’elle capte des données, notamment des images qui permettent d’identifier des personnes, l’utilisation de ces dispositifs dans le cadre de la crise sanitaire doit respecter la réglementation applicable aux traitements de données personnelles (c’est-à-dire le RGPD et la loi Informatique et Libertés).
Les organismes qui décident de déployer ce type de dispositifs, même à titre expérimental, doivent avoir clairement caractérisé les finalités poursuivies et la base légale appropriée aux traitements de données (comme, par exemple, l’exécution d’une mission d’intérêt public pour les autorités publiques ou l’intérêt légitime des organismes privés dans les conditions prévues à l’article 6 du RGPD).
Les traitements qui seraient mis en œuvre par une autorité compétente, au sens de l’article 3 de la directive « Police-Justice » et à des fins de prévention et de détection des infractions pénales, doivent faire l’objet d’une analyse d’impact relative à la protection des données (AIPD) soumise à consultation obligatoire de la CNIL et à l’adoption d’un texte réglementaire.
La nécessité et la proportionnalité doivent être avérées
Les dispositifs en cause doivent n’être déployés qu’avec le consentement des personnes filmées ou s’ils sont « nécessaires » aux objectifs poursuivis. Ils doivent également répondre au principe de « proportionnalité », c’est à dire ne pas porter une atteinte disproportionnée à la vie privée.
Le caractère nécessaire et proportionné du recours à des dispositifs de caméras « intelligentes » doit être notamment démontré au regard :
- de l’absence de moyens moins intrusifs pour les droits et libertés des personnes concernées permettant d’atteindre les finalités envisagées,
- de l’importance des données traitées,
- du périmètre de déploiement des dispositifs dans l’espace et dans le temps (nombre de caméras concernées, étendue de leur champ, durée de leur déploiement, etc.),
- des remontées d’informations aux responsables de traitement.
Le traitement de données sensibles
Les dispositifs de vidéo dits « intelligents » sont susceptibles d’impliquer le traitement de données présentant une sensibilité particulière :
- des données biométriques ou relatives à l’état de santé d’une personne dont le traitement est par principe interdit, sauf à s’inscrire dans l’une des exceptions posées par le RGPD (article 9.2) ;
- des données relatives à des infractions dont le traitement ne peut être effectué que sous le contrôle de l’autorité publique ou doit être autorisé par un texte spécifique prévoyant des garanties appropriées pour les droits et libertés des personnes concernées.
Le cas spécifique des caméras thermiques
Lorsque les images thermiques des personnes captées par ces caméras peuvent permettre l’identification des personnes (visage ou corps), ce sont des données à caractère personnel. Il s’agit en outre de données de santé. Le traitement de ces données est en principe interdit sauf si une des exceptions prévues à l’article 9.2 du RGPD est remplie.
Le traitement de données de santé peut notamment être justifié par :
- des motifs d’intérêt public importants (article 9.2.g) du RGPD) ;
- ou spécifiquement des motifs d’intérêt public dans le domaine de la santé publique (article 9.2.i) du RGPD).
Dans ce cas, un texte spécifique (de l’Union européenne ou de l’État) doit donc venir autoriser de tels dispositifs.
Des données de santé peuvent également être traitées si la personne y a consenti (article 9.2.a du RGPD). Le recueil de ce consentement est difficile en pratique, car l’objectif poursuivi par le dispositif ne peut souvent être atteint que si celui-ci est massivement utilisé. De plus, le caractère libre du consentement ne peut être établi si le fait de refuser de se soumettre au dispositif a des conséquences sur l’accès à un service ou à des locaux, etc.
Enfin, pour les autorités sanitaires interrogées par la CNIL, un tel dispositif présente également un risque de ne pas repérer les personnes infectées puisque certaines sont asymptomatiques et que le dispositif peut, en outre, être contourné par la consommation de produits antipyrétiques (médicaments permettant de diminuer la température corporelle, sans pour autant traiter les causes de la fièvre).
Sur l’utilisation spécifique des caméras thermiques dans le cas du COVID-19, la CNIL renvoie à la fiche qu’elle a publié sur le sujet.
Les droits des personnes
Les droits des personnes sur leurs données personnelles doivent être respectés.
L’un de ces droits essentiels est celui pour toute personne de s’opposer à faire l’objet d’une captation de son image dans l’espace public (article 21 du RGPD). Ce droit d’opposition doit être garanti par le responsable de traitement lorsque celui-ci se fonde sur un intérêt public ou son intérêt légitime.
Or la mise en œuvre de tels dispositifs dans l’espace public ou ouverts au public se heurte à l’obligation de prendre en compte et de respecter de manière effective ce droit d’opposition. En effet, les dispositifs vidéo captent automatiquement l’image des personnes passant dans leur spectre de balayage, sans possibilité d’éviter les personnes ayant exprimé préalablement leur opposition. En pratique, ces personnes pourront uniquement obtenir la suppression de leurs données et non éviter leur collecte.
Ainsi, si le droit d’opposition ne peut pas être appliqué en pratique, les dispositifs concernés doivent être spécifiquement autorisés par un cadre légal spécifique prévu soit par l’Union européenne, soit par le droit français.
FAIRE « NON » DE LA TÊTE : UNE MODALITÉ D’OPPOSITION INSUFFISANTE ET PEU PRATIQUE
Les dispositifs portés à la connaissance de la CNIL qui prévoient la possibilité pour les personnes de manifester leur opposition par un mouvement corporel significatif, tel un « non » de la tête, n’apparaissent pas satisfaisants du point de vue de la protection des intérêts des personnes. Cette solution est peu praticable dans les faits et difficilement généralisable. Elle contraint également les individus à afficher publiquement leur opposition au traitement et fait porter une charge trop importante sur la personne, à fortiori si les dispositifs de ce type se multiplient. En principe, de telles modalités ne permettent pas d’assurer l’effectivité du droit d’opposition et doivent donc être considérées comme non conformes aux dispositions du RGPD.
Un appel à la vigilance contre le déploiement de dispositifs irréguliers
La lutte contre l’épidémie de COVID-19 a conduit certains acteurs à envisager de déployer des caméras dites « intelligentes » destinées notamment à mesurer la température, à détecter la présence de masques ou encore à s’assurer du respect de la distanciation sociale. Sans remettre aucunement en cause la légitimité de l’objectif de lutte contre la propagation de l’épidémie, la CNIL estime nécessaire d’alerter sur le fait que, sous réserve d’une analyse au cas par cas, il lui apparaît qu’une grande partie de ces dispositifs ne respectent pas le cadre légal applicable à la protection des données personnelles.
En effet, lorsqu’ils constituent des traitements automatisés de données personnelles et relèvent à ce titre du RGPD, de tels dispositifs conduisent le plus souvent soit à traiter des données sensibles sans le consentement des intéressés (notamment la température), soit à écarter le droit d’opposition. Dans les deux cas, ces dispositifs doivent alors faire l’objet d’un encadrement normatif spécifique, lequel nécessitera en amont de s’interroger sur la proportionnalité du recours à de tels dispositifs et sur les garanties nécessaires. Pour toutes les raisons exposées ci-dessus, la CNIL appelle les acteurs à une grande vigilance afin de ne pas multiplier et de ne pas pérenniser les instruments de surveillance par caméras dans les lieux publics ou ouverts au public, qu’il s’agisse d’une rue, de locaux professionnels ou d’autres types d’établissements.
Publié le 17 juin 2020