Résumé de la juridiction
Délibération du bureau de la Commission nationale de l’informatique et des libertés n°MEDP-2024-001 du 18 novembre 2024 décidant de rendre publique la mise en demeure n°MED-2024-150 du 15 novembre 2024 prise à l’encontre du ministère de l’Intérieur
Commentaire • 0
Sur la décision
| Référence : | CNIL, déc. n° MEDP-2024-001, 18 nov. 2024 |
|---|---|
| Numéro : | MEDP-2024-001 |
| État : | VIGUEUR |
| Identifiant Légifrance : | CNILTEXT000050720038 |
Texte intégral
Le bureau de la Commission nationale de l’informatique et des libertés, réuni le 18 novembre 2024 sous la présidence de Madame Marie-Laure DENIS ;
Siégeaient, outre la Présidente de la Commission, Madame Sophie LAMBREMON, Vice-présidente déléguée, et Madame Anne DEBET, Vice-présidente ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi no 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après, la 241080 loi Informatique et Libertés 241080), notamment son article 20 ;
Vu le décret no 2019-536 du 29 mai 2019 pris pour l’application de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;
Vu la décision no MED-2024-150 du 15 novembre 2024 de la Présidente de la Commission mettant en demeure le ministère l’Intérieur ;
A adopté la délibération suivante :
Par décision du 15 novembre 2024, la Présidente de la Commission a, sur le fondement de l’article 20 de la loi Informatique et Libertés, mis en demeure le ministère l’Intérieur, sis 1, place Beauvau à Paris (75008), sous un délai de deux mois à compter de sa notification :
- d’effectuer un engagement de conformité au 241080 RU-018 – Logiciel de rapprochement judiciaire à des fins d’analyse criminelle 241080 (ci-après, 241080 RU-018 241080) ainsi qu’une analyse d’impact relative à la protection des données (AIPD) pour l’ensemble les logiciels de traitements d’analyse automatisée des images (ci-après, 241080 logiciels d’analyse vidéo 241080) utilisés par ses services n’en ayant pas fait l’objet ;
- de prendre les mesures adéquates permettant d’empêcher l’utilisation des fonctionnalités de reconnaissance faciale de certains des logiciels d’analyse vidéo utilisés.
Dans cette décision, sur le fondement de l’article 20 de la loi précitée, la Présidente de la Commission a également adressé au ministère un rappel aux obligations légales, pour avoir utilisé des logiciels d’analyse vidéo pour répondre à des réquisitions judiciaires (logiciels de rapprochement judiciaire) sans transmission préalable à la CNIL des engagements de conformité correspondants, en méconnaissance des articles 4 et 31 de la loi Informatique et Libertés.
En application du dernier alinéa du III de l’article 20 la loi Informatique et Libertés, la Présidente de la CNIL a régulièrement convoqué le bureau de la Commission aux fins de statuer sur sa demande de rendre publique sa décision.
Le bureau a été réuni à cette fin le 18 novembre 2024.
Après en avoir délibéré, le bureau estime que la publicité se justifie tout d’abord par le fait que la décision de contrôle de la CNIL à l’encontre du ministère de l’Intérieur a été prise dans un contexte de couverture médiatique du sujet.
En effet, cette décision faisait suite à la publication par le journal d’investigation Disclose, le 14 novembre 2023, d’une enquête révélant l’utilisation par les services du ministère de l’Intérieur d’un logiciel d’analyse vidéo édité par la société BRIEFCAM. Cette enquête faisait état d’une utilisation de ce logiciel par plusieurs directions et services du ministère, commissariats de police et brigades de gendarmerie, progressivement depuis 2015, afin notamment de rechercher un individu en fonction de différents critères (filtres relatifs à la couleur ou la forme d’un objet par exemple), ou d’une fonctionnalité de reconnaissance faciale.
Le lendemain de cette publication, la Commission – dont l’une des thématiques de contrôles 2023 portait sur 241080 L’utilisation de caméras 241080augmentées241080 par les acteurs publics 241080 – a initié une procédure de contrôle auprès du ministère de l’Intérieur et a rendu cette information publique. Le ministre de l’Intérieur a quant à lui annoncé avoir demandé qu’une mission inter-inspections sur l’usage de logiciels d’analyse vidéo par les services de police et de gendarmerie nationales soit diligentée par l’inspection générale de l’administration (IGA), l’inspection générale de la police nationale (IGPN) et l’inspection générale de la gendarmerie nationale (IGGN). Le rapport de cette mission a été publié le mois dernier.
Ces informations ont fait l’objet de nombreuses reprises dans la presse et ont également eu des retentissements au sein des parlements français[1] comme européens[2]. Elles ont également donné lieu à plusieurs recours devant le juge administratif[3].
Dans ce contexte, le bureau estime opportun que le grand public soit informé des constatations effectuées par la CNIL à l’égard de ces faits dénoncés publiquement, ainsi que des actions mises en œuvre pour les vérifier, comme la CNIL s’y était engagée.
Cette publicité permet en outre de rendre compte de la réalité des pratiques constatées par la CNIL lors de ses opérations de contrôle, de faire état des manquements retenus dans ce cadre ainsi que des mesures qu’il est à présent demandé au ministère de l’Intérieur de prendre pour y remédier, pour les manquements qui perdurent.
La publicité de la décision se justifie en outre par la nature et la grande sensibilité du traitement concerné, qui présente un risque particulier au regard de la vie privée, s’agissant de l’usage, par les pouvoirs publics, d’un logiciel disposant d’une fonctionnalité de reconnaissance faciale. En effet, la reconnaissance faciale sur la voie publique soulève des enjeux d’une particulière sensibilité en matière de protection des données, en raison des risques d’atteintes aux libertés individuelles qu’elle est susceptible d’induire, qui sont considérables, pour la liberté d’aller et venir anonymement notamment.
Au vu de ce qui précède, et compte tenu de la sensibilité de ces questions, le bureau considère opportun de rendre publiques les constations opérées par la CNIL, qui ne font état que d’un cas d’usage isolé de cette fonctionnalité du logiciel de la société BRIEFCAM par l’un des services du ministère de l’Intérieur, fonctionnalité qui avait été intégrée par l’éditeur lors d’une mise à jour du logiciel.
Si aucune autre utilisation de cette fonctionnalité n’a été constatée par les services de la CNIL, le bureau estime nécessaire de rappeler publiquement que les dispositifs d’identification ou de caractérisation des personnes physiques à partir de leurs données biométriques, utilisés de manière opérationnelle comme expérimentale, ne sont pas autorisés par le législateur dans l’espace public, et de rendre publique l’injonction formulée à l’encontre du ministère pour qu’il prenne les mesures requises pour s’assurer, à l’avenir, qu’une telle fonctionnalité ne puisse plus être utilisée.
Le bureau considère également nécessaire de rendre publiques les garanties qu’il est à présent demandé au ministère de l’Intérieur d’apporter, en complément de premières mesures adoptées tardivement, afin de fournir à la CNIL l’ensemble des engagements de conformité et AIPD devant être effectuées pour la mise en œuvre de ces traitements, permettant ainsi à la CNIL d’être pleinement en mesure d’exercer sa mission de contrôle, notamment a priori.
Enfin, le bureau estime intéressant d’informer le public que les constations des services de la CNIL, issues des contrôles effectués, rejoignent la plupart de celles faites par la mission inter-inspections diligentée par le ministère.
En conséquence, le bureau de la Commission nationale de l’informatique et des libertés décide de rendre publique la décision no MED-2024-150 de la Présidente de la CNIL prise à l’encontre du ministère de l’Intérieur.
Le bureau rappelle que cette décision ne revêt pas le caractère d’une sanction. Si le ministère de l’Intérieur se conforme en tout point aux exigences de la mise en demeure dans le délai imparti, celle-ci fera l’objet d’une clôture qui sera également rendue publique.
Enfin, tant la décision de mise en demeure précitée que la présente délibération ne permettront plus d’identifier nommément l’organisme à l’expiration d’un délai de deux ans à compter de leur publication.
La Présidente
Marie-Laure DENIS
[1] V. notamment : questions au gouvernement nos 09083 du 23 novembre 2023, 1335S du 30 mai 2024 et 0105S du 17 octobre 2024.
[2] V. notamment : Lettre ouverte des membres du Parlement européen concernant les révélations de reconnaissance faciale illégale en France, à la lumière des négociations de la loi sur l’IA envoyée par 45 députés européens au président de la République, à la première ministre et au ministre de l’intérieur.
[3] V. notamment : CE, 21 décembre 2023, no 489990 ; TA Nice, 23 novembre 2023, no 2305692 ; TA Lille, 29 novembre 2023, nos 2310103 et 2310163.
Décisions similaires
Citées dans les mêmes commentaires • 3
- Données de santé ·
- Informatique ·
- Traitement de données ·
- Archivage ·
- Méthodologie ·
- Commission nationale ·
- Collecte ·
- Liberté ·
- Personne concernée ·
- Réutilisation de données
- Informatique ·
- Méthodologie ·
- Traitement de données ·
- Personnes ·
- Information ·
- Liberté ·
- Santé ·
- Archivage ·
- Commission nationale ·
- Données
- Informatique ·
- Traitement de données ·
- Liberté ·
- Archivage ·
- Méthodologie ·
- Commission nationale ·
- Autorité parentale ·
- Information ·
- Fichier ·
- Durée de conservation
Citant les mêmes articles de loi • 3
- Traitement de données ·
- Archivage ·
- Méthodologie ·
- Commission nationale ·
- Données de santé ·
- Fichier ·
- Durée de conservation ·
- Informatique et libertés ·
- Santé ·
- Règlement (ue)
- Informatique ·
- Traitement de données ·
- Archivage ·
- Méthodologie ·
- Commission nationale ·
- Liberté ·
- Données de santé ·
- Prénom ·
- Fichier ·
- Durée de conservation
- Cnil ·
- Traitement ·
- Ministère ·
- Finalité ·
- Protection des données ·
- Contrôle ·
- Finances ·
- Personnes ·
- Fraude fiscale ·
- Administration
De référence sur les mêmes thèmes • 3
- Réutilisation de données ·
- Informatique ·
- Données de santé ·
- Évaluation ·
- Enfant ·
- Information ·
- Traitement de données ·
- Autorité parentale ·
- Liberté ·
- Archivage
- Données de santé ·
- Plateforme ·
- Informatique ·
- Traitement de données ·
- Liberté ·
- Archivage ·
- Méthodologie ·
- Commission nationale ·
- Collecte ·
- Recherche
- Traitement ·
- Nigeria ·
- Données ·
- Cnil ·
- Santé ·
- Informatique ·
- Méthodologie ·
- Responsable ·
- Recherche médicale ·
- Maladie infectieuse
Sur les mêmes thèmes • 3
- Sanction ·
- Juriste ·
- Protection ·
- Service ·
- Innovation ·
- Technologie ·
- Plainte ·
- Contrôle ·
- Contentieux ·
- Système d'information
- Formation restreinte ·
- Cookies ·
- Utilisateur ·
- Orange ·
- Consentement ·
- Message ·
- Courrier électronique ·
- Informatique et libertés ·
- Sociétés ·
- Directive
- Données de santé ·
- Méthodologie ·
- Informatique et libertés ·
- Traitement de données ·
- Commission nationale ·
- Recherche ·
- Conformité ·
- Référence ·
- Réutilisation de données ·
- Accès
Textes cités dans la décision
Aucune décision de référence ou d'espèce avec un extrait similaire.