| N° de demande d'avis : 25009754. | Thématiques : caméras frontales embarquées, transports guidés urbains, tramways. | |:-----------------------------------------------------------------------------------------------------------|:-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| |Organisme(s) à l'origine de la saisine : ministère de l'aménagement du territoire et de la décentralisation.|Fondement de la saisine : article 8, I, 4°, a, de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.|

L'essentiel :

1. Le projet de décret prévoit une expérimentation relative aux caméras frontales embarquées sur les tramways, en application de l'article 14 de la loi n° 2025-379 du 28 avril 2025 relative au renforcement de la sûreté dans les transports.
2. Il s'inspire du cadre expérimental qui avait été mis en œuvre dans le secteur ferroviaire et reprend à cet effet les garanties sur lesquelles la CNIL s'était prononcée (pseudonymisation, durées de conservation, journalisation, etc.). La plupart des caractéristiques essentielles des traitements sont décrites de manière suffisante. La CNIL prend acte de qu'une mention sera ajoutée au projet de décret, imposant aux responsables de traitement de préciser que le droit d'opposition n'est pas ouvert.
3. La CNIL prend en compte les difficultés exprimées par les opérateurs quant aux mesures de minimisation prévues. Elle considère que la captation en continu des images est légitime et que l'expérimentation prévue devrait permettre d'évaluer l'efficacité des garanties prévues. Elle relève en outre des disparités au sein des pratiques des opérateurs s'agissant de la pseudonymisation et du stockage des données. A cet égard, elle recommande au ministère de préciser les modalités de pseudonymisation et certaines mesures de sécurité (chiffrement, cloisonnement des données, etc.) afin d'harmoniser a minima les pratiques.
4. Enfin, la CNIL considère que le rapport d'évaluation devrait pouvoir faire apparaître la vision d'ensemble du ministère en précisant notamment la méthodologie d'expérimentation, l'évaluation de l'efficience des différentes modalités retenues de pseudonymisation, les contraintes opérationnelles rencontrées par les différents opérateurs et les mesures associées. Elle estime que ce rapport d'expérimentation devrait lui être transmis.

La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« loi informatique et libertés ») ;
Sur la proposition de Mme Sophie Lambremon, commissaire, et après avoir entendu les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :

I. - La saisine
A. - Le contexte

L'article 14 de la loi n° 2025-379 du 28 avril 2025 relative au renforcement de la sûreté dans les transports a ouvert la possibilité, pour les opérateurs de transports guidés urbains (ci-après les opérateurs), de recourir à des caméras frontales embarquées sur les matériels roulants qu'ils exploitent. La mise en œuvre de ces dispositifs doit être expérimentée pendant trois ans à compter du 28 juin 2025 et concerne exclusivement les tramways. Les images captées sur la voie publique visent à faciliter la compréhension des circonstances des accidents et à permettre la formation des conducteurs.
Ce dispositif s'inspire d'un précédent cadre expérimental mis en œuvre dans le secteur ferroviaire sur la voie publique et dans les lieux ouverts au public, dont les tramways étaient expressément exclus (décret n° 2022-1672 du 27 décembre 2022 pris en application de l'article 61 de la loi n° 2021-646 du 25 mai 2021 pour une sécurité globale préservant les libertés). Le présent projet de décret reprend à cet effet les garanties sur lesquelles la CNIL s'était prononcée (CNIL, SP, 3 février 2022, avis sur un projet de décret pris en application de l'article 61 de la loi n° 2021-646 du 25 mai 2021 pour une sécurité globale préservant les libertés, n° 2022-012, publié) et notamment, la systématisation de la pseudonymisation à l'enregistrement des images captées, la limitation des accès aux images au personnel habilité, la tenue d'un registre des opérations de traitement, la limitation de la durée de conservation de ces éléments à trente jours.

B. - L'objet de la saisine

Le ministère de l'aménagement du territoire et de la décentralisation a saisi la CNIL d'un projet de décret d'application de l'article 14 de la loi n° 2025-379 du 28 avril 2025 relative au renforcement de la sûreté dans les transports.
Le projet de décret a vocation à fixer un cadre général d'usage pour les opérateurs de transport dans la mise en œuvre de traitements. Il détermine :

- les modalités d'application de l'expérimentation et son bilan ;
- les modalités d'utilisation des données collectées, s'agissant en particulier des catégories de données à caractère personnel pouvant faire l'objet d'un traitement, de la distance de captation d'images et des conditions de pseudonymisation et d'anonymisation des données enregistrées.

II. - L'avis de la CNIL
A. - Sur la base légale

L'article 14 de la loi relative au renforcement de la sûreté dans les transports a ouvert la possibilité aux opérateurs de mettre en œuvre, à titre expérimental, la captation, la transmission et l'enregistrement d'images prises sur la voie publique au moyen de caméras frontales embarquées sur les matériels roulants qu'ils exploitent.
Dès lors que les opérateurs souhaitent adhérer à l'expérimentation, les traitements trouvent leur base légale dans le fait qu'ils contribuent à une mission d'intérêt public telle que prévue au point e du § 1 de l'article 6 du RGPD. En effet, le ministère a indiqué qu'ils assurent une mission de service public de transports réguliers de personnes.
La CNIL prend acte de ce que la base légale de la mission d'intérêt public autorise la mise en œuvre de ces traitements de données à caractère personnel.

B. - Sur l'information et les droits des personnes

Le projet de décret prévoit en son article 13 que lorsque les exploitants de services de transport public choisissent de recourir à ces dispositifs, le droit d'opposition des personnes dont les images vont être captées, prévu aux articles 18 et 21 du RGPD, ne s'applique pas. S'agissant d'un traitement nécessaire à l'exécution d'une mission d'intérêt public, le droit d'opposition peut être écarté dans les conditions prévues par l'article 23 du RGPD (v. art. 56 de la loi « informatique et libertés »).
La CNIL rappelle (CNIL, SP, 17 décembre 2020, avis sur un projet de décret relatif au recours à la vidéo intelligente pour mesurer le taux de port de masque dans les transports, n° 2020-136, publié) :

- d'une part, que, pour pouvoir apporter valablement des limitations au droit d'opposition des personnes, la mesure normative prise à cet effet doit contenir certaines « dispositions spécifiques » minimales énumérées à l'article 23.2 du RGPD, que sont la finalité et les caractéristiques essentielles du traitement (catégories de données à caractère personnel, durées de conservation, étendue des limitations introduites, etc.). A ce titre, les finalités sont bien mentionnées dans le projet de décret ;
- et, d'autre part, que l'article 56 de la loi « informatique et libertés » énonce qu'une telle exclusion doit être prévue par « une disposition expresse de l'acte instaurant le traitement », ce qui est la cas en l'espèce (projet d'article 13).

Le projet de décret indique que l'information générale du public sur l'emploi de ces caméras est délivrée sur le site web du ministère chargé des transports et de l'opérateur concerné, dans les gares ou stations desservies, ainsi que sur le matériel roulant.
En revanche, il ne vise notamment pas le point h de l'article 23. 2 du RGPD relatif au droit des personnes concernées d'être informées de la limitation de leur droit. La CNIL prend acte de ce qu'une mention sera ajoutée au projet de décret, imposant aux responsables de traitement, à travers l'information qu'ils fourniront en application du RGPD, de préciser que le droit d'opposition n'est pas ouvert.

C. - Sur le périmètre des traitements

L'article 2 du projet de décret précise que les matériels roulants concernés par l'expérimentation sont ceux visés par le décret n° 2017-440 du 30 mars 2017. Il donne une définition croisée en renvoyant à l'article L. 2000-1 du code des transports sur le transport ferroviaire ou guidé et en mentionnant des exclusions sur un certain nombre de critères.
La CNIL relève que, pour décrire le périmètre des traitements projetés, le projet de décret vise le décret du 30 mars 2017, opérant un renvoi à un texte relatif au transport ferroviaire ou guidé, ce qui apparaît particulièrement large. Elle prend toutefois acte de ce que cette expérimentation ne porte que sur les tramways.

D. - Sur la minimisation des données

1. Concernant la captation en continu des images

La CNIL observe que le projet de décret prévoit la possibilité d'enregistrer les images en continu, alors que l'article 14 de la loi ne contient aucune disposition imposant le recours à des systèmes de captation continue des images.
Interrogé sur les raisons de son choix, le ministère a indiqué les difficultés des opérateurs à interrompre la captation lors des arrêts en station, susceptibles de mettre en question leur participation à l'expérimentation et notamment :

- la vigilance que le conducteur doit porter à sa conduite et à la sécurité du transport ne permet pas le déclenchement manuel du dispositif d'enregistrement par le conducteur ;
- la technologie permettant l'interruption automatisée de la captation d'images à l'arrêt par couplage de la caméra à la vitesse du tramway n'existe pas à ce stade et nécessiterait un développement dont le coût apparaît disproportionné pour une expérimentation ;
- la survenance d'accidents lorsque le tramway est à l'arrêt (accident de tramway survenu à Strasbourg le 11 janvier 2025 alors que la rame percutée était à l'arrêt au moment du choc) et les phases de redémarrage sont des configurations dans lesquelles des événements sont susceptibles de se produire (nécessaires pour une vision globale de l'environnement avant la survenance d'un événement).

Pour cette expérimentation, l'article 14 de la loi prévoit que les caméras embarquées sont employées « de telle sorte qu'elles ne visent pas à recueillir les images de l'intérieur des domiciles ni, de façon spécifique, celles de leurs entrées. Lorsque l'emploi de ces caméras conduit à visualiser de tels lieux, l'enregistrement est immédiatement interrompu. Toutefois, lorsqu'une telle interruption n'a pu avoir lieu compte tenu des circonstances de la captation des images, les images enregistrées sont supprimées dans un délai de quarante-huit heures à compter de leur captation, sauf transmission dans ce délai dans le cadre d'un signalement à l'autorité judiciaire sur le fondement de l'article 40 du code de procédure pénale » ;
A cet égard, l'article 7 du projet de décret précise que les caméras frontales embarquées sont centrées sur l'axe de la rame et ne peuvent capter les images que dans un angle d'ouverture maximal de soixante degrés dans le plan horizontal.
La CNIL considère que la finalité de prévention ou d'analyse d'éventuels accidents peut justifier que la caméra filme en continu pendant la mise en service d'un tramway sur la voie publique, puisqu'il n'est pas possible de prévoir le moment de l'accident. Elle prend également en compte les difficultés pratiques concernant la mise en œuvre d'interruptions répétitives et récurrentes des enregistrements à chaque arrêt en station. Elle accueille favorablement la garantie selon laquelle les caméras devraient en principe être amenées à filmer uniquement la voie de circulation du train, à l'avant, ainsi que, éventuellement, ses abords immédiats, de manière limitée :

- dans le temps (arrêts courts en stations de tramways contrairement aux gares ferroviaires) ;
- et dans l'espace, par l'angle d'ouverture maximal de soixante degrés.

Elle considère que ces mesures sont de nature à minimiser les atteintes à la vie privée et que de tels dispositifs poursuivent un objectif légitime.
Elle relève cependant que certains opérateurs ont fait valoir que cet angle d'ouverture restreint ne serait pas forcément efficace en pratique.
La CNIL prend en compte ces difficultés et considère que l'expérimentation prévue devrait permettre d'évaluer la pertinence de cette garantie à l'occasion de sa mise en œuvre et d'en tirer toutes les conséquences dans le rapport d'évaluation.

2. Sur la pseudonymisation à l'enregistrement des images

Le projet de décret prévoit que les images captées par les caméras frontales embarquées soient « soumises à pseudonymisation […] dès leur enregistrement ».
La CNIL appelle l'attention du ministère sur la distinction entre une telle pseudonymisation et une pseudonymisation à la captation, telle qu'évoquée par certains opérateurs dans les documents complémentaires fournis par le ministère. En effet, les deux procédés ne sont pas équivalents et supposent des mécanismes de mise en œuvre distincts. Elle indique que l'observation formulée ci-après concerne le mécanisme de pseudonymisation dès l'enregistrement des images et incite le ministère à préciser ces modalités auprès des opérateurs.
Ensuite, bien que les éléments complémentaires apportés par le ministère indiquent qu'une pseudonymisation à l'enregistrement constitue un « obstacle technique majeur à la mise en œuvre de l'expérimentation », la CNIL ne considère pas comme telle cette modalité et estime, en outre, qu'une telle mesure est de nature à limiter les atteintes aux droits et libertés des personnes concernées. Elle note de surcroît que les limitations identifiées par le ministère sur la mise en place d'une pseudonymisation à l'enregistrement, bien que non bloquantes, peuvent être aussi en partie expliquées par un manque de disponibilités sur le marché de dispositifs d'enregistrement vidéo offrant une minimisation des données collectées par conception.
Ainsi pour la mettre en place, le ministère pourrait considérer, de manière non exhaustive, les éléments suivants :

- sur le moment effectif de la pseudonymisation : l'enregistrement pourrait être considéré comme ayant effectivement lieu lorsque les images sont transférées du disque dur situé dans l'enregistreur physiquement embarqué dans chaque rame vers un système centralisé. Ainsi la pseudonymisation pourrait avoir lieu avant ou à bref délai après la centralisation ou extraction des données, ce qui réduirait ainsi les difficultés identifiées par les différents opérateurs. Cette modalité de pseudonymisation nécessiterait toutefois qu'une attention toute particulière soit apportée aux modalités de sécurisation du stockage et des transmissions, telles qu'évoquées ci-après. En tout état de cause, la CNIL prend acte de l'engagement du ministère de modifier le projet de décret afin de clarifier la temporalité de l'enregistrement. Cette dernière permettra aux opérateurs de procéder à la pseudonymisation soit dès la captation, soit au plus tard lors du transfert des données vers un système centralisé de stockage des données ;
- sur les modalités concrètes de pseudonymisation : elle appelle l'attention du ministère sur la nécessité, lors de la pseudonymisation, de considérer a minima : une obfuscation (par le biais d'un floutage ou d'un masquage) des personnes présentes sur l'image mais aussi des véhicules et de tout autre élément directement identifiant (les plaques d'immatriculation par exemple).

Enfin, le ministère précise que, malgré l'exigence d'effectivité de la pseudonymisation dès l'enregistrement, des données brutes pourront être adressées aux autorités compétentes dans le cadre de procédures judiciaires, administratives ou disciplinaires. Cette opération est qualifiée de « levée de pseudonymisation » dans le projet de décret. La CNIL invite le ministère à ne pas faire mention de cette opération puisqu'elle ne reflète pas la réalité du traitement de données effectué. En effet, tel que précisé dans les éléments transmis, il y a, au moins dans certains cas, conservation des données sous deux formes distinctes. Si elle rappelle que l'article 14 de la loi du 28 avril 2025 ne s'oppose pas à de telles modalités, elle considère que le projet de décret est insuffisamment précis sur ce point. A des fins de lisibilité pour les opérateurs et les personnes concernées, elle estime que le projet de décret doit être modifié en précisant :

- la dualité de la nature des informations concernées ;
- mais aussi le périmètre des données concernées par une conservation non pseudonymisée.

Elle prend acte de l'engagement du ministère de modifier le projet de décret en vue de :

- supprimer la mention de l'opération de « levée de pseudonymisation » ;
- clarifier le fait que sont conservées des données pseudonymisées et non pseudonymisées et, pour ces dernières, faire apparaître les fins pour lesquelles elles sont conservées (procédures judiciaires, administratives et disciplinaires).

3. Concernant l'anonymisation

Le projet de décret prévoit de conserver, au-delà du délai prévu, les données anonymisées.
La CNIL rappelle cependant qu'il est extrêmement difficile d'anonymiser des vidéos (c'est-à-dire de rendre impossible toute réidentification ultérieure des personnes, par la mise en œuvre de procédés de floutage par exemple) par un procédé systématique, tout en préservant leur utilité pour une exploitation ultérieure. Ces contraintes conduisent donc le plus souvent à se limiter à une simple pseudonymisation des vidéos, ce qui permet leur utilisation pour les finalités assignées au traitement sans porter une atteinte disproportionnée aux droits des personnes (CNIL, SP, 3 février 2022, avis sur un projet de décret pris en application de l'article 61 de la loi n° 2021-646 du 25 mai 2021 pour une sécurité globale préservant les libertés, n° 2022-012, publié).
Elle prend acte de l'engagement du ministère de supprimer la mention d'anonymisation dans le projet de décret.

E. - Sur les durées de conservation et l'effacement des données

L'article 8 du projet de décret prévoit que les données et informations enregistrées dans le traitement peuvent être conservées pendant une durée maximale de trente jours à compter du jour de leur enregistrement. Au terme de ce délai, ces données sont effacées automatiquement des traitements ou « anonymisées ».
L'article 14 de la loi du 28 avril 2025 précise que ces enregistrements sont effacés dans le délai précité, hors les cas où ils sont utilisés dans le cadre d'une procédure judiciaire, administrative ou disciplinaire.
La CNIL attire dès lors l'attention des responsables de traitement sur le principe d'une conservation de ces données pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées, et qui pourra être inférieure à trente jours. Elle appelle, par conséquent, à ce que la durée de conservation des enregistrements soit fixée au regard tant des besoins opérationnels d'usage de ces données, que des contraintes techniques associées.

F. - Sur le bilan d'expérimentation

La mise en œuvre de ces dispositifs doit se faire de manière expérimentale. A cet égard :

- la loi prévoit qu'elle fait l'objet d'un rapport d'évaluation remis au Parlement au plus tard six mois avant son terme afin d'évaluer l'opportunité du maintien des mesures qu'elle prévoit ;
- plus particulièrement, l'article 14 du projet de décret prévoit que les opérateurs adressent au ministre chargé des transports un bilan de l'emploi des caméras au plus tard le 1^er septembre 2027.

La CNIL relève une forte disparité des solutions envisagées par les opérateurs selon les difficultés rencontrées, en particulier pour les modalités de pseudonymisation et de stockage des images. L'hétérogénéité de ces solutions ne permet pas à la CNIL d'appréhender en toute connaissance de cause la variété des risques susceptibles d'être engendrés pour les personnes concernées en matière de sécurité des données. Elle rappelle que l'obligation qui incombe aux responsables de traitement de mettre en place des mesures de sécurité adaptées à ces risques n'est pas atténuée par le fait que ces traitements interviennent dans le cadre d'une expérimentation. Elle estime en outre nécessaire que le ministère définisse, en lien avec les responsables de traitement, un socle commun de mesures de sécurité aptes à limiter fortement les risques et d'harmoniser a minima les pratiques. Aussi, elle attend que les bilans d'emplois des caméras transmis ainsi que le rapport d'évaluation, fassent apparaître une analyse des risques et un socle minimal de mesures qui paraîtraient importantes à réunir en perspective d'une éventuelle pérennisation.
La CNIL considère que le rapport d'évaluation remis au Parlement devrait pouvoir faire apparaître la vision d'ensemble du ministère en précisant notamment :

- la méthodologie d'expérimentation ;
- l'évaluation de l'efficience des différentes modalités retenues de pseudonymisation ;
- les contraintes opérationnelles rencontrées par les différents opérateurs et les mesures associées.

Elle considère, en outre, que ce rapport d'expérimentation devrait lui être transmis.
Les autres dispositions du projet de décret n'appellent pas d'observations de la part de la CNIL.