La Commission nationale de l’informatique et des libertés,

Saisie par le ministre de l’intérieur d’une demande d’avis concernant un projet de décret portant application des articles L. 251-1 et suivants du code de la sécurité intérieure et relatif à la mise en œuvre des traitements de données à caractère personnel provenant de systèmes de vidéoprotection et des caméras installées sur des aéronefs ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment le IV de l’article 31 et les titres III et IV ;

Après avoir entendu le rapport de M^me Sophie LAMBREMON, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,

Adopte la deliberation suivante :

I. – La saisine

A. Le contexte de la saisine

Le cadre juridique relatif à la vidéoprotection est prévu par les articles 10 à 10-2 de la loi n° 95-73 du 21 janvier 1995 d’orientation et de programmation relative à la sécurité, qui ont été codifiés aux articles L. 251-1 à L. 255-1 et L. 233-1 à L. 233-9 du code de la sécurité intérieure (CSI).

L’article 9 de la loi n° 2023-380 du 19 mai 2023 relative aux jeux Olympiques et Paralympiques de 2024 est venu réformer ce cadre juridique afin de le mettre en conformité avec le RGPD et la directive (UE) 2016/680 du 27 avril 2016, dite police-justice . La CNIL s’est prononcée sur cette loi dans le cadre de sa délibération n° 2022-118 du 8 décembre 2022.

B. L’objet de la saisine

La CNIL a été saisie par le ministère de l’intérieur pour avis sur un projet de décret portant application des articles L. 251-1 et suivants du CSI relatif à la mise en œuvre des traitements de données à caractère personnel provenant de systèmes de vidéoprotection et des caméras installées sur des aéronefs.

Ce projet modifie :

— les dispositions réglementaires du CSI relatives à la vidéoprotection afin de les mettre en conformité avec le RGPD et la directive police-justice ;

- les dispositions relatives aux caméras installées sur des aéronefs pour des missions de police administrative afin de prévoir la compétence du préfet de police dans les départements des Hauts-de-Seine, de la Seine-Saint-Denis et du Val-de-Marne et sur les emprises des aérodromes de Paris-Charles de Gaulle, Paris-Le-Bourget et Paris-Orly.

Les modifications portant sur les dispositions relatives aux caméras installées sur des aéronefs pour des missions de police administrative n’appellent pas d’observations de la part de la CNIL.

II. – L’avis de la CNIL

A. Sur les lieux d’implantation des caméras de vidéoprotection et la notion de responsable de traitement

Le projet de décret crée un nouvel article R. 251-1 du CSI afin de préciser :

— les finalités des traitements de données des systèmes de vidéoprotection ;

- les responsables de traitements pouvant être autorisés à mettre en œuvre de tels dispositifs ;

- les lieux où peuvent être implantés ces dispositifs.

Les responsables de traitements autorisés à mettre en œuvre des systèmes de vidéoprotection sur la voie publique sont :

— les autorités publiques compétentes (les collectivités territoriales par exemple) pour les finalités mentionnées du 1° au 11° de l’article L. 251-2 du CSI ;

- les autres personnes morales aux abords immédiats de leurs bâtiments et installations pour les finalités mentionnées au premier alinéa de l’article L. 223-1 du CSI (dans les lieux susceptibles d’être exposés à des actes de terrorisme) ;

- les commerçants aux abords immédiats de leurs bâtiments et installations pour les finalités mentionnées au dernier alinéa de l’article L. 251-2 du CSI (dans les lieux particulièrement exposés à des risques d’agression ou de vol).

Les personnes morales peuvent être autorisées à mettre en œuvre des systèmes de vidéoprotection dans les lieux et établissements ouverts au public pour assurer la sécurité des personnes et des biens lorsque ces lieux et établissements sont particulièrement exposés à des risques d’agression ou de vol (avant dernier alinéa de l’article L. 251-2 du CSI) ou à des risques de terrorisme (deuxième alinéa de l’article L. 223-1 du CSI).

Eu égard à leurs finalités, les traitements de données peuvent relever du RGPD, de la directive police-justice (titre III de la loi informatique et libertés ), et/ou du titre IV de la loi précitée.

Le ministère s’est engagé à définir les notions d’ abords immédiats des bâtiments et installations sur la voie publique et de lieux et établissements ouverts au public dans une circulaire qui précisera le décret.

Par ailleurs, le projet de décret utilise les dénominations suivantes :

— les responsables des systèmes de vidéoprotection (projets d’articles R. 251-1, R. 252-6, R. 253-3, R. 253-6, R. 254-1 du CSI) ;

- le responsable de la maintenance (projet d’article R. 252-3 du CSI) qui peut être la même personne que le responsable de système ou une personne différente ;

- la personne autorisée à mettre en œuvre un système de vidéoprotection (projet d’article R. 253-3 du CSI).

Le ministère a indiqué que les responsables des systèmes de vidéoprotection sont les personnes autorisées à mettre en œuvre un système de vidéoprotection et doivent être considérés comme les responsables de traitement au sens de la réglementation relative à la protection des données. Ces notions pourraient être clarifiées dans le projet de décret afin de mieux les articuler avec les définitions données par le RGPD et permettre aux acteurs concernés de connaître leurs obligations.

B. Sur les données collectées

Le projet d’article R. 253-1 précise les données à caractère personnel qui peuvent être enregistrées dans les traitements, à savoir : les images captées par les systèmes de vidéoprotection ; le jour et les plages horaires d’enregistrement ; le lieu où ont été collectées les images.

Cette liste limitative interdit de recourir à des dispositifs de captation sonore ou à des dispositifs biométriques. Le ministère s’engage à modifier le projet de décret afin de préciser que les sons ne peuvent pas être captés par les systèmes de vidéoprotection.

Le projet d’article R. 253-1 du CSI prévoit que les données enregistrées dans les traitements sont susceptibles de révéler des données sensibles au sens de l’article 6 de la loi. La CNIL estime qu’un enregistrement vidéo ne relève pas d’une catégorie particulière de données à caractère personnel. Toutefois, si les images font l’objet d’un traitement spécifique sur des données sensibles, l’article 6 de la loi est susceptible de s’appliquer.

C. Sur les accédants et destinataires

Les personnes pouvant visionner les images et les destinataires des données sont énumérés au projet d’article R. 253-3 du CSI.

S’agissant des personnes autorisées à visionner les images, le projet de décret devrait préciser quelles sont les autres autorités publiques responsables du système mentionnées au 4° du II du projet d’article.

D. Sur les droits à l’information et d’accès

Le projet d’article R. 253-6 prévoit que l’information du public est délivrée par voie d’affiches ou de panonceaux comportant un pictogramme représentant une caméra, et comprend les informations prévues à l’article 14 du RGPD, à l’article 104 ou à l’article 116 de la loi.

Dans la mesure où les données issues des systèmes de vidéoprotection sont collectées directement auprès des personnes concernées, le projet de décret devrait faire référence à l’article 13 du RGPD et non à l’article 14 du RGPD. La portée du droit à l’information prévu à l’article 13 du RGPD peut être limitée dans les conditions prévues à l’article 23 du RGPD.

La CNIL constate la suppression de la précision suivante : Afin de garantir une information claire et permanente des personnes filmées ou susceptibles de l’être, le format, le nombre et la localisation des affiches ou panonceaux sont adaptés à la situation des lieux et établissements qui figure à l’actuel article R. 253-3 du CSI, mais prend acte que ces précisions seront précisées dans la circulaire. De plus, le choix de la mise en place technique de l’information dépendra de chaque responsable du système qui pourra apporter des précisions dans l’AIPD.

Dans la mesure où, en pratique, il sera difficile de faire tenir toutes les mentions d’information prévues par la réglementation relative à la protection des données sur une affiche ou un panonceau, un premier niveau d’information pourrait être donné via les affiches ou panonceaux sur les lieux d’installation des caméras mentionnant les informations les plus importantes. Un second niveau d’information devrait être prévu comportant toutes les mentions, par exemple via un site web. Le Comité européen de la protection des données (CEPD) dans ses lignes directrices 3/2019 sur les dispositifs vidéo estime que le premier niveau d’information doit a minima comporter l’identité du responsable de traitement, les finalités du traitement et l’existence des droits de la personne concernée. Le ministère s’engage à modifier le projet de décret pour faire référence aux deux niveaux d’information.

Le droit d’accès aux données à caractère personnel et les restrictions à ce droit sont prévus aux II et III du projet d’article R. 253-6 du CSI. La CNIL observe que la référence au droit d’accès aux enregistrements a été supprimée à l’article L. 253-5 du CSI tel que modifié par la loi du 19 mai 2023 relative aux jeux Olympiques et Paralympiques de 2024. Le droit d’accès aux enregistrements qui était prévu par le CSI permettait aux personnes intéressées de visionner les images sans obligation de floutage, alors que le droit d’accès à leurs données à caractère personnel prévu par l’article 15 du RGPD et les articles 105 et 118 loi Informatique et Libertés leur permet d’accéder et prendre copie des images les concernant dans la mesure où les visages des autres personnes sont floutées. La CNIL invite le ministère à préciser les modalités d’exercice du droit d’accès dans le projet de décret et dans l’AIPD cadre. Elle considère que le droit d’accès prévu par le RGPD et la loi Informatique et Libertés devrait faire l’objet de modalités spécifiques, telles que la possibilité pour les personnes intéressées de visionner les images les concernant sans floutage. L’effectivité du droit d’accès devrait cependant être assurée de façon à limiter l’atteinte aux droits des tiers.

E. Sur l’acte réglementaire unique, l’engagement de conformité et l’analyse d’impact relative à la protection des données (AIPD)

L’ensemble des responsables de traitement autorisés à mettre en œuvre des systèmes de vidéoprotection (les autorités publiques, les autres personnes morales et les commerçants) sont soumis à la procédure d’autorisation préfectorale.

Parmi l’ensemble des traitements de vidéoprotection, seuls les traitements mis en œuvre pour le compte de l’Etat sont couverts par un acte réglementaire unique, en application du IV de l’article 31 de la loi. Le projet de décret constitue à ce titre un acte réglementaire unique. Les responsables de traitement agissant pour le compte de l’Etat devront ainsi envoyer à la CNIL un engagement de conformité conformément au projet d’article R. 253-7 du CSI.

Pour les traitements relevant du régime de la directive police-justice (titre III de la loi) et mis en œuvre pour le compte de l’Etat, l’AIPD doit être adressée à la CNIL avec la demande d’avis conformément à l’article 90 de la loi. A cet égard, le ministère a transmis à la CNIL une AIPD cadre portant sur l’ensemble des traitements mis en œuvre pour le compte de l’Etat (y compris les communes). La CNIL estime que cette AIPD cadre a vocation à constituer le socle de garanties minimales à mettre en œuvre par l’ensemble des responsables de traitements de vidéoprotection, et devra être complétée par ces derniers le cas échéant.

F. Sur les mesures de sécurité

L’arrêté du 3 août 2007 portant définition des normes techniques des systèmes de vidéosurveillance mentionné dans l’AIPD cadre est obsolète et devrait être mis à jour. Le ministère a indiqué travailler actuellement à une refonte de cet arrêté.

Concernant les caméras de vidéoprotection mises en œuvre par les commerçants aux abords immédiats de leurs bâtiments et installations, le projet d’article R. 251-2 du CSI prévoit que la ou les caméras composant le dispositif de vidéoprotection sont déconnectées des caméras installées à l’intérieur du lieu ouvert au public de manière à ce que le responsable ou ses subordonnés ne puissent avoir accès aux images enregistrées par la ou les caméras extérieures. La CNIL considère que cette garantie devrait être accompagnée de mesures de sécurité robustes afin de garantir son effectivité. En particulier, des mesures de chiffrement des sauvegardes et communications et de limitation des accès au moyen d’un système d’authentification devraient être mises en œuvre.

Le projet de décret prévoit la suppression des points 5° et 10° de l’article R. 252-3 du CSI, disposant que la demande d’autorisation préfectorale est accompagnée de la description du dispositif prévu pour la transmission, l’enregistrement et le traitement des images et les consignes générales données aux personnels d’exploitation du système pour le fonctionnement de celui-ci et le traitement des images. La CNIL considère que ces informations sont nécessaires à la délivrance des autorisations. Elle invite dès lors le ministère à conserver ces informations dans le dossier accompagnant la demande d’autorisation ou à prévoir à l’article R. 252-3 du CSI qu’elles puissent être intégrées dans l’AIPD lorsque celle-ci existe.

Concernant la journalisation, la CNIL s’interroge sur l’articulation entre les projets d’articles R. 253-2 et R. 253-5 du CSI. Le ministère s’engage à supprimer la mention ainsi que la traçabilité des consultations des images au projet d’article R. 253-2 du CSI, qui est redondant avec le projet d’article R. 253-5 du CSI et apporte moins de garanties que ce dernier.

La présidente,
M.-L. Denis