Recevez chaque jour toute l'actualité du numérique

x

Prise de température, port du masque… La Cnil alerte sur les caméras "intelligentes"... sans sanctionner

La Cnil s'inquiète du déploiement exponentiel des caméras dites "intelligentes" qui captent la température corporelle ou détectent le port du masque. La majorité d'entre elles ne respectent pas le droit des données personnelles. Sans agiter le spectre d'une sanction, l'autorité appelle les organismes à ne pas pérenniser ces dispositifs au risque de générer un "sentiment de surveillance chez les citoyens".
Twitter Facebook Linkedin Flipboard Email
×

Prise de température, port du masque… La Cnil alerte sur les caméras intelligentes... sans sanctionner
Prise de température, port du masque… La Cnil alerte sur les caméras "intelligentes"... sans sanctionner © Cnil

La ville de Cannes, la station de métro Châtelet-Les Halles, l'aéroport de Roissy… De plus en plus de lieux déploient des systèmes de caméras perfectionnés pour encadrer le déconfinement grâce à la détection de masque de protection sur le visage ou la prise de température corporelle. Mais la Commission nationale de l'informatique et des libertés (Cnil) sonne l'alerte dans un document publié le 17 juin : ces caméras "intelligentes" "ne respectent pas le cadre légal applicable à la protection des données personnelles".

Des finalités légitimes
L'autorité protectrice de la vie privée ne remet pas en cause les finalités de ces caméras, la lutte contre la propagation du virus ou veiller à la salubrité publique, qui sont "le plus souvent légitimes". Cependant, leur déploiement dans les lieux publics comme privés implique "une collecte" et "une analyse systématique" des données des individus circulant dans ces lieux. "Leur développement incontrôlé présente le risque de généraliser un sentiment de surveillance chez les citoyens, de créer un phénomène d’accoutumance et de banalisation de technologies intrusives, et d’engendrer une surveillance accrue, susceptible de porter atteinte au bon fonctionnement de notre société démocratique", alerte la Commission.

La Cnil rappelle que ces dispositifs conduisent le plus souvent à traiter des données dites "sensibles" sans le consentement des intéressés comme la température corporelle qui est une donnée de santé. De ce fait, ils doivent faire l’objet d’un encadrement normatif spécifique lequel nécessitera en amont de s’interroger sur la proportionnalité du recours à de tels dispositifs et sur les garanties nécessaires. Pour toutes ces raisons, l'autorité appelle les acteurs à "une grande vigilance" afin de ne pas multiplier et pérenniser ces caméras dans les lieux publics ou ouverts au public, qu’il s’agisse d’une rue, de locaux professionnels ou d’autres types d’établissements. Mais la Cnil ne va pas plus loin en brandissant le spectre de sanction. Elle préfère parier sur la pédagogie et rappelle quelques principaux fondamentaux sur la protection des données.

Nécessaire et proportionné
Les organismes qui décident de déployer ce type de dispositifs, même à titre expérimental, doivent avoir clairement caractérisé "les finalités poursuivies" et "la base légale" appropriée aux traitements de données, comme l'exécution d'une mission d'intérêt public pour les autorités publiques. De plus, les dispositifs en cause doivent ne doivent être déployés qu’avec le consentement des personnes filmées ou s’ils sont "nécessaires" aux objectifs poursuivis. Ils doivent également répondre au "principe de proportionnalité", soit le fait ne pas porter une atteinte disproportionnée à la vie privée. Le caractère nécessaire et proportionné doit être notamment démontré au regard de l’absence de moyens moins intrusif pour atteindre les finalités envisagées, l’importance des données traitées, du périmètre de déploiement et des remontées d'informations aux responsables de traitement. 

De plus, les caméras "intelligentes" sont susceptibles d'impliquer le traitement de données dites "sensibles". Si ce sont des données biométriques ou relatives à l’état de santé d’une personne, leur traitement est en principe interdit même si le Règlement général sur la protection des données pose quelques exceptions (consentement de la personne, motifs d’intérêt public importants…). Par ailleurs, si ces données sont relatives à des infractions, leur traitement ne peut être effectué que sous le contrôle de l'autorité public ou doit être autorisé par un texte spécifique prévoyant des garanties appropriées pour les droits et libertés des personnes concernées.

La garantie d'un droit d'opposition
Dans son document, la Cnil ajoute que le droit d'opposition doit être garanti par les organismes à l'origine du déploiement des caméras. Ainsi toute personne doit pouvoir s'opposer à la captation de leur image dans l'espace public. Or, les dispositifs vidéo captent automatiquement l’image des personnes passant dans leur spectre de balayage sans possibilité d’éviter les personnes ayant exprimé préalablement leur opposition. En pratique, ces personnes pourront uniquement obtenir la suppression de leurs données et non éviter leur collecte.

Si le droit d’opposition ne peut pas être appliqué en pratique, les dispositifs concernés doivent être spécifiquement autorisés par un cadre légal spécifique prévu soit par l’Union européenne, soit par le droit français. A ce titre, la Commission précise que la possibilité pour les personnes de manifester leur opposition par un mouvement corporel significatif, tel un "non" de la tête, ne sont pas satisfaisants. "Elle contraint les individus à afficher publiquement leur opposition au traitement et fait porter une charge trop importante sur la personne, à fortiori si les dispositifs de ce type se multiplient", note l'autorité.


Le document de la Cnil a le mérite d'exister mais la position de l'autorité est critiquable. Elle annonce publiquement que des organismes violent le RGPD mais n'ouvrent pas d'enquêtes alors qu'elle en a le pouvoir. Son souci de pédagogie est louable mais ne suffit pas à faire respecter la loi. La preuve en est des cookies. La Commission accumule les lignes directrices pour aider les professionnels du marketing qui se plaignent de la difficulté à comprendre la législation actuelle. Résultat : seul un site sur dix respecterait les règles du RGPD liées au consentement aux cookies, d'après des travaux menés par des chercheurs du Massachusetts Institute of Technology (MIT), de l'université d'Aarhus et du London's Global University.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media