Retour sur l’affaire Briefcam : la surveillance technologique aux frontières de la légalité
Selon une enquête du média Disclose, plusieurs services de police auraient recours à un logiciel de vidéosurveillance algorithmique sans en avoir averti la CNIL. L’affaire illustre la normalisation à deux vitesses des outils de reconnaissance faciale.
Par Caroline Lequesne, Maître de conférences HDR à l’université Côte d’Azur.
Si les technologies de surveillance nourrissent les imaginaires dystopiques, force est de constater qu’elles investissent aujourd’hui, de manière tout à fait concrète, nos réalités individuelles et collectives. Leur normalisation répond d’une double dynamique. Dans les cénacles nationaux et européens, l’adoption d’un encadrement idoine (acquis ou en cours) décrit une normalisation par le droit ; parallèlement, sur le terrain et sous les radars, se dessine une normalisation « sauvage » qui voit l’intégration de ces outils dans le quotidien des polices, en dehors de tout cadre et de tout contrôle.
L’affaire dite « Briefcam », du nom d’une société israélienne développant des logiciels de vidéosurveillance algorithmique, est emblématique de ce second mouvement. Selon une enquête journalistique conduite par le média d’investigation en ligne Disclose, nombre de services de la police française auraient recours à un de ces logiciels de surveillance, dénommé « Vidéo Synopsis ». de cette société israélienne dénommé « Vidéo Synopsis » Parmi ses fonctionnalités : la possibilité de suivre, et d’identifier par reconnaissance faciale, les individus dans l’espace public.
Le recours à la reconnaissance faciale, par les forces de l’ordre, dans l’espace public, est-il légal ?
À la pluralité des usages de la reconnaissance faciale, fait écho une pluralité de fondements juridiques qui en limitent le déploiement. Trois hypothèses doivent en ce sens être distinguées.
Dans le cadre d’une enquête judiciaire ou administrative, les forces de l’ordre – et autres agents habilités – peuvent consulter le fichier TAJ (traitement des antécédents judiciaires). Créé en 2012, ce fichier commun à la police et la gendarmerie regroupe les données recueillies au cours d’enquêtes concernant tout crime, délit ou contravention de cinquième classe, sanctionnant un trouble à l’ordre public ou une atteinte aux biens, personnes, ou à l’autorité de l’État (articles R. 40-23 à R. 40-34 du code de procédure pénale). Parmi les données enregistrées, le fichier TAJ comprend les photographies des personnes incriminées. Sa base consolidée permet ainsi d’éventuels rapprochements avec de nouveaux clichés obtenus par les forces de l’ordre. Le Conseil d’Etat a approuvé le recours à cet outil de reconnaissance faciale dans une décision du 26 avril 2022, le subordonnant toutefois au contrôle d’un magistrat référent désigné par le ministre de la Justice et par la CNIL (CE, 26 avril 2022, n° 442364, La Quadrature du Net).
Aux frontières, la mise en place du système Parafe dans plusieurs gares et aéroports français permet un passage automatisé. Autorisée par l’article R. 232-6 du code de la sécurité intérieure, sa mise en œuvre repose sur le consentement des voyageurs.
Dans les espaces publics – ou accessibles au public (stades, centres commerciaux par exemple) -, le recours à la reconnaissance faciale en temps réel est par principe interdit. En effet, cette opération suppose un traitement automatisé de données biométriques dites « sensibles » (article 9 du Règlement général sur la protection des données – RGPD). Ce traitement n’est autorisé par exception que dans quatre hypothèses : sous l’empire du RGPD, si le consentement des personnes concernées est acquis ; aux termes de la Directive Police Justice et du RGPD, si le pronostic vital d’une personne est engagé, les données traitées rendues manifestement publiques par les personnes concernées ou si une loi l’autorise.
L’interprétation (juris)prudentielle de ces textes a mis en évidence que seul ce dernier fondement était valable et « praticable » dans l’hypothèse d’un déploiement à large échelle dans l’espace public. Or une telle loi n’a pas été adoptée à ce jour. Le Conseil Cconstitutionnel en a rappelé le caractère impératif, invitant le législateur à se positionner en amont de ces usages (Décision 2023-850 DC – 17 mai 2023 – Loi relative aux Jeux Olympiques et Paralympiques de 2024 et portant diverses autres dispositions).
Quelles sont les suites administratives et judiciaires de l’affaire Briefcam ?
Selon les investigations journalistiques, l’usage du logiciel de Briefcam serait largement répandu sur le territoire. Expérimenté à compter de 2015 par le ministère de l’Intérieur, il aurait depuis été généralisé, et parallèlement acquis par une centaine de villes pour équiper les polices municipales. Ces allégations ont conduit à l’ouverture de diverses procédures aux échelons national et local.
Tandis que le ministère de l’Intérieur a annoncé l’ouverture d’une enquête administrative, la CNIL a initié une procédure de contrôle à l’encontre de ce dernier. L’utilisation du logiciel n’aurait pas été portée à sa connaissance, ni fait l’objet d’une analyse d’impact obligatoire au titre des articles 35 du RGPD et 27 de la Directive Police Justice. L’enjeu de cette procédure consistera notamment à établir si les autorités ont effectivement eu recours aux fonctionnalités de reconnaissance faciale offertes par le logiciel. L’enquête journalistique fait état des potentialités fonctionnelles très vastes, soumises à des régimes divers, dont elle n’est qu’un des aspects. Si le recours à la reconnaissance faciale était avéré, l’autorité de protection des données pourrait mettre en demeure, voire adopter des mesures de sanction, à l’encontre des autorités concernées.
Dans les territoires, des procédures de référés-libertés ont été introduites devant les tribunaux administratifs de Caen, Nice et Roubaix. Le juge normand a admis que, le système portait « une atteinte grave et manifestement illégale au respect de la vie privée » en permettant de procéder à l’identification de « personnes physiques en fonction de leurs caractéristiques propres », il portait « une atteinte grave et manifestement illégale au respect de la vie privée ». Il souligne à cet égard la disproportionnalité des usages dès lors qu’il « n’est pas établi ni même allégué que d’autres moyens moins intrusifs au regard de la vie privée ne pouvaient être mis en œuvre afin de préserver l’ordre public ». La communauté de communes Cœur Côte Fleurie a été enjointe, sur ces fondements, d’effacer les données à caractère personnel recueillies et exploitées par le logiciel (TA Caen, 22 nov. 2023, n° 2303004).
Si les conclusions des juges niçois et roubaisien diffèrent quant à leurs résultats, elles convergent dans leur approche. Tous deux observent que les villes concernées n’ont pas activéactivité la fonction de reconnaissance faciale, et que l’usage du logiciel à titre expérimental par la ville de Nice n’a pas été pérennisé. C’est en l’absence d’opérations d’identification que les deux villes ont obtenu gain de cause (TA Nice 23 novembre 2023, n° 2305692, 2306593, 2305712 ; TA Lille, 29 novembre 2023, n°2310103, 2310163).
Quelles perspectives offre la réglementation européenne en la matière ?
Si la reconnaissance faciale en temps réel dans l’espace public est aujourd’hui interdite faute de loi, la situation pourrait rapidement évoluer sous l’influence conjointe des législateurs européen et français. Rappelons en effet que la proposition de règlement sur l’intelligence artificielle (« AI Act ») prévoit d’encadrer la pratique. La proposition initiale de la Commission (COM(2021) 206 final, avril 2021) envisageait d’autoriser son déploiement pour la recherche ciblée de victimes potentielles, la prévention d’une menace spécifique, substantielle et imminente pour la vie ou la sécurité physique des personnes physiques, la prévention d’une attaque terroriste ou la détection, la localisation, l’identification ou les poursuites à l’encontre de l’auteur ou du suspect d’une infraction pénale visée à l’article 2, paragraphe 2, de la décision-cadre 2002/584/JAI du Conseil (article 5).
Cette proposition a suscité les plus vives oppositions de la part des organisations de défense des libertés et d’une partie de la société civile dont le Parlement européen s’est fait l’écho. En mai dernier, celui-ci a pris position en faveur d’une interdiction absolue de la technologie dans les espaces accessibles au public. Pour l’heureÀ l’heure où nous écrivons, la phase finale du trilogue peine à aboutir faute d’accord sur ces questions. Les propositions de compromis avancées par la présidence espagnole consisteraient en une autorisation de déploiement plus restreinte que celle initialement prévue, avec des exemptions nationales importantes.
Le législateur français n’a quant à lui pas attendu l’adoption du texte pour engager la réflexion. Après deux rapports parlementaires (au Sénat, Rapport d’information n° 627 (2021-2022), puis à l’Assemblée nationale, Rapport d’information n°1089, 2023, 16e législature) invitant à combler les lacunes législatives, la loi d’expérimentation adoptée en vue de la tenue des JO 2024 pose les premiers jalons (Loi n°2023-380 du 19 mai 2023 relative aux jeux Olympiques et Paralympiques de 2024 et portant diverses autres dispositions). Bien qu’elle exclue le recours à la reconnaissance faciale, elle décrit un mode d’emploi, celui du déploiement de la vidéosurveillance intelligente – qui pourrait inspirer celui de l’identification biométrique. Une proposition de loi en ce sens est actuellement discutée au Parlement (Proposition de loi n°1342 relative à la reconnaissance biométrique dans l’espace public).
Ces initiatives ne répondent toutefois pas pleinement aux attentes d’un régime de libertés : on peine encore à identifier les contre-pouvoirs, les mécaniques de contrôle et la place du citoyen dans les cadres envisagés. Aussi, si la convergence des dynamiques de normalisation est engagée, ses contours restent à définir et son déploiement « démocratique » à inventer.