Le 17 juin 2020, la CNIL a publié sa position concernant les nouveaux dispositifs vidéo dits « intelligents » qui servent notamment à faciliter la gestion de la crise sanitaires liés à l’épidémie de COVID-19. Il s’agit principalement des dispositifs de prise de température automatique (caméras thermiques), de détection du port de masque ou de respect des mesures de distanciation sociale.
Au vu des risques pour la vie privée que le déploiment de ces dispositifs peut engendrer, la CNIL appelle à la vigilence et a souhaité préciser les règles applicables.
Toutefois, même si la CNIL n’interdit pas la mise en place de ces dispositifs, elle considère que la plupart d’entre eux ne respectent pas les dispositions du RGPD en l’absence d’un cadre légal spécifique apportant les garanties nécessaires comme c’est le cas pour la vidéoprotection sur la voie publique.
Contexte du déploiement des dispositifs et leurs objectifs
Les dispositifs de vidéo « intelligents » ont, en principe, pour objectif de lutter contre la propagation du virus en permettant d’évaluer/détecter le risque de contagion et de mener les actions utiles.
Il est souvent envisagé de les déployer sur la voie publique voire dans (ou aux abords) des commerces, des transports ou encore des lieux de travail.
Les enjeux pour les libertés individuelles
Selon la CNIL, bien que les objectifs de ces dispositifs sont le plus souvent légitimes (lutte contre la propagation du virus), « leur développement incontrôlé présente le risque de généraliser un sentiment de surveillance chez les citoyens, de créer un phénomène d’accoutumance et de banalisation de technologies intrusives, et d’engendrer une surveillance accrue, susceptible de porter atteinte au bon fonctionnement de notre société démocratique. »
Elle ajoute que le déploiement massif de ces dispositifs pourraient conduire, chez les personnes concernées, à une modification – voulue ou subie – de leurs comportements.
Par conséquent les dispositifs légalement mis en œuvre dans cette période doivent être considérés comme exceptionnels et rester proportionnés aux objectifs particuliers de cette période.
Les grands principes de la protection des données à respecter
Les finalités et des bases légales de traitements déterminées
Les organismes qui déploient ce type de dispositifs, même à titre expérimental, doivent avoir clairement déterminé les finalités poursuivies et la base légale appropriée aux traitements de données .
Il peut s’agir notamment d’une mission d’intérêt public pour les autorités publiques ou l’intérêt légitime pour les organismes privés.
Les traitements qui seraient mis en œuvre par une autorité compétente, au sens de l’article 3 de la directive « Police-Justice » et à des fins de prévention et de détection des infractions pénales, doivent faire l’objet d’une analyse d’impact relative à la protection des données (AIPD) soumise à consultation obligatoire de la CNIL et à l’adoption d’un texte réglementaire.
Le traitement de données sensibles
Lorsque les dispositifs de vidéo « intelligents » impliquent le traitement de catégories spéciales de données (ex : données biométrique ou températeure corporelles etc.) ou des données relatives à des infractions, il convient de s’assurer qu’une exception prévues à l’article 9.2 RGPD s’appliquent et dans le cas des données criminelles, qu’un texte spécifiques l’autorise ou que le traitement soit sous le contrôle de l’autorité publique (article 10 du RGPD).
Dans le cas des images thermiques, qui sont considérées comme des données de santé, leur traitement peut être justifié sur la base :
– des motifs d’intérêt public importants (article 9.2.g) du RGPD) ;
– ou spécifiquement des motifs d’intérêt public dans le domaine de la santé publique (article 9.2.i) du RGPD).
Dans ce cas, un texte spécifique (de l’Union européenne ou de l’État) doit autoriser de tels dispositifs.
A défaut, le consentement explicite de la personne concernée est nécessaire. Toutefois, le recueil est difficile et la validité d’un tel consentement n’est pas toujours assurée notamment si le traitement a pour conséquence de refuser l’accès à des locaux.
La nécessité et la proportionnalité des traitements
Les dispositifs ne doivent pas porter une atteinte disproportionnée à la vie privée.
Afin de démontrer que le dispositif est nécessaire et proportionné, les critères suivants devront être pris en compte:
- il n’existe pas de moyens moins intrusifs permettant d’atteindre les finalités envisagées ;
- l’importance des données traitées (minimisation des données, pseudonymisation, anonymisation, l’absence de suivi individuels) ;
- le périmètre de déploiement des dispositifs dans l’espace et dans le temps (nombre de caméras concernées, étendue de leur champ, durée de leur déploiement, durée de conservation des données etc.) ;
- des remontées d’informations aux responsables de traitement.
Selon les autorités sanitaires interrogées par la CNIL, certains de ces dispositifs présentent également un risque de ne pas repérer les personnes infectées, certaines étant asymptomatiques et le dispositif pouvant être contourné par la consommation de produits permettant de diminuer la température corporelle, sans pour autant traiter les causes de la fièvre.
Ainsi, la nécessité de mettre en place des technologies aussi intrusive peut être remis en question si le nombre de personne pouvant contourner volontairement ou involontairement ce dispositif était trop élevé.
Le respect des droits des personnes
La CNIL rappelle que les droits des personnes sur leurs données personnelles doivent être respectés.
Or, en pratique, les personnes ne pourront pas ou très difficilement exercer leur droit d’opposition et pourront uniquement obtenir la suppression de leurs données a posteriori.
Ainsi, si le droit d’opposition ne peut pas être appliqué en pratique, les dispositifs concernés doivent être autorisés par un cadre légal spécifique prévu soit par l’Union européenne, soit par le droit français.
La CNIL, précise par ailleurs que faire « non » de la tête n’est pas une modalité d’opposition satisfaisante notamment si les dispositifs de vidéo intelligente se multiplient.
Un encadrement normatif est nécessaire au déploiment de ces dispositifs
La CNIL rappelle que contrairement à la vidéoprotection sur la voie publique, le recours à des caméras « intelligentes » n’est aujourd’hui prévu par aucun texte particulier.
Ainsi, la CNIL estime que, sous réserve d’une analyse au cas par cas, et dès lors que le dispositif permet de collecter des données sensibles ou conduit à écarter le droit d’opposition des personnes concernées sans cadre légal spécifiques, ces dispositifs ne respectent pas le cadre légal applicable à la protection des données personnelles.
Cette publication est également disponible en en_GB.