Après avoir entendu le rapport de Mme Sophie LAMBREMON, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés (ci-après « la Commission ») a été saisie par le ministère de l'intérieur d'un projet de décret relatif à l'extension des destinataires d'images de vidéoprotection.
Ce projet de décret porte application des articles L. 252-2, L. 252-3 et L. 255-1 du code de la sécurité intérieure (CSI), tels que modifiés par l'article 40 de la loi n° 2021-646 du 25 mai 2021 pour une sécurité globale préservant les libertés, afin d'autoriser les policiers municipaux ainsi que certains agents de la Ville de Paris mentionnés aux articles L. 531-1, L. 532-1 et L. 533-1 du même code à accéder aux images de vidéoprotection.
L'article L. 255-1 du CSI prévoit qu'un décret en Conseil d'Etat, pris après avis de la Commission nationale de la vidéoprotection et de la Commission nationale de l'informatique et des libertés, fixe les modalités d'application de ces dispositions. Ce décret doit notamment fixer les conditions dans lesquelles les agents mentionnés au second alinéa de l'article L. 252-2 et à l'article L. 252-3 sont habilités à accéder aux enregistrements pour les seuls besoins de leur mission, ainsi que les exigences de formation et de mise à jour régulière des connaissances en matière de protection des données à caractère personnel auxquelles ils doivent satisfaire pour être habilités. Il doit également préciser les mesures techniques mises en œuvre pour garantir la sécurité des enregistrements et assurer la traçabilité des accès aux images.
La Commission rappelle que, dans sa délibération n° 2021-011 du 26 janvier 2021 portant avis sur une proposition de loi relative à la sécurité globale, elle avait relevé que l'évolution de ces dispositions conduit à ce que les images collectées au moyen de dispositifs de vidéoprotection puissent être visionnées par un nombre important de personnes. Elle avait rappelé qu'il importe, d'une part, que des garanties fortes soient mises en œuvre pour que seul le personnel dûment habilité puisse effectivement visionner ces images, dans le strict besoin de leur mission et que, d'autre part, des mesures de sécurité adéquates soient mises en œuvre, notamment en matière de traçabilité des accès.
Par ailleurs, l'article L. 255-1 du CSI indique que le projet de décret, pris après de la Commission, prévoit les conditions dans lesquelles le public est informé de l'existence d'un dispositif de vidéoprotection ainsi que de l'identité de l'autorité ou de la personne responsable.
La Commission relève que les modalités d'information des personnes ne sont pas indiquées dans le projet de décret car, selon le ministère, elles sont précisées à l'article R. 253-3 du CSI, tel que modifié par le décret n° 2015-489 du 29 avril 2015.
Le ministère n'entend pas à ce stade modifier les modalités d'information des personnes concernées qui figurent à l'article R. 253-3 du CSI résultant du décret n° 2015-489 du 29 avril 2015. La Commission observe toutefois que, s'agissant des mentions d'information devant figurer sur les affiches ou panonceaux, les dispositions de ce texte, dont elle n'a pas été saisie pour avis, ne sont plus conformes à la réglementation relative à la protection des données à caractère personnel.
La Commission rappelle plus largement la nécessité de prévoir rapidement un cadre juridique cohérent, complet et suffisamment protecteur des droits des personnes en matière de vidéoprotection. En effet, de nombreuses dispositions du CSI, qui constituent le cadre juridique général en la matière, sont obsolètes depuis l'évolution de la réglementation en matière de protection des données à caractère personnel intervenue en 2018. Elles ne permettent donc pas aux responsables de traitement de connaître l'état réel de leurs obligations en la matière (par exemple, la nécessité de réaliser une analyse d'impact relative à la protection des données), ni aux personnes concernées de savoir de quelle manière exercer leurs droits.
Sur les destinataires du traitement
Le projet de décret ajoute la qualité de destinataires des images de vidéoprotection aux agents de la police municipale, aux agents de la ville de Paris chargés d'un service de police, aux contrôleurs relevant du statut des administrations parisiennes exerçant leurs fonctions dans la spécialité de la voie publique, aux agents de surveillance de Paris ainsi qu'aux agents de police municipale de Paris.
Si la Commission prend acte de ces modifications qui découlent de l'article 40 de la loi n° 2021-646 précitée, elle relève cependant que ces dispositions ont pour effet d'élargir fortement les destinataires des images de vidéoprotection. Elle appelle donc à encadrer strictement les habilitations des personnels à visionner ces images, afin notamment de limiter l'accès aux personnes justifiant d'un besoin d'en connaître et d'éviter tout usage qui ne serait pas conforme aux finalités du traitement.
Sur les conditions d'habilitation et l'obligation de formation des agents
En premier lieu, l'article 3 du projet de décret précise par quelle autorité seront désignés et habilités les agents des services de police ou de gendarmerie nationales, les agents des douanes ou des services d'incendie et de secours, les agents de police municipale ainsi que les agents mentionnés aux articles L. 531-1, L. 532-1 et L. 533-1 du CSI, destinataires des images et enregistrements de systèmes de vidéoprotection. Il est prévu que ces agents soient individuellement désignés et dûment habilités par le chef de service ou le chef d'unité à compétence départementale, régionale, zonale ou nationale sous l'autorité duquel ils sont affectés, et pour les agents de police municipale ainsi que les agents mentionnés aux articles L. 531-1, L. 532-1 et L. 533-1, par le chef de service de police municipale ou le directeur de police municipale sous l'autorité duquel ils sont affectés, ou par le maire.
L'article 3 du projet de décret indique également que les agents précités sont destinataires des images et enregistrements de systèmes de vidéoprotection « pour les seuls besoins de leurs missions ». La Commission relève que à cette condition découle directement des dispositions de l'article L. 255-1 du CSI tel que modifié par l'article 40 de la loi n° 2021-646 du 25 mai 2021 pour une sécurité globale préservant les libertés. Elle appelle toutefois à une vigilance particulière concernant les habilitations qui seront mises en place et à leur mise à jour régulière. A cet égard, elle prend acte de ce que le ministère prévoit d'adresser une circulaire aux préfectures dont l'objet sera notamment d'attirer leur attention sur ces points.
La Commission prend acte de ce que les modalités d'accès aux images par ces agents seront détaillées dans le dossier administratif et technique accompagnant la demande d'autorisation auprès du préfet exigée par l'article R. 252-3 du CSI. Dans la mesure où les autorisations sont délivrées au cas par cas afin de pouvoir être adaptées au contexte propre à chaque organisation et de vérifier lors de l'examen du dossier les modalités d'accès aux images mis en œuvre, le ministère indique qu'il n'apparaît pas adapté qu'un texte réglementaire recense en détail l'ensemble des modalités d'accès aux images, ces dernières devant être adaptées aux risques en cause. La Commission estime néanmoins que ces modalités pourraient être détaillées dans une doctrine d'emploi adoptée au niveau ministériel sur l'utilisation des caméras, d'autant que l'ouverture des destinataires rend très large le nombre d'agents potentiellement concernés. Sur ce point, elle prend acte de ce qu'il est prévu qu'une doctrine d'emploi soit formalisée pour fixer les règles générales d'utilisation des caméras.
La Commission prend également acte de ce que les agents de police municipale ainsi que les agents de la ville de Paris ne pourront pas accéder à des images prises par des systèmes de vidéoprotection qui ne seraient pas mis en œuvre sur le territoire de la commune ou de l'intercommunalité sur lequel ils exercent leurs missions. Elle considère que cette garantie, exigée par le Conseil constitutionnel dans sa décision n° 2021-817 DC du 20 mai 2021, devrait être ajoutée dans le projet de décret et prend acte du fait que ce point sera vérifié dans le cadre de l'instruction des autorisations préfectorales délivrées.
En second lieu, l'article 3 du projet de décret prévoit également une obligation de formation en matière de protection des données à caractère personnel pour les agents mentionnés au second alinéa de l'article L. 252-2 et à l'article L. 252-3 du CSI.
La Commission observe que les modalités de formation pour ces agents sont encadrées par la loi. A titre d'illustration, s'agissant des agents de police municipale et des agents de police municipale de la ville de Paris, leur formation est notamment encadrée par les articles L. 511-6 et L. 533-3 du CSI. L'article L. 511-6 du CSI indique que les fonctionnaires de police municipale sont assujettis à des obligations de formations initiales et continues, « organisées et assurées par le Centre national de la fonction publique territoriale » (CNFPT). Selon le ministère, ce corpus juridique est nécessaire et suffisant pour mettre en œuvre dans la formation des agents concernés tout module en lien avec la protection des données. Le catalogue des stages de formation continue du CNFPT propose par exemple un stage relatif aux « obligations de la police municipale en matière de sécurité et de protection des données personnelles ». Elle prend également acte de ce qu'il n'est pas prévu que le contenu de la formation doive être conforme à un cahier des charges particulier. Elle relève toutefois qu'il conviendra pour le ministère de s'assurer que chacun des agents concernés suive une formation spécifique aux enjeux de la protection des données à caractère personnel.
Au regard de ces éléments, cette disposition n'appelle pas d'autre observation particulière de la part de la Commission.
Sur les mesures de sécurité
L'article L. 255-1 du CSI prévoit que le décret « précise les mesures techniques mises en œuvre pour garantir la sécurité des enregistrements et assurer la traçabilité des accès aux images ». Le projet de décret se limite à prévoir à l'article 4 que « Les systèmes de vidéoprotection sont équipés de dispositifs techniques permettant de garantir l'intégrité des enregistrements ainsi que la traçabilité des consultations des images ». La Commission rappelle que la sécurité des enregistrements inclut non seulement l'intégrité des enregistrements mais aussi la nécessité d'assurer leur confidentialité et leur disponibilité. Elle recommande donc au Gouvernement de compléter l'article 4 du projet de décret en ce sens et prend acte de l'engagement du ministère sur ce point.
La Commission regrette que le ministère renvoie la définition des normes techniques à respecter à un arrêté ministériel, à savoir l'arrêté du 3 août 2007 portant définition des normes techniques des systèmes de vidéosurveillance.
En effet, cet arrêté définit des éléments génériques et requiert notamment que les responsables de traitement fixent des objectifs de sécurité en fonction de la finalité de la caméra. La Commission invite dès lors le ministère à compléter le projet de décret sur ce point. Il reviendra en outre aux responsables de traitement, pour la mise en œuvre de leur traitement, de prendre en compte la protection des données et les risques sur les personnes concernées lors de la définition des objectifs de sécurité pour répondre aux obligations de sécurité prévues par les articles 5.1.f) et 32 du RGPD ainsi que l'article 99 de la loi du 6 janvier 1978 modifiée.