CHAPITRE III : DISPOSITIONS VISANT À MIEUX GARANTIR LA SÉCURITÉ
Article 6
Mise en conformité des dispositions du code de la
sécurité intérieure relatives à la
vidéoprotection
avec la législation sur les données
à caractère personnel
L'article 6 du projet de loi vise à mettre en conformité les dispositions du code de la sécurité intérieure (CSI) relatives à la vidéoprotection dans l'espace public avec le régime des données à caractère personnel issu de la réglementation européenne entrée en vigueur le 25 mai 2018.
Les systèmes de vidéoprotection étant des systèmes de traitement de données à caractère personnel, cette mise à jour est demandée depuis des années par la Commission nationale de l'informatique et des libertés (CNIL) et le Conseil d'État dans le cadre d'une refonte plus globale du régime des images captées dans l'espace public.
Compte tenu de la proximité des jeux Olympiques et Paralympiques, le Gouvernement a fait le choix d'une modification a minima qui ne concernerait que le titre V, relatif à la vidéoprotection, du CSI et consiste en l'abrogation des dispositions obsolètes. Il procède par un renvoi global aux dispositions applicables en matière de données à caractère personnel et laisse le soin au décret d'application de fixer les modalités relatives aux droits des personnes.
La commission a constaté que cette solution était de nature à conforter les droits des personnes au titre de leurs données à caractère personnel et que la CNIL conserverait tous ses pouvoirs de contrôle et de sanction sur les systèmes de vidéoprotection dans le cadre de la loi « Informatique et libertés ».
Compte tenu de l'importance du décret d'application à venir, elle a souhaité mieux expliciter son champ et faire expressément référence aux modalités d'information et d'exercice des droits des personnes susceptibles d'être filmées par un système de vidéoprotection.
La commission a adopté cet article ainsi modifié.
1. Une mise en conformité du régime de vidéoprotection indispensable
L'article 6 du projet de loi vise à mettre fin au régime dual applicable à la vidéoprotection depuis la loi du 21 janvier 1995 d'orientation et de programmation relative à la sécurité 38 ( * ) et en application duquel il convient de distinguer selon deux cas :
- lorsque les enregistrements visuels de vidéoprotection sont « utilisés dans des traitements automatisés ou contenus dans des fichiers structurés selon des critères permettant d'identifier, directement ou indirectement, des personnes physiques », ils sont alors soumis à la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés 39 ( * ) (dite loi « Informatique et libertés ») ;
- lorsque les enregistrements visuels de vidéoprotection ne sont pas utilisés ou contenus dans de tels traitements, ils sont alors uniquement soumis aux dispositions du titre V du livre II du code de la sécurité intérieure (CSI).
Selon l'analyse de la Commission nationale de l'informatique et des libertés (CNIL) et du Conseil d'État, ces dispositions sont devenues obsolètes en 2018 , avec l'entrée en vigueur de la législation européenne issue du règlement général sur la protection des données 40 ( * ) (RGPD) et de la directive « Police-Justice » 41 ( * ) transposée par la loi du 20 juin 2018 relative à la protection des données personnelles 42 ( * ) qui sont applicables aux traitements ayant pour objet la sécurité publique ou la recherche d'infractions pénales.
1.1. Le choix du Gouvernement : ne modifier que le régime de la vidéoprotection sans créer de régime unique pour toutes les techniques de captation d'images dans l'espace public
La mise en conformité des dispositions du CSI relatives à la vidéoprotection avec la réglementation en matière de données à caractère personnel est demandée depuis de nombreuses années par la CNIL et le Conseil d'État qui appellent de leurs voeux une refonte de toutes les dispositions relatives aux traitements des images captées par les autorités publiques dans les espaces ouverts au public (vidéoprotection, caméras individuelles, caméras installées sur des aéronefs et caméras embarquées).
Une telle réécriture globale, qui permettrait une harmonisation et une clarification des règles applicables, a été un temps envisagée mais n'est pas la solution retenue par le Gouvernement car le calendrier d'une telle réforme 43 ( * ) ne lui a pas semblé compatible avec la perspective des prochains jeux Olympiques et Paralympiques.
La volonté d'un déploiement accru des caméras de vidéoprotection dans l'espace public et d'une expérimentation de la vidéoprotection « intelligente » ou « augmentée » dans le cadre de l'organisation de ces grands évènements a ainsi conduit le Gouvernement à choisir une modification a minima qui ne vise que le titre V, relatif à la vidéoprotection, du CSI et consiste en l'abrogation des dispositions obsolètes.
1.2. Une réécriture qui renvoie intégralement au RGPD et à la loi « Informatique et libertés »
La nouvelle rédaction proposée de l'article L. 251-1 du CSI dispose que « les systèmes de vidéoprotection répondant aux conditions fixées à l'article L. 251-2 44 ( * ) sont des traitements de données à caractère personnel régis par les dispositions du présent titre ainsi que par celles du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 et de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. ».
L'ensemble des systèmes de vidéoprotection déployés dans l'espace public au titre de l'article L. 251-2 serait ainsi soumis à la législation sur les données à caractère personnel, sans distinction du type de traitement opéré (captation, enregistrement, etc. ). Il suffit en effet que la captation de données à caractère personnel soit possible pour que le dispositif de vidéoprotection constitue un traitement de données à caractère personnel. La CNIL souligne que le fait que les personnes ne soient pas immédiatement reconnaissables sur les images ne fait pas perdre à celles-ci leur caractère de données personnelles, dès lors qu'elles pourraient être réidentifiées.
Par ailleurs, elle s'est déclarée favorable à une rédaction large - donc protectrice - qui englobe toutes les données à caractère personnel susceptibles d'être traitées (par exemple, une plaque d'immatriculation). Le fait qu'il ne soit plus fait référence aux seuls « enregistrements visuels » permet également d'inclure la captation et l'enregistrement du son .
La CNIL approuve ce renvoi général au RGPD et à la loi « Informatique et libertés » à l'article L. 251-1, étant précisé qu'il devrait être complété par un décret auquel il reviendrait de déterminer les modalités d'exercice des droits reconnus par cette législation.
2. Une réécriture qui, malgré les apparences, renforce les garanties et maintient le plein pouvoir de contrôle de la CNIL mais renvoie largement au décret
La réécriture opérée par l'article 6 semble, de premier abord, accorder moins de garanties que le droit existant , dans la mesure où elle supprime des dispositions relatives au droit d'information, au droit d'accès ou aux pouvoirs de contrôle de la CNIL.
Il n'en est rien : le renvoi global aux dispositions du RGPD et à la loi « Informatiques et libertés » permettrait une application de l'ensemble des dispositions protectrices de cette réglementation , y compris le droit d'information et le droit d'accès, et ferait entrer la vidéoprotection dans le champ du pouvoir de contrôle de droit commun de la CNIL.
2.1. Le renvoi au RGPD et à la loi « Informatique et libertés » offre un niveau de garanties équivalent, voire supérieur
La rédaction proposée supprimerait l'article L. 251-3 du CSI qui prévoit que « le public est informé de manière claire et permanente de l'existence du système de vidéoprotection et de l'autorité ou de la personne responsable ».
Toutefois, un droit à l'information plus complet est prévu par les articles 12 à 14 du RGPD et 48 et 104 de la loi « Informatique et libertés ». Outre l'existence du traitement et l'identité de son responsable, de nombreuses informations doivent être portées à la connaissance de la personne dont les données font l'objet d'un traitement : la base juridique du traitement, les coordonnées du délégué à la protection des données, les catégories de destinataires des données, la durée de conservation des données...
De même, l'article 6 prévoit la suppression des dispositions de l'article L. 253-5 permettant à toute personne intéressée « d'obtenir un accès aux enregistrements qui la concernent ou d'en vérifier la destruction dans le délai prévu ». Un droit d'accès équivalent existe en matière de protection des données à caractère personnel à l'article 15 du RGPD et 49 et 105 de la loi « Informatique et libertés ».
Enfin, les modifications proposées à l'article L. 254-1 du CSI - qui supprimeraient l'incrimination de divers manquements en matière de vidéoprotection pour ne conserver que le délit d'entrave à l'action des commissions départementales de vidéoprotection - ne priveraient pas le parquet des moyens de poursuivre les faits précédemment incriminés .
Ces faits sont déjà prévus et réprimés par les articles 226-16 et suivants du code pénal, qui prévoient des peines correctionnelles plus dissuasives (cinq ans d'emprisonnement et de 300 000 euros d'amende, au lieu de trois ans et 45 000 euros). Sont ainsi incriminés le fait de mettre en oeuvre un traitement sans respecter les formalités préalables (article 226-16), de ne pas détruire les données dans les délais prévus (article 226-20), de détourner ces informations de leur finalité (article 226-21) et, sous certaines conditions, de permettre à des tiers d'y avoir accès (article 226-22). Quant au fait d'entraver l'action de la CNIL, il est incriminé par l'article 226-22-2 et puni d'un an de prison et de 15 000 euros d'amende.
La falsification d'images pourrait, de son côté, relever du faux et usage de faux incriminée par l'article 441-1.
2.2. Les pouvoirs de la CNIL sont inchangés
La loi n° 2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure (dite « LOPPSI 2 ») a confié à la CNIL, dans le cadre du CSI, un pouvoir de contrôle sur les systèmes de vidéoprotection.
L'article 6 propose de qualifier l'ensemble des systèmes de vidéoprotection de « traitements de données à caractère personnel », faisant ainsi entrer tous ces systèmes dans le champ du contrôle habituel de la CNIL qui dispose de droits de visite et de communication en application de l'article 19 de la loi « Informatique et libertés ». À l'issue de ces contrôles, la CNIL disposerait de toute latitude pour adresser une mise en demeure au responsable de traitement contrevenant, exiger une mise en conformité, voire le sanctionner en application des articles 20 et suivants de la loi du 6 janvier 1978.
En conséquence, la suppression des dispositions du CSI instituant un contrôle et une mise en demeure spécifiques de la CNIL laissent ses pouvoirs inchangés, étant précisé que dans le cadre de son contrôle de la licéité d'un traitement, la CNIL dispose de la faculté de contrôler la conformité du système de vidéoprotection installé au regard de l'arrêté préfectoral .
Les contrôles de la CNIL en matière de vidéoprotection
Depuis 2011, date de création du pouvoir de contrôle de la CNIL sur les systèmes de vidéoprotection relevant du CSI, 620 contrôles ont été effectués .
Depuis 2018, ces contrôles représentent 10 % des contrôles menés chaque année, soit environ 30 contrôles par an.
Entre 2020 et 2022, 14 contrôles ont été menés auprès de collectivités territoriales, des communes principalement, ayant déployé des systèmes de vidéoprotection. À l'issue de ces contrôles, 4 mises en demeure ont été prononcées, 1 avertissement a été adressé, 5 dossiers ont été clôturés. Les autres sont en cours d'instruction.
En dehors des contrôles impliquant des collectivités territoriales, environ 30 contrôles vidéoprotection ont lieu dans des entreprises (caméras dans des commerces, salles de sport, etc.).
Source : réponses de la CNIL au questionnaire du rapporteur
Les commissions départementales de vidéoprotection , pour leur part, conservent un pouvoir de contrôle sur les conditions de fonctionnement des systèmes de vidéoprotection inchangé 45 ( * ) . Seul serait modifié le quantum des peines encourues en cas d'entrave à leur action, par cohérence avec ce que prévoit l'article 226-22-2 du code pénal en cas d'entrave à l'action de la CNIL : un an d'emprisonnement et de 15 000 euros d'amende, au lieu de trois ans et 45 000 euros.
Enfin, la suppression du rapport annuel du Gouvernement à la CNIL faisant état de l'activité des commissions départementales de vidéoprotection ne paraît pas avoir beaucoup de conséquences, ce rapport ne semblant pas avoir fait l'objet de transmission ces dernières années.
3. La position de la commission : faire explicitement référence aux droits des personnes dans le décret d'application
La commission comprend la logique qui justifie de séparer distinctement ce qui relève du CSI (l'installation d'un système de vidéoprotection) de ce qui relève de la réglementation sur les traitements de données à caractère personnel.
Toutefois, un renvoi global au RGPD et à la loi « Informatique et libertés » entraîne une moindre accessibilité et une moins bonne intelligibilité des règles relatives à la vidéoprotection .
De ce fait, le décret en Conseil d'État, pris après avis de la CNIL, prévu à l'article L. 255-1 revêt une importance toute particulière. C'est en effet au niveau réglementaire - les articles en R du CSI - que doivent être fixées les dispositions relatives aux droits des personnes reconnues par le RGPD et spécialement adaptées au cadre spécifique de la vidéoprotection.
S'agissant de l'information, elle ne pourrait être apportée que de manière collective, dérogeant ainsi au principe d'information individuelle posé par le RGPD. La CNIL préconise un premier niveau d'information apportée dès la collecte via des affichages comportant les mentions du responsable de traitement, de la finalité et des droits des personnes, ainsi que les coordonnées de contact pour l'exercice des droits , tandis qu'un second niveau d'information via un site Internet permettrait aux personnes de prendre connaissance de manière plus complète des mentions d'information conformes à la réglementation relative à la protection des données (base juridique du traitement, coordonnées du délégué à la protection des données, catégories de destinataires des données, durée de conservation des données...).
Le décret d'application devrait en outre déterminer les personnes auprès de qui obtenir un accès aux enregistrements qui les concernent ou une vérification de leur destruction, s'il est possible d'obtenir une copie des données...
Enfin, c'est également au niveau réglementaire que le droit d'opposition sera écarté en application du paragraphe 1 de de l'article 23 du RGPD et des articles 56 et 107 de la loi « Informatique et libertés ».
À l'initiative du rapporteur, la commission a adopté l' amendement COM-85 pour mieux encadrer le pouvoir réglementaire dans cet exercice, en explicitant son champ d'intervention en faisant référence aux modalités d'information et d'exercice des droits des personnes susceptibles d'être filmées par un système de vidéoprotection .
Elle sera particulièrement vigilante à ce décret d'application dans le cadre de son contrôle annuel de l'application des lois.
La commission a adopté l'article 6 ainsi modifié .
Article 7
Utilisation de
traitements algorithmiques sur les images captées
par des dispositifs de vidéoprotection ou des aéronefs
afin de détecter et de signaler en temps réel des
évènements prédéterminés susceptibles
de menacer la sécurité des personnes
L'article 7 tend à permettre, à titre expérimental et jusqu'au 30 juin 2025, l'utilisation de traitements algorithmiques sur les images captées par les dispositifs de vidéoprotection et les drones afin de détecter et de signaler des évènements prédéterminés susceptibles de menacer la sécurité des personnes.
La commission s'est félicitée de l'introduction d'un dispositif expérimental très encadré sur ce sujet de la vidéoprotection « augmentée » ou « intelligente », traduisant ce faisant l'une des recommandations qu'elle avait formulée en mai 2022. Elle a considéré que l'encadrement proposé permettait un équilibre entre protection des droits et libertés et plus grande opérationnalité en matière de sécurité.
La commission a donc adopté cet article, en renforçant les garanties à tous les moments du développement et du déploiement de ces dispositifs.
En particulier, en ce qui concerne le développement des traitements, la commission a renforcé l'exigence de mesures de contrôle humain et de gestion des risques, et a prévu une possibilité d'accompagnement de la commission nationale de l'informatique et des libertés (CNIL).
S'agissant de la mise en oeuvre du traitement, la commission a ajouté une condition de proportionnalité au regard de la finalité poursuivi dans l'emploi du traitement et a prévu une formation systématique des personnels habilités à accéder aux signalements et aux résultats du traitement.
Enfin, s'agissant du suivi et de l'évaluation de l'expérimentation, elle a prévu, d'une part, que la CNIL exercerait un contrôle plein et entier de l'application de cet article et, d'autre part, que des parlementaires seraient associés à l'évaluation de l'expérimentation.
1. La vidéoprotection « intelligente » ou « augmentée » : une technique recouvrant des réalités diverses ; un débat de société
1.1. Les systèmes de traitement d'images par intelligence artificielle : des techniques probabilistes aux cas d'usage multiples
La période récente a vu se développer de nombreuses techniques d'analyse d'images par le biais de traitements algorithmiques . L'accélération de leur développement et l'accroissement de leur présence dans le débat public est lié aux avancées des algorithmes d'apprentissage sur lesquels s'appuient ces technologies. La Commission nationale de l'informatique et des libertés (CNIL) a ainsi indiqué avoir constaté, dans sa position sur les conditions de déploiement des caméras dites « intelligentes » ou « augmentées » dans les espaces publics 46 ( * ) , une tendance à la multiplication de ces dispositifs .
Les systèmes d'analyse d'images par intelligence artificielle recouvrent des réalités diverses , que l'on peut regrouper en quatre niveaux définis par le rapport d'information n° 627 (2021-2022) intitulé « La reconnaissance biométrique dans l'espace public : 30 propositions pour écarter le risque d'une société de surveillance », de MM. Marc-Philippe Daubresse, Arnaud de Belenet et Jérôme Durain, fait au nom de la commission des lois et publié le 10 mai 2022 47 ( * ) .
Les systèmes de traitement d'images par intelligence artificielle
Un premier niveau permet de détecter la présence d'un objet ou d'une personne dans une image sans en déterminer sa nature , par comparaison avec une image de référence ou une image immédiatement antérieure. À titre d'exemple, la gendarmerie nationale utilise depuis 2017 un outil permettant d'exploiter a posteriori une vidéo de longue durée en filtrant les séquences au cours desquelles l'image est fixe.
Un deuxième niveau permet de reconnaître des catégories , assurant par exemple la détection de types d'objets ou de piétons. Aucun élément supplémentaire sur les caractéristiques ou l'identité des personnes n'est alors rendu disponible. Le tournoi de tennis de Roland-Garros en 2020 a ainsi été l'occasion d'expérimenter le comptage de personnes présentes dans une file d'attente sur une voie privatisée ou dans une tribune et la détection de mouvements anormaux de foule. Un second exemple est constitué par l'expérimentation menée par la direction de l'ordre public et de la circulation (DOPC) de la préfecture de police de Paris permettant de détecter des types de véhicules circulant sans autorisation dans les couloirs de bus : ce système constitue une aide à la décision, dans lequel l'ensemble des opérations conduisant à une verbalisation reste décidé et réalisé par un agent de circulation. Peuvent également être cités la détection de comportements suspects, d'intrusions, de vols ou d'objets spécifiques.
Un troisième niveau permet d'identifier une personne ou un objet à partir de ses caractéristiques non biométriques , sans attacher à la personne une identité. Ces technologies permettent par exemple de suivre un individu dans une foule à partir de son habillement, comme a pu le faire par exemple la SNCF dans le cadre d'une expérimentation d'aide au suivi des personnes non-biométrique (projet PREVIENS).
Un quatrième niveau , qui inclut la reconnaissance faciale, vise à reconnaître un individu à partir de ses caractéristiques biométriques 48 ( * ) , qu'il s'agisse de son visage, son iris, sa démarche ou sa voix.
Source : rapport sénatorial précité : La reconnaissance biométrique dans l'espace public : 30 propositions pour écarter le risque d'une société de surveillance
1.2. Un « objet technologique » dans le débat public depuis quelques années
La vidéoprotection « intelligente » ou « augmentée » est constituée de logiciels de traitements automatisés d'images couplés à des caméras. Cela permet de ne plus seulement filmer les personnes mais également d'analyser les images de manière automatisée. Elle se distingue de la reconnaissance faciale ou de la reconnaissance biométrique en ce qu'elle ne traite pas de données biométriques, qui sont des données sensibles au sens de la règlementation de la protection des données et dont le traitement est de ce fait interdit sans texte spécifique.
Ainsi, le corpus juridique applicable en matière de vidéoprotection augmentée est constitué du règlement général sur la protection des données (RGPD) 49 ( * ) , de la directive « Police-Justice » 50 ( * ) et de leur traduction dans le corpus juridique français par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés .
Ces nouvelles technologies offrent des perspectives opérationnelles conséquentes . Les forces de sécurité intérieure considèrent ainsi qu'en matière de sécurité, le traitement automatisé d'images issues des systèmes de vidéoprotection permettrait de gagner un temps important en permettant aux enquêteurs ou aux personnes chargées du visionnage des images de se concentrer sur les séquences d'intérêt.
L'encadrement de ces technologies par le biais de la règlementation de la protection des données est cependant progressivement apparu insuffisant .
Initialement, certains avaient pu considérer que les techniques de traitement d'images n'utilisant pas de données biométriques pouvaient être déployés dans un cadre législatif constant, dès lors que les nouveaux traitements déployés s'inscrivaient dans les mêmes finalités que celles attribuées aux systèmes de vidéoprotection et définies à l'article L. 252-1 du code de la sécurité intérieure. Ainsi, dans une décision du 27 juin 2016, le Conseil d'État avait procédé à une appréciation de la compatibilité entre la finalité de vidéoprotection et un traitement ultérieur réalisé à partir des images de vidéoprotection pour juger si le traitement proposé devait être autorisé 51 ( * ) .
Le Conseil d'État aurait cependant, dans un avis rendu le 12 octobre 2021 qui n'a cependant pas été publié ni transmis à la rapporteure, estimé que les traitements des images issues de la vidéoprotection par le biais d'un logiciel d'intelligence artificielle constituent des traitements de données personnelles distincts de ceux des images issus de la vidéoprotection et que ceux-ci, compte tenu du changement d'échelle qu'ils impliquent dans la capacité d'exploitation des images de surveillance de la voie publique , sont susceptibles de porter une atteinte telle à la liberté individuelle qu'elle affecterait les garanties fondamentales apportées aux citoyens pour l'exercice des libertés publiques au sens de l'article 34 de la Constitution du 4 octobre 1958. Le Conseil d'État en déduit qu'une base législative explicite est nécessaire pour encadrer le recours à l'intelligence artificielle sur des images issues de l'espace public, y compris sans utilisation de données biométriques .
La CNIL , dans sa position précitée, adopte la même position. Elle considère que, s'agissant d'une technologie par nature intrusive pouvant conduire à un traitement massif de données personnelles, elle présente des risques pour les droits et libertés fondamentaux des personnes et la préservation de leur anonymat dans l'espace public et pourrait renforcer le sentiment de surveillance des personnes. Elle a ainsi considéré que les dispositifs les plus intrusifs, c'est-à-dire ceux susceptibles de modifier les conditions fondamentales d'exercice des droits et libertés fondamentaux des personnes, ne peuvent être déployés que si une loi les autorise et les encadre spécifiquement .
La CNIL conclut sa position en indiquant qu'il revient à la « puissance publique de tracer la ligne, au-delà du « techniquement faisable », entre ce qu'il est possible de faire - parce que socialement et éthiquement acceptable - et ce qui ne l'est pas. C'est un choix autant éthique que politique et juridique ».
2. L'article 7 du projet de loi : autoriser à titre expérimental la vidéoprotection « augmentée » en vue de détecter et de signaler en temps réel des évènements prédéterminés susceptibles de menacer la sécurité des personnes
Le Gouvernement propose, dans l'article 7 du projet de loi, d'autoriser à titre expérimental jusqu'au 30 juin 2025 le recours à l'analyse automatisée des images issues de la vidéoprotection et des drones afin de détecter et de signaler en temps réel des évènements prédéterminés susceptibles de menacer la sécurité des personnes.
L'introduction de l'usage d'algorithmes en matière de police administrative est une évolution d'ampleur, qui soulève de nombreuses questions en matière de libertés publiques . Ces questions doivent cependant être mises en balance avec les avancées opérationnelles d'un tel dispositif, en particulier dans la perspective des jeux Olympiques et Paralympiques de 2024, où les tensions en matière de sécurité et de gestion de flux seront très importantes. Comme le soulignait le rapport d'information « La reconnaissance biométrique dans l'espace public : 30 propositions pour écarter le risque d'une société de surveillance » précité, les forces de sécurité intérieures estimeraient ainsi utile de pouvoir : « détecter des matériaux dangereux, interdits ou atypiques nécessitant une levée de doute sur leur nature et leur dangerosité ; détecter les changements de rythme ou de direction d'une foule, d'un groupe ou d'un individu au sein d'une foule, ou d'un véhicule ou d'un type de véhicule au sein d'une circulation ; mesurer les flux et la densité de personnes et de véhicules pour assurer le respect de la règlementation en matière de sécurité publique, civile ou sanitaire ; et détecter certaines caractéristiques des personnes, comme par exemple le port de dispositifs occultant le visage d'un individu ou d'un groupe d'individus au sein d'une foule, pour permettre le suivi des personnes considérées comme de potentielles menaces ».
Cet article 7 vient ainsi donner une traduction législative à la recommandation n°14 52 ( * ) de ce rapport, adopté par la commission le 10 mai dernier 53 ( * ) .
Il convient cependant de souligner que l'introduction d'une base législative spécifique pour les usages en matière de sécurité ne conduira pas à interdire de fait tous les autres usages de la vidéoprotection « intelligente » ou « augmentée » qui peuvent être mis en oeuvre sans nécessité d'encadrement par un texte - comme par exemple certains dispositifs à vocation statistique - ou pouvant être autorisés par voie règlementaire.
2.1. Un champ d'application restrictif qu'il convient de préciser à la marge (I de l'article 7)
Le champ d'application proposé pour l'expérimentation est restrictif :
- la finalité est unique : il s'agit d'assurer la sécurité de manifestations sportives, récréatives ou culturelles qui, par leur ampleur ou leurs circonstances sont particulièrement exposées à des risques d'actes de terrorisme ou d'atteintes graves à l'intégrité des personnes ;
- le périmètre dans lequel ces traitements pourraient être déployés est précisément défini : il s'agirait des lieux accueillant ces manifestations, de leurs abords, des moyens de transports et des voies les desservant ;
- les traitements pouvant être déployés sont qualifiés de « traitements comprenant un système d'intelligence artificielle », ayant pour « unique objet de détecter, en temps réel, des événements prédéterminés susceptibles de présenter ou de révéler [les risques susmentionnés] et de les signaler en vue de la mise en oeuvre des mesures nécessaires » ;
- les acteurs susceptibles de mettre en oeuvre ces traitements sont limitativement énumérés. Il s'agit des services de la police et de la gendarmerie nationales, des services d'incendie et de secours, des services de police municipale et des services internes de sécurité de la SNCF et de la Régie autonome des transports parisiens.
Si la commission a considéré que le champ d'application de l'expérimentation était globalement satisfaisant, elle a néanmoins tenu, par l'adoption de l' amendement COM-86 de son rapporteur, à le préciser en :
- supprimant la notion d'« intelligence artificielle » de la loi, car celle-ci n'existe pas aujourd'hui dans le corpus juridique français et est en cours de définition au niveau européen. La commission a préféré utiliser le terme de « traitements algorithmiques », mieux défini en droit français ;
- clarifiant le fait que ces dispositifs pourraient être déployés dans les gares et uniquement dans les moyens de transport publics afin d'assurer la sécurité des manifestations sportives, récréatives et culturelles, une ambiguïté demeurant dans la rédaction actuelle du projet de loi.
2.2. Des garanties importantes dans la mise en place de ces traitements (II et III de l'article 7)
L'article prévoit également plusieurs garanties dans le droit encadrant ces traitements afin de protéger les droits et libertés des personnes .
Il s'agit en premier lieu du fait que ces traitements seraient régis par le droit applicable à la protection des données personnelles , ce qui est explicitement indiqué par l'article. Ce corpus prévoit un droit d'information sur la mise en place de ces traitements, qui peut le cas échéant ne pas être assurée s'il entre en contradiction avec les finalités poursuivies par le traitement. Par l'adoption de l' amendement COM-32 de Jérôme Durain, la commission a précisé que ce serait également le cas des images nécessaires à l'entrainement de ces traitements .
La commission a souhaité, par l'adoption de l' amendement COM-87 du rapporteur, prévoir que l'information du public sur l'emploi de l'un de ces traitements devrait être réalisée par tout moyen appropriée , sauf lorsque les circonstances l'interdisent ou que cette information entre en contradiction avec les objectifs poursuivis par le traitement. Afin de garantir, y compris dans ces cas, une information pleine et entière du public, la commission a prévu, par l'adoption de ce même amendement, que le ministère de l'intérieur organiserait une information générale du public sur l'emploi de traitements algorithmiques en application de cet article 7 du projet de loi . S'agissant du droit d'opposition , l'article 56 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés prévoit que ce droit ne s'applique pas lorsque le traitement répond à une obligation légale ou, dans les conditions prévues à l'article 23 du même règlement, lorsque l'application de ces dispositions a été écartée par une disposition expresse de l'acte instaurant le traitement . Il reviendra ainsi, au cas par cas, au décret prévu au IV de l'article 7 d'écarter ce droit en tant que de besoin.
Il s'agit en second lieu du fait que ces traitements n'utiliseraient aucun système d'identification biométrique, ne traiteraient aucune donnée biométrique et ne mettraient en oeuvre aucune technique de reconnaissance faciale . Ces données étant des données sensibles au sens du RGPD, leur traitement est interdit tant qu'aucun texte ne le prévoit. Cet article 7 n'a donc pas pour objet ni pour effet de les autoriser.
L'article prévoit en troisième lieu que ces traitements n'auraient qu'un rôle d'aide à la décision . L'article indique ainsi que ces traitements procèderaient exclusivement à un signalement d'attention, strictement limité à l'indication de l'évènement prédéterminé qu'ils ont été programmés pour détecter. Ils ne pourraient ainsi produire aucun autre résultat et ne pourraient fonder aucune décision individuelle ou acte de poursuite par eux-mêmes. Ils seraient placés en permanence sous le contrôle des personnes chargées de leur mise en oeuvre.
2.2. La phase de développement des traitements (IV, V et VIII de l'article 7)
L'article détaille ensuite la phase de développement des traitements.
L'État disposerait d'un monopole dans le développement de ces traitements . Il pourrait choisir d'en assurer le développement en interne, de le confier à un tiers ou d'acquérir le traitement. Quel que soit le mode de son développement, le traitement devrait répondre à des exigences fortes prévues par le projet de loi, comme :
- des données d'apprentissage , de validation et de tests « pertinentes, adéquates et représentatives », et un traitement de ces données « loyal, objectif et de nature à identifier et prévenir l'occurrence de biais et erreurs » ;
- un enregistrement automatique des évènements afin d'assurer la traçabilité du fonctionnement du traitement ;
- une possibilité d'interruption du traitement à tout moment.
Le respect de ces exigences ferait l'objet d'une attestation de conformité établie par l'État.
Le recours à l'un de ces traitements serait ensuite autorisé par décret pris après avis de la CNIL . Ce décret fixerait les caractéristiques essentielles du traitement et, surtout, les « évènements prédéterminés » qu'il serait chargé de détecter et les conditions d'habilitation des agents pouvant accéder aux résultats du traitement. Ce décret serait accompagné d'une analyse d'impact relative à la protection des données personnelles (AIPD) exposant le bénéfice escompté de l'emploi du traitement et les risques éventuellement créées ainsi que les mesures envisagées afin de minimiser ces risques et de les rendre acceptables.
La commission a considéré que l'encadrement juridique de cette phase de développement était détaillé et accompagné de fortes garanties. Elle les a renforcées par l'adoption de l' amendement COM-88 de son rapporteur, en prévoyant :
- d'une part, un accompagnement par la Commission nationale de l'informatique et des libertés (CNIL) dans le développement des traitements , que ceux-ci soient développés par l'État ou par des tiers et en ajoutant ;
- d'autre part, parmi les garanties auxquelles doit satisfaire le traitement, l'existence de mesures de contrôle humain et d'un système de gestion des risques permettant de prévenir et de corriger la survenue de biais éventuels ou de mauvaise utilisation , ce qui permet de donner une traduction concrète au fait que ces traitements demeurent en permanence sous le contrôle des personnes chargées de leur mise en oeuvre.
Une fois la mise en oeuvre concrète du traitement autorisée, les images dont la durée de conservation n'est pas expirée peuvent être utilisées comme données d'apprentissage dans les conditions définies pour le développement du traitement (VIII de l'article 7). Par le même amendement COM-88 , la commission a précisé que les images pouvant être réutilisées comme des données d'apprentissage ne peuvent l'être que jusqu'à l'expiration de leur durée de conservation .
2.3. La mise en oeuvre effective du traitement (VI de l'article 7)
Une fois le traitement autorisé par décret, sa mise en oeuvre effective est conditionnée à une autorisation du préfet de département ou, à Paris, du préfet de police à la demande de l'un des services autorisé à mettre en oeuvre . La demande doit contenir en tant que de besoin une actualisation de l'AIPD réalisée lors de l'autorisation du traitement par décret, qui est transmise à la CNIL.
L'autorisation d'utiliser ce traitement est publique et motivée . Elle précise le responsable du traitement et les services associés à sa mise en oeuvre, la manifestation concernée, les motifs de mise en oeuvre du traitement au regard de la finalité, le périmètre géographique concerné par la mise en oeuvre du traitement, les modalités d'information du public - cette information pouvant être écartée si elle entre en contradiction avec les finalités poursuivies -, et la durée de l'autorisation. Cette durée ne peut excéder un mois, mais elle peut être renouvelée dans les mêmes conditions si les raisons de sa mise en oeuvre demeurent réunies.
L'autorité responsable de la mise en oeuvre du traitement doit tenir un registre des suites apportées aux signalements effectués par le traitement . Le préfet est régulièrement tenu informé de cette mise en oeuvre et peut à tout moment suspendre ou mettre fin à sa décision d'autorisation. Il informe également la CNIL de la mise en oeuvre en tant que de besoin.
La commission a, par l'adoption de l' amendement COM-89 du rapporteur, encadré davantage la mise en oeuvre du traitement. Elle a ainsi prévu, en premier lieu, la formation systématique des personnes habilitées à accéder aux signalements et aux résultats du traitement. Elle a en deuxième lieu prévu que le recours à ces traitements peut uniquement être autorisé lorsqu'il est proportionnée au regard de la finalité poursuivie . Enfin, la commission a précisé la fréquence d'information du préfet quant à l'utilisation effective de ces traitements, en prévoyant une information hebdomadaire.
La commission a également prévu, par l'adoption de l' amendement COM-72 de Guy Benarroche, que la CNIL serait « régulièrement » informée de la mise en oeuvre effective de ces traitements par les préfets , et non pas seulement « en tant que de besoin ».
2.4. Le suivi et l'évaluation de l'expérimentation (IX de l'article 7)
En ce qui concerne le suivi de l'expérimentation , l'article prévoit en premier lieu une information régulière de la CNIL sur les conditions de mise en oeuvre de l'expérimentation.
La commission a estimé cette disposition insuffisante. En conséquence, elle a prévu, par l'adoption de l' amendement COM-90 du rapporteur, que la CNIL exerce un contrôle de l'application des traitements . En l'état des textes en effet, certaines des exigences posées par l'article 7 ne découlent pas directement du règlement général sur la protection des données (RGPD) ou de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et la CNIL ne dispose en conséquence pas de la compétence pour les contrôler - c'est par exemple le cas du caractère représentatif des données d'entrainement ou encore des garanties visant à prévenir et à identifier l'occurrence de biais et d'erreurs. Elle a également prévu que la CNIL serait informée tous les trois mois - et non pas simplement « régulièrement » - des conditions de mises en oeuvre de l'expérimentation et se verrait transmettre le rapport final d'évaluation de l'expérimentation. À l'initiative de la commission, la CNIL serait également informée tous les trois mois des conditions de mise en oeuvre de l'expérimentation et se verrait transmettre le rapport final d'évaluation de l'expérimentation.
L'article prévoit en second lieu qu'une évaluation est rendue par le Gouvernement au Parlement au plus tard six mois avant le terme de l'expérimentation fixée au 30 juin 2025. Le contenu de ce rapport est déterminé par un décret en Conseil d'État pris après avis de la CNIL, fixant les « modalités de pilotage et d'évaluation pluridisciplinaire et objectives de l'expérimentation et les indicateurs utilisés par celle-ci ». L'article prévoit également que le public et les agents concernés seraient informés de l'expérimentation et associés à son évaluation. La commission a souhaité, par l'adoption du même amendement COM-90 , associer des parlementaires à l'évaluation de l'expérimentation , ce qui nécessite une mention dans la loi.
Article 8
Autorisation du
visionnage de certaines images issues de systèmes de
vidéoprotection installés sur la voie publique par les agents des
services internes de sécurité de la SNCF et de la RATP
affectés au sein de salles d'information et de commandement relevant de
l'Etat
L'article 8 tend à permettre un accès limité des agents de la SNCF et de la RATP au sein du centre de coordination opérationnelle de la sécurité dans les transports d'Île-de-France aux images des systèmes de vidéoprotection installés sur la voie publique.
La commission a adopté cet article sans modification.
1. Assurer l'équilibre entre efficacité de la coordination en matière de sécurité des infrastructures de transport et prérogatives de l'Etat
Le présent article tend à étendre le champ des images visibles par les agents de la RATP et de la SNCF intégrés au centre de coordination opérationnelle de la sécurité dans les transports d'Île-de-France (CCOS), cofinancé par l'État, la SNCF et Île-de-France mobilité, inauguré au premier semestre 2022.
Autorisée par l'article 44 de la loi n° 2021-646 du 25 mai 2021 pour une sécurité globale préservant les libertés 54 ( * ) , cette structure installée au sein des locaux de la Préfecture de Police de Paris vise à renforcer la coordination opérationnelle des services de police, de gendarmerie et des services de sécurité de la RATP et de la SNCF et donc l'efficacité opérationnelle des services de sécurité des transports.
En mars 2021, à l'occasion du débat parlementaire préalable à l'adoption de cette loi, en mars 2021, le Sénat avait rappelé que le législateur doit rester attentif « à ce que les nouvelles facultés octroyées aux agents des services internes de sécurité, qui sont des personnes privées, ne conduisent pas à leur déléguer des compétences générales de police administrative ou de surveillance de la voie publique ».
Dans sa décision n° 2011-625 DC du 10 mars 2011 relative à la loi d'orientation et de programmation pour la performance de la sécurité intérieure, le Conseil constitutionnel a en effet considéré : « qu'en autorisant toute personne morale à mettre en oeuvre des dispositifs de surveillance au-delà des abords « immédiats » de ses bâtiments et installations et en confiant à des opérateurs privés le soin d'exploiter des systèmes de vidéoprotection sur la voie publique et de visionner les images pour le compte de personnes publiques, les dispositions contestées permettent d'investir des personnes privées de missions de surveillance générale de la voie publique ; que chacune de ces dispositions rend ainsi possible la délégation à une personne privée des compétences de police administrative générale inhérentes à l'exercice de la « force publique » nécessaire à la garantie des droits ; que, par suite, [ces dispositions] doivent être déclaré(e)s contraires à la Constitution ».
Le Sénat avait donc souhaité que les agents de la SNCF et de la RATP ne soient destinataires que des images captées depuis les caméras de leurs emprises respectives et non des images issues de systèmes de vidéoprotection installés sur la voie publique, déportées vers le centre de commandement et traitées par les agents des forces de sécurité intérieure.
Le présent article propose de revenir sur cette restriction en supprimant l'obligation pour les agents privés de ne visionner que les images relevant de leur compétence et en leur autorisant la vision des images situées aux « abords immédiats » de leurs emprises . Cette extension permettra aux agents de la RATP et de la SNCF au sein du CCOS de voir des images prises sur la voie publique, dans le respect du périmètre défini par la jurisprudence constitutionnelle. Elle leur permettra également de voir les images prises par les caméras de l'autre opérateur. Cette possibilité a été présentée par le gouvernement comme nécessaire afin de favoriser les opérations de sécurité dans les emprises que les deux opérateurs partagent.
2. La position de la commission
La commission souhaite, plus particulièrement dans la perspective des jeux Olympiques et Paralympiques, assurer la meilleure coordination possible de la sécurité dans les transports entre l'Etat et les opérateurs. Au regard du fonctionnement réel du CCOS et des besoins opérationnels, elle est donc prête à évoluer par rapport à la position qu'elle a adopté en 2021. Elle refuse cependant d'aller au-delà du strict périmètre défini par la jurisprudence constitutionnelle et considère que toute nouvelle extension serait disproportionnée. Si la loi peut évoluer pour prendre en compte les nécessités opérationnelles, les structures doivent pour leur part fonctionner dans le respect des exigences liées à la protection des libertés publiques.
La commission a adopté l'article 8 sans modification .
Article 9
Élargissement des compétences du préfet de
police
en Île-de-France
L'article 9 tend à accorder, du 1 er juillet au 15 septembre 2024, les pouvoirs en matière de sécurité des départements de la grande couronne parisienne au préfet de police.
La commission a adopté cet article sans modification.
1. Des compétences du préfet de police déjà consacrées au-delà de la petite couronne parisienne
Bien qu'il soit communément désigné comme « préfet de police de Paris », la compétence du préfet de police ne se limite pas à la capitale. Le préfet de police, dont le siège est à Paris, est également responsable de la sécurité des départements dits « de la petite couronne » (Hauts-de-Seine, Seine-Saint-Denis, Val-de-Marne) ainsi que dans les aérodromes de Paris-Charles de Gaulle, de Paris-Le Bourget et de Paris-Orly.
Le préfet de police dispose également de compétences au niveau de la région Ile-de-France, qui comprend géographiquement, outre Paris et la petite couronne, les départements de la grande couronne (Yvelines, Val d'Oise, Essonne, Seine-et-Marne). Il s'agit des compétences en matière d'emploi des force de police et de gendarmerie dans les transports en commun de voyageurs par voie ferrée et de celles liées à la zone de défense et de sécurité.
S'il est donc largement compétent en matière de sécurité pour l'ensemble des départements de la région, la compétence de droit commun demeure celle des préfets pour les départements de la grande couronne.
Le présent article propose d'aligner les compétences du préfet de police pour ces quatre départements sur celles qu'il exerce pour les départements de la petite couronne pendant la période des Jeux. Du 1 er juillet au 15 septembre 2024, les quatre préfets concernés n'exerceront donc plus les compétences en matière d'ordre public qu'éventuellement par délégation du préfet de police.
Cette unité de commandement sur l'ensemble de la région Ile-de-France résulte d'une demande du Comité international olympique qui souhaite disposer d'un interlocuteur opérationnel unique.
Elle est très circonscrite dans le temps, spécialement en amont des jeux Olympiques et Paralympiques. Cette restriction n'est cependant qu'apparente, car le préfet de police intervient déjà directement en tant que responsable de la zone de défense et de sécurité de la région et est associé à l'ensemble des réunions préparatoires aux Jeux. Il n'exercera sa compétence directement que le 1 er juillet 2024 sur la grande couronne mais est déjà de fait reconnu comme responsable opérationnel de la sécurité sur l'ensemble de la région Ile-de-France pour toute la durée des manifestations olympiques.
2. La position de la commission
La commission note que l'extension temporaire souhaitée par le comité international olympique rejoint des interrogations anciennes sur le périmètre d'action du préfet de police. L'unité de commandement, assortie d'un pouvoir de délégation aux préfets des départements concernés peut être une mesure adaptée à l'ensemble de la région Ile-de-France et non pas seulement à la capitale et sa petite couronne. De fait l'extension ainsi prévue, pour temporaire qu'elle soit, aura valeur d'expérimentation. La commission juge la mesure utile pour la période des Jeux et intéressante pour l'avenir.
La commission a adopté l'article 9 sans modification .
Article 10
Élargissement de la procédure d'enquête
administrative pour accéder à un grand
évènement aux lieux de retransmission ainsi qu'aux participants
de cet évènement
L'accès aux grands évènements exposés, par leur ampleur ou leurs circonstances particulières, à un risque exceptionnel de menace terroriste est soumis à autorisation de l'organisateur, après avis de l'autorité administrative rendu après une enquête administrative. L'article 10 prévoit de renforcer cette procédure de « criblage », en proposant quatre évolutions :
- l'élargir aux grands rassemblements de personnes ayant pour objectif d'assister aux retransmissions d'évènements ;
- plus substantiellement, supprimer l'exonération des participants, qui pourront en conséquence faire l'objet d'un ciblage préalable à l'évènement ;
- aligner le critère d'appréciation du risque terroriste sur celui permettant la mise en place d'un périmètre de protection, en supprimant le caractère « exceptionnel » de ce risque dans le cas de la procédure de criblage ;
- rendre conforme l'avis de l'autorité administrative préalable à l'autorisation d'accès par l'organisateur de l'évènement.
La commission a adopté cet article, sous réserve d'une modification rédactionnelle.
1. La possibilité de règlementer l'accès aux zones abritant de grands événements exposés, par leur ampleur ou leurs circonstances particulières, à un risque exceptionnel de menace terroriste et désignés par décret
La loi n° 2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l'efficacité et les garanties de la procédure pénale a, en introduisant dans le code de la sécurité intérieure un nouvel article L. 211-11-1, créé un dispositif de « grands évènements » visant à renforcer les contrôles d'accès à tout ou partie des établissements et installations accueillant un grand événement exposé, par son ampleur ou ses circonstances particulières, à un risque exceptionnel de menace terroriste. Un régime d'autorisation d'accès a ainsi été créé pendant la durée de cet évènement et de sa préparation.
Inspiré du régime prévu aux articles L. 114-1 et L. 114-2 du code de la sécurité intérieure, qui concerne les décisions de recrutement et d'affectation à certains emplois, ce régime vise à vérifier que le comportement ou les agissements de la personne autorisée à accéder aux établissements et installations ne sont pas de nature à porter atteinte à la sécurité des personnes, à la sécurité publique ou à la sûreté de l'État.
Ainsi, dès lors qu'un décret désigne un évènement comme un « grand évènement » au sens de l'article L. 211-11-1 du code de la sécurité intérieure, un régime d'autorisation d'accès est systématiquement mis en place pour toutes les personnes accédant aux établissements et installations à un autre titre que celui de spectateur ou de participant. S'il revient à l'organisateur du grand évènement d'autoriser l'accès pendant la durée de cet évènement et sa préparation, l'avis préalable de l'autorité administrative est obligatoire. Cet avis est rendu après une enquête administrative qui peut donner lieu à la consultation de fichiers de police, à l'exception des fichiers d'identification, mais l'autorité administrative ne peut donner un avis négatif sur cette seule base : une appréciation du comportement et des agissements de la personne est nécessaire.
Le service chargé des enquêtes administratives est le service national des enquêtes administratives de sécurité (SNEAS) 55 ( * ) , rattaché à la direction générale de la police nationale. Il s'agit d'un service à compétence interministériel qui s'appuie, pour réaliser ses enquêtes, sur l'application ACCReD (Automatisation de la consultation centralisée de renseignements et de données) permettant la consultation simultanée de différents fichiers. À partir de cette information, le SNEAS procède à la collecte des informations dans les fichiers concernés et effectue des vérifications complémentaires pour donner son avis définitif. Au vu de l'élargissement continu de son champ de compétence depuis sa création en 2017, ce service a vu ses effectifs fortement augmenter. Ainsi, en vue des jeux Olympiques et Paralympiques, la division chargée de cet évènement devrait être constituée de 57 équivalents temps plein (ETP), à périmètre d'enquête constant.
Les dispositions de l'article L. 211-11-1 du code de la sécurité intérieure ont fait l'objet d'une question prioritaire de constitutionnalité. Dans sa décision du 21 février 2018 56 ( * ) , le Conseil d'État a refusé de transmettre cette question au Conseil constitutionnel, estimant que cet article, au regard du droit au respect de la vie privée, de la liberté d'aller et de venir et du droit au recours effectif, ne soulevait aucune question sérieuse de constitutionnalité au vu de la nécessité de sauvegarder l'ordre public et des garanties dont le législateur a entouré la création du régime d'autorisation d'accès aux établissements et installations accueillant certains grands événements. Le Conseil d'État avait cependant relevé à cette occasion que la principale difficulté juridique liée à cet article tenait à l'article 12 de la Déclaration des droits de l'homme et du citoyen, interdisant la délégation de prérogatives de police administrative à des personnes privées. Le Conseil d'État indiquait alors que, dans le cas de l'article L. 211-11-1 du code de la sécurité intérieure, cette délégation existe mais est d'ampleur limitée car l'organisateur a certes la responsabilité d'instruire les demandes d'autorisation mais a également l'obligation de solliciter une enquête administrative réalisée par l'administration dont l'avis négatif est une condition nécessaire au refus par l'organisateur de l'autorisation d'accès. Ainsi, la seule marge d'appréciation de l'organisateur est la possibilité dont il dispose d'octroyer l'autorisation d'accès alors que l'enquête administrative a conclu à la dangerosité de la personne.
2. L'article 10 du projet de loi : l'élargissement de la procédure de « criblage » aux participants aux grands évènements et aux lieux de retransmission des évènements
L'article 10 propose quatre évolutions du dispositif de « criblage » prévu par l'article L. 211-11-1 du code de la sécurité intérieure.
Il élargirait en premier lieu la procédure aux établissements et installations accueillant de « grands rassemblements de personnes afin d'assister à la retransmissions d'évènements ». Il élargirait en deuxième lieu cette procédure aux participants des grands évènements et désormais grands rassemblements de personnes concernés par le dispositif.
Troisième élargissement de cette procédure de criblage, le critère déclenchant le classement d'un évènement ou d'un rassemblement ne serait plus l'exposition, « par leur ampleur ou leurs circonstances particulières, à un risque exceptionnel de menace terroriste » mais l'exposition « à un risque d'actes de terrorisme à raison de sa nature et de l'ampleur de sa fréquentation » 57 ( * ) , ce qui conduit à supprimer le caractère « exceptionnel » de ce risque dans le cadre du dispositif de criblage.
L'article prévoit enfin de rendre l'avis de l'autorité administratif conforme pour supprimer toute marge d'appréciation dans l'octroi de l'autorisation à l'organisateur, afin de prévenir tout risque de délégation de prérogatives de police administrative à une personne privée.
Ces modifications seraient pérennes . Elles concerneraient donc l'ensemble des grands évènements futurs et zones de retransmissions des évènements, et pas seulement la période des jeux Olympiques et Paralympiques.
L'élargissement aux zones de retransmission, qui accueillent désormais parfois plus de public que l'évènement lui-même, et aux participants 58 ( * ) à ces évènements semble en effet justifié, au regard des enjeux de sécurisation des grands évènements et rassemblements de personnes concernés. L'étude d'impact indique ainsi que « l'ensemble des États accueillant les Jeux olympiques et paralympiques, à l'exception de la France, ont mis en place une enquête administrative visant l'ensemble des participants à cet évènement, se conformant en cela aux recommandations du Comité international olympique » 59 ( * )
La commission, si elle comprend l'utilité des différents élargissements proposés, s'est interrogée sur deux points :
- d'une part, l'alignement de la formulation du risque terroriste sur le critère de déclenchement des périmètres de protection, qui conduit à supprimer toute gradation entre le dispositif de criblage et celui des périmètres de protection , mais semble correspondre à la pratique actuelle ;
- d'autre part, la capacité du SNEAS à réaliser ces nombreuses enquêtes administratives supplémentaires . Pour le seul évènement des jeux Olympiques et Paralympiques de Paris 2024, l'inclusion des participants parmi les personnes soumises à autorisation après enquête administrative représenterait 50 000 à 60 000 personnes. L'étude d'impact chiffre en conséquence les besoins de ressources humaines supplémentaires au SNEAS à 30 à 40 personnes (ETP)
La commission a cependant adopté cet article, moyennant une modification d'ordre rédactionnel ( amendement COM-91 de son rapporteur), appelant de ses voeux la montée en puissance rapide et pérenne du SNEAS.
La commission a adopté l'article 10 ainsi modifié .
Article 11
Extension des cas
d'usage des scanners corporels au contrôle de l'accès
aux
enceintes dans lesquelles sont organisées des manifestations sportives,
récréatives ou culturelles
L'article 11 du projet de loi vise à étendre l'usage des dispositifs d'imagerie à ondes millimétriques (ou « scanners corporels »), déjà utilisés dans les aéroports, aux enceintes dans lesquelles sont organisées des manifestations sportives, récréatives ou culturelles rassemblant plus de 300 spectateurs.
Cette disposition, qui serait pérenne et viserait des lieux autres que ceux utilisés pour les compétitions sportives, ne semble pas avoir été demandée par les organisateurs des jeux Olympiques et Paralympiques ou les autorités en charge d'en assurer la sécurité.
Tout en doutant donc que de tels équipements intègrent effectivement les dispositifs de sécurisation des Jeux, la commission a adopté cet article. Elle a précisé que les scanners corporels seraient installés à l'initiative des gestionnaires d'enceinte et ne pourraient leur être imposés.
La commission a adopté cet article ainsi modifié.
1. L'extension de l'usage des scanners corporels aux enceintes dans lesquelles sont organisées des manifestations sportives, récréatives ou culturelles
1.1. Un usage déjà autorisé dans les aéroports
Depuis 2011 et l'adoption de la loi d'orientation et de programmation pour la performance de la sécurité intérieure 60 ( * ) (dite « LOPPSI 2 »), les opérations d'inspection mises en oeuvre dans les aéroports pour protéger l'aviation civile peuvent être réalisées, avec le consentement de la personne , au moyen d'un dispositif d'imagerie utilisant des ondes millimétriques (plus communément appelé « scanners corporels »).
Ce dispositif émet des ondes qui se réfléchissent sur le corps et un récepteur récupère les ondes réfléchies. Les informations reçues sont retranscrites sur un écran où le passager est représenté sous la forme d'un avatar sur lequel les zones nécessitant une levée de doute sont identifiées. À ce titre, ils se distinguent des portiques de détection de métaux « classiques » qui émettent une alerte sonore en cas de détection, sans donner d'indication sur la zone à inspecter.
Ces équipements sont déployés dans les aéroports déterminés par arrêté conjoint du ministre chargé de l'aviation civile et du ministre de l'intérieur.
1.2. Une extension proposée par le Gouvernement dans les enceintes dans lesquelles est organisée une manifestation sportive, récréative ou culturelle rassemblant plus de 300 spectateurs
L'article 15 du projet de loi vise à étendre les cas d'usage des scanners corporels dans les enceintes dans lesquelles sont organisées des manifestations sportives, récréatives ou culturelles rassemblant plus de 300 spectateurs . Ces équipements seraient opérés par des agents de sécurité privés, formés et agréés, affectés par l'organisateur de la manifestation à la sécurité.
L'extension en dehors du domaine sportif a été suggérée par le Conseil d'État pour des raisons de soutenabilité économique : compte tenu du coût d'investissement, une faculté limitée aux seules manifestations sportives aurait pu être dissuasive car en rendant difficile l'amortissement.
L'utilisation de scanners corporels présente des avantages au regard des opérations de palpation de sécurité auxquels peuvent déjà procéder les agents de sécurité privés, que ce soit en termes de fiabilité ou de fluidité . Elle permettrait de multiplier par quatre les flux de contrôle, avec un flux de 800 personnes par heure contre 200 avec le système de la palpation traditionnelle, selon la direction des libertés publiques et des affaires juridiques (DLPAJ) du ministère de l'intérieur.
Si la comparaison est faite avec les portiques de détection métallique, l'argument de fluidité semble en revanche moins convaincant. La préfecture de police de Paris note ainsi que la durée de création de l'image peut occasionner un ralentissement de l'intégration des spectateurs dans les enceintes pouvant lui-même générer un risque de manifestations d'impatience des spectateurs et de poussées au sein des flux (jusqu'à des mouvements de foule).
Les différentes auditions menées par le rapporteur n'ont pas permis de déterminer si les scanners corporels seraient réellement mis en oeuvre pendant la période des jeux Olympiques et Paralympiques . Selon les déclarations des représentants du Comité d'organisation des jeux Olympiques et Paralympiques (COJO), ce n'est pas une technologie qu'il a prévu de déployer .
Pour la préfecture de police de Paris, l'utilisation de tels scanners serait toutefois particulièrement utile pour la gestion et le contrôle d'accès aux zones d'accueil des personnalités telles que le « stade du Trocadéro » lors de la cérémonie d'ouverture. Si les quais de Seine ne peuvent pas être considérés comme des enceintes sportives, ils pourraient éventuellement relever de la formulation plus large d' « enceinte dans lesquelles est organisée une manifestation sportive, récréative ou culturelle » selon l'analyse de la DLPAJ. Il pourrait en effet être admis que celle-ci puisse comprendre le cas d'une enceinte clairement délimitée mais éphémère , dans le cadre d'une autorisation d'occupation temporaire qui emporte autorisation d'en réguler l'accès pour l'organisateur. Néanmoins la question du financement de tels équipements reste entière.
2. Un dispositif qui reprend les mêmes garanties que celles existantes dans le domaine de la sûreté aéroportuaire
Comme le rappelle la Commission nationale de l'informatique et des libertés (CNIL) dans son avis, la mise en oeuvre d'un scanner corporel constitue un traitement de données à caractère personnel soumis à la réglementation en la matière.
La rédaction de l'article 11, qui est identique à celle de l'article L. 6342-4 du code des transports, en reprend les garanties, également importantes pour protéger la vie privée de la personne :
- l'utilisation du scanner corporel ne peut être faite qu'avec le consentement de la personne : en cas de refus, elle est soumise à un autre dispositif de contrôle (portique de détection métallique, palpation) ;
- l'analyse des images visualisées est effectuée par des opérateurs qui ne connaissent pas l'identité de la personne et ne peuvent la visualiser simultanément ;
- l'image produite doit comporter un système brouillant la visualisation du visage ;
- enfin, aucun stockage ou enregistrement des images n'est autorisé.
Seul le renvoi à un arrêté conjoint des ministres compétents pour fixer les zones dans lesquelles pourraient être déployés ces équipements n'a pas été repris : la décision de s'équiper ou non reviendrait aux gestionnaires d'enceinte et la régulation reposerait en pratique sur le coût des scanners corporels - qui varie de 75 000 à 400 000 euros selon les personnes interrogées - directement supporté par ceux-ci.
3. La position de la commission : préciser le caractère volontaire de l'acquisition de ces équipements onéreux
La commission est assez réservée sur l'utilité de l'article 11 dans le cadre de la préparation des jeux Olympiques et Paralympiques compte tenu des incertitudes existant quant à leur utilisation. Elle en a toutefois décidé l'adoption en raison des garanties apportées et de la fiabilité de ces dispositifs.
Pour renforcer ces garanties, elle a adopté :
- les amendements identiques COM-43 et COM-99 de Jérôme Durain et Dominique Théophile pour expliciter le caractère exprès du consentement exprimé ;
- l' amendement COM-19 de Maryse Carrère , visant à préciser que les personnes devraient être préalablement informées de l'existence d'un autre dispositif de contrôle (le dispositif classique de palpations de sécurité).
À l'initiative de son rapporteur, la commission a également souhaité lever toute ambigüité sur le caractère volontaire de l'acquisition de ces équipements . Elle a donc adopté l' amendement COM-92 qui précise que les scanners corporels seraient installés à l'initiative des gestionnaires d'enceinte et qu'en conséquence, ils ne pourraient leur être imposés.
Cet amendement supprime également la notion d'« inspection-filtrage » qui est repris du code des transports, mais n'existe pas dans le code de la sécurité intérieure.
La commission a adopté l'article 11 ainsi modifié .
Article 12
Création de
deux nouveaux délits réprimant, lorsqu'elles sont commises en
réunion ou en récidive, l'entrée frauduleuse dans une
enceinte sportive et l'entrée ou le maintien sans autorisation sur la
pelouse ou le terrain de jeu
L'examen de cet article a été délégué au fond à la commission de la culture, de l'éducation et de la communication.
Lors de sa réunion, la commission de la culture, de l'éducation et de la communication a adopté l' amendement COM-120 rectifié de son rapporteur pour avis, proposant de faire de l'introduction dans un stade sans motif légitime un délit, y compris lorsqu'elle n'est pas commise en état de récidive ou en réunion, alors que le Gouvernement prévoyait une simple contravention.
La commission de la culture, de l'éducation et de la communication a également adopté l' amendement COM-119 rectifié de son rapporteur pour avis, visant à obliger à recourir à des titres d'accès infalsifiables pour les grandes manifestations sportives .
La commission a adopté l'article 12 ainsi modifié .
Article 13
Caractère
obligatoire de la peine d'interdiction de stade pour
certains délits
L'examen de cet article a été délégué au fond à la commission de la culture, de l'éducation et de la communication.
Lors de sa réunion, la commission de la culture, de
l'éducation et de la communication a adopté l'
amendement
COM-121 rectifié
bis
de son rapporteur pour avis,
proposant d'
élargir le rapport annuel réalisé par
le ministère de l'intérieur sur les interdictions de stade
aux violations
de ces dernières
.
La commission a adopté l'article 13 ainsi modifié .
* 38 Loi n° 95-73 du 21 janvier 1995 d'orientation et de programmation relative à la sécurité .
* 39 Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés .
* 40 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE .
* 41 Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil .
* 42 Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles .
* 43 Les mesures d'application relatives aux caméras mobiles récemment créées ou modifiées par la loi du 25 mai 2021 pour une sécurité globale préservant les libertés et celle du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure ne sont pas encore toutes publiées.
* 44 Systèmes déployés par les autorités publiques sur la voie publique ou dans des lieux et établissements ouverts au public et systèmes déployés par des commerçants sur la voie publique aux abords immédiats de leurs bâtiments et installations.
* 45 Selon la DLPAJ, ces contrôles ont été limités ces dernières années en raison de la fermeture de nombreux établissements liée à la pandémie. Cependant, les recensements antérieurs faisaient état de plus de 500 contrôles diligentés par an...
* 46 Commission nationale de l'informatique et des libertés, Position sur les conditions de déploiement des caméras dites « intelligentes » ou « augmentées » dans les espaces publics , juillet 2022. Cette position est consultable à l'adresse suivante : https://www.cnil.fr/fr/cameras-dites-augmentees-dans-les-espaces-publics-la-position-de-la-cnil .
* 47 Ce rapport est consultable à l'adresse suivante : https://www.senat.fr/notice-rapport/2021/r21-627-notice.html .
* 48 Les données biométriques sont définies dans le Règlement Général sur la Protection des Données (Règlement EU 2016/679 - RGPD) comme « les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques . »
* 49 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
* 50 Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil
* 51 Conseil d'État, 10 ème et 9 ème chambres réunies, 27/06/2016, n° 385091. La décision est consultable à l'adresse suivante : https://www.legifrance.gouv.fr/ceta/id/CÉTATEXT000032790103 .
* 52 Proposition n° 14 : Autoriser, à titre expérimental, l'usage de traitements d'images issues des espaces accessibles au public à l'aide de l'intelligence artificielle sans utilisation de données biométriques dans le cadre des finalités attribuées au dispositif de vidéoprotection déployé, après autorisation du préfet territorialement compétent et consultation, le cas échéant, de la CNIL. Assurer l'information du public.
* 53 Rapport d'information n° 627 (2021-2022) de MM. Marc-Philippe DAUBRESSE, Arnaud de BELENET et Jérôme DURAIN, La reconnaissance biométrique dans l'espace public : 30 propositions pour écarter le risque d'une société de surveillance , fait au nom de la commission des lois et déposé le 10 mai 2022. Ce rapport est consultable à l'adresse suivante : https://www.senat.fr/notice-rapport/2021/r21-627-notice.html .
* 54 Le dispositif de l'article 44 de la loi pour une sécurité globale préservant les libertés est inséré à l'article L. 2251-4-2 du code des transports.
* 55 Décret n° 2017-668 du 27 avril 2017 portant création du service à compétence nationale dénommé « service national des enquêtes administratives de sécurité ».
* 56 Conseil d'État, décision n° 414827 du 21 février 2028.
* 57 Critère permettant aujourd'hui l'établissement d'un périmètre de protection au sens de l'article L. 226-1 du code de la sécurité intérieure.
* 58 Les participants à un grand évènement incluent les acteurs ou sportifs, mais également leurs équipes et les autres personnes participant au déroulement de l'évènement comme les arbitres.
* 59 Étude d'impact sur le projet de loi, p. 104.
* 60 Loi n° 2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure (article 25).