Tribunal administratif de Lille, ordonnance du 29 novembre 2023

Ligue des droits de l’homme & autres

biométrie - fonction désactivée - reconnaissance faciale - RGPD - vidéoprotection - videosurveillance

Vu les procédures suivantes : I. Sous le n° 2310103, par une requête, enregistrée le 20 novembre 2023, et un mémoire, enregistré le 23 novembre 2023, la Ligue des droits de l’homme, le syndicat de la magistrature et l’union syndicale Solidaires, représentés par Me U. et Me D., demandent au juge des référés :

1°) statuant sur le fondement de l’article L. 521-2 du code de justice administrative, d’enjoindre à la commune de Roubaix de cesser immédiatement l’usage du logiciel Briefcam et de mettre sous séquestre auprès de la CNIL la version du logiciel utilisé ;

2°) de mettre à la charge de la commune de Roubaix la somme de 2 500 euros en application des dispositions de l’article L. 761-1 du code de justice administrative.

Ils soutiennent :

– que le 15 novembre 2023, sur le réseau social X, la CNIL a annoncé initier une procédure de contrôle à la suite de la publication d’une enquête journalistique concernant l’emploi du logiciel de vidéosurveillance Briefcam ;

Sur l’intérêt à agir, que :
– le droit au respect de la vie privée et familiale étant au nombre des libertés fondamentales que la Ligue des droits de l’homme s’est donnée pour mission de défendre, elle a intérêt à agir contre toute décision instituant des traitements de données personnelles ;
– le syndicat de la magistrature et l’union syndicale Solidaires justifient d’un intérêt à agir au regard de l’impact de la décision sur les conditions d’exercice de la profession que chacun entend défendre et sur leur activité militante et syndicale ;

Sur l’urgence, que :
– le dispositif édité par Briefcam ajoute considérablement aux logiciels classiques de vidéosurveillance, dans la mesure où il est doté de technologies qui ont pour effet de collecter et d’enregistrer des données révélées par les images pour permettre le recours à la reconnaissance faciale ou à toute autre technique algorithmique ;
– en cas de surveillance par vidéoprotection et vidéosurveillance, un grand nombre de personnes peut faire l’objet de ces modalités et ainsi faire l’objet d’atteintes particulièrement graves au droit au respect de leur vie privée ;
– l’usage de ce procédé n’ayant pas été préalablement autorisé ni même analysé, il existe un arbitraire total entourant les conditions d’utilisation du logiciel ;

Sur l’atteinte grave et manifestement illégale à une liberté fondamentale, que :
– la création d’un fichier ayant pour objet la collecte et l’enregistrement de données personnelles porte une atteinte à la liberté fondamentale qu’est le droit au respect de la vie privée ;
– s’agissant d’un traitement qui a pour objet de visualiser, de surveiller la voie publique, et de collecter des données personnelles relatives aux personnes qui circulent dans l’espace public, la collecte et l’enregistrement portent atteinte à la liberté de manifester, à la liberté d’expression et à la liberté de conscience dès lors qu’ils sont susceptibles de faire état de ce que des personnes désignées ont participé à une manifestation ;
– les dispositifs de télésurveillance qui comportent une ou des technologies dites
« intelligentes » constituent des traitements de données personnelles, dès lors qu’ils ont pour objet de collecter et d’enregistrer des données dans une capacité mémoire et qu’un préposé a accès aux résultats de son fonctionnement ;
– le procédé de reconnaissance faciale s’analyse comme une technique de traitement automatisé de données biométriques entrant dans le champ de l’article 6 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
– pour ce type de traitement permettant le recours à la reconnaissance faciale sans le consentement des personnes, le dispositif de rapprochement par photographie doit en outre être autorisé par un texte justifiant l’utilisation du dispositif, qui ne peut être autorisée par les services compétents qu’en cas de nécessité absolue ;
– le recours à la reconnaissance faciale sans consentement ne peut pas légalement intervenir en dehors du traitement des antécédents judiciaires et dans le cadre des techniques de renseignement ;
– tout dispositif de collecte et d’enregistrement de données issues d’images de vidéosurveillance par des techniques d’intelligence artificielle constitue un traitement de données soumis aux règles issues du règlement européen sur la protection des données personnelles (RGPD) ou de la directive du 27 avril 2016 « Police-Justice » ; parmi ces dispositifs, ceux recourant à la reconnaissance faciale sont strictement interdits sauf s’ils sont formellement autorisés par la législation applicable ;
– différents articles de presse indiquent que plusieurs communes, dont Roubaix, dissimulent le recours au logiciel Briefcam, lequel permet l’emploi de la reconnaissance faciale ;
– la décision attaquée est révélée par l’usage d’un logiciel qui n’a pas fait l’objet d’encadrement réglementaire et qui rend possible le recours à la reconnaissance faciale en méconnaissance des textes applicables ;
– pour la transposition de l’article 27 directive n° 2016/680 du 27 avril 2016 « Police- Justice », l’article 90 de la loi du 6 janvier 1978 impose au responsable du traitement d’effectuer une analyse d’impact relative à la protection des données à caractère personnel (AIPD) lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes physiques ; le traitement litigieux remplit plusieurs des critères permettant de caractériser un risque élevé, à savoir, notamment, le croisement et la combinaison de données, ainsi que l’application d’une nouvelle solution au regard des techniques d’intelligence artificielle mises en œuvre ; qu’il y ait ou non mise en œuvre d’une fonction de reconnaissance faciale, le déploiement d’un tel dispositif d’analyse automatisée des images issues d’un système de vidéoprotection doit faire l’objet au préalable d’une analyse d’impact par la CNIL ;
– le traitement automatisé de données relatives à des images captées par un système de vidéosurveillance, qu’il permette ou non la reconnaissance faciale, doit être prévu et encadré par la loi ou par un acte réglementaire ; faute d’avoir été prévu par un acte réglementaire, ce traitement de données personnelles est dépourvu de base légale et méconnaît les dispositions des articles 31, 89, 90 de la loi du 6 janvier 1978 ;
– faute d’avoir été précédée d’un avis de la CNIL, la décision de mettre en œuvre un tel traitement a été prise à l’issue d’une procédure irrégulière en méconnaissance de l’article 31 de la loi du 6 janvier 1978 ;
– l’absence d’encadrement réglementaire et le déploiement dérégulé d’une technique inconnue d’intelligence artificielle est de nature à porter une atteinte grave et manifestement immédiate au droit au respect de la vie privée ;
– faute pour le traitement litigieux de répondre à une obligation légale et en l’absence d’acte instaurant le traitement et limitant cette garantie, le droit d’opposition devait être garanti par le responsable du traitement ; dès lors, la décision attaquée d’utiliser le logiciel Briefcam méconnaît les articles 23 du règlement général sur la protection des données (RGPD) et 110 de la loi du 6 janvier 1978 ;
– rien n’établit que les services seraient dans l’impossibilité technique absolue de recourir à la reconnaissance faciale et aux fonctionnalités intelligentes que permet le dispositif Briefcam ; dès lors, compte tenu des risques que ce traitement de données comporte, sa mise en œuvre porte une atteinte au droit au respect de la vie privée ;
– faute de texte règlementaire l’instituant ou l’autorisant, faut d’avis préalable de la CNIL, faute d’analyse d’impacts, ni les finalités poursuivies par ce traitement, ni les données collectées, ni sa fonctionnalité, ni la durée de conservation de données, ni les destinataires ne sont précisés ; en l’absence d’un tel encadrement, la mise en œuvre de ce traitement porte une atteinte disproportionnée au droit au respect de la vie privée.

Par un mémoire en intervention, enregistré le 20 novembre 2023, la confédération générale du travail, représentée par Me U. et Me D., demande au juge des référés de faire droit aux conclusions de la requête.

Par un mémoire en défense, enregistré le 23 novembre 2023, la commune de Roubaix, représentée par Me B., conclut au rejet de la requête et à la mise à charge des requérants de la somme de 2 500 euros au titre de l’article L. 761-1 du code de justice administrative.

Elle fait valoir :

Sur l’intérêt à agir, que :
– le syndicat de la magistrature et l’union syndicale Solidaires, syndicats professionnels qui ont, conformément à l’article 2131-1 du code du travail, exclusivement pour objet l’étude et la défense des droits ainsi que des intérêts matériels et moraux des personnes mentionnées dans leurs statuts, ne démontrent pas leur intérêt à agir ;

Sur l’urgence, que :
– son utilisation du logiciel Briefcam est limité à la recherche a posteriori de plaques d’immatriculation, sur réquisition judiciaire ; elle ne peut en l’état utiliser la fonctionnalité de reconnaissance faciale de ce logiciel ;

Sur l’atteinte grave et manifestement illégale à une liberté fondamentale, que :
– en l’absence de traitement de données à caractère personnel institué par elle, et les dispositions invoquées n’étant donc pas applicables, les moyens soulevés sont inopérants.

II. Sous le n° 2310163, par une requête, enregistrée le 20 novembre 2023, l’association de défense des libertés constitutionnelles et le syndicat des avocats de France, représentés par Me V., demandent au juge des référés :

1°) statuant sur le fondement de l’article L. 521-2 du code de justice administrative, d’enjoindre à la commune de Roubaix de cesser immédiatement, et jusqu’au résultat d’enquête de la CNIL, d’utiliser le traitement de données à caractère personnel lié au logiciel édité par la société Briefcam, de placer sous séquestre auprès de cette commission l’ensemble des données et métadonnées issues de ce traitement ainsi que le registre des activités de ce traitement ;

2°) de mettre à la charge de la commune de Roubaix la somme de 2 500 euros en application des dispositions de l’article L. 761-1 du code de justice administrative.

Ils soutiennent :

– que le logiciel Briefcam est une plateforme d’analyse vidéo reposant sur l’intelligence artificielle, permettant d’effectuer des recherches vidéo et d’identifier automatiquement des éléments dont la détection a été programmée ;
– que la CNIL a annoncé ouvrir une enquête le 15 novembre 2023 sur ce type de logiciel ;

Sur l’intérêt à agir, que :
– l’association de défense des libertés constitutionnelles, qui s’est donnée pour mission développer ou de soutenir, par tous moyens, y compris par la voie contentieuse, les actions en vue de la reconnaissance et le respect de l’effectivité des droits et libertés en France et en Europe, justifie d’un intérêt à agir,
– il en va de même pour le syndicat des avocats de France ;

Sur l’urgence, que :
– alors que ce dispositif est utilisé depuis plusieurs années, son existence n’est connue du grand public que depuis l’article de presse du 14 novembre 2023 ;

– en l’absence d’acte règlementaire autorisant l’institution et la mise en œuvre du traitement litigieux, aucun acte ne fixe les modalités d’utilisation qu’il doit obligatoirement respecter et les garanties dont il doit être entouré ;

Sur l’atteinte grave et manifestement illégale à une liberté fondamentale :
– la mise en œuvre d’un traitement de données à caractère personnel ayant pour finalité de recueillir des informations concernant des personnes physiques sans l’intervention préalable d’un acte règlementaire, constitue en elle-même une atteinte grave au droit au respect de la vie privé ;
– la décision de recourir à un tel dispositif porte une atteinte grave au droit à la protection des données personnelles ;
– le traitement litigieux entre dans le champ d’application de la directive 2016-680 du
27 avril 2016 dont l’article 1er prévoit qu’elle s’applique aux traitements de données à caractère personnel institués, y compris pour la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ;
– le traitement contesté étant mis en œuvre au titre de prérogatives de puissance publique dans l’exercice des missions de police municipale, il s’agit d’un traitement de données à caractère personnel mis en œuvre à des fins, notamment, de prévention et de détection de menaces pour la sécurité publique et la prévention de telles menaces ; dès lors, il constitue un traitement au sens de cette directive ; ainsi, il relève du champ d’application de la directive 27 avril 2016 et des dispositions de la loi du 6 janvier 1978 transposant les dispositions de cette directive ; dès lors, le responsable du traitement aurait dû procéder au préalable à une étude d’impact ;
– il ressort du guide d’utilisateur que le traitement en cause permet notamment à tout utilisateur muni d’une licence générale permettant de l’utiliser – indépendamment de la licence propre à l’utilisation de la reconnaissance faciale qui est présentée comme optionnelle – d’identifier des personnes physiques en partant de leurs caractéristiques propres et personnelles, telles que leur taille, couleur de peau, couleur de cheveux, âge, sexe, couleur des vêtements et apparence, mais aussi leur manière de se mouvoir, et de les suivre de manière automatisée ;
– la CNIL n’a pas été saisie, en méconnaissance de l’article 90, 2° de la loi du 6 janvier 1978 ;
– en l’absence d’étude d’impact, la décision en litige méconnaît l’article 35 du règlement (UE) 2016/679.

Par un mémoire en défense, enregistré le 23 novembre 2023, la commune de Roubaix, représentée par Me B., conclut au rejet de la requête et à la mise à charge des requérants de la somme de 2 500 euros au titre de l’article L. 761-1 du code de justice administrative.

Elle fait valoir que les requérants, qui ne produisent pas leurs statuts, ne justifient pas d’un intérêt à agir, et, s’agissant de l’urgence et l’atteinte grave et manifestement illégale à une liberté fondamentale, invoque les mêmes arguments en défense que ceux invoqués sous le n° 2310103.

Vu les autres pièces des dossiers.

Vu :
– la Constitution ;
– la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales ;
– le règlement 2016/679 (UE) du Parlement européen et du Conseil du 27 avril 2016 ;
– la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 ;
– le code de la sécurité intérieure ;
– la loi n° 78-17 du 6 janvier 1978 ;
– le code de justice administrative.

Le président du tribunal a désigné M. Robbe, vice-président, pour statuer sur les demandes de référé.

Les parties ont été régulièrement convoquées à l’audience publique.

Au cours de l’audience publique qui s’est tenue le 23 novembre 2023 à 14h30, en présence de Mme Deregnieaux, greffière, M. Robbe, juge des référés, a lu son rapport et entendu :
– Me D. , représentant la Ligue des droits de l’homme, le syndicat de la magistrature, l’Union syndicale Solidaires et la confédération générale du travail ;
– Me R., substituant Me V., représentant l’association de défense des libertés constitutionnelles et le syndicat des avocats de France ;
– et Me L., substituant Me B., représentant la commune de Roubaix, qui reprend les conclusions et arguments du mémoire en défense.

Les parties ont été informées au cours de l’audience que la clôture de l’instruction était différée au 27 novembre 2023 à 16 heures.

Sous le n° 2310103 et sous le n° 23010163, par un nouveau mémoire, enregistré le 24 novembre 2023, la commune de Roubaix, représentée par Me B., maintient ses conclusions et précédentes observations, en apportant des pièces nouvelles à l’appui de son moyen de défense tiré de l’usage limité qu’elle peut faire du logiciel.

Sous le n° 2310103, par un nouveau mémoire, enregistré le 27 novembre 2023 à 10h21, la Ligue des droits de l’homme, le syndicat de la magistrature et l’union syndicale Solidaires, représentés par Me U. et Me D., maintiennent leurs conclusions et précédentes observations, en ajoutant que :
– les syndicats, alors même que leur intérêt à agir est apprécié à travers l’article
L. 2131-1 du code du travail, sont recevables à agir contre des mesures portant sur des traitements de données à caractère personnel ;
– la commune de démontre pas que le logiciel Briefcam serait utilisé pour les seuls besoins des enquêtes de police judiciaire et sur réquisition de l’autorité ou d’officiers de police judiciaire ;
– l’usage de ce logiciel doit être apprécié au regard de l’ensemble de ses potentialités, peu important que l’une ne soit pas utilisée, et l’existence d’une atteinte grave et manifestement illégale à des libertés fondamentales doit ainsi être examinée, non pas sur la base de l’utilisation qui est faite par la commune du logiciel, mais sur celle de ce que le logiciel permet à la commune de faire.

Considérant ce qui suit :

1. Aux termes de l’article L. 521-2 du code de justice administrative : « Saisi d’une demande en ce sens justifiée par l’urgence, le juge des référés peut ordonner toutes mesures nécessaires à la sauvegarde d’une liberté fondamentale à laquelle une personne morale de droit public ou un organisme de droit privé chargé de la gestion d’un service public aurait porté, dans l’exercice d’un de ses pouvoirs, une atteinte grave et manifestement illégale. Le juge des référés se prononce dans un délai de quarante-huit heures ».

2. Par deux requêtes distinctes soulevant des questions semblables et qu’il y a lieu de joindre, il est demandé au juge des référés statuant sur le fondement des dispositions ci-dessus reproduites de l’article L. 521-2 du code de justice administrative, d’une part, par la Ligue des droits de l’homme, le syndicat de la magistrature et l’union syndicale Solidaires sous le n° 2310103, d’enjoindre à la commune de Roubaix de cesser immédiatement l’usage du logiciel édité par la société Briefcam et de mettre sous séquestre auprès de la commission nationale de l’informatique et des libertés (CNIL) la version du logiciel utilisé, et, d’autre part, par l’association de défense des libertés constitutionnelles et le syndicat des avocats de France, sous le n° 2310163, d’enjoindre à cette commune de cesser immédiatement, et jusqu’au résultat d’enquête de la CNIL, d’utiliser le traitement de données à caractère personnel lié au même logiciel, de placer sous séquestre auprès de cette commission l’ensemble des données et métadonnées issues de ce traitement ainsi que le registre des activités de ce traitement.

Sur l’intervention :

3. La Confédération générale du travail ne justifie pas d’un intérêt suffisant eu égard à la nature et à l’objet du présent litige. Dès lors, son intervention ne peut pas être admise.

Sur les conclusions présentées au titre de l’article L. 521-2 du code de justice administrative :

4. Il résulte de la combinaison des dispositions des articles L. 511-1, L. 521-2 et
L. 521-4 du code de justice administrative qu’il appartient au juge des référés, lorsqu’il est saisi sur le fondement de l’article L. 521-2 et qu’il constate une atteinte grave et manifestement illégale portée par une personne morale de droit public à une liberté fondamentale, de prendre les mesures qui sont de nature à faire disparaître les effets de cette atteinte. Ces mesures doivent en principe présenter un caractère provisoire, sauf lorsqu’aucune mesure de cette nature n’est susceptible de sauvegarder l’exercice effectif de la liberté fondamentale à laquelle il est porté atteinte. Le juge des référés peut, sur le fondement de l’article L. 521-2 du code de justice administrative, ordonner à l’autorité compétente de prendre, à titre provisoire, une mesure d’organisation des services placés sous son autorité lorsqu’une telle mesure est nécessaire à la sauvegarde d’une liberté fondamentale. Toutefois, le juge des référés ne peut, au titre de la procédure particulière prévue par l’article L. 521-2 précité, qu’ordonner les mesures d’urgence qui lui apparaissent de nature à sauvegarder, dans un délai de quarante-huit heures, la liberté fondamentale à laquelle il est porté une atteinte grave et manifestement illégale.

5. Pour l’application de l’article L. 521-2 du code de justice administrative, la liberté personnelle, le droit au respect de la vie privée, protégé par l’article 2 de la Déclaration des droits de l’homme et du citoyen, qui comprend le droit à la protection de ses données personnelles, la liberté d’aller et venir, la liberté de conscience, la liberté d’expression et le droit de manifester, invoqués par les requérants, constituent des libertés fondamentales au sens des dispositions de cet article, ce qui implique en particulier que ces droits et libertés ne puissent subir de contraintes excédant celles qu’imposent la prévention des atteintes à l’ordre public, objectif de valeur constitutionnelle ou le respect des droits d’autrui.

6. L’article 3 de la directive du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales et à la libre circulation de ces données et abrogeant la décision-cadre 2008/977/JAI du Conseil définit, à son point 1, les données à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable » et précise qu’est réputée être une « personne physique identifiable » « une personne physique qui peut être identifiée, directement ou indirectement notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». Cet article 3 définit, à son point 2, un traitement comme « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel ou des ensemble de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».

7. En premier lieu, et d’une part, aux termes de l’article L. 251-2 du code de la sécurité intérieure : « Des systèmes de vidéoprotection peuvent être mis en œuvre sur la voie publique par les autorités publiques compétentes aux fins d’assurer : 1° La protection des bâtiments et installations publics et de leurs abords ; 2° La sauvegarde des installations utiles à la défense nationale ; 3° La régulation des flux de transport ; 4° La constatation des infractions aux règles de la circulation ; 5° La prévention des atteintes à la sécurité des personnes et des biens dans des lieux particulièrement exposés à des risques d’agression, de vol ou de trafic de stupéfiants ainsi que la prévention, dans des zones particulièrement exposées à ces infractions, des fraudes douanières prévues par le dernier alinéa de l’article 414 du code des douanes et des délits prévus à l’article 415 du même code portant sur des fonds provenant de ces mêmes infractions ; 6° La prévention d’actes de terrorisme, dans les conditions prévues au chapitre III du titre II du présent livre ; 7° La prévention des risques naturels ou technologiques ; 8° Le secours aux personnes et la défense contre l’incendie ; 9° La sécurité des installations accueillant du public dans les parcs d’attraction ; 10° Le respect de l’obligation d’être couvert, pour faire circuler un véhicule terrestre à moteur, par une assurance garantissant la responsabilité civile ; 11° La prévention et la constatation des infractions relatives à l’abandon d’ordures, de déchets, de matériaux ou d’autres objets. Des systèmes de vidéoprotection peuvent également être mis en œuvre dans des lieux et établissements ouverts au public aux fins d’y assurer la sécurité des personnes et des biens lorsque ces lieux et établissements sont particulièrement exposés à des risques d’agression ou de vol. (…) Les conditions de mise en œuvre et le type de bâtiments et installations concernés sont définis par décret en Conseil d’État. ». D’autre part, l’article 2 du règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit « Règlement général sur la protection des données » (ci-après, « RGPD »), dispose que : « Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. ». L’article 4 dudit règlement dispose que l’on entend par « données à caractère personnel », « toute information se rapportant à une personne physique identifiée ou identifiable (…) ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ; ». Ce même article dispose que doit s’entendre comme « traitement », « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».

8. Par un arrêté du 5 novembre 2019, le préfet du Nord a reconduit pour une durée de cinq ans l’autorisation précédemment délivrée à la commune de Roubaix, par son arrêté du 27 avril 2010, d’installer un système de vidéoprotection. Ce système comporte 470 caméras fixes, réparties sur douze périmètres, et pilotées depuis un centre de supervision urbain (CSU).

9. Il est constant que la commune de Roubaix a fait l’acquisition du logiciel de surveillance algorithmique édité par la société Briefcam. Il n’est pas contesté que ce logiciel dispose d’une fonctionnalité qui, lorsqu’elle est activée, permet, d’une part, d’identifier des personnes physiques en fonction de leurs caractéristiques propres, à savoir leur taille, couleur de peau, couleur de cheveux, âge, sexe, couleur des vêtements et apparence, ainsi que leur manière de se mouvoir et, d’autre part, de les suivre de manière automatisée.

10. La commune de Roubaix conteste l’allégation des requérants selon laquelle elle a recours à cette fonctionnalité dans le cadre du système de vidéoprotection utilisé par sa police municipale. A cet égard, elle indique que, si elle utilise effectivement le logiciel Briefcam, c’est uniquement pour procéder, a posteriori, à une recherche de plaques d’immatriculation, sur réquisition judiciaire, et que le CSU n’a, dans ce cadre, eu recours à ce logiciel qu’à 23 reprises au cours de l’année écoulée. Elle précise d’ailleurs qu’elle n’utilise pas non plus ce logiciel à des fins de vidéoverbalisation dès lors qu’elle dispose, pour la lecture courante des plaques d’immatriculation et la constatation des infractions au stationnement, d’un lecteur automatique de plaques d’immatriculation (LAPI). La commune de Roubaix produit par ailleurs une attestation sur l’honneur rédigée le 22 novembre 2023 par son directeur de la prévention, de la sécurité et de la tranquillité, en charge notamment de la police municipale et du CSU, certifiant que « le logiciel Briefcam n’a jamais été utilisé pour effectuer de la reconnaissance faciale ». Elle établit en outre que la CNIL a procédé, le 20 avril 2023, à un contrôle sur place de son système de vidéoprotection, ayant pour objet de vérifier le respect par la commune des dispositions de la loi du 6 janvier 1978, du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 et des dispositions des articles L. 233-1 et suivants et L. 251-1 et suivants du code de la sécurité intérieure, ainsi qu’il résulte de l’extrait du procès-verbal établi par cette commission et versé au dossier. La commune de Roubaix indique, sans être contredite sur ce point, que, suite à ce contrôle, la CNIL, qui a eu accès aux conditions dans lesquelles elle utilise le logiciel, n’a constaté aucun manquement et n’a ainsi mis en œuvre aucune des mesures correctrices et sanctions qui lui sont confiées par les articles 20 et 21 de la loi précitée du 6 janvier 1978. Enfin, les requérants soutiennent que, en supposant que la fonctionnalité d’identification des personnes physiques en fonction de leurs caractéristiques propres n’est pas utilisée par la commune de Roubaix, le risque qu’elle le soit ne saurait être exclu. Cependant, la commune de Roubaix produit une lettre du 24 novembre 2023, par laquelle la société Lumatech, qui a obtenu la certification technique de la société Briefcam et qui commercialise le logiciel sur le territoire français, attestant que la fonction de détection faciale a été désactivée, qu’elle ne pourra être activée que par une reconfiguration du système et uniquement en utilisant un compte administrateur dont ne dispose pas la commune de Roubaix, et que cette dernière n’a émis aucune demande d’activation de cette fonction.

11. Ainsi, la détention par la commune de Roubaix du logiciel Briefcam, compte tenu du seul usage qui peut effectivement en être fait par elle, n’incluant pas et ne pouvant, en l’état de l’instruction, inclure la fonctionnalité d’identification des personnes physiques en fonction de leurs caractéristiques propres, ne révèle pas l’institution par cette commune d’un traitement de données à caractère personnel au sens des dispositions ci-dessus reproduites de la directive précitée du 27 avril 2016. Dans ces conditions, aucune atteinte grave et manifestement illégale aux libertés fondamentales mentionnées au point 5 n’est en l’espèce caractérisée.

12. Il résulte de ce qui précède, sans qu’il soit besoin de se prononcer sur la fin de non- recevoir soulevée par la commune de Roubaix et tirée de l’absence d’intérêt à agir du syndicat de la magistrature et de l’union syndicale Solidaires, ni sur l’urgence, que les conclusions présentées par les requérants sur le fondement de l’article L. 521-2 doivent être rejetées.

Sur les frais liés au litige :

13. Les dispositions de l’article L. 761-1 du code de justice administrative font obstacle à ce que soit mise à la charge de la commune de Roubaix, qui n’est pas partie perdante dans les présentes instances, la somme que demandent les requérants sur leur fondement. Il n’y a pas lieu, dans les circonstances de l’espèce, de faire droit aux conclusions de la commune de Roubaix tendant à l’application à son profit de ces mêmes dispositions.

DECISION :

Article 1er : L’intervention de la Confédération générale du travail dans la requête n° 2310103 n’est pas admise.

Article 2 : Les requêtes n° 2310103 et n° 2310163 sont rejetées.

Article 3 : Les conclusions présentées par la commune de Roubaix au titre de l’article
L. 761-1 du code de justice administrative sont rejetées.

Article 4 : La présente ordonnance sera notifiée à la Ligue des droits de l’homme, au syndicat de la magistrature, à l’Union syndicale Solidaires, à la Confédération générale du travail, à l’association de défense des libertés constitutionnelles, au syndicat des avocats de France et à la commune de Roubaix.

 

Le Tribunal : Jimmy Robbe (juge des référés), Mme Deregnieaux (greffière)

Avocats : Me D. , Me R., Me V., Me L.

Source : Legalis.net

Lire notre présentation de la décision