Sur la proposition de Mme Sophie LAMBREMON, commissaire, et après avoir entendu les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Etant rappelés les éléments de contexte suivants :
La Commission nationale de l'informatique et des libertés (ci-après « la Commission ») a été saisie par le ministère de l'intérieur d'un projet de décret modifiant les dispositions du code de la sécurité intérieure (CSI) relatives aux traitements de données à caractère personnel provenant des caméras individuelles des agents de la police municipale.
La Commission rappelle qu'elle a eu l'occasion de se prononcer sur l'usage de caméras individuelles pour des finalités similaires. En particulier, elle s'est prononcée, le 13 décembre 2018, sur le décret n° 2019-140 du 27 février 2019 portant application de l'article L. 241-2 du CSI et relatif à la mise en œuvre de traitements de données à caractère personnel provenant des caméras individuelles des agents de la police municipale.
L'article 45 de la loi n° 2021-646 du 25 mai 2021 pour une sécurité globale préservant les libertés a modifié l'article L. 241-2 du CSI afin d'intégrer deux nouvelles modalités de consultation des enregistrements effectués par les agents de la police municipale au moyen des caméras individuelles qui leur sont fournies par leur service : il sera désormais possible de transmettre les images en temps réel au poste de commandement et, dans certains cas, les personnels auxquels les caméras sont fournies pourront avoir accès directement aux enregistrements auxquels ils procèdent dans le cadre d'une procédure judiciaire ou d'une intervention.
Il est prévu par l'article L. 241-2 du CSI que les modalités d'application de cet article sont précisées par un décret en Conseil d'Etat, pris après avis de la Commission.
Ce projet de décret a pour objet de procéder à une évolution réglementaire du CSI :
- il autorise la transmission en temps réel des images captées et enregistrées au moyen de caméras individuelles par les agents de la police municipale au poste de commandement du service concerné et aux personnels impliqués dans la conduite et l'exécution de l'intervention ;
- dans le cadre d'une procédure judiciaire ou d'une intervention, il permet aux agents auxquels les caméras individuelles sont fournies d'avoir accès directement aux enregistrements auxquels ils procèdent ;
- il modifie la liste des accédants et des destinataires des données à caractère personnel conservées dans les traitements ;
- il modifie la durée de conservation des données ;
- il procède à la mise en conformité des dispositions réglementaires avec la réglementation relative à la protection des données à caractère personnel et modifie ainsi les droits des personnes ainsi que les modalités de journalisation des opérations effectuées sur le traitement ;
- il prévoit l'établissement d'un rapport annuel sur l'emploi des caméras individuelles des agents de la police municipale par le maire ou l'ensemble des maires concernés.
Emet l'avis suivant sur le projet de décret :
Sur l'économie générale du traitement :
L'article L. 241-2 du CSI mentionne les finalités du traitement :
- la prévention des incidents au cours des interventions des agents de la police municipale ;
- le constat des infractions et la poursuite de leurs auteurs par la collecte de preuves ;
- la formation et la pédagogie des agents.
Les communes sont autorisées à mettre en œuvre ces traitements provenant des seules caméras individuelles fournies aux agents de police municipale au titre de l'équipement des personnels.
Il résulte tant des finalités principalement poursuivies par les dispositifs que des missions confiées aux agents de la police municipale, que les traitements projetés relèvent des dispositions de la directive (UE) 2016/680 du 27 avril 2016 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, telle que transposée au titre III de la loi du 6 janvier 1978 modifiée.
Sur la transmission en temps réel des enregistrements et l'accès direct aux enregistrements par les agents :
En premier lieu, le I du projet d'article R. 241-11 du CSI prévoit que « les images captées et enregistrées au moyen de caméras individuelles peuvent être transmises en temps réel au poste de commandement du service concerné et aux personnels impliqués dans la conduite et l'exécution de l'intervention, lorsque la sécurité des agents ou la sécurité des biens et des personnes est menacée ».
Les termes utilisés au I du projet d'article R. 241-11 du CSI constituent une reprise de ceux utilisés à l'article L. 241-2 du CSI.
La transmission des images en temps réel ne peut être réalisée que par l'agent porteur de la caméra. Aucun déclenchement de la transmission en temps réel des images ne peut être opéré à distance.
Les « personnels impliqués dans la conduite de l'intervention » sont présents au sein du poste de commandement et les responsables du service de police municipale. Les « personnels impliqués dans l'exécution de l'intervention » interviennent sur le terrain.
Le ministère indique qu'une doctrine d'emploi ministérielle destinée aux communes précisera les conditions dans lesquelles la transmission en temps réel des images est nécessaire. Des critères objectifs devraient être toutefois déterminés dans le projet de décret permettant d'apprécier les situations dans lesquelles la transmission en temps réel des images est nécessaire. Les situations où la sécurité des agents ou la sécurité des biens et des personnes est menacée devraient être limitées à des risques d'atteintes graves.
En second lieu, le II du projet d'article R. 241-11 du CSI prévoit que, dans le cadre d'une procédure judiciaire ou d'une intervention, les agents auxquels les caméras individuelles sont fournies peuvent avoir accès directement aux enregistrements auxquels ils procèdent afin de faciliter la recherche d'auteurs d'infractions, la prévention d'atteintes imminentes à l'ordre public, le secours aux personnes ou l'établissement fidèle des faits lors des comptes rendus d'interventions.
Les termes utilisés au II du projet d'article R. 241-11 du CSI constituent une reprise de ceux utilisés à l'article L. 241-2 du CSI.
Le ministère indique qu'une doctrine d'emploi ministériel précisera les conditions dans lesquelles l'accès direct aux images par les agents porteurs de caméras peut avoir lieu. Des critères objectifs devraient être toutefois déterminés dans le projet de décret permettant d'apprécier les situations dans lesquelles un tel accès direct est nécessaire.
En outre, le ministère a indiqué qu'au regard des circonstances nécessitant le déclenchement de la caméra, il est préférable que le chef de service soit présent lors de l'accès direct aux images par l'agent porteur de caméra. Cette précision opérationnelle figurera dans la doctrine d'emploi.
Par ailleurs, dans sa décision n° 2021-817 DC du 20 mai 2021, le Conseil constitutionnel a considéré que l'article L. 241-2 du CSI ne saurait s'interpréter que comme impliquant que soient garanties, jusqu'à leur effacement, l'intégrité des enregistrements réalisés ainsi que la traçabilité de toutes leurs consultations. Le projet de décret rappelle ces obligations, qui devront faire l'objet d'une attention particulière lors de la mise en œuvre de ces textes.
Sur la durée de conservation des données :
L'article 5 du projet de décret modifie la durée de conservation des données afin de prendre en compte l'article 14 de la loi n° 2022-052 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure. Les données sont désormais conservées pendant un délai d'un mois à compter du jour de leur enregistrement.
L'analyse d'impact relative à la protection des données (AIPD) cadre mentionne à plusieurs reprises que les données sont conservées six mois. La Commission prend acte de ce que l'AIPD a été modifiée afin de réduire la durée de conservation des données à un mois pour se conformer à la loi précitée.
Sur les catégories d'accédants et de destinataires :
L'article 4 du projet de décret précise les personnes qui pourront accéder aux enregistrements du traitement ou en être destinataires.
S'agissant des accédants, la Commission prend acte de ce que le 2° du I de l'article R. 241-12 du CSI a été modifié afin de préciser le « responsable » concerné. Le 1° de l'article précité ne mentionne en effet pas ce terme.
Sur l'information des personnes :
L'article L. 241-2 du CSI a organisé un régime particulier, en prévoyant une information orale, sauf si les circonstances l'interdisent, au moment du déclenchement de l'enregistrement, complétée d'une information générale du public sur l'emploi de ces caméras individuelles. Le décret prévoit que cette information est donnée sur le site web de la commune ou, à défaut, par voie d'affichage en mairie. Cette information générale devra fournir tous les renseignements mentionnés à l'article 104 de la loi « informatique et libertés ».
Le Conseil constitutionnel, dans sa décision du 20 mai 2021 précitée, a relevé que si l'article L. 241-2 du CSI permet que le déclenchement de l'enregistrement puisse, par exception, ne pas faire l'objet de cette information lorsque « les circonstances l'interdisent », ces circonstances recouvrent les seuls cas où cette information est « rendue impossible pour des raisons purement matérielles et indépendantes des motifs de l'intervention ».
Le projet de décret devrait comporter les critères repris de la décision du Conseil constitutionnel permettant de définir les circonstances permettant d'interdire d'informer les personnes concernées, qui pourraient être ensuite précisés dans la doctrine d'emploi élaborée par le ministère.
Sur l'appréciation sur la sécurité des systèmes d'information :
L'AIPD transmise décrit un cadre très souple et peu clair quant aux éléments effectivement demandés pour que les responsables de traitement locaux aient l'autorisation de mettre en œuvre le traitement. En l'état, cette AIPD cadre ne permet pas de comprendre à quelles obligations de sécurisation ils sont soumis.
Si la Commission entend le besoin d'une certaine souplesse dans la mise en œuvre de ces traitements, laisser une marge d'appréciation trop grande en termes de mesures de sécurité à ces responsables de traitement pourrait se révéler très problématique. En effet, ces responsables de traitement (c'est-à-dire les chefs de service de police municipale ou directeurs de police municipale, maires ou présidents de l'établissement public de coopération intercommunale dans le cadre de l'autorité prévue au V de l'article L. 5211-9-2 du code général des collectivités territoriales) n'ont pas nécessairement les capacités techniques ou les moyens de mener une étude de la menace et des solutions techniques pertinentes pour y faire face. Dans un but d'accompagnement de ces derniers, la CNIL considère donc comme indispensable d'être le plus précis et complet possible dans l'AIPD cadre.
Ainsi, il apparaît problématique que cette AIPD cadre n'inclue pas (et laisse donc explicitement à la charge des responsables de traitements locaux) la définition d'éléments :
- quant aux solutions techniques permettant de garantir la bonne association des métadonnées aux flux vidéo captés (identification de l'agent porteur lors de la captation, horodatage, géolocalisation, etc.) ;
- quant aux solutions techniques de chiffrement des contenus et de protection contre la suppression sur les caméras elles-mêmes ;
- quant aux solutions techniques permettant de signer les contenus extrait des caméras et de protéger contre des déchargements (et suppression) sur des postes non autorisés ;
- relatifs à la mise en œuvre technique du cas d'usage de la consultation temps réel (diffusion via un serveur ou de pair à pair, interface et terminaux autorisée pour la consultation, etc.) si ce n'est la simple présence d'un chiffrement ;
- quant à l'usage de contrôle d'intégrité opéré sur les données stockées, par exemple en calculant une empreinte des données avec une fonction de hachage conforme à l'annexe B1 du référentiel général de sécurité ;
- quant à la réalisation systématique de sauvegardes et de test de restauration ;
- relatifs à la protection technique contre une suppression avant échéance et de restriction des droits utilisateurs en termes de suppression ;
- relatifs aux modalités de transmissions des contenus extraits, notamment en termes de chiffrement.
En tout état de cause, les seuls éléments présents ne permettent pas de garantir une mise en œuvre systématiquement sécurisée du traitement.
Concernant la journalisation, et en raison de de la gravité et de la vraisemblance du risque pour les personnes en cas de détournement des finalités du traitement ou suppression avant échéance des enregistrements, la durée de conservation de trois années apparait proportionnée. En effet, cette journalisation participe par sa capacité dissuasive à la sécurité du traitement. Cependant, pour garantir l'intégrité des données de journalisation, la Commission recommande d'inclure dans l'AIPD cadre, des exigences relatives à la limitation des droits des agents en écriture et suppression sur ces données de journalisation. Il est de plus nécessaire qu'une analyse des données de journalisation soit prévue. La mise en œuvre d'un mécanisme proactif de contrôle automatique des données de journalisation contribue à la sécurité du traitement par la génération automatique d'alertes.
Sur les transferts de données hors de l'Union européenne :
Il ressort de l'AIPD cadre que les données enregistrées dans les traitements peuvent faire l'objet d'un transfert de données en dehors de l'Union européenne (UE), en cas de recours à un sous-traitant étranger, lorsque celui-ci garantit un niveau de protection suffisant de la vie privée, des libertés et des droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet.
En outre, dans le cadre de la coopération judiciaire, les images pourraient être transmises à des pays tiers hors UE, dans le cadre d'Interpol, mais également dans le cadre d'échanges bilatéraux. Selon le ministère, les outils de coopération policière internationale, notamment par le biais des bureaux centraux nationaux permettent le transfert des données à l'international grâce à des messageries sécurisées.
La Commission rappelle que les transferts de données vers des Etats n'appartenant pas à l'UE ne pourront être opérés que sous réserve du respect des conditions énoncées à l'article 112 de la loi du 6 janvier 1978 modifiée. Le cas échéant, il conviendra notamment que des garanties appropriées en matière de protection des données à caractère personnel soient fournies par un instrument juridiquement contraignant. En l'absence de décision d'adéquation adoptée par la Commission européenne ou de garanties appropriées, et par dérogation à l'article 112 précité, de tels transferts ne pourront alors être réalisés que sous réserve de respecter les conditions énoncées à l'article 113 de la loi du 6 janvier 1978 modifiée.
Les autres aspects du projet n'appellent pas, de la part de la Commission, d'observation supplémentaire.
Estime, quant aux conditions de mise en œuvre :
Sur les aspects de sécurité :
En premier lieu, concernant les mots de passe, au-delà de la simple mention de ceux-ci dans l'AIPD cadre, il est nécessaire de mettre en œuvre une politique de mots de passe conforme à la délibération de la CNIL n° 2017-012 du 19 janvier 2017.
En second lieu, concernant l'utilisation des images à des fins pédagogiques après anonymisation, il est nécessaire que l'anonymisation soit effective. Le responsable de traitement doit donc réaliser une analyse permettant de démontrer que ses processus d'anonymisation respectent les trois critères définis par l'avis 05/2014 du groupe de travail « de l'article 29 » (G29) du 10 avril 2014. A défaut, si ces trois critères ne peuvent être réunis, une étude des risques de ré-identification doit être menée.
Sur la qualité d'acte réglementaire unique du projet de décret et la réalisation d'une AIPD cadre :
Le projet de décret constitue un acte réglementaire unique, au sens du IV de l'article 31 de la loi du 6 janvier 1978 modifiée.
Lorsque la Commission est saisie d'une demande d'avis portant sur un « acte réglementaire unique » qui, en application du IV de l'article 31 de la loi du 6 janvier 1978 modifiée, n'autorise pas un traitement particulier mais la mise en œuvre de traitements qui « répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires », l'AIPD ne doit pas porter sur un ou plusieurs traitements particuliers envisagés au moment de la saisine mais évaluer les risques et déterminer les catégories de mesures de nature à les maîtriser pour l'ensemble des traitements autorisés par le projet et susceptibles d'être mis en œuvre après son entrée en vigueur, chaque traitement ne faisant ensuite l'objet que de l'envoi d'un « engagement de conformité » à la Commission, comme le prévoit le projet d'article R. 241-16 du CSI. Cette AIPD d'ensemble ou « cadre » (voir CE, int., 8 janvier 2019, n° 396340) peut, le cas échéant, être complétée par des AIPD relatives à des traitements spécifiques qui auraient été réalisées à la date de la saisine.
Une seule et même AIPD portant sur un ensemble d'opérations de traitement similaires (AIPD « cadre ») a été transmise à la Commission, conformément à l'article 90 de la loi du 6 janvier 1978 modifiée.
Sur l'établissement d'un rapport sur l'emploi des caméras individuelles :
Le projet d'article R. 241-17 du CSI prévoit la réalisation d'un rapport sur l'emploi des caméras individuelles par le maire ou, le cas échéant, l'ensemble des maires concernés au préfet de département et, dans le département des Bouches-du-Rhône, au préfet de police des Bouches-du-Rhône. Une synthèse de ces rapports est transmise tous les vingt-quatre mois par le préfet au ministère de l'intérieur.
Le ministère a indiqué que ces documents pourront être transmis à la Commission dans le cadre de ses pouvoirs prévus par la loi du 6 janvier 1978 modifiée, si celle-ci en fait la demande.