Publication 27 avril 2023
JO 2024 : Les valeurs de l’olympisme et de la démocratie ne sont pas un jeu
En 2022, dans sa contribution à la consultation publique de la Commission nationale de l’informatique et des libertés (CNIL) relative aux conditions de déploiement des caméras dites « intelligentes » ou « augmentées » dans les espaces publics, Renaissance Numérique émettait déjà des alertes vis-à-vis du risque que représente l’introduction de tels dispositifs pour notre État de droit. La loi qui vient d’être adoptée mobilise une nouvelle fois le think tank, qui soulève dans cette contribution deux points d’alerte. D’une part, il est regrettable que l’article 6 du projet de loi introduise une révision du Code de la sécurité intérieure qui ne questionne ni l’efficacité ni la rentabilité des systèmes de vidéoprotection existants. D’autre part (et ce sont les préoccupations les plus prégnantes de Renaissance Numérique vis-à-vis de cette loi), l’article 7 autorise un recours aux caméras « augmentées » qui menace les principes fondamentaux de notre démocratie.
Une révision du Code de la sécurité intérieure qui ne questionne ni l’efficacité ni la rentabilité des systèmes actuels
L’article 6 de la loi relative aux Jeux Olympiques et Paralympiques de 2024 vise la révision des dispositions sur la vidéoprotection dans le Code de la sécurité intérieure (CSI). S’il semblait nécessaire d’opérer une mise à jour du texte, notamment pour y intégrer des dispositions issues du Règlement général sur la protection des données (RGPD) entré en application en 2018, on peut néanmoins regretter qu’une réflexion plus globale sur la vidéoprotection ne soit pas permise en termes d’évaluation d’efficacité et de coûts.
Dans un référé publié en février 2022, la Cour des comptes souligne déjà l’absence d’évaluation du plan de vidéoprotection de la préfecture de police de Paris, dont les coûts s’élèvent à 343 millions d’euros : « la préfecture de police ne dispose ni de données agrégées quant à ces utilisations, ni d’indicateurs permettant d’en apprécier l’efficacité ». Dans ce même référé, le contrôleur des comptes publics observe par ailleurs une répartition géographique sous-optimale des dispositifs de vidéoprotection installés dans l’espace public, vis-à-vis de leur finalité. Cette alerte de la Cour des comptes n’est pas nouvelle. Dans son rapport de 2020 sur les polices municipales est indiqué : « Alors que la vidéoprotection est devenue un outil commun de sécurité intérieure, il est peu concevable qu’aucune réflexion ne soit engagée quant à son efficacité ».
Par ailleurs, on peut s’étonner, au regard des droits et libertés, que l’alinéa 12 de l’article 6 abroge l’article L. 251‑7 du Code de la sécurité intérieure. Ce dernier prévoit l’obligation d’informer la CNIL, notamment via la remise d’un rapport annuel par le gouvernement, relatif à l’activité des commissions départementales de vidéoprotection. Alors qu’aucun rapport de la sorte n’a été remis à la CNIL par le gouvernement depuis 2013, l’abrogation de cet article interroge : l’incapacité du pouvoir exécutif à rendre des comptes peut-il justifier le fait d’outrepasser le droit de regard de la CNIL ?
Un recours aux caméras “augmentées” qui menace les principes fondamentaux de notre démocratie
Une pseudo-expérimentation des technologies de surveillance algorithmique
L’article 7 de la loi adoptée le 12 avril 2023 introduit l’autorisation du recours à des traitements algorithmiques d’« images collectées au moyen de systèmes de vidéoprotection […] ou au moyen de caméras installées sur des aéronefs […], dans les lieux accueillant [des] manifestations et à leurs abords, ainsi que dans les véhicules et emprises de transport public et sur les voies les desservant ».
De tels traitements sont généralement réalisés par le biais d’algorithmes mobilisant de l’intelligence artificielle (IA). Ceux-ci sont entraînés, grâce à d’immenses bases de données (constituées elles-mêmes de photos et de vidéos), à détecter et analyser des mouvements dans des images. En d’autres termes, « il s’agit de l’ajout d’une couche d’algorithme aux caméras de vidéosurveillance dites « classiques ». Et ce, dans le but de rendre automatique l’analyse des images captées par caméras, jusqu’à présent réalisée par des humains, des opérateurs vidéo au sein de centres de supervision urbains »[1].
Un manque d’anticipation certain
Alors que les Jeux Olympiques et Paralympiques de 2024 ont été officiellement attribués à Paris en septembre 2017, soit il y a plus de cinq ans, la procédure accélérée engagée sur ce texte par le Gouvernement le 22 décembre 2022 interroge. Comment expliquer un tel défaut d’anticipation, alors que cet horizon à cinq ans permettait de s’interroger sur le bien-fondé du recours à de telles technologies, sur les éventuelles conditions de leur déploiement, ou encore de prendre en compte les alertes de la part de différentes autorités administratives indépendantes ou de la Cour des comptes ?
Concernant l’encadrement juridique et le respect des principes fondamentaux, la CNIL a produit plusieurs analyses et a insisté sur le respect premier des principes de nécessité et de proportionnalité (cf. infra), avant même d’examiner la compatibilité d’un déploiement de ces technologies avec la protection de la vie privée. En outre, dans son avis sur le projet de loi, l’autorité a, à juste titre, émis une alerte quant au calendrier de déploiement envisagé : « Un rapport d’évaluation devra être produit dans un délai maximum de six mois avant le terme de l’expérimentation et remis au Parlement. La Commission s’interroge toutefois sur la cohérence de ce calendrier qui conduirait à une remise du rapport d’évaluation au Parlement avant la tenue des Jeux Olympiques et Paralympiques de 2024 ».
Une expérimentation de façade ?
- Une expérimentation sans limites territoriales
Tel que prévu au VI de l’article 7, « l’emploi du traitement est autorisé par le représentant de l’État dans le département ou, à Paris, par le préfet de police » et « la décision d’autorisation est motivée et publiée ». Cette autorisation doit notamment préciser « la manifestation sportive, récréative ou culturelle concernée » et « le périmètre géographique concerné par la mise en œuvre du traitement ». Une véritable expérimentation, en amont de tout déploiement au niveau national, aurait sans doute dû être réalisée sur un territoire limité pour un événement de moindre ampleur (dans un stade pour un événement précis, par exemple). A minima, l’expérimentation aurait pu être ouverte pour un match de la Coupe du Monde de Rugby, qui se tiendra en France à l’automne 2023, de façon à ce que puissent être tirés les enseignements de cette première expérimentation. En fonction de ceux-ci, un nouveau texte visant à organiser la sécurisation des Jeux Olympiques aurait alors pu (ou non) être envisagé.
En outre, alors que la loi aurait pu limiter l’autorisation aux seuls départements où se dérouleront ces deux compétitions, c’est tout le territoire national qui est visé, sans limitation d’échelle.
- Une expérimentation à la durée excessive
Le texte adopté par les parlementaires prévoit que la durée de l’expérimentation courre jusqu’au 31 mars 2025, soit presque deux ans entre le vote de la loi et la fin de l’expérimentation. À cet égard, dans leur lettre de saisine adressée au Conseil constitutionnel, les députées Mathilde Panot et Cyrielle Chatelain dénoncent la durée excessive de l’expérimentation. Celle-ci est d’autant plus regrettable qu’une version précédente du texte mentionnait la date du 31 décembre 2024, mais qu’un délai supplémentaire a été ajouté par les membres de la commission mixte paritaire.
- Une expérimentation ouverte
Enfin, cette expérimentation s’avère relativement ouverte, et ce pour plusieurs raisons.
D’une part, on peut se demander si une expérimentation stricte n’aurait pas limité l’usage de ces technologies aux forces de l’ordre. Or, les dispositions du texte visent à faciliter non seulement les missions des forces de l’ordre, mais également des services d’incendie et de secours, des services internes de sécurité de la SNCF et de la RATP (article 7 alinéa 1). La sécurité étant une prérogative régalienne, elle doit être assurée par les forces de l’ordre dès lors qu’est invoquée la sûreté nationale. De plus, ces acteurs ne sont pas nécessairement sensibilisés et formés à la protection des données personnelles et de la vie privée.
D’autre part, on peut s’interroger sur le recours aux drones comme outils de surveillance couplés à des algorithmes d’intelligence artificielle, alors même que le Conseil d’État avait sanctionné leur usage pendant la pandémie de Covid-19. Par ailleurs, il a également rappelé, dans un avis du 13 novembre 2020 relatif à l’usage de dispositifs aéroportés de captation d’images par les autorités publiques, que le recours à de telles technologies est « susceptible, par le survol rapproché et mobile de lieux publics ou de lieux privés qu’il permet, de porter atteinte à la liberté proclamée par l’article 2 de la Déclaration des droits de l’homme et du citoyen de 1789 qui implique le respect de la vie privée. Il est par suite de nature à affecter les garanties apportées aux citoyens pour l’exercice des libertés publiques. » Saisi de quatre articles de la loi relative à la responsabilité pénale et à la sécurité intérieure, le Conseil constitutionnel a, quant à lui, partiellement censuré les dispositions relatives au recours aux drones dans le cadre de la police administrative et assorti de cinq réserves d’interprétation le reste des dispositions contestées .
Enfin, l’expérimentation va bien au-delà de l’organisation des Jeux Olympiques, puisque toute manifestation « récréative ou culturelle » est potentiellement concernée. Or, on peut se demander si les enjeux de sécurité qui entourent l’organisation d’un événement à envergure internationale sont réellement comparables à ceux des autres manifestations visées.
On peut alors regretter que ce test n’ait au final d’« expérimentation » que le nom. Dans une résolution, le Conseil national des barreaux a dénoncé à ce titre la mise en place « prétendument expérimentale » de systèmes de vidéoprotection algorithmique.
Le législateur s’est déchargé sur le pouvoir réglementaire : une démarche dangereuse questionnant la constitutionnalité du texte
Si l’article 7 prévoit le principe d’autorisation de la vidéoprotection algorithmique, il est renvoyé à un décret pour décrire les conditions dans lesquelles elle pourra être déployée (article 7 alinéa 8). « Ce décret fixe les caractéristiques essentielles du traitement. Il indique notamment les événements prédéterminés que le traitement a pour objet de signaler, le cas échéant les spécificités des situations justifiant son emploi […] » (article 7 alinéa 9).
Ces traitements automatisés de données collectées via des outils de vidéoprotection remettent en cause des libertés fondamentales telles que la vie privée et la protection des données personnelles. Cependant, le législateur laisse le pouvoir réglementaire non seulement déterminer les finalités des traitements (les « événements prédéterminés »), mais également les cas dans lesquels il est possible d’y recourir (les « situations justifiant son emploi »). C’est pourtant le législateur qui est tenu d’encadrer l’exercice des droits et libertés fondamentaux, et non le pouvoir réglementaire. Il s’agit là d’un point fondamental, qui pourrait faire l’objet d’interrogations vis-à-vis de la constitutionnalité du texte.
Un contrôle de proportionnalité rendu impossible par le renvoi au décret
Le principe de proportionnalité est un concept essentiel. Il se définit comme un « mécanisme de pondération entre des principes juridiques de rang équivalent, simultanément applicables mais antinomiques ». Il s’agit d’opérer une mise en balance et de réaliser un équilibre entre chacun des principes juridiques en cause – généralement un pouvoir reconnu à l’État (ordre public, force publique) et des droits fondamentaux des personnes – ou entre plusieurs droits fondamentaux. Le respect du principe de proportionnalité impose qu’une mesure restreignant les droits et libertés soit à la fois :
- appropriée, en ce qu’elle doit permettre de réaliser l’objectif légitime poursuivi ;
- nécessaire, c’est-à-dire qu’elle ne doit pas excéder ce qu’exige la réalisation de cet objectif ;
- et proportionnée, en ce qu’elle ne doit pas, par les charges qu’elle crée, être hors de proportion avec le résultat recherché.
En l’absence de finalités, il apparaît complexe de se prononcer quant au caractère proportionnel de cette potentielle restriction des libertés fondamentales au regard de l’objectif poursuivi. Or, le plein respect des droits fondamentaux étant une condition préalable à toute application de la loi, un triple test (cf. 3 conditions précitées) aurait dû être opéré dès lors qu’une mesure restreignant ces droits et libertés a été envisagée – ce qui n’a pas été fait.
Un poids trop lourd pour une autorité qui n’a ni le pouvoir ni le rôle d’être garante de l’État de droit dans son ensemble
La situation exige de prendre toutes les garanties afin de maintenir les équilibres fondamentaux de notre État de droit. Or, la précipitation entourant l’adoption de cette loi met potentiellement la CNIL, garante de nos données personnelles et de notre vie privée, en défaut. Les alinéas 8 à 12 de l’article 7 prévoient en effet que le recours à la vidéoprotection algorithmique soit autorisé par décret pris après l’avis du régulateur. Ce décret doit être accompagné d’une analyse d’impact relative à la protection des données (AIPD), exposant le « bénéfice escompté » du recours au traitement algorithmique d’images de vidéoprotection, et « l’ensemble des risques éventuellement créés par le système et les mesures envisagées afin de les minimiser et de les rendre acceptables au cours de son fonctionnement ».
Le contrôle d’un tel exercice peut s’avérer extrêmement complexe, et nécessite deux ingrédients qui font manifestement défaut à l’autorité au vu du délai imparti : du temps et des moyens (financiers et humains).
Par ailleurs, après avoir pris connaissance de ladite analyse d’impact, la CNIL pourrait conclure que le traitement de données visé est non-nécessaire ou non-proportionnel au regard de sa finalité, ou que les mesures envisagées dans l’AIPD afin de minimiser les risques induits par le traitement ne sont pas satisfaisantes. Rien n’assure, par ailleurs, que ces risques soient minimisables ou qu’ils le soient dans les conditions prévues par le législateur.
En outre, l’avis de la CNIL n’étant a priori pas contraignant, le pouvoir réglementaire aurait, dans l’absolu, la possibilité de passer outre, quand bien même les droits et libertés fondamentaux ne seraient pas respectés. Enfin, la CNIL n’étant saisie pour avis que sur le projet de texte, il peut exister des écarts entre le texte sur lequel elle est saisie et la version du texte finalement adoptée.
Un déploiement incohérent et flou de dispositifs interrogeant les libertés des citoyens
Une absence d’alignement avec le futur cadre européen sur l’IA
Si la réglementation européenne sur l’intelligence artificielle (AI Act) n’est pas encore adoptée, il n’en reste pas moins que ses grandes lignes sont connues des autorités françaises. Il semblerait même que la version finale de la position du Parlement européen relative aux différents articles du règlement ait été arrêtée. Dès lors, pourquoi les autorités françaises ne s’en sont-elles pas directement inspirées, notamment en reprenant une approche fondée sur les niveaux de risque, dans la mesure où il s’agit bien d’un déploiement de technologies reposant sur des algorithmes d’intelligence artificielle ?
Avec cette loi, la France devient en outre le premier État de l’UE à autoriser le déploiement de tels dispositifs dans l’espace public.
Des conditions de déploiement de la surveillance algorithmique qui restent trop floues
Plusieurs questions liées à la technologie elle-même restent sans réponses et accroissent ainsi l’insécurité du déploiement de technologies interrogeant les libertés des citoyens.
Sachant que l’État aura recours à des acteurs tiers pour le déploiement des technologies visées par cette loi, on peut se demander en premier lieu quels sont les acteurs qui pourront être qualifiés.
La loi adoptée indique qu’ « [a]fin d’améliorer la qualité de la détection des événements prédéterminés par les traitements mis en œuvre, un échantillon d’images collectées, dans des conditions analogues à celles prévues pour l’emploi de ces traitements, au moyen de systèmes de vidéoprotection autorisés sur le fondement de l’article L. 252-1 du code de la sécurité intérieure et de caméras installées sur des aéronefs autorisées sur le fondement du chapitre II du titre IV du livre II du même code et sélectionnées, sous la responsabilité de l’État, conformément aux exigences de pertinence, d’adéquation et de représentativité mentionnées au 1° du V du présent article peut être utilisé comme données d’apprentissage pendant une durée strictement nécessaire et maximale de douze mois à compter de l’enregistrement des images. Ces images sont détruites, en tout état de cause, à la fin de l’expérimentation. » (article 7 alinéa 33). Quels acteurs possèdent, aujourd’hui, des jeux de données suffisants et satisfaisants à cet égard ? Comment seront déterminées les « conditions analogues » ? Ces questions restent pour l’heure en suspens.
L’article 7 alinéa 14 souligne par ailleurs que « [l]orsque le traitement algorithmique employé repose sur un apprentissage, des garanties sont apportées afin que les données d’apprentissage, de validation et de test choisies soient pertinentes, adéquates et représentatives. Leur traitement doit être loyal et éthique, reposer sur des critères objectifs et permettre d’identifier et de prévenir l’occurrence de biais et d’erreurs. » Comment le caractère “éthique” du traitement va-t-il être contrôlé ? Là encore, le flou demeure.
En termes de cybersécurité, si on peut louer la prise en compte de ces enjeux par le législateur, les règles ne sont pas définies de manière suffisamment précise. Lorsqu’il confie le déploiement de ces technologies à un tiers, l’État doit s’assurer que ce dernier « soit prioritairement une entreprise qui répond aux règles de sécurité définies par l’Agence nationale de la sécurité des systèmes d’information s’agissant du respect des exigences relatives à la cybersécurité. » Quelles seront, dans le détail, les normes élaborées par l’ANSSI à respecter ? Quels seront les acteurs à même de les respecter ? Notons par ailleurs que « prioritairement » ne veut pas dire « nécessairement ». L’introduction de ce terme laisse ainsi à penser qu’il serait possible de recourir à des acteurs qui ne respectent pas ces règles. Comment cela peut-il être justifié, lorsqu’il s’agit de risques cyber relatifs à des missions d’ordre public mettant en cause des libertés fondamentales ?
Un État de droit ne saurait ignorer les garde-fous existants
En autorisant, par le biais de la loi, une expérimentation de la vidéoprotection algorithmique qui s’apparente plus à un déploiement, le projet de loi adopté le 12 avril dernier introduit une rupture : il conduit au franchissement d’une ligne rouge vis-à-vis du respect des libertés et droits fondamentaux. Cela semble dû à la précipitation de l’adoption du texte et à son manque de précision, qui révèlent la trop faible considération accordée par ses auteurs aux principes juridiques et démocratiques fondamentaux. Or, notre pays a instauré des garde-fous démocratiques, représentés notamment par la CNIL et la Cour des Comptes, qu’il serait bon d’associer et d’écouter de manière plus systématique.
Face aux risques induits par ce texte, Renaissance Numérique appelle les pouvoirs publics à rétablir l’équilibre entre l’impératif de sécurité et le respect des droits et libertés fondamentaux.