L’essentiel : La Loi n° 2023-380 du 19 mai 2023 permet le survol des sites des Jeux Olympiques et Paralympiques de 2024 par des drones équipés de caméras et de traitements algorithmiques. Ces mesures, expérimentales jusqu’au 31 mars 2025, visent à assurer la sécurité des événements à risque. Les images collectées peuvent être analysées en temps réel pour détecter des événements prédéterminés, sans recourir à la reconnaissance faciale ni à des données biométriques. Le public sera informé de l’utilisation de ces technologies, et des garanties seront mises en place pour assurer la protection des données personnelles.

La Loi n° 2023-380 du 19 mai 2023 relative aux jeux Olympiques et Paralympiques de 2024 autorise le survol des sites par caméra embarquée sur drone avec reconnaissance algorithmique. Un traitement spécifique de données personnelles a été mis en place par le Gouvernement. 

Autorisation des traitements algorithmiques

A titre expérimental et jusqu’au 31 mars 2025, à la fin d’assurer la sécurité de manifestations sportives, récréatives ou culturelles qui, par l’ampleur de leur fréquentation ou par leurs circonstances, sont exposées à des risques d’actes de terrorisme ou d’atteintes graves à la sécurité des personnes, les images collectées au moyen de systèmes de vidéoprotection autorisés sur le fondement de l’article L. 252-1 du code de la sécurité intérieure ou au moyen de caméras installées sur des aéronefs, dans les lieux accueillant ces manifestations et à leurs abords ainsi que dans les véhicules et les emprises de transport public et sur les voies les desservant, peuvent faire l’objet de traitements algorithmiques.

Recherche d’événements prédéterminés

Ces traitements ont pour objet de détecter, en temps réel, des événements prédéterminés susceptibles de présenter ou de révéler ces risques et de les signaler en vue de la mise en œuvre des mesures nécessaires par les services de la police nationale et de la gendarmerie nationale, les services d’incendie et de secours, les services de police municipale et les services internes de sécurité de la SNCF et de la Régie autonome des transports parisiens dans le cadre de leurs missions respectives.

Les traitements de données en cause sont régis par les dispositions applicables du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) et de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Information du public

Le public devra être préalablement informé, par tout moyen approprié, de l’emploi de traitements algorithmiques sur les images collectées au moyen de systèmes de vidéoprotection autorisés sur le fondement de l’article L. 252-1 du code de la sécurité intérieure et de caméras installées sur des aéronefs, sauf lorsque les circonstances l’interdisent ou que cette information entrerait en contradiction avec les objectifs poursuivis.

Une information générale du public sur l’emploi de traitements algorithmiques sur les images collectées au moyen de systèmes de vidéoprotection et de caméras installées sur des aéronefs est organisée par le ministre de l’intérieur.

Les traitements en question n’utilisent aucun système d’identification biométrique, ne traitent aucune donnée biométrique et ne mettent en œuvre aucune technique de reconnaissance faciale. Ils ne peuvent procéder à aucun rapprochement, à aucune interconnexion ni à aucune mise en relation automatisée avec d’autres traitements de données à caractère personnel.

Ils procèdent exclusivement à un signalement d’attention, limité à l’indication du ou des événements prédéterminés qu’ils ont été programmés à détecter. Ils ne produisent aucun autre résultat et ne peuvent fonder, par eux-mêmes, aucune décision individuelle ni aucun acte de poursuite. Ils demeurent en permanence sous le contrôle des personnes chargées de leur mise en œuvre.

Un prochain décret devra fixer les caractéristiques essentielles du traitement. Il indique notamment les événements prédéterminés que le traitement a pour objet de signaler, le cas échéant les spécificités des situations justifiant son emploi, les services susceptibles de le mettre en œuvre, les éventuelles conditions de leur participation financière à l’utilisation du traitement et les conditions d’habilitation et de formation des agents pouvant accéder aux signalements du traitement. Le décret est accompagné d’une analyse d’impact relative à la protection des données personnelles qui expose :

1° Le bénéfice escompté de l’emploi du traitement au service de la finalité mentionnée au I, au regard des événements prédéterminés donnant lieu à signalement par le système ;

2° L’ensemble des risques éventuellement créés par le système et les mesures envisagées afin de les minimiser et de les rendre acceptables au cours de son fonctionnement.

La sous-traitance possible

L’Etat assure le développement du traitement ainsi autorisé, en confie le développement à un tiers ou l’acquiert. Dans ces deux derniers cas, il veille à ce que le tiers qui va développer ou développe cette solution soit prioritairement une entreprise qui répond aux règles de sécurité définies par l’Agence nationale de la sécurité des systèmes d’information s’agissant du respect des exigences relatives à la cybersécurité. Dans tous les cas, le traitement doit satisfaire aux exigences suivantes, qui doivent pouvoir être vérifiées pendant toute la durée du fonctionnement du traitement :

1° Lorsque le traitement algorithmique employé repose sur un apprentissage, des garanties sont apportées afin que les données d’apprentissage, de validation et de test choisies soient pertinentes, adéquates et représentatives. Leur traitement doit être loyal et éthique, reposer sur des critères objectifs et permettre d’identifier et de prévenir l’occurrence de biais et d’erreurs. Ces données font l’objet de mesures de sécurisation appropriées ;

2° Le traitement comporte un enregistrement automatique des signalements des événements prédéterminés détectés permettant d’assurer la traçabilité de son fonctionnement ;

3° Le traitement permet des mesures de contrôle humain et un système de gestion des risques permettant de prévenir et de corriger la survenue de biais éventuels ou de mauvaises utilisations ;

4° Les modalités selon lesquelles, à tout instant, le traitement peut être interrompu sont précisées ;

5° Le traitement fait l’objet d’une phase de test conduite dans des conditions analogues à celles de son emploi autorisé.

Lorsque le traitement est développé ou fourni par un tiers, celui-ci fournit une documentation technique complète et présente des garanties de compétence, de continuité, d’assistance et de contrôle humain en vue notamment de procéder à la correction d’erreurs ou de biais éventuels lors de sa mise en œuvre et de prévenir leur réitération.

L’Agence nationale de la sécurité des systèmes d’information exerce, dans ce même cadre, ses missions s’agissant du respect des exigences relatives à la cybersécurité.

Afin d’améliorer la qualité de la détection des événements prédéterminés par les traitements mis en œuvre, un échantillon d’images collectées, dans des conditions analogues à celles prévues pour l’emploi de ces traitements, au moyen de systèmes de vidéoprotection autorisés sur le fondement de l’article L. 252-1 du code de la sécurité intérieure et de caméras installées sur des aéronefs autorisées, sous la responsabilité de l’Etat, conformément aux exigences de pertinence, d’adéquation et de représentativité, peut être utilisé comme données d’apprentissage pendant une durée strictement nécessaire, de douze mois au plus à compter de l’enregistrement des images. Ces images sont détruites, en tout état de cause, à la fin de l’expérimentation.

La Commission nationale de l’informatique et des libertés sera informée tous les trois mois des conditions de mise en œuvre de l’expérimentation. 

Q/R juridiques soulevées :

Qu’est-ce que la Loi n° 2023-380 du 19 mai 2023 autorise concernant les drones ?

La Loi n° 2023-380 du 19 mai 2023 autorise le survol des sites par caméra embarquée sur drone, en intégrant une reconnaissance algorithmique. Cette mesure vise à renforcer la sécurité lors des événements sportifs, récréatifs ou culturels, particulièrement ceux exposés à des risques d’actes de terrorisme.

Cette autorisation est expérimentale et s’étend jusqu’au 31 mars 2025. Elle permet la collecte d’images dans des lieux accueillant des manifestations, ainsi que dans les abords, les véhicules et les emprises de transport public.

Les images collectées peuvent être traitées par des systèmes de vidéoprotection, conformément à l’article L. 252-1 du code de la sécurité intérieure. Cela implique un cadre légal strict pour garantir la sécurité des personnes présentes lors de ces événements.

Quels sont les objectifs des traitements algorithmiques autorisés ?

Les traitements algorithmiques ont pour but de détecter, en temps réel, des événements prédéterminés qui pourraient signaler des risques pour la sécurité. Ces événements sont ensuite signalés aux services compétents, tels que la police nationale, la gendarmerie, et les services d’incendie et de secours.

Ces systèmes sont conçus pour fonctionner dans le cadre de missions de sécurité publique. Ils permettent une réaction rapide face à des situations potentiellement dangereuses, en facilitant la mise en œuvre de mesures préventives.

Il est important de noter que ces traitements ne doivent pas être confondus avec des systèmes d’identification biométrique ou de reconnaissance faciale. Ils se limitent à signaler des événements spécifiques sans traiter d’autres données personnelles.

Comment le public est-il informé de l’utilisation de ces traitements ?

Le public doit être informé, par des moyens appropriés, de l’utilisation de traitements algorithmiques sur les images collectées. Cette information est essentielle pour garantir la transparence et la confiance du public dans les mesures de sécurité mises en place.

Cependant, il existe des exceptions où cette information peut ne pas être fournie, notamment si cela va à l’encontre des objectifs de sécurité ou si les circonstances l’interdisent.

Le ministre de l’intérieur est chargé d’organiser une information générale sur l’utilisation de ces traitements. Cela inclut des détails sur la nature des traitements et leur finalité, afin que le public soit conscient des mesures de sécurité en cours.

Quelles sont les garanties concernant la sous-traitance des traitements algorithmiques ?

L’État peut confier le développement des traitements algorithmiques à un tiers, mais doit s’assurer que ce dernier respecte les règles de sécurité établies par l’Agence nationale de la sécurité des systèmes d’information. Cela inclut des exigences strictes en matière de cybersécurité.

Les traitements doivent répondre à plusieurs exigences, notamment la pertinence et la représentativité des données utilisées pour l’apprentissage. Cela garantit que les systèmes fonctionnent de manière éthique et sans biais.

De plus, un enregistrement automatique des signalements est requis pour assurer la traçabilité. Des mesures de contrôle humain doivent également être mises en place pour prévenir les biais et corriger les erreurs potentielles.

Quelles sont les conditions de mise en œuvre et de suivi des traitements ?

Un décret à venir précisera les caractéristiques essentielles des traitements, y compris les événements à signaler et les services impliqués. Ce décret sera accompagné d’une analyse d’impact sur la protection des données personnelles.

Cette analyse doit évaluer les bénéfices escomptés ainsi que les risques associés au système. Des mesures doivent être envisagées pour minimiser ces risques tout au long du fonctionnement du traitement.

La Commission nationale de l’informatique et des libertés sera informée tous les trois mois des conditions de mise en œuvre de l’expérimentation, garantissant ainsi un suivi régulier et une transparence dans l’utilisation des traitements algorithmiques.