Fin novembre 2023, les Tribunaux administratifs de Nice, de Lille et de Caen ont rendu trois ordonnances. Elles nous offrent l'occasion de revenir sur la conformité RGPD des caméras augmentées dans l'espace public, en mettant en avant un guide synthétique pour les éditeurs de cette technologie. Les caméras augmentées représentent une avancée majeure.

Cette technologie va bien au-delà de la simple capture d'images. Elle est constituée d'une caméra vidéo et de capteurs complémentaires, tels que des détecteurs de mouvement ou des capteurs infrarouges pour la vision nocturne et de profondeur. Elle s'appuie sur une unité de traitement puissante, intégrée ou basée sur le cloud. De telles caméras exécutent des logiciels sophistiqués pour analyser et interpréter les vidéos en temps réel. Les interfaces utilisateurs diversifiées, allant des applications mobiles aux interfaces web, facilitent la visualisation des flux vidéo, la réception d'alertes et l'interaction avec le système. Cette capacité d'analyse permet d'identifier et de suivre des objets ou des individus, de reconnaître des visages ou des plaques d’immatriculation. Elles offrent ainsi une multitude d'applications potentielles.

La compréhension de cette composition technique permet d’identifier les trois domaines juridiques clés sur lesquels les éditeurs de caméras augmentées doivent se focaliser :

• la conformité RGPD des traitements de données à caractère personnel des caméras augmentées ;
• la sécurité des données et des systèmes est essentielle ;
• la protection de la propriété intellectuelle.

Cet article guide les éditeurs de caméras augmentées en matière de traitement de données personnelles (RGPD).

La conformité des caméras augmentées RGPD

Dans le contexte actuel, il n'existe pas de texte général encadrant spécifiquement l’utilisation des caméras augmentées. La législation la plus proche en la matière est l'article 10 de la loi relative aux Jeux Olympiques et Paralympiques de 2024, qui fournit un cadre temporaire, applicable uniquement pendant les jeux et jusqu'au 31 mars 2025.

L'implémentation de caméras augmentées dans l’espace public relève du Code de la Sécurité Intérieure. Tous les systèmes de vidéoprotection sont concernés, qu’il s’agisse de visionnage ou enregistrement. Le régime du CSI encadre de manière centrale l'utilisation des caméras augmentées.

Ce régime juridique exige un dossier d'autorisation pour systèmes de vidéoprotection, à soumettre en préfecture ou en ligne. Il convient aussi de considérer les exigences du RGPD, car le CSI classe la vidéoprotection comme traitement de données personnelles. Les ordonnances précitées ont mis en évidence l'importance de ces législations. La Cnil a pris position sur ces dispositifs en juillet 2022. 

Le devoir de conseil de l’éditeur caméras augmentées : la réponse aux questions des clients

Pour respecter la législation, les utilisateurs de logiciels de caméras augmentées doivent évaluer plusieurs aspects. Ils évaluent la légitimité, la base légale, la proportionnalité du dispositif, et les mesures techniques et organisationnelles nécessaires. Il est nécessaire de mener une réflexion sur l'opportunité d'une analyse d'impact sur la protection des données.

Les éditeurs doivent donc connaître l'activité de leurs prospects pour offrir des conseils adaptés et conformes à la législation

Un conseil pour la conformité des modules des caméras augmentées

Une question clé ressort : faut-il fournir un logiciel modulable ou des applications séparées ? La reconnaissance faciale, en particulier, soulève des préoccupations juridiques. Les ordonnances des tribunaux administratifs de Lille et de Nice suggèrent que posséder un logiciel ne conduit pas nécessairement à l'identification des personnes. A moins que des fonctionnalités spécifiques comme la reconnaissance faciale ne soient activées et utilisées. Cependant, même autorisée, la disponibilité d'un logiciel de reconnaissance faciale non activé, peut entraîner des problèmes juridiques inutiles. Il semble donc plus prudent pour les éditeurs d'installer uniquement les fonctionnalités nécessaires pour les finalités des clients. Ceci permet de minimiser les risques de non-conformité.

Un conseil pour éviter d’engager sa responsabilité

Le Tribunal de Caen a exigé de la communauté de communes Cœur Fleuri la suppression des données illégalement collectées par identification. La décision mentionne le nom de l'éditeur de la solution, pouvant ainsi entacher sa réputation pour de mauvaises raisons.

Les éditeurs, en tant que sous-traitants, devraient donc demander au responsable du traitement, avant tout déploiement, la preuve d’une  validation de conformité, afin de  limiter leur responsabilité et surtout une atteinte réputationnelle.

Le département Contrats informatiques, données est à votre disposition pour échanger sur cet article et le thème des caméras augmentées.