Tweeter

Tribunal administratif de Caen, ordonnance du 22 novembre 2023

Ligue des droits de l'homme & autres

atteinte grave et manifestement illégale au respect de la vie privée - injonction d’effacer les données personnelles - reconnaissance faciale - videosurveillance - vidéosurveillance algorithmique

Vu la procédure suivante : I. Par une requête, enregistrée le 20 novembre 2023 à 08h11 sous le n° 2303004, et un mémoire et des pièces complémentaires enregistrés les 21 et 22 novembre 2023, la Ligue des droits de l’homme, le Syndicat de la magistrature et l’Union syndicale Solidaires, représentés par Me Ogier et Me Crusoé, demandent au juge des référés :
1°) sur le fondement des dispositions de l’article L. 521-2 du code de justice administrative, d’enjoindre à la communauté de communes Cœur Côte Fleurie de cesser immédiatement l’usage du logiciel édité par la société Briefcam et de mettre sous séquestre auprès de la Commission nationale informatique et libertés (CNIL) la version du logiciel utilisé ;
2°) de mettre à la charge de la communauté de communes Cœur Côte Fleurie une somme de 2 500 euros en application de l’article L. 761-1 du code de justice administrative.
Ils soutiennent que :
– le 15 novembre 2023, sur le réseau social X, la CNIL a annoncé initier une procédure de contrôle à la suite de la publication d’une enquête journalistique concernant l’emploi du logiciel de vidéosurveillance édité par Briefcam.
Sur l’urgence :
– le dispositif édité par Briefcam ajoute considérablement aux logiciels classiques de vidéosurveillance, dans la mesure où il est doté de technologies qui ont pour effet de collecter et d’enregistrer des données révélées par les images pour permettre le recours à la reconnaissance faciale ou à toute autre technique algorithmique ;
– en cas de surveillance par vidéoprotection et vidéosurveillance, un grand nombre de personnes peut faire l’objet de ces modalités et ainsi faire l’objet d’atteintes particulièrement graves au droit au respect de leur vie privée ;
– l’usage de ce procédé n’ayant pas été préalablement autorisé ni même analysé, il existe un arbitraire total entourant les conditions d’utilisation du logiciel.
Sur l’atteinte grave et manifestement illégale à une liberté fondamentale :
– la création d’un fichier ayant pour objet la collecte et l’enregistrement de données personnelles porte une atteinte à la liberté fondamentale qu’est le droit au respect de la vie privée ;
– s’agissant d’un traitement qui a pour objet de visualiser, de surveiller la voie publique, et de collecter des données personnelles relatives aux personnes qui circulent dans l’espace public, la collecte et l’enregistrement portent atteinte à la liberté d’expression et à la liberté de conscience dès lors qu’ils sont susceptibles de faire état de ce que des personnes désignées ont participé à une manifestation ;
– il est en outre porté atteinte au droit à la protection des données personnelles et à la liberté d’aller et de venir ;
– les dispositifs de télésurveillance qui comportent une ou des technologies dites  » intelligentes  » constituent des traitements de données personnelles, dès lors qu’ils ont pour objet de collecter et d’enregistrer des données dans une capacité mémoire et qu’un préposé a accès aux résultats de son fonctionnement ;
– l’intercommunalité a précisé dans son communiqué qu’elle s’appuyait quotidiennement sur ce logiciel pour faire progresser les enquêtes ;
– le procédé de reconnaissance faciale s’analyse comme une technique de traitement automatisé de données biométriques entrant dans le champ de l’article 6 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
– pour ce type de traitement permettant le recours à la reconnaissance faciale sans le consentement des personnes, le dispositif de rapprochement par photographie doit en outre être autorisé par un texte justifiant l’utilisation du dispositif, qui ne peut être autorisée par les services compétents qu’en cas de nécessité absolue ;
– le recours à la reconnaissance faciale sans consentement ne peut pas légalement intervenir en dehors du traitement des antécédents judiciaires et dans le cadre des techniques de renseignement ;
– la CNIL a indiqué en juillet 2022 que la loi française n’autorisait pas l’usage par la puissance publique des caméras augmentées pour la détection et la poursuite d’infractions ;
– tout dispositif de collecte et d’enregistrement de données issues d’images de vidéosurveillance par des techniques d’intelligence artificielle constitue un traitement de données soumis aux règles issues du règlement européen sur la protection des données personnelles (RGPD) ou de la directive du 27 avril 2016  » Police-Justice  » ; parmi ces dispositifs, ceux recourant à la reconnaissance faciale sont strictement interdits sauf s’ils sont formellement autorisés par la législation applicable ;
– la décision attaquée est révélée par l’usage d’un logiciel qui n’a pas fait l’objet d’encadrement
réglementaire et qui rend possible le recours à la reconnaissance faciale en méconnaissance des textes applicables ;
– pour la transposition de l’article 27 directive n° 2016/680 du 27 avril 2016  » Police-Justice « , l’article 90 de la loi du 6 janvier 1978 impose au responsable du traitement d’effectuer une analyse d’impact relative à la protection des données à caractère personnel (AIPD) lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes physiques ; le traitement litigieux remplit plusieurs des critères permettant de caractériser un risque élevé, à savoir, notamment, le croisement et la combinaison de données, ainsi que l’application d’une nouvelle solution au regard des techniques d’intelligence artificielle mises en œuvre ; qu’il y ait ou non mise en œuvre d’une fonction de reconnaissance faciale, le déploiement d’un tel dispositif d’analyse automatisée des images issues d’un système de vidéoprotection doit faire l’objet au préalable d’une analyse d’impact par la CNIL ;
– faute d’avoir été précédée d’un avis de la CNIL, la décision de mettre en œuvre un tel traitement a été prise à l’issue d’une procédure irrégulière en méconnaissance de l’article 31 de la loi du 6 janvier 1978 ;
– le traitement automatisé de données relatives à des images captées par un système de vidéosurveillance, qu’il permette ou non la reconnaissance faciale, doit être prévu et encadré par la loi ou par un acte réglementaire ; faute d’avoir été prévu par un acte réglementaire, ce traitement de données personnelles est dépourvu de base légale et méconnaît les dispositions des articles 31, 89, 90 de la loi du 6 janvier 1978 ;
– l’absence d’encadrement réglementaire et le déploiement dérégulé d’une technique inconnue d’intelligence artificielle est de nature à porter une atteinte grave et manifestement immédiate au droit au respect de la vie privée ;
– faute pour le traitement litigieux de répondre à une obligation légale et en l’absence d’acte instaurant le traitement et limitant cette garantie, le droit d’opposition devait être garanti par le responsable du traitement ; dès lors, la décision attaquée d’utiliser le logiciel Briefcam méconnaît les articles 23 du règlement général sur la protection des données (RGPD) et 110 de la loi du 6 janvier 1978 ;
– rien n’établit que les services seraient dans l’impossibilité technique absolue de recourir à la reconnaissance faciale et aux fonctionnalités intelligentes que permet le dispositif Briefcam ; dès lors, compte tenu des risques que ce traitement de données comporte, sa mise en œuvre porte une atteinte au droit au respect de la vie privée.
La Confédération générale du travail (CGT), représentée par Me Ogier et Me Crusoé, a présenté un mémoire en intervention volontaire au soutien des conclusions des requérants, enregistré le 20 novembre 2023.
La communauté de communes Cœur Côte Fleurie, à qui la requête a été communiquée, n’a pas présenté d’observations en défense.

II. Par une requête, enregistrée le 20 novembre 2023 à 16h33 sous le n° 2303012, l’Association de défense des libertés constitutionnelles et le Syndicat des avocats de France, représentés par Me Soufron, demandent au juge des référés :
1°) sur le fondement des dispositions de l’article L. 521-2 du code de justice administrative, d’enjoindre à la communauté de communes Cœur Côte Fleurie de cesser immédiatement l’utilisation du traitement litigieux, de placer sous séquestre auprès de la CNIL l’ensemble des données et métadonnées issues du traitement litigieux et du registre des activités liées au traitement litigieux tel que prévu par l’article 100 de la loi du 6 janvier 1978 ; d’ordonner toutes mesures qu’il estimera utile afin de faire cesser les atteintes graves et manifestement illégales portées aux libertés fondamentales ;
2°) de mettre à la charge de la communauté de communes Cœur Côte Fleurie une somme de 2 500 euros en application de l’article L. 761-1 du code de justice administrative.
Ils soutiennent que :
– le logiciel Briefcam est une plateforme d’analyse vidéo reposant sur l’intelligence artificielle, permettant d’effectuer des recherches vidéo et d’identifier automatiquement des éléments dont la détection a été programmée ;
– la CNIL a annoncé ouvrir une enquête le 15 novembre 2023 sur ce type de logiciel.
Sur l’urgence :
– alors que ce dispositif est utilisé depuis plusieurs années dans les communes composant la communauté de communes Cœur Côte Fleurie, son existence n’est connue du grand public que depuis l’article de presse du 14 novembre 2023 ;
– en l’absence d’acte règlementaire autorisant l’institution et la mise en œuvre du traitement litigieux, aucun acte ne fixe les modalités d’utilisation qu’il doit obligatoirement respecter et les garanties dont il doit être entouré.
Sur l’atteinte grave et manifestement illégale à une liberté fondamentale :
– la mise en œuvre d’un traitement de données à caractère personnel ayant pour finalité de recueillir des informations concernant des personnes physiques sans l’intervention préalable d’un acte règlementaire, constitue en elle-même une atteinte grave au droit au respect de la vie privé ;
– la décision de recourir à un tel dispositif porte une atteinte grave au droit à la protection des données personnelles ;
– le traitement litigieux entre dans le champ d’application de la directive n° 2016-680 du 27 avril 2016 dont l’article 1er prévoit qu’elle s’applique aux traitements de données à caractère personnel institués, y compris pour la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ;
– il ressort du guide d’utilisateur que le traitement en cause permet notamment à tout utilisateur muni d’une licence générale permettant de l’utiliser – indépendamment de la licence propre à l’utilisation de la reconnaissance faciale qui est présentée comme optionnelle – d’identifier des personnes physiques en partant de leurs caractéristiques propres et personnelles, telles que leur taille, couleur de peau, couleur de cheveux, âge, sexe, couleur des vêtements et apparence, mais aussi leur manière de se mouvoir, et de les suivre de manière automatisée ;
– le traitement contesté étant mis en œuvre au titre de prérogatives de puissance publique dans l’exercice des missions de police municipale, il s’agit d’un traitement de données à caractère personnel mis en œuvre à des fins, notamment, de prévention et de détection de menaces pour la sécurité publique et la prévention de telles menaces ; dès lors, il constitue un traitement au sens de cette directive ; ainsi, il relève du champ d’application de la directive 27 avril 2016 et des dispositions de la loi du 6 janvier 1978 transposant les dispositions de cette directive ; dès lors, le responsable du traitement aurait dû procéder au préalable à une étude d’impact ;
– la CNIL n’a pas été saisie, en méconnaissance de l’article 90, 2° de la loi du 6 janvier 1978 ;
– en l’absence d’étude d’impact, la décision en litige méconnaît l’article 36 du règlement (UE) 2016/679.
La communauté de communes Cœur Côte Fleurie, à qui la requête a été communiquée, n’a pas présenté d’observations en défense.

Vu les autres pièces du dossier.
Vu :
– le règlement 2016/679 (UE) du Parlement européen et du Conseil du 27 avril 2016 ;
– la directive n° 2016/680 du 27 avril 2016 ;
– la loi n° 78-17 du 6 janvier 1978 ;
– le code de justice administrative.

Le président du tribunal a désigné M. A pour statuer sur les demandes de référé.

Au cours de l’audience publique qui s’est tenue le 22 novembre 2023 en présence de M. Dubost, greffier d’audience, M. A a lu son rapport et entendu :

– les observations de Me Ogier, représentant les requérants dans l’instance n° 2303004, qui reprend les termes de la requête. Elle précise que l’enquête administrative annoncée par le ministre de l’intérieur prendra nécessairement du temps ; il s’agit d’un dispositif de caméra augmentée couplé à un logiciel de vidéosurveillance algorithmique permettant d’identifier des personnes selon les critères de l’algorithme ; un décret du 28 août 2023 a admis pour la première fois, à titre expérimental, ce type de traitement uniquement pour l’organisation des prochains jeux olympiques,
– et les observations de Me Bodin, représentant les requérants dans l’instance n° 2303012, qui reprend les termes de la requête. Il précise que la collectivité s’est affranchie d’un cadre légal en utilisant ce type de traitement pendant plusieurs années.
La communauté de communes Cœur Côte Fleurie, dûment convoquée, n’était pas représentée.
La clôture de l’instruction est intervenue à l’issue de l’audience en application du premier alinéa de l’article R. 522-8 du code de justice administrative.

Considérant ce qui suit :

1. Les requêtes visées ci-dessus, qui sollicitent une injonction à l’égard de la communauté de communes Cœur Côte Fleurie de cesser d’utiliser le logiciel édité par la société Briefcam, soulèvent des questions juridiques identiques et ont fait l’objet d’une instruction commune. Il y a lieu de les joindre pour statuer par une seule ordonnance.

Sur l’intervention :

2. La Confédération générale du travail ne justifie pas d’un intérêt suffisant eu égard à la nature et à l’objet du présent litige. Dès lors, son intervention ne peut pas être admise.

Sur les conclusions présentées sur le fondement de l’article L. 521-2 du code de justice administrative :

3. Aux termes de l’article L. 521-2 du code de justice administrative :  » Saisi d’une demande en ce sens justifiée par l’urgence, le juge des référés peut ordonner toutes mesures nécessaires à la sauvegarde d’une liberté fondamentale à laquelle une personne morale de droit public ou un organisme de droit privé chargé de la gestion d’un service public aurait porté, dans l’exercice d’un de ses pouvoirs, une atteinte grave et manifestement illégale. Le juge des référés se prononce dans un délai de quarante-huit heures. « .
L’article L. 511-1 du même code dispose :  » Le juge des référés statue par des mesures qui présentent un caractère provisoire. Il n’est pas saisi du principal et se prononce dans les meilleurs délais. « .

4. Il résulte de la combinaison des dispositions des articles L. 511-1 et L. 521-2 du code de justice administrative qu’il appartient au juge des référés, lorsqu’il est saisi sur le fondement de l’article L. 521-2 et qu’il constate une atteinte grave et manifestement illégale portée par une personne morale de droit public à une liberté fondamentale, résultant de l’action ou de la carence de cette personne publique, de prescrire les mesures qui sont de nature à faire disparaître les effets de cette atteinte, dès lors qu’existe une situation d’urgence caractérisée justifiant le prononcé de mesures de sauvegarde à très bref délai et qu’il est possible de prendre utilement de telles mesures.

5. Pour l’application de l’article L. 521-2 du code de justice administrative, le droit au respect de la vie privée, qui comprend le droit à la protection des données personnelles, constitue une liberté fondamentale au sens des dispositions de cet article.

6. L’article 3 de la directive du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales et à la libre circulation de ces données et abrogeant la décision-cadre 2008/977/JAI du Conseil définit, à son point 1, les données à caractère personnel comme  » toute information se rapportant à une personne physique identifiée ou identifiable  » et précise qu’est réputée être une  » personne physique identifiable  »  » une personne physique qui peut être identifiée, directement ou indirectement notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale « . Cet article 3 définit, à son point 2, un traitement comme  » toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel ou des ensemble de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction « .

7. Les requérants soutiennent que la communauté de communes Cœur Côte Fleurie utilise depuis plusieurs années un dispositif de caméras augmentées couplé à un logiciel de vidéosurveillance algorithmique produit par la société Briefcam. Ils exposent, sans que cela soit contesté, que ce dispositif permet, d’une part, d’identifier des personnes physiques en fonction de leurs caractéristiques propres, à savoir leur taille, couleur de peau, couleur de cheveux, âge, sexe, couleur des vêtements et apparence, ainsi que leur manière de se mouvoir et, d’autre part, de les suivre de manière automatisée. Il résulte de l’instruction, en particulier du guide des technologies de sûreté 2022 versé au dossier, que le logiciel Briefcam constitue une plateforme complète d’analyse de contenu vidéo qui s’intègre dans les systèmes de vidéosurveillance existants et permet d’exploiter le contenu de vidéosurveillance en simplifiant la consultation de ces systèmes et leur exploitation. Selon ce document, cette plateforme,  » basée sur une combinaison unique de la technologie brevetée de Vidéo Synopsis et deep learning  » offre notamment la possibilité d’accélérer les enquêtes en résumant des heures de vidéos en quelques minutes, avec plus de trente filtres de classification d’objets. Il ressort d’un communiqué de la communauté de communes Cœur Côte Fleurie que ce dispositif d’analyse vidéo a été mis en place en 2016 afin de transformer la vidéo brute en source de renseignements exploitables, en réduisant le temps d’identification des menaces de sécurité. Il est précisé dans ce communiqué que l’intercommunalité  » s’appuie quotidiennement sur Briefcam pour faire progresser les enquêtes « .

8. Il résulte des dispositions citées au point 6 qu’un tel dispositif de surveillance, qui constitue un traitement de données à caractère personnel et a pour finalités la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, relève du champ d’application de la directive du 27 avril 2016, dont le titre 3 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés assure la transposition en droit interne. Ainsi que l’a relevé la Commission nationale informatiques et libertés (CNIL) dans sa position publiée en juillet 2022 sur les conditions de déploiement des caméras dites  » intelligentes  » ou  » augmentées  » dans les espaces publics, le déploiement de ces dispositifs dans l’espace public présente des risques pour les droits et libertés fondamentaux des personnes et la préservation de leur anonymat dans l’espace public. La CNIL a rappelé que la loi n’autorisait pas les services de police de l’Etat ou les collectivités territoriales à brancher sur les caméras de vidéoprotection des dispositifs d’analyse automatique permettant de repérer des comportements contraires à l’ordre public ou des infractions.

9. Ainsi qu’il a été exposé au point 7, le dispositif de caméras augmentées utilisé par la communauté de communes Cœur Côte Fleurie en dehors de tout cadre légal ou réglementaire, qui a pour objet de simplifier l’exploitation du contenu de vidéosurveillance et d’accélérer le temps d’identification des menaces de sécurité, permet d’identifier des personnes physiques en fonction de leurs caractéristiques propres. Il n’est pas établi ni même allégué que d’autres moyens moins intrusifs au regard de la vie privée ne pouvaient être mis en œuvre afin de préserver l’ordre public. Dès lors, les requérants sont fondés à soutenir que l’utilisation du dispositif litigieux porte une atteinte grave et manifestement illégale au respect de la vie privée.

10. L’urgence de la mesure demandée sur le fondement de l’article L. 521-2 du code de justice administrative doit être appréciée en tenant compte non seulement de ses effets sur les intérêts défendus par les requérants mais aussi de l’objectif poursuivi par la collectivité. Eu égard, d’une part, au nombre de personnes susceptibles de faire l’objet des mesures de surveillance litigieuses, d’autre part, aux atteintes qu’elles sont susceptibles de porter au droit au respect de la vie privée, et alors, ainsi qu’il a été précédemment exposé, qu’il ne résulte pas de l’instruction que l’objectif de prévention des atteintes à l’ordre public ne pouvait être atteint en recourant à des mesures moins intrusives au regard du droit au respect de la vie privée, la condition d’urgence doit être regardée comme remplie.

11. Il résulte de la combinaison des dispositions des articles L. 511-1, L. 521-2 et L. 521-4 du code de justice administrative qu’il appartient au juge des référés, lorsqu’il est saisi sur le fondement de l’article L. 521-2 et qu’il constate une atteinte grave et manifestement illégale portée par une personne morale de droit public à une liberté fondamentale, de prendre les mesures qui sont de nature à faire disparaître les effets de cette atteinte. Ces mesures doivent en principe présenter un caractère provisoire, sauf lorsqu’aucune mesure de cette nature n’est susceptible de sauvegarder l’exercice effectif de la liberté fondamentale à laquelle il est porté atteinte. Le juge des référés peut, sur le fondement de l’article L. 521-2 du code de justice administrative, ordonner à l’autorité compétente de prendre, à titre provisoire, une mesure d’organisation des services placés sous son autorité lorsqu’une telle mesure est nécessaire à la sauvegarde d’une liberté fondamentale. Toutefois, le juge des référés ne peut, au titre de la procédure particulière prévue par l’article L. 521-2 précité, qu’ordonner les mesures d’urgence qui lui apparaissent de nature à sauvegarder, dans un délai de quarante-huit heures, la liberté fondamentale à laquelle il est porté une atteinte grave et manifestement illégale.

12. En l’espèce, il y a lieu d’enjoindre à la communauté de communes Cœur Côte Fleurie de procéder, dans un délai de cinq jours à compter de la notification de la présente ordonnance, à l’effacement des données à caractère personnel contenues dans le fichier initialement constitué et dans toutes les copies, totales ou partielles, qui auraient pu en être faites, à l’exception d’un seul exemplaire, dans sa dernière version à la date de la présente ordonnance, qui sera placé sous séquestre auprès de la Commission nationale informatique et libertés dans un délai d’un mois à compter de la notification de la présente ordonnance.

Sur les frais liés au litige :

13. Il y a lieu, dans les circonstances de l’espèce, sur le fondement de l’article L. 761-1 du code de justice administrative, de mettre à la charge de la communauté de communes Cœur Côte Fleurie une somme globale de 1 500 euros à verser aux requérants dans l’instance n° 2303004 et une somme globale de 1 500 euros à verser aux requérants dans l’instance n° 2303012.

DECISION

Article 1er : L’intervention de la Confédération générale du travail n’est pas admise.

Article 2 : Il est enjoint à la communauté de communes Cœur Côte Fleurie de procéder, dans un délai de cinq jours à compter de la notification de la présente ordonnance, à l’effacement des données à caractère personnel contenues dans le fichier initialement constitué et dans toutes les copies, totales ou partielles, qui auraient pu en être faites, à l’exception d’un seul exemplaire, dans sa dernière version à la date de la présente ordonnance, qui sera placé sous séquestre auprès de la Commission nationale informatique et libertés dans un délai d’un mois à compter de la notification de la présente ordonnance.

Article 3 : La communauté de communes Cœur Côte Fleurie versera, sur le fondement de l’article L. 761-1 du code de justice administrative, une somme globale de 1 500 euros à la Ligue des droits de l’homme, au Syndicat de la magistrature et à l’Union syndicale Solidaires dans l’instance n° 2303004 et une somme globale de 1 500 euros à l’Association de défense des libertés constitutionnelles et au Syndicat des avocats de France dans l’instance n° 2303012.

Article 4 : La présente ordonnance sera notifiée à La Ligue des droits de l’homme, au Syndicat de la magistrature, à l’Union syndicale Solidaires, à la Confédération générale du travail, à l’Association de défense des libertés constitutionnelles, au Syndicat des avocats de France et à la communauté de communes Cœur Côte Fleurie.

Le Tribunal : M. A. (juge des référés), D. Dubost (greffier)

Avocats : Me Ogier, Me Crusoé, Me Soufron

Source : dalloz-actualite.fr

Lire notre présentation de la décision