I. - A titre expérimental et jusqu'au 31 mars 2025, à la seule fin d'assurer la sécurité de manifestations sportives, récréatives ou culturelles qui, par l'ampleur de leur fréquentation ou par leurs circonstances, sont particulièrement exposées à des risques d'actes de terrorisme ou d'atteintes graves à la sécurité des personnes, les images collectées au moyen de systèmes de vidéoprotection autorisés sur le fondement de l'article L. 252-1 du code de la sécurité intérieure ou au moyen de caméras installées sur des aéronefs autorisées sur le fondement du chapitre II du titre IV du livre II du même code, dans les lieux accueillant ces manifestations et à leurs abords ainsi que dans les véhicules et les emprises de transport public et sur les voies les desservant, peuvent faire l'objet de traitements algorithmiques. Ces traitements ont pour unique objet de détecter, en temps réel, des événements prédéterminés susceptibles de présenter ou de révéler ces risques et de les signaler en vue de la mise en œuvre des mesures nécessaires par les services de la police nationale et de la gendarmerie nationale, les services d'incendie et de secours, les services de police municipale et les services internes de sécurité de la SNCF et de la Régie autonome des transports parisiens dans le cadre de leurs missions respectives.
II. - Les traitements mentionnés au I du présent article, y compris pendant leur conception, sont régis par les dispositions applicables du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) et de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
III. - Le public est préalablement informé, par tout moyen approprié, de l'emploi de traitements algorithmiques sur les images collectées au moyen de systèmes de vidéoprotection autorisés sur le fondement de l'article L. 252-1 du code de la sécurité intérieure et de caméras installées sur des aéronefs autorisées sur le fondement du chapitre II du titre IV du livre II du même code, sauf lorsque les circonstances l'interdisent ou que cette information entrerait en contradiction avec les objectifs poursuivis.
Une information générale du public sur l'emploi de traitements algorithmiques sur les images collectées au moyen de systèmes de vidéoprotection et de caméras installées sur des aéronefs est organisée par le ministre de l'intérieur.
IV. - Les traitements mentionnés au I du présent article n'utilisent aucun système d'identification biométrique, ne traitent aucune donnée biométrique et ne mettent en œuvre aucune technique de reconnaissance faciale. Ils ne peuvent procéder à aucun rapprochement, à aucune interconnexion ni à aucune mise en relation automatisée avec d'autres traitements de données à caractère personnel.
Ils procèdent exclusivement à un signalement d'attention, strictement limité à l'indication du ou des événements prédéterminés qu'ils ont été programmés à détecter. Ils ne produisent aucun autre résultat et ne peuvent fonder, par eux-mêmes, aucune décision individuelle ni aucun acte de poursuite.
Ils demeurent en permanence sous le contrôle des personnes chargées de leur mise en œuvre.
V. - Par dérogation à l'article 31 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, le recours à un traitement mentionné au I du présent article est autorisé par un décret pris après avis de la Commission nationale de l'informatique et des libertés. Le Gouvernement peut organiser une consultation publique sur internet dans le cadre de l'élaboration du décret.
Ce décret fixe les caractéristiques essentielles du traitement. Il indique notamment les événements prédéterminés que le traitement a pour objet de signaler, le cas échéant les spécificités des situations justifiant son emploi, les services mentionnés au même I susceptibles de le mettre en œuvre, les éventuelles conditions de leur participation financière à l'utilisation du traitement et les conditions d'habilitation et de formation des agents pouvant accéder aux signalements du traitement. Il désigne l'autorité chargée d'établir l'attestation de conformité mentionnée au dernier alinéa du VI.
Le décret est accompagné d'une analyse d'impact relative à la protection des données personnelles qui expose :
1° Le bénéfice escompté de l'emploi du traitement au service de la finalité mentionnée au I, au regard des événements prédéterminés donnant lieu à signalement par le système ;
2° L'ensemble des risques éventuellement créés par le système et les mesures envisagées afin de les minimiser et de les rendre acceptables au cours de son fonctionnement.
VI. - L'Etat assure le développement du traitement ainsi autorisé, en confie le développement à un tiers ou l'acquiert. Dans ces deux derniers cas, il veille à ce que le tiers qui va développer ou développe cette solution soit prioritairement une entreprise qui répond aux règles de sécurité définies par l'Agence nationale de la sécurité des systèmes d'information s'agissant du respect des exigences relatives à la cybersécurité. Dans tous les cas, le traitement doit satisfaire aux exigences suivantes, qui doivent pouvoir être vérifiées pendant toute la durée du fonctionnement du traitement :
1° Lorsque le traitement algorithmique employé repose sur un apprentissage, des garanties sont apportées afin que les données d'apprentissage, de validation et de test choisies soient pertinentes, adéquates et représentatives. Leur traitement doit être loyal et éthique, reposer sur des critères objectifs et permettre d'identifier et de prévenir l'occurrence de biais et d'erreurs. Ces données font l'objet de mesures de sécurisation appropriées ;
2° Le traitement comporte un enregistrement automatique des signalements des événements prédéterminés détectés permettant d'assurer la traçabilité de son fonctionnement ;
3° Le traitement permet des mesures de contrôle humain et un système de gestion des risques permettant de prévenir et de corriger la survenue de biais éventuels ou de mauvaises utilisations ;
4° Les modalités selon lesquelles, à tout instant, le traitement peut être interrompu sont précisées ;
5° Le traitement fait l'objet d'une phase de test conduite dans des conditions analogues à celles de son emploi autorisé par le décret mentionné au V, attestée par un rapport de validation.
Lorsque le traitement est développé ou fourni par un tiers, celui-ci fournit une documentation technique complète et présente des garanties de compétence, de continuité, d'assistance et de contrôle humain en vue notamment de procéder à la correction d'erreurs ou de biais éventuels lors de sa mise en œuvre et de prévenir leur réitération. Il transmet également une déclaration, dont les modalités sont fixées par décret, des intérêts détenus à cette date et au cours des cinq dernières années.
Dans le cadre du présent VI, la Commission nationale de l'informatique et des libertés exerce les missions prévues au 2° du I de l'article 8 de la loi n° 78-17 du 6 janvier 1978 précitée, en particulier en accompagnant les personnes chargées du développement du traitement.
L'Agence nationale de la sécurité des systèmes d'information exerce, dans ce même cadre, ses missions s'agissant du respect des exigences relatives à la cybersécurité.
Le respect des exigences énoncées au présent VI fait l'objet d'une attestation de conformité établie par l'autorité administrative compétente. Cette attestation est publiée avant que le traitement soit mis à la disposition des services mentionnés au I qui demandent l'autorisation de l'utiliser dans les conditions prévues au VII.
VII. - L'emploi du traitement est autorisé par le représentant de l'Etat dans le département ou, à Paris, par le préfet de police. Cette autorisation peut être accordée uniquement lorsque le recours au traitement est proportionné à la finalité poursuivie.
L'actualisation de l'analyse d'impact réalisée lors de l'autorisation du traitement par décret est adressée à la Commission nationale de l'informatique et des libertés.
La décision d'autorisation est motivée et publiée. Elle précise :
1° Le responsable du traitement et les services associés à sa mise en œuvre ;
2° La manifestation sportive, récréative ou culturelle concernée et les motifs de la mise en œuvre du traitement au regard de la finalité mentionnée au I ;
3° Le périmètre géographique concerné par la mise en œuvre du traitement dans les limites mentionnées au même I ;
4° Les modalités d'information du public, notamment sur ses droits, ou, lorsque cette information entre en contradiction avec les objectifs poursuivis, les motifs pour lesquels le responsable du traitement en est dispensé, accompagnés d'un renvoi vers l'information générale organisée par le ministère de l'intérieur mentionnée au second alinéa du III ;
5° La durée de l'autorisation. Cette durée ne peut excéder un mois et est renouvelable selon les modalités prévues au présent VII lorsque les conditions de la délivrance de l'autorisation demeurent réunies.
VIII. - Le responsable du traitement mentionné au 1° du VII tient un registre des suites apportées aux signalements effectués par le traitement ainsi que des personnes ayant accès aux signalements.
Le représentant de l'Etat dans le département ou, à Paris, le préfet de police est tenu informé chaque semaine des conditions dans lesquelles le traitement est mis en œuvre. Il en tient informés les maires des communes sur le territoire desquelles le traitement est déployé et informe régulièrement, au moins tous les trois mois, la Commission nationale de l'informatique et des libertés. Il peut suspendre l'autorisation ou y mettre fin à tout moment s'il constate que les conditions ayant justifié sa délivrance ne sont plus réunies.
IX. - Afin d'améliorer la qualité de la détection des événements prédéterminés par les traitements mis en œuvre, un échantillon d'images collectées, dans des conditions analogues à celles prévues pour l'emploi de ces traitements, au moyen de systèmes de vidéoprotection autorisés sur le fondement de l'article L. 252-1 du code de la sécurité intérieure et de caméras installées sur des aéronefs autorisées sur le fondement du chapitre II du titre IV du livre II du même code et sélectionnées, sous la responsabilité de l'Etat, conformément aux exigences de pertinence, d'adéquation et de représentativité mentionnées au 1° du VI du présent article, peut être utilisé comme données d'apprentissage pendant une durée strictement nécessaire, de douze mois au plus à compter de l'enregistrement des images. Ces images sont détruites, en tout état de cause, à la fin de l'expérimentation.
X. - La Commission nationale de l'informatique et des libertés contrôle l'application du présent article. A cette fin, elle peut faire usage des prérogatives prévues aux sections 2 et 3 du chapitre II du titre Ier de la loi n° 78-17 du 6 janvier 1978 précitée.
XI. - La Commission nationale de l'informatique et des libertés est informée tous les trois mois des conditions de mise en œuvre de l'expérimentation mentionnée au I. Le Gouvernement remet au Parlement, au plus tard le 31 décembre 2024, un rapport d'évaluation de la mise en œuvre de l'expérimentation, dont le contenu est fixé par décret en Conseil d'Etat après avis de la Commission nationale de l'informatique et des libertés. Ce décret définit notamment les modalités de pilotage et d'évaluation pluridisciplinaire et objective de l'expérimentation et les indicateurs utilisés par celle-ci. L'évaluation associe, dans le respect du principe de parité entre les femmes et les hommes, deux députés et deux sénateurs, dont au moins un député et un sénateur appartenant à un groupe d'opposition, désignés respectivement par le président de l'Assemblée nationale et le président du Sénat. Le décret précise également les modalités selon lesquelles le public et les agents concernés sont informés de l'expérimentation et sont associés à l'évaluation. Le rapport d'évaluation est également transmis à la Commission nationale de l'informatique et des libertés et rendu public sur internet au même moment.