Par Haas Avocats
Suite aux révélations de l’utilisation par les services du ministère de l’Intérieur d’un logiciel d’analyse vidéo commercialisé par la société BRIEFCAM, le 14 novembre 2023, la Commission Nationale Informatique et Libertés (CNIL) a initié une procédure de contrôle auprès du ministère de l’Intérieur et a rendu cette information publique.
Une décision publique pour encadrer l'usage de la reconnaissance faciale
Dans ce contexte, la publicité de la décision[1] se justifie par la couverture médiatique du sujet et également au regard de la nature et la grande sensibilité des traitements concernés.
- D’une part, ces traitements présentent un risque particulier au regard de la vie privée, s’agissant de l’usage, par les pouvoirs publics, d’un logiciel disposant d’une fonctionnalité de reconnaissance faciale utilisant un dispositif biométrique[2].
- D’autre part, la CNIL considère opportun de rendre publiques les constatations opérées par la CNIL car elles font état d’un usage isolé de la fonctionnalité qui avait été intégrée par l’éditeur lors d’une mise à jour du logiciel de la société BRIEFCAM par l’un des services du ministère de l’Intérieur.
La CNIL met en demeure le ministère de l’Intérieur pour des manquements liés à l’usage de BRIEFCAM
Plusieurs manquements sont constatés :
- un manquement à l’obligation de traiter des données de façon licite,
- un manquement à l’obligation d’effectuer une analyse d’impact relative à la protection des données (AIPD),
- un manquement à l’interdiction de principe de mettre en œuvre un traitement de données biométriques aux fins d'identifier une personne physique de manière unique, via un dispositif de reconnaissance faciale.
La CNIL a alors procédé à un rappel aux obligations légales et procède à une MISE EN DEMEURE, sous un délai de deux (2) mois à compter de la notification de la décision et sous réserve des mesures déjà adoptées :
|
Manquements |
Analyse |
MESURES A ADOPTER |
|
Obligation de traiter des données de façon licite |
La CNIL considère que l'exploitation d’enregistrements vidéo par le biais d’un logiciel d’analyse vidéo peut être autorisée, notamment si ce dernier constitue un ces logiciels de rapprochement judiciaire LRJ. Le cadre juridique des LRJ prévoit des garanties fortes pour les droits et libertés des personnes |
Transmettre des engagements de conformité au règlement unique RU-018 pour les différents logiciels de rapprochement judiciaire (LRJ) n’en ayant encore pas fait l’objet (" Physical Analyzer" et le logiciel " Axiom") mis en œuvre par la préfecture de Police de Paris,
|
|
Analyse d’impact sur la protection des données |
La CNIL précise la nécessité d’effectuer une évaluation de la nécessité et de la proportionnalité du dispositif envisagé et ce avant son implantation[3] |
Réaliser une analyse d’impact relative à la protection des données (AIPD) pour les différents LRJ n’en disposant pas encore, notamment les logiciels " Physical Analyzer " et " Axiom " |
|
Privacy by design/default |
La CNIL précise qu’un encadrement légal des traitements biométriques par des mesures techniques et organisationnelles est nécessaire et ce dès la conception d’un produit ou d’un service par défaut du fait des risques représentés par lesdits traitements[4] |
Prendre les mesures adéquates permettant d’empêcher, conformément au cadre légal, l’utilisation des fonctionnalités de reconnaissance faciale pour l’ensemble des LRJ utilisés et établir une remontée d’alerte automatique au responsable de traitement en cas de réactivation |
|
Accountability |
|
Justifier auprès de la CNIL que l’ensemble de ces demandes a bien été respecté, dans le délai imparti |
Les révélations concernant l’utilisation du logiciel BRIEFCAM par le ministère de l’Intérieur et la mise en lumière de manquements importants par la CNIL rappellent l’importance d’un strict respect des cadres juridiques en matière de protection des données personnelles, en particulier lorsqu’il s’agit de traitements biométriques sensibles effectués par les instances étatiques. Cette affaire illustre les enjeux éthiques et juridiques liés à l’usage des nouvelles technologies par les pouvoirs publics, notamment dans un contexte de surveillance accrue. La publicité de cette décision par la CNIL marque d’ailleurs une étape essentielle pour garantir la transparence, renforcer la confiance des citoyens et prévenir les dérives potentielles.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] Décision MED-2024-150 du 15 novembre 2024
[2] Pour rappel, la reconnaissance faciale sur la voie publique soulève des enjeux d’une particulière sensibilité en matière de protection des données
[3] 90 § 1 de la loi LIL et du considérant 58 de la directive " Police-Justice "
[4] Article 34 de la Constitution du 4 octobre 1958, Article 88 de la loi LIL, Considérant 51 et article 20de la Directive Police Justice
