VSA et biométrie : la CNIL démissionnaire

Particulièrement défaillante sur les sujets liés à la surveillance d’État, la CNIL a encore manqué une occasion de s’affirmer comme véritable contre-pouvoir et, au passage, d’assurer la défense des droits humains. À l’occasion de l’examen de la proposition de loi sur la sécurité dans les transports, elle a ainsi plongé tête la première pour venir au secours des institutions policières et justifier leur utilisation d’un logiciel de vidéosurveillance algorithmique dite « a posteriori », telle que celle commercialisée par la société Briefcam. Si nous avions de moins en moins d’attentes envers la CNIL, nous ne pouvons aujourd’hui qu’acter ce constat : l’autorité se pense chaque jour davantage comme une institution d’accompagnement de l’« innovation » au service des start-ups et du pouvoir plutôt qu’une autorité de défense des droits.

Après la loi sur les Jeux Olympiques de 2023 qui légitimait la vidéosurveillance algorithmique (VSA) en temps réel, la VSA dite « a posteriori » s’est récemment retrouvée à l’agenda législatif. Nous vous en avons déjà parlé : ce type de logiciel permet de faire des analyses et recherches dans les enregistrements vidéo après la survenue d’un événement (et non en direct comme la VSA en temps réel ) sur la base d’attributs physiques et biométriques. Un texte déposé par la droite sénatoriale proposait ainsi une nouvelle expérimentation de ce type de VSA dans les transports, jusqu’en 2027, sur les vidéos réquisitionnées par la police lors de ses enquêtes auprès de la SNCF et la RATP. Passée à la trappe suite à la dissolution de l’Assemblée, cette proposition de loi revenait mercredi dernier en commission des lois.

Explication de texte

Concrètement, sans même recourir aux empreintes faciales des individus (reconnaissance faciale), ces méthodes de VSA permettent de suivre une personne précise à mesure qu’elle évolue dans l’espace urbain et passe dans le champ de vision de différentes caméras – grâce à la combinaison d’informations sur son apparence, par exemple, la couleur de ses vêtements ou des signes distinctifs comme la taille, la couleur et la coupe de cheveux, ou d’autres caractéristiques déduites à partir de l’identité de genre. En nous appuyant sur l’état du droit, il est très clair pour nous que, dès lors que les algorithmes de VSA permettent de retrouver une personne parmi d’autres, à partir des données physiques ou comportementales qui lui sont propres, il s’agit d’une identification biométrique. Or, en droit des données personnelles, les traitements biométriques sont strictement encadrés et en conséquence, l’utilisation de ces logiciels en l’absence de tout cadre juridique spécifique doit être considérée comme illégale.

Pourtant, la proposition de loi relative à la sécurité dans les transports prétendait échapper à cette catégorie, évoquant des « logiciels de traitement de données non biométriques pour extraire et exporter les images […] réquisitionnées » par la police. Si les logiciels visés sont bien ceux de Briefcam et consorts, une telle affirmation est donc incohérente, voire mensongère. Elle a uniquement pour but de minimiser l’impact de ces logiciels, tant d’un point vue technique que juridique. Nous avons donc envoyé une note détaillée (disponible ici) aux membres de la commission des lois afin de leur expliquer le fonctionnement de cette technologie ainsi que les conséquences juridiques qu’ils et elles devaient en tirer.

Puis, coup de théâtre lors de l’examen du texte : l’article est retiré. Mais si le rapporteur du texte, Guillaume Gouffier Valente, a voulu supprimer cet article, ce n’est non pas au motif que la VSA serait effectivement trop dangereuse pour les droits et libertés, mais parce que la CNIL, lors de son audition sur cette proposition de loi, aurait expressément affirmé qu’une telle loi n’était pas nécessaire et que ces logiciels étaient de toute façon d’ores et déjà utilisés. ll s’agirait donc de la part de la CNIL d’un renoncement à faire appliquer le droit qu’elle est pourtant censée connaître. Nous avons envoyé aux services de la CNIL une demande de rendez-vous pour en savoir plus et comprendre précisément la position de l’autorité dans ce dossier. Mais celle-ci est restée à ce jour sans réponse.

Protéger les pratiques policières

La position de la CNIL s’explique sans doute par sa volonté de justifier sa propre défaillance dans le dossier de la VSA. En effet, la solution d’analyse vidéo de Briefcam est déjà utilisée dans plus de 200 villes en France d’après un article du Monde Diplomatique et a été acquise par la police nationale en 2015 puis par la gendarmerie nationale en 2017. Autant d’usages illégaux qui auraient dû faire l’objet de sanctions fermes de sa part. Il n’en a rien été.

Après la révélation du média Disclose concernant le recours au logiciel Briefcam par la police et la gendarmerie nationale, le ministre de l’Intérieur avait commandé à l’Inspection générale de l’administration, l’Inspection générale de la gendarmerie nationale et l’Inspection générale de la police nationale un rapport d’évaluation, récemment publié, faisant état de l’utilisation de ce logiciel. Si on lit dans ce document différentes justifications et contorsions hasardeuses pour expliquer l’usage la fonction de reconnaissance faciale, ces institutions assument par contre totalement l’utilisation de Briefcam pour les autres fonctionnalités de reconnaissance biométrique.

Un exemple est même donné page 35, expliquant qu’un homme a pu être identifié grâce à la fonction de « similitude d’apparence » du logiciel, notamment parce qu’il portait un T-shirt très reconnaissable. Juridiquement, il s’agit donc d’un traitement de données biométriques. On apprend dans ce même rapport d’inspection que, désormais, pour sauver les meubles, la police et la gendarmerie qualifieraient cette solution de « logiciel de rapprochement judiciaire », une catégorie juridique spécifique qui n’est pas du tout adaptée à ces logiciels, comme nous l’expliquions ici.

À quoi bon la CNIL ?

À l’occasion de ce débat sur la proposition de loi sur les transports, la CNIL aurait donc pu se positionner fermement sur ce sujet, taper du poing sur la table et enfin mettre un coup d’arrêt à toutes ces justifications juridiques farfelues. Elle aurait pu poser une doctrine sur le sujet qui, aujourd’hui, manque cruellement, et ce, malgré nos appels du pied et les interprétations claires du monde universitaire sur la nature biométrique de ce type de technologies¹ Voir par exemple le livre blanc « Surveiller les foules » de Caroline Lequesne, maîtresse de conférences en droit public à l’Université Côte d’Azur, ou encore les articles sur la « technopolice administrative » publiés dans la Revue des Droits de l’Homme par Robin Médard Inghilterra, maître de conférence à l’Université Paris I, accessibles en ligne ici et ici.. À l’inverse, elle a préféré acter sa démission totale devant les député⋅es.

Le laisser-faire coupable de la CNIL s’inscrit dans la continuité de ses prises de positions antérieures sur le sujet. En 2022 déjà, lorsque la CNIL avait adopté pour la première fois une position sur la VSA, elle avait fini par expressément exclure de son analyse – et sans explication – les usages « a posteriori » de la technologie, pourtant tout aussi dangereux que les usages en temps réel. Faute de « lignes directrices » sur le sujet, ces usages « a posteriori » ne sont donc couverts par aucune position de l’autorité administrative. Cela n’a pas empêché la CNIL d’intervenir lors d’actions en justice pour dédouaner la communauté de communes de Coeur Cote Fleurie de son utilisation de Briefcam.

Nous continuons donc d’assister au lent déclin de la CNIL en tant que contre-pouvoir étatique. Préférant se consacrer à l’accompagnement des entreprises (même techno-sécuritaires) et à la régulation du secteur économique, elle semble manquer de courage pour tenir tête aux ardeurs sécuritaires des pouvoirs publics, ce qui a logiquement et inexorablement mené à une inflation de textes autorisant les administrations à utiliser tout un tas de techniques de surveillance. Ce positionnement sur la VSA ressemble aujourd’hui à une capitulation complète. En refusant de rappeler le droit et en validant des interprétations hasardeuses et favorables aux intérêts policiers et industriels, elle semble aujourd’hui se satisfaire d’être une simple caution visant à valider des formes de surveillance illégales, reléguant les libertés publiques derrière les demandes du « terrain ».

Un réveil nécessaire

Quel est alors censé être le rôle de cette institution dans un supposé État de droit, si elle ne rappelle pas les exigences de proportionnalité à des agents demandant toujours plus de pouvoirs de contrôle sur la population ? À quoi sert l’expertise accumulée depuis plus de 45 ans si elle n’est pas mise au service des libertés des habitant·es, à l’heure où la France s’enfonce dans une course à la surveillance avec des pays comme les États-Unis, Israël ou la Chine ? Que faire lorsqu’on réalise que la CNIL est désormais davantage à l’écoute des administrations policières que des expert⋅es universitaires ou de la société civile ?

Face à ces dérives qui participent de la dérive autoritaire de l’État, nous appelons les commissaires et agent·es de la CNIL au sursaut. Si rien n’est fait pour contrecarrer ces tendances, le laisser-faire qui tient lieu de politique de la CNIL dans la plupart des dossiers technopoliciers de ces dernières années conduira à la disqualification définitive de l’autorité de protection des droits, ne lui laissant pour seule fonction que la régulation d’un marché de la surveillance désormais dopée par la prolifération des systèmes d’intelligence artificielle.

Du côté de La Quadrature du Net, nous ne nous résignons pas. En lien avec la mobilisation populaire, nous souhaitons tenter d’activer les contre-pouvoirs institutionnels qui peuvent encore l’être pour barrer la route à la légalisation programmée de la VSA et à la banalisation de ses usages policiers. Pour nous aider, rendez-vous sur notre page de campagne, et si vous le pouvez sur notre page de dons pour nous soutenir dans nos prochaines actions sur ce dossier.