La CNIL a rendu son avis sur le projet de Décret « Vidéosurveillance dans les cellules de garde à vue et de retenue douanière ».
Dans sa délibération n° 2021-078 du 8 juillet 2021, la CNIL s’était déjà prononcée sur le projet de loi relatif à la responsabilité pénale et à la sécurité intérieure (loi n° 2022-52 du 24 janvier 2022), qui comportait des dispositions relatives à la mise en œuvre de systèmes de vidéosurveillance au sein des cellules de garde à vue.
Elle a notamment rappelé que de tels dispositifs, qui permettent une surveillance permanente, portent par nature une atteinte grave au droit au respect de la vie privée et à la protection des données à caractère personnel d’individus déjà soumis à des mesures restrictives de liberté.
Une telle atteinte ne peut dès lors être admise que si elle apparaît strictement nécessaire au but poursuivi et si des garanties fortes sont prévues, de nature à assurer la proportionnalité des dispositifs mis en œuvre.
L’objet de la saisine
La CNIL a été saisie par le ministère de l’intérieur pour avis sur un projet de décret portant application des articles L. 256-1 et suivants du code de la sécurité intérieure (CSI) et relatif à la mise en œuvre de systèmes de vidéosurveillance dans les cellules de garde à vue et de retenue douanière.
Les articles L. 256-1 et suivants du CSI permettent à l’autorité administrative de mettre en œuvre des systèmes de vidéosurveillance dans les cellules de garde à vue et de retenue douanière pour prévenir les risques d’évasion de la personne placée en garde à vue ou en retenue douanière et les menaces sur cette personne ou sur autrui. L’article L. 256-5 du CSI prévoit que les modalités d’application sont précisées par un décret en Conseil d’Etat, pris après avis de la CNIL.
Le projet de décret constitue un acte réglementaire unique au sens du IV de l’article 31 de la loi « informatique et libertés ». Conformément au projet d’article R. 256-7 du CSI, la mise en œuvre des traitements est subordonnée à l’envoi à la CNIL d’un engagement de conformité.
Le régime juridique des traitements de données
Les traitements de données à caractère personnel ont pour finalités de prévenir :
– les risques d’évasion des personnes placées en garde à vue ou en retenue douanière, et
– les menaces sur ces personnes ou sur autrui.
Selon le ministère, les mesures de garde à vue et de retenue douanière s’inscrivent nécessairement dans le cadre d’enquêtes ou de poursuites pénales. En particulier, l’évasion d’une personne placée en garde à vue est une infraction pénale (articles 434-27 à 434-37 du code pénal).
La prévention des menaces sur les personnes faisant l’objet de la mesure, peuvent se matérialiser par un risque :
– d’atteinte de la personne envers-elle même (passage à l’acte auto-agressif (automutilation ou suicide) ;
– d’atteinte par un tiers envers la personne gardée à vue (autres personnes se trouvant dans la cellule) ;
– d’atteinte de la personne gardée à vue envers autrui.
La sécurité des personnes peut ne pas constituer en tant que telle une finalité qui s’inscrit nécessairement dans le cadre de la prévention d’infractions pénales. En l’espèce, les finalités poursuivies par les traitements visent à prévenir les atteintes (physiques ou morales) sur la personne gardée à vue ou sur autrui. Ainsi, l’objectif est d’empêcher la réalisation de ces atteintes et par conséquent, de prévenir la commission d’un fait pénalement répréhensible. Compte tenu des précisions apportées par le ministère, la CNIL considère que les traitements permettent la prévention d’infractions pénales et à leur poursuite le cas échéant. Elle considère que les traitements relèvent du régime de la directive « police-justice » transposée au titre III de la loi « informatique et libertés ».
Le périmètre des dispositifs de vidéosurveillance
L’article L. 256-2 du CSI prévoit que le placement sous vidéosurveillance est décidé par le chef du service responsable de la sécurité des lieux concernés ou son représentant « lorsqu’il existe des raisons sérieuses de penser que cette personne pourrait tenter de s’évader ou représenter une menace pour elle-même ou pour autrui ».
L’analyse d’impact relative à la protection des données (AIPD) précise qu’il appartiendra au responsable de la sécurité des lieux concernés d’apprécier au cas par cas la nécessité de mettre en œuvre la vidéosurveillance, au regard des critères fixés par la loi et à partir d’éléments tels que :
– l’état psychique ou la personnalité de la personne ;
– les propos exprimant une intention de suicide ;
– les faits ayant justifié la mesure de garde à vue ;
– les éventuelles mesures antérieures au cours desquelles les agents ont constaté des passages à l’acte violents ou des tentatives d’évasion de la personne placée en garde à vue ou en retenue douanière.
De manière générale, la CNIL considère que ces éléments doivent présenter un caractère sérieux, dans la mesure où la surveillance permanente par vidéo porte une atteinte grave au droit au respect de la vie privée et le recours à ce type de dispositif ne doit présenter qu’un caractère subsidiaire. En particulier, les faits ayant justifié la mesure de garde à vue doivent résulter d’actes de violence d’une particulière gravité démontrant la nécessité d’une surveillance permanente par vidéosurveillance.
Des doctrines d’emploi des caméras seront rédigées par chacun des ministères concernés (ministère de l’intérieur et ministère chargé du budget). Elles comporteront notamment :
– des éléments d’aide à la décision orientant les agents sur les cas dans lesquels une mesure de vidéosurveillance peut être prise ;
– des critères permettant d’encadrer le visionnage des images en temps réel par le chef de service ou son représentant individuellement désigné et habilité par lui, pour les seules finalités mentionnées au projet d’article R. 256-1 du CSI.
La CNIL considère que ces doctrines d’emploi devront lui être transmises et être régulièrement mises à jour autant que de besoin pour résoudre les éventuels problèmes de mise en œuvre.
Par ailleurs, l’article L. 256-3 du CSI indique qu’un pare-vue fixé à la cellule de garde à vue ou de retenue douanière garantit l’intimité de la personne tout en permettant la restitution d’images opacifiées, et que l’emplacement des caméras est visible.
L’intimité de la personne s’entend au sens de l’intimité physique et corporelle. Dans ce cadre, la présence de sanitaires dans les cellules de garde à vue et de retenue douanière est de nature à nécessiter la préservation de l’intimité de la personne.
Seules les cellules équipées de sanitaires seront équipées d’un système d’opacification des images (pare-vue opacifiant). La CNIL recommande que le pare-vue ou filtre opacifiant placé entre la caméra et la zone sanitaire dans les cellules soit orienté de manière à ce que l’ensemble de la zone sanitaire ne puisse pas être filmé.
La CNIL prend acte de ce qu’il ne peut y avoir en même temps dans une même cellule de garde à vue ou de retenue douanière une personne placée sous vidéosurveillance et une autre qui ne l’est pas. Seules les personnes faisant l’objet d’un placement sous vidéosurveillance peuvent ainsi être filmées.
En outre, l’article L. 256-3 du CSI interdit :
– tout dispositif biométrique ou de captation du son ;
– tout rapprochement, interconnexion ou mise en relation automatisé avec d’autres traitements de données à caractère personnel.
La CNIL prend acte de ce qu’il n’est pas envisagé de recourir à des traitements algorithmiques d’analyse automatisée des images (« vidéo augmentée »).
Le droit à l’information
L’article L. 256-1 du CSI prévoit qu’une affiche apposée à l’entrée de la cellule équipée d’un système de vidéosurveillance informe de l’existence du système ainsi que des modalités d’accès et de rectification des données recueillies.
Le modèle d’affiche, transmis à la CNIL, comporte les mentions d’information requises conformément à l’article 104 de la loi « informatique et libertés ».
Outre les affiches apposées à l’entrée des cellules, la CNIL prend acte de ce que les mentions d’information requises au titre de l’article 104 de la loi « informatique et libertés » figureront également sur le site web des ministères concernés.
Les mesures de sécurité
La CNIL prend acte des mesures de sécurité mises en place par les ministères pour limiter les risques de disparition, de modification ou d’accès illégitime aux données de vidéosurveillance.
Concernant les moyens d’authentification, la CNIL accueille favorablement le recours à l’authentification forte lorsque cela est possible, ainsi que l’utilisation de mots de passe complexes associés à des mécanismes de verrouillage suivant plusieurs tentatives de connexion infructueuses. Si la plupart des accès aux données du traitement se feront par le biais de comptes nominatifs, la CNIL relève que certaines opérations pourront localement être réalisées par des comptes génériques. A ce titre, elle recommande l’usage systématique de comptes individuels et nominatifs.
Concernant la qualité et l’intégrité des données du traitement, la CNIL accueille favorablement l’intégration de données d’horodatage et de localisation dans les images, ainsi que les mesures de chiffrement et de signature numérique mises en place pour garantir la sécurité des données extraites. Afin de décourager la copie optique directe des enregistrements, la CNIL recommande également l’utilisation du tatouage (ou filigranage) numérique des images collectées.
La CNIL prend acte des mesures de journalisation mises en place dans le cadre du traitement. Elle accueille favorablement l’encadrement strict de l’accès aux données de traçabilité et prend acte de la durée de conservation d’un an prévue pour ces données. La CNIL accueille favorablement le passage progressif des registres papier à des systèmes de gestion dématérialisée des traces, et recommande pour ceux-ci la mise en place de moyens permettant la détection proactive des comportements illicites ainsi que la purge automatique des journaux.
Enfin, la CNIL prend acte de l’intention du ministère de l’intérieur d’enregistrer certaines données de traçabilité dans le traitement dénommé « Informatisation de la gestion des gardes à vue » (« iGAV »).