- Texte visé : Proposition de loi visant à améliorer la protection des commerçants grâce à l’usage d’outils numériques, n° 1142
- Stade de lecture : 1ère lecture (1ère assemblée saisie)
- Examiné par : Commission des lois constitutionnelles, de la législation et de l'administration générale de la République
Paul Midy
Agit en tant que rapporteur
Membre du groupe Ensemble pour la République
Lien vers sa fiche complèteCompléter cet article par les vingt-quatre alinéas suivants :
« V. – Par dérogation à l’article 31 de la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, les modalités de recours à un traitement mentionné au I du présent article sont autorisées par un décret pris après avis de la Commission nationale de l’informatique et des libertés.
« Ce décret fixe les caractéristiques essentielles du traitement. Il indique notamment les événements prédéterminés que le traitement a pour objet de signaler, le cas échéant les spécificités des situations justifiant son emploi, les lieux et établissements mentionnés au même I susceptibles de le mettre en œuvre et les conditions d’habilitation et de formation des agents pouvant accéder aux signalements du traitement, laquelle porte notamment sur les enjeux liés aux libertés publiques et à l’éthique en lien avec le recours au traitement algorithmique des images. Il désigne l’autorité chargée d’établir l’attestation de conformité mentionnée au dernier alinéa du VI du présent article.
« VI. – Le traitement doit satisfaire aux exigences suivantes, qui doivent pouvoir être vérifiées pendant toute la durée du fonctionnement du traitement :
« 1° Lorsque le traitement algorithmique employé repose sur un apprentissage, des garanties sont apportées afin que les données d’apprentissage, de validation et de test choisies soient pertinentes, adéquates et représentatives. Leur traitement doit être loyal et éthique, reposer sur des critères objectifs et permettre d’identifier et de prévenir l’occurrence de biais et d’erreurs. Ces données font l’objet de mesures de sécurisation appropriées ;
« 2° Le traitement comporte un enregistrement automatique des signalements des événements prédéterminés détectés permettant d’assurer la traçabilité de son fonctionnement ;
« 3° Le traitement permet des mesures de contrôle humain et un système de gestion des risques permettant de prévenir et de corriger la survenue de biais éventuels ou de mauvaises utilisations ;
« 4° Les modalités selon lesquelles, à tout instant, le traitement peut être interrompu sont précisées ;
« 5° Le traitement fait l’objet d’une phase de test conduite dans des conditions analogues à celles de son emploi autorisé par le décret mentionné au V, attestée par un rapport de validation.
« Lorsque le traitement est développé ou fourni par un tiers, celui-ci fournit une documentation technique complète et présente des garanties de compétence, de continuité, d’assistance et de contrôle humain en vue notamment de procéder à la correction d’erreurs ou de biais éventuels lors de sa mise en œuvre et de prévenir leur réitération.
« Le respect des exigences énoncées au présent VI fait l’objet d’une attestation de conformité établie par l’autorité administrative compétente. Cette attestation est publiée avant que le traitement soit mis à la disposition des services mentionnés au I qui demandent l’autorisation de l’utiliser dans les conditions prévues au VII du présent article.
« VII. – Toute demande d’emploi du traitement doit être accompagnée d’une analyse d’impact relative à la protection des données personnelles qui expose :
« 1° Le bénéfice escompté de l’emploi du traitement au service de la finalité mentionnée au I du présent article, au regard des évènements prédéterminés donnant lieu à signalement par le système ;
« 2° L’ensemble des risques éventuellement créés par le système et les mesures envisagées afin de les minimiser et de les rendre acceptables au cours de son fonctionnement.
« Cette analyse d’impact réalisée lors de l’autorisation du traitement par décret est adressée à la Commission nationale de l’informatique et des libertés.
« L’emploi du traitement est autorisé par le représentant de l’État dans le département ou, à Paris, par le préfet de police. Cette autorisation peut être accordée uniquement lorsque le recours au traitement est proportionné à la finalité poursuivie.
« La décision d’autorisation est motivée et publiée. Elle précise :
« 1° Le responsable du traitement et les services associés à sa mise en œuvre ;
« 2° Le périmètre géographique concerné par la mise en œuvre du traitement dans les limites mentionnées au même I ;
« 3° Les modalités d’information du public, notamment sur ses droits ;
« 4° La durée de l’autorisation. Cette durée ne peut excéder cinq ans.
« VIII. – Le responsable du traitement mentionné au 1° du VII du présent article tient un registre des suites apportées aux signalements effectués par le traitement ainsi que des personnes ayant accès aux signalements.
« IX – Les images collectées au moyen de systèmes de vidéoprotection autorisés sur le fondement de l’article L. 252‑1 du code de la sécurité intérieure ne peuvent pas être utilisées comme données d’apprentissage.
« X. – La Commission nationale de l’informatique et des libertés contrôle l’application du présent article. A cette fin, elle peut faire usage des prérogatives prévues aux sections 2 et 3 du chapitre II du titre Ier de la loi n° 78‑17 du 6 janvier 1978 précitée.
« XI. – La Commission nationale de l’informatique et des libertés est informée tous les douze mois des conditions de mise en œuvre de l’expérimentation mentionnée au I. Le Gouvernement remet au Parlement, au plus tard le 31 décembre 2029, un rapport d’évaluation de la mise en œuvre de l’expérimentation, établi par un comité d’évaluation présidé par une personnalité indépendante, dans des conditions précisées par décret en Conseil d’État après avis de la Commission nationale de l’informatique et des libertés. Ce décret définit notamment les modalités de pilotage et d’évaluation pluridisciplinaire et objective de l’expérimentation et les indicateurs utilisés par celle-ci. L’évaluation associe, dans le respect du principe de parité entre les femmes et les hommes, deux députés et deux sénateurs, dont au moins un député et un sénateur appartenant à un groupe d’opposition, désignés respectivement par le président de l’Assemblée nationale et le président du Sénat. Le décret définit les conditions dans lesquelles l’évaluation associe également des personnalités qualifiées indépendantes nommées notamment par le président de la Commission nationale de l’informatique et des libertés et par le ministre de l’intérieur sur proposition du président du comité. Le rapport d’évaluation est également transmis à la Commission nationale de l’informatique et des libertés et rendu public sur internet au même moment. »
Cet amendement complète le dispositif pour encadrer plus étroitement le recours à la vidéoprotection algorithmique par les commerçants, sur le modèle de l'expérimentation prévue par l'article 10 de la loi du 19 mai 2023 relative aux jeux Olympiques et Paralympiques.
En premier lieu, il prévoit que les modalités de recours au traitement algorithmique sont déterminées par décret, pris après avis de la Cnil. Ce décret doit notamment fixer les conditions d'habilitation et de formation des agents qui peuvent accéder aux signalements du traitement. L'amendement reprend la précision apportée lors des débats sur la prolongation de l'expérimentation, selon laquelle cette formation doit inclure des modules sur les enjeux liés aux libertés publiques et à l'éthique.
En second lieu, il reprend les exigences techniques prévues par la loi du 19 mai 2023 ; il reviendra à chaque responsable de traitement de s'assurer du respect de ses exigences, sous le contrôle d'une autorité compétente.
En troisième lieu, il précise la procédure d'autorisation de traitement : c'est le préfet qui autorisera la demande, et sa décision sera motivée et publiée. L'autorisation sera valable pour une durée de cinq ans.
En quatrième lieu, il ajoute que le responsable du traitement tient un registre des suites apportées aux signalements, un suivi indispensable pour évaluer ensuite le succès de l'expérimentation.
En cinquième lieu, il exclut formellement toute possibilité d'utiliser les images collectées par les logiciels comme données d'apprentissage.
En sixième lieu, il prévoit les modalités de suivi de l'expérimentation, en rappelant le rôle fondamental joué par la Cnil et en instaurant un comité d'évaluation indépendant, sur le modèle de celui ayant évalué l'expérimentation pendant les jeux Olympiques et Paralympiques.