- Texte visé : Texte n°939, adopté par la commission, sur le projet de loi, adopté par le Sénat relatif aux jeux Olympiques et Paralympiques de 2024 et portant diverses autres dispositions (n°809)
- Stade de lecture : 1ère lecture (2ème assemblée saisie)
- Examiné par : Assemblée nationale (séance publique)
Rédiger ainsi cet article :
« I. – À titre expérimental, du 26 juillet au 8 septembre 2024, et à la seule fin d’assurer la sécurité des jeux Olympiques et Paralympiques, les images collectées au moyen de systèmes de vidéoprotection autorisés sur le fondement de l’article L. 252‑1 du code de la sécurité intérieure et de caméras installées sur des aéronefs autorisées sur le fondement du chapitre II du titre IV du livre II du même code dans les lieux accueillant ces manifestations et à leurs abords, ainsi que dans les véhicules et emprises de transport public et sur les voies les desservant, peuvent faire l’objet de traitements algorithmiques ayant pour unique objet de détecter, en temps réel, des abandons de bagages et de les signaler en vue de la mise en œuvre des mesures nécessaires par les services de la police et de la gendarmerie nationales, les services d’incendie et de secours, les services de police municipale et les services internes de sécurité de la SNCF et de la Régie autonome des transports parisiens dans le cadre de leurs missions respectives.
« II. – Les traitements mentionnés au I du présent article, y compris pendant leur conception, ainsi que les images qui sont nécessaires à leur entraînement sont régis par les dispositions applicables du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) et de la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
« II bis – Le public est informé par tout moyen approprié de l’emploi de traitements algorithmiques sur les images collectées au moyen de systèmes de vidéoprotection autorisés sur le fondement de l’article L. 252‑1 du code de la sécurité intérieure et de caméras installées sur des aéronefs autorisées sur le fondement du chapitre II du titre IV du livre II du même code, sauf lorsque les circonstances l’interdisent ou que cette information entrerait en contradiction avec les objectifs poursuivis.
« Une information générale du public sur l’emploi de traitements algorithmiques sur les images collectées au moyen de systèmes de vidéoprotection et de caméras installées sur des aéronefs est organisée par le ministre de l’intérieur.
« III. – Ces traitements n’utilisent aucun système d’identification biométrique, ne traitent aucune donnée biométrique et ne mettent en œuvre aucune technique de reconnaissance faciale. Ils ne peuvent induire aucune forme des discriminations mentionnées à l’article 225‑1 du code pénal. Ils ne peuvent procéder à aucun rapprochement, interconnexion ou mise en relation automatisée avec d’autres traitements de données à caractère personnel.
« Ils procèdent exclusivement à un signalement d’attention, strictement limité à l’indication de l’abandon de bagages. Ils ne produisent aucun autre résultat et ne peuvent fonder, par eux‑mêmes, aucune décision individuelle ou acte de poursuite.
« Ils demeurent en permanence sous le contrôle des personnes chargées de leur mise en œuvre.
« IV. – Le recours à un traitement mentionné au I du présent article est, par dérogation à l’article 31 de la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, autorisé par un décret pris après avis conforme de la Commission nationale de l’informatique et des libertés qui se prononce sur la base du code du traitement qui lui aura été préalablement transmis.
« Ce décret fixe les caractéristiques essentielles du traitement. Il rappelle et précise la nature des abandons d’objets que le traitement a pour unique objet de signaler, les services mentionnés au second alinéa du I du présent article susceptibles de le mettre en œuvre, les éventuelles conditions de leur participation financière à l’utilisation du traitement, et les conditions d’habilitation et de formation des agents pouvant accéder aux signalements du traitement. Il désigne l’autorité chargée d’établir l’attestation de conformité mentionnée au dernier alinéa du V.
« Le décret est accompagné d’une analyse d’impact relative à la protection des données personnelles qui expose :
« 1° Le bénéfice escompté de l’emploi du traitement au service de la finalité mentionnée au I, c’est-à-dire les abandons de bagages donnant lieu à signalement par le système ;
« 2° L’ensemble des risques éventuellement créés par le système et les mesures envisagées afin de les minimiser et de les rendre acceptables au cours de son fonctionnement.
« V. – L’État assure le développement du traitement ainsi autorisé. Dans tous les cas, le traitement doit satisfaire aux exigences suivantes :
« 1° Lorsque le système d’intelligence artificielle employé repose sur un apprentissage, des garanties sont apportées afin que les données d’apprentissage, de validation et de test choisies soient pertinentes, adéquates et représentatives. Leur traitement doit être loyal et éthique, reposer sur des critères objectifs et permettre d’identifier et de prévenir l’occurrence de biais et d’erreurs. Ces données doivent demeurer accessibles et être protégées tout au long du fonctionnement du traitement ;
« 2° Le traitement comporte un enregistrement automatique des signalements des événements prédéterminés détectés permettant d’assurer la traçabilité de son fonctionnement ;
« 3° Le traitement comporte des mesures de contrôle humain et un système de gestion des risques permettant de prévenir et de corriger la survenue de biais éventuels ou de mauvaise utilisation ;
« 4° Les modalités selon lesquelles, à tout instant, le traitement peut être interrompu sont précisées ;
« 5° Le traitement fait l’objet d’une phase de test conduite dans des conditions analogues à celles de son emploi tel qu’autorisé par le décret mentionné au V, attestée par un rapport de validation.
« Dans le cadre du présent VI, la Commission nationale de l’informatique et des libertés exerce, en lien avec l’Agence nationale de la sécurité des systèmes d’information chargée de vérifier le respect des exigences relatives à la cybersécurité, les missions prévues au 2° du I de l’article 8 de la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, en particulier en accompagnant les personnes chargées du développement du traitement.
« Le respect des exigences énoncées au présent VI fait l’objet d’une attestation de conformité établie par l’autorité administrative compétente. Cette attestation est publiée avant que le traitement soit mis à la disposition des services mentionnés au I qui demandent l’autorisation de l’utiliser dans les conditions prévues au VII.
« VI. – L’emploi du traitement est autorisé par le représentant de l’État dans le département ou, à Paris, par le préfet de police après avoir recueilli les avis conformes des conseils municipaux des territoires concernés. Cette autorisation peut uniquement être accordée, durant la période des jeux olympiques et paralympique lorsque le recours au traitement est proportionné au regard de la finalité poursuivie .
« La demande qui lui est adressée par l’un des services mentionnés au I comprend en tant que de besoin l’actualisation de l’analyse d’impact réalisée lors de l’autorisation du traitement par décret, adaptée aux circonstances du déploiement. Cette analyse actualisée est adressée à la Commission nationale de l’informatique et des libertés.
« La décision d’autorisation est publiée et motivée. Elle précise :
« 1° Le responsable du traitement et les services associés à sa mise en œuvre ;
« 2° Le périmètre géographique concerné par la mise en œuvre du traitement dans les limites mentionnées audit I ;
« 3° Les modalités d’information du public, notamment sur ses droits, ou, lorsque cette information entre en contradiction avec les finalités poursuivies, les motifs pour lesquels le responsable du traitement en est dispensé, accompagnés d’un renvoi vers l’information générale organisée par le ministère de l’intérieur mentionnée au second alinéa du II bis du présent article ;
« 4° La durée d’autorisation. Cette durée ne peut excéder celle des jeux olympiques et paralympiques.
« VII. – L’autorité responsable tient un registre des suites apportées aux signalements effectués par le traitement ainsi que des personnes ayant accès aux signalements.
« Le représentant de l’État dans le département ou, à Paris, le préfet de police et les maires des territoires concernés sont tenus informés chaque semaine des conditions dans lesquelles le traitement est mis en œuvre. Le préfet en tient informée régulièrement la Commission nationale de l’informatique et des libertés et peut suspendre sa décision d’autorisation ou y mettre fin à tout moment s’il constate que les conditions ayant justifié sa délivrance ne sont plus réunies.
« VII bis A. – Les images mentionnées au I du présent article dont la durée de conservation, prévue aux articles L. 242‑4 et L. 252‑5 du code de la sécurité intérieure, n’est pas expirée peuvent être utilisées comme données d’apprentissage des traitements dans les conditions prévues au 1° du VI du présent article jusqu’à l’expiration de leur durée de conservation.
« VII bis – La Commission nationale de l’informatique et des libertés exerce un contrôle sur l’application du présent article. À cette fin, elle peut mettre en œuvre les dispositions des sections 2 et 3 du chapitre II du titre Ier de la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
« VIII. – La Commission nationale de l’informatique et des libertés est informée tous les trois mois des conditions de mise en œuvre de l’expérimentation mentionnée au I. Le Gouvernement remet au Parlement, au plus tard six mois après le terme de l’expérimentation fixé au 8 septembre 2024, un rapport d’évaluation de sa mise en œuvre, dont le contenu est fixé par décret en Conseil d’État après avis de la Commission nationale de l’informatique et des libertés. Ce décret fixe notamment les modalités de pilotage et d’évaluation pluridisciplinaire et objective de l’expérimentation et les indicateurs utilisés par celle‑ci. L’évaluation associe, dans le respect du principe de parité entre les femmes et les hommes, deux députés et deux sénateurs, dont au moins un député et un sénateur appartenant à un groupe d’opposition, désignés respectivement par le président de l’Assemblée nationale et le président du Sénat. L’évaluation associe également des représentants d’associations dont l’objet social réside essentiellement dans la protection des données personnelles. Le décret précise également les modalités selon lesquelles le public et les agents concernés sont informés de l’expérimentation et associés à l’évaluation. Le rapport d’évaluation est également transmis à la Commission nationale de l’informatique et des libertés et rendu public sur internet, dans les mêmes délais. »
Cet amendement du groupe "socialistes et apparentés" vise à réécrire l'article 7 en posant les exigences fondamentales qui doivent être respectées lors de la mise en oeuvre de nouvelles technologies appliquées dans le domaine de la sécurité publique.
Les travaux de la commission des lois n'ont pas permis de faire évoluer le dispositif de manière substantielle, néanmoins cet amendement reprend quelques unes des évolutions positives qui ont été adoptées : soumission des algorithmes au RGPD y compris durant leur conception, garantie d'un traitement éthique, association de l'Agence nationale de sécurité des systèmes d'information, évaluation du dispositif par des parlementaires dont au moins un député ou un sénateur appartenant à l'opposition et publication sur Internet de ce rapport d'évaluation.
Pour le reste, le groupe socialiste rappelle ses exigences face à ces traitements :
1°) La mise en oeuvre de traitements algorithmiques couplés à la vidéo surveillance doit être strictement limitée eu égard aux situations qu'elle vise à détecter : seule la détection de situations d'abandon de bagages parait à cet égard justifiée. En effet, les termes flous de l'article 7 dans sa rédaction issue du Sénat risque de conduire à la définition de ce qui constitue un "comportement normal" dans l'espace public, ce qui serait le point de départ d'une surveillance généralisée.
Au demeurant, en limitant cette technologie à la seule détection des abandons de bagages, on maximise son efficacité alors qu'en multipliant les situations qu'il faut détecter on multiplie également les risques d'erreurs de la machine.
2°) La mise en oeuvre de cette technologie doit être limitée à la seule période nécessaire, soit la tenue des jeux olympiques et paralympiques de 2024.
3°) L'avis de la CNIL doit être un avis conforme et non un simple avis. Cet avis sera rendu par la CNIL sur la base du code qui lui aura été préalablement transmis dans son intégralité.
4°) Le traitement algorithmique ne doit induire aucune forme de discrimination.
5°) L'Etat doit être le responsable du développement de ces traitements algorithmiques. L'intervention d'entreprises privées pose de nombreux problèmes en termes de garanties des libertés publiques alors que ces technologies sont particulièrement intrusives.
6°) Le déploiement de ces traitements doit se faire sur avis conforme des conseils municipaux des territoires concernés et les maires doivent être tenus informés des conditions de mise en oeuvre de cette technologie au même titre que les Préfets.
7°) L'évaluation de l'expérimentation doit associer des associations dont l'objet social réside dans la protection des données personnelles.
Si ces différentes exigences étaient respectées, l'usage d'une telle technologie paraitrait acceptable, uniquement au titre d'une expérimentation qui permettrait de faire le bilan de ses avantages et inconvénients.