Par Gérard Haas et Claire Benassar
En mai 2021, la Commission nationale de l’informatique et des libertés (CNIL) mettait en garde la commune de Valenciennes en raison du « caractère particulièrement intrusif » du dispositif de traitement de lecture automatisée des plaques d’immatriculation qu’elle envisageait de mettre en place [1].
Plus récemment, d’autres dispositifs « vidéo » ont attiré l’attention de la CNIL, laquelle a déclaré par un communiqué du 23 décembre 2021 avoir cette fois mis en demeure une commune française – dont le nom n’a pas été rendu public – de satisfaire aux exigences de protection des données issues de la loi « Informatique et Libertés » [2] et du code de la sécurité intérieure dans un délai de 4 mois.
Si de nombreux dispositifs « vidéo » sont aujourd’hui disponibles et déployés par les collectivités territoriales, la mise en demeure de la CNIL concerne précisément deux systèmes.
En premier lieu, la commune a été sommée quant à la mise en place de son dispositif de vidéoprotection, lequel consiste à filmer la voie publique et tout lieu ouvert au public, à savoir tout « lieu accessible à tous, sans autorisation spéciale de quiconque, que l'accès en soit permanent et inconditionnel ou subordonné à certaines conditions » (TGI Paris, 23 oct. 1986, Gaz. Pal. 8 janv. 1987).
En raison de la potentielle atteinte aux droits fondamentaux tels que la liberté d’aller et venir et le droit au respect de la vie privée, la vidéoprotection est strictement encadrée et ne peut être mise en œuvre que pour les motifs énoncés à l’article L.251-2 du code de la sécurité intérieure [3].
Parallèlement, la commune avait équipé les agents de police municipale d’un dispositif de « caméras-piétons ».
Cet usage de caméras mobiles avait été autorisé par la loi du 3 août 2018 relative à l’harmonisation de l’utilisation des caméras mobiles par les autorités de sécurité publique et son décret d’application du 27 février 2019.
Au vu du potentiel de ces deux systèmes en faveur de la garantie de l’ordre et de la sécurité publique, permettant notamment de prévenir des atteintes contre les personnes et les biens et de permettre la poursuite des auteurs d’infractions par la collecte de preuves, ils sont aujourd’hui couramment mis en œuvre par les collectivités en complément d’autres systèmes de prévention.
C’est à ce titre que la commune en question avait déployé les deux dispositifs « vidéo » susmentionnés, sans toutefois se conformer aux dispositions applicables en matière de protection des données à caractère personnel à même d’assurer le respect des droits et libertés des personnes.
Cette absence manifeste d’équilibre entre l’ordre public d’une part et les libertés individuelles d’autre part a de facto engendré un contrôle, sur place, de la part de la CNIL.
La mise en demeure de la CNIL permet de rappeler qu’en raison de leur caractère intrusif à l’instar de « Big Brother », ces dispositifs ne peuvent être librement mis en place par les collectivités.
Bien au contraire, dans un premier temps, dans l’hypothèse où le traitement envisagé serait susceptible de présenter un risque élevé pour les droits et libertés des personnes physiques, les collectivités sont avant tout tenues de réaliser une étude d’impact [4] permettant d’évaluer la nécessité et la proportionnalité du dispositif envisagé par rapport aux finalités poursuivies.
Cette étape constitue un préalable nécessaire à la demande d’autorisation auprès de la préfecture territorialement compétente, laquelle, si elle est accordée, permet à la collectivité de procéder à l’installation et à la mise en œuvre du dispositif.
Si la commune mise en demeure par la CNIL avait bien obtenu l’autorisation préfectorale préalable, elle avait omis de répondre aux exigences de l’article 90 de la loi « Informatique et Libertés » tenant à l’analyse d’impact, alors même que le dispositif de vidéoprotection envisagé était bien susceptible de présenter un risque accru pour les droits et libertés des personnes physiques.
Par ailleurs, la commune n’avait notamment pas satisfait à ses obligations d’information découlant de l’article 104 de la même loi, certaines des mentions obligatoires devant figurer sur les panneaux d’affichage ou bien le site de la commune[5] étant manquantes.
La CNIL vient également souligner tout un corpus de règles applicables à la mise en œuvre des dispositifs « vidéo » litigieux et au traitement des images ainsi captées.
Notamment, outre l’interdiction de visualiser l’intérieur d’immeubles d’habitation, la mise en demeure concerne l’importante question de la durée de conservation des images enregistrées. Dans son communiqué, la CNIL souligne effectivement l’illicéité des dispositifs déployés par la commune à cet égard.
Pour rappel, l’article L.252-5 du code de la sécurité intérieure prévoit que « Hormis le cas d'une enquête de flagrant délit, d'une enquête préliminaire ou d'une information judiciaire, les enregistrements sont détruits dans un délai maximum fixé par l'autorisation » préfectorale, ce délai « ne [pouvant] excéder un mois. »
Pourtant, en dépit de ces dispositions, les images issues du système de vidéoprotection relevées dataient de plus d’un mois, celles issues des caméras-piétons ayant quant à elles été conservées plus de six mois, dépassant manifestement la période nécessaire à la prévention et à la détection des infractions pénales prévue par l’article 87 de la loi « Informatique et Libertés ».
Enfin, la CNIL s’avère être très regardante quant à l’accès aux enregistrements vidéo, hors hypothèse du droit d’accès aux images, soulevant dans le cas d’espèce le caractère insuffisamment robuste du mot de passe permettant l’accès au logiciel des caméras-piétons de la commune et l’absence de mesures permettant la traçabilité des accès aux images captées.
Au vu des nombreuses infractions aux dispositions applicables en matière de protection des données, il ne fait pas de doute qu’à défaut de mise en conformité dans le délai imparti, la sanction de la formation restreinte de la CNIL à l’égard de la commune en cas de saisine de la présidente pourrait être sévère.
En définitive, le court délai de 4 mois accordé à la collectivité révèle tout l’intérêt de s’assurer de la conformité de ses traitements en amont de leur mise en œuvre.
***
Le cabinet HAAS Avocats, fort de son expertise depuis plus de 20 ans en matière de nouvelles technologies, accompagne ses clients dans la mise en conformité de leurs traitements à la réglementation « informatique et libertés ». Que ce soit en appui du DPO ou en qualité de DPO externalisé le Cabinet Haas réalise ainsi tout type de mission en lien avec la protection de la vie privée avec deux départements spécialisés sur ces questions : le département Protection des données et le département cyber sécurité. Contactez-nous ici
[1] Enquête Mediapart du 1er août 2021, cf. Vidéosurveillance : Valenciennes et son modèle de « safe city » hor... — Mediapart
[2] Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
[3] Les finalités légitimant la mise en œuvre de la vidéoprotection tiennent notamment à la protection des bâtiments et installations publics et de leurs abords, à la sauvegarde des installations utiles à la défense nationale, à la régulation des flux de transport, à la constatation des infractions aux règles de la circulation, à la prévention des atteintes à la sécurité des personnes et des biens dans des lieux particulièrement exposés à des risques d'agression, de vol ou de trafic de stupéfiants ainsi qu’à la prévention de fraudes douanières, à la prévention d'actes de terrorisme ou des risques naturels ou technologiques…
[4] Analyse d’impact relative à la protection des données (AIPD)
[5] Le responsable de traitement doit notamment mettre à la disposition des personnes concernées par les dispositifs « vidéo » son identité et ses coordonnées, les coordonnées du délégué à la protection des données, les finalités poursuivies par le traitement auquel les données sont destinées, le droit d'introduire une réclamation auprès de la CNIL et les coordonnées de la commission, l'existence du droit de demander au responsable de traitement l'accès aux données à caractère personnel, leur rectification ou leur effacement, et du droit de demander une limitation du traitement des données à caractère personnel relatives à une personne concernée.