Le ransomware – ou rançongiciel – est un logiciel malveillant prenant en otage les données d’un système d’information en échange du paiement d’une rançon. Le montant de la rançon demandée prend généralement en considération le type de ransomware ainsi que l’identité de la victime. Pour ne citer que quelques exemples, Colonial Pipeline, société exploitant des oléoducs aux Etats-Unis, aurait payé une rançon d’un montant de plus de 4 millions de dollars au groupe Darkside.
Les dispositifs de caméras intelligentes ou augmentées dans le viseur de la CNIL
Les dispositifs que la Commission Nationale de l’Informatique et des Libertés (CNIL) vise à encadrer dans ce projet de consultation sont les caméras intelligentes ou augmentées. Il ne s’agit pas des traditionnels dispositifs de vidéosurveillance dont les images sont visionnées par l’œil humain. Ce sont des caméras incluant des logiciels de traitements automatisés d’images, permettant d’extraire des informations à partir des flux vidéo.
À la suite de nombreuses sollicitations sur ces dispositifs et de la multiplication de ceux-ci dans le cadre de la gestion de la crise sanitaire, la CNIL souhaite revenir sur les questions éthiques, juridiques et techniques que peuvent poser ces caméras.
Sommaire
1. Caméras intelligentes ou augmentées : le projet de la CNIL
Le périmètre
Le projet ne s’applique pas aux dispositifs de reconnaissance biométrique, ni à l’installation de dispositifs de caméras augmentées dans un cadre privé.
Ces appareils sont généralement installés pour améliorer la sécurité des personnes et des biens recouvrent de nouvelles finalités telles que l’analyse de la fréquentation d’un lieu ou la réalisation d’opérations de publicité.
Objectif du projet
L’objectif de cette consultation est la protection des droits et libertés fondamentales des personnes filmées et analysées par ces dispositifs. Le projet vient définir la notion de caméras augmentées, présenter les enjeux éthiques et sociétaux de cette technologie et soumettre à consultation leur encadrement juridique.
Définition des caméras dites intelligentes ou augmentées
Le terme désigne des dispositifs vidéo comportant des logiciels de traitements algorithmiques analysant en temps réel et en continu les images captées pour reconnaître des formes, des mouvements, des expressions, etc. L’analyse automatisée de ces dispositifs est réalisée avec une puissance bien supérieure à celle d’un œil humain.
Ces appareils peuvent être utilisés dans un cadre public pour :
– le maintien de l’ordre public
– la régulation des flux de circulation
– la détection de bagages abandonnés
– le suivi d’individus par les exploitants de transports publics
– ou encore l’évaluation du respect des règles sanitaires en vigueur
2. Caméras intelligentes ou augmentées : un cadre juridique hétérogène
L’analyse juridique de ces traitements est variable dès lors que leur usage peut être très divers. Les appareils peuvent servir à collecter des données objectives ou des données sensibles. L’analyse peut être plus ou moins intrusive. La conservation des données peut être effectuée sous forme identifiante ou anonymisée. Le contrôle des personnes sur leurs données peut être ou non effectif.
Certains de ces dispositifs ne traitent même pas de données personnelles. C’est le cas de l’appareil permettant d’analyser les pièces de monnaie sur un tapis roulant ne filmant pas les personnes déposant les pièces sur ce tapis.
Ces dispositifs étant très divers, une appréciation au cas par cas doit être opérée. La CNIL a donc dégagé des caractéristiques communes à ces appareils.
Le traitement massif des données
Le premier constat de la Commission nationale de l’informatique et des libertés est celui du traitement massif de données, qui peuvent être des données sensibles, et ce de manière automatisée. Les caméras de vidéosurveillance classiques se contentent de capter des images relevant de leur spectre pour d’éventuels visionnages ultérieurs par des personnes humaines. Les algorithmes présents dans les vidéos dites intelligentes ont un spectre de captation d’images beaucoup plus large et procèdent à une analyse automatisée de ces images et donc à un traitement massif de données potentiellement sensibles.
Caméras intelligentes ou augmentées : la surveillance généralisée
Le risque est celui d’une surveillance et d’une analyse généralisée des personnes permettant de déduire des éléments nouveaux sur ces personnes (analyser le visage d’une personne pour en déduire son humeur et lui proposer des publicités ciblées).
Les risques pour les personnes concernées sont décuplés lorsque ces caméras sont déployées dans des espaces publics où s’exercent des libertés individuelles :
– droit à la vie privée
– liberté d’aller et venir
– liberté d’expression et de réunion
– droit de manifester
– liberté de conscience et d’exercice des cultes
Le caractère invisible des dispositifs de caméras
Ces dispositifs de caméras intelligentes ou augmentées sont peu connus des personnes qui :
– d’une part, ne sont pas informées de leur existence
– et, d’autre part, n’ont pas conscience de la capacité d’analyse de leur comportement
Le caractère invisible et inaccessible de ces appareils a une incidence directe sur le droit d’opposition des personnes concernées. Celles-ci ne peuvent s’opposer au traitement de leurs données personnelles lorsque le traitement de leurs données sera fondé sur l’intérêt légitime du responsable de traitement.
Par ailleurs, la CNIL insiste sur le contrôle de ces appareils qui peuvent être versatiles et dont on peut changer la fonction et la position très facilement. Elle alerte également sur les algorithmes intégrés dans les dispositifs. L’existence de biais dans ces algorithmes a un impact sur les personnes filmées par ces caméras.
Les risques pour les personnes concernées dépendront de l’incidence du dispositif dans la prise de décision les concernant. Il est évident que si le dispositif a vocation à prendre une décision ou à emporter des conséquences au niveau individuel le risque sera plus élevé que si la prise de décision ou les conséquences concernent un groupe de personnes.
En revanche, si le dispositif a pour unique vocation la production de statistiques afin de prendre une décision pour un groupe de personnes le risque pour les droits et libertés des personnes sera moindre.
Enfin, le lieu d’installation des caméras influera de manière directe sur l’impact du dispositif pour les personnes. Si les caméras se trouvent aux abords d’un lieu de culte ou encore d’un hôpital, des données sensibles pourraient être collectées.
3. Les dispositifs de caméras intelligentes ou augmentées devront respecter les principes du RGPD
Les utilisateurs de ces solutions et les concepteurs devront respecter les principes et garanties applicables en matière de protection des données à caractère personnel. Ils doivent définir leur rôle dans l’opération de traitement en tant que responsable de traitement ou sous-traitant.
Des finalités doivent être déterminées, explicites et légitimes. Sur ce point la Commission précise que la finalité n’est pas le résultat de l’opération de traitement mais l’objectif poursuivi.
Une base légale appropriée doit être retenue. Aucune base légale n’est en principe à exclure mais certains dispositifs ne pourront être fondés sur l’intérêt légitime du responsable de traitement puisque par nature ils portent atteinte de manière disproportionnée aux droits et libertés des personnes.
À titre d’exemple, les dispositifs analysant le comportement et l’âge des personnes afin de leur proposer de la publicité, les dispositifs analysant les émotions des personnes ou des données sensibles ainsi que les dispositifs qui analysent le comportement et les émotions des personnes sur la base de la détection de leurs gestes et expressions ne pourront se fonder sur l’intérêt légitime du responsable de traitement. Ces dispositifs devront être fondés sur le consentement des personnes concernées.
Tant la nécessité que la proportionnalité du dispositif devront être étudiées et documentées par le responsable de traitement, en démontrant que des dispositifs moins intrusifs ne permettent pas d’aboutir à la même finalité. Le responsable de traitement devra s’assurer que l’atteinte à la vie privée demeure proportionnée au regard des intérêts, droits et libertés des personnes concernées.
Le paramétrage des appareils peut entrer en compte dans la réduction des risques pour les personnes (abaissement de la qualité des images, traitement local des données, suppression quasi-immédiate des images etc.).
Une information adaptée devra être fournie. La CNIL conseille de mettre à disposition plusieurs supports d’information tels que des panneaux d’information, des QR code, des marquages au sol, annonces sonores, etc.
Une analyse d’impact devra être réalisée préalablement à la mise en place de ces appareils au regard du caractère innovant de la technologie et à la surveillance automatique à grande échelle des personnes concernées.
Enfin, les organismes dont les activités de base consisteront à utiliser ces dispositifs devront désigner un Délégué à la Protection des Données (DPO).
4. Caméras intelligentes ou augmentées : l’intervention d’un texte législatif
La commission a estimé que l’installation de ces dispositifs nécessitait l’existence ou l’intervention d’un texte législatif au regard des risques que cette installation représentait pour les droits et libertés des personnes.
5. Le traitement à des fins statistiques
Certains dispositifs permettent d’effectuer des statistiques sur la base de comptages. La Commission est venue préciser dans quelles conditions ces traitements pourront bénéficier du régime des traitements à des fins statistiques, et ainsi, exclure le droit d’opposition des personnes concernées.
La première condition est la constitution de données agrégées et anonymes au sens du RGPD. La seconde est l’existence d’un délai entre la captation des images et l’exploitation des données statistiques par le responsable de traitement.
A titre d’exemple, l’analyse vidéo de l’âge des personnes fréquentant un centre commercial pour dans un second temps leur proposer de la publicité ciblée constitue un traitement à des fins statistiques. En revanche, si la publicité est affichée en temps réel la qualification de traitement statistique ne sera pas retenue.
Ces traitements à des fins statistiques ne pourront exclure l’exercice du droit d’opposition pour les personnes concernées qu’à la condition que l’exercice de ce droit empêche l’obtention de résultats de statistiques fiables, ou que l’exercice effectif de ce droit d’opposition ne puisse être effectué.
Il est possible de consulter en ligne le projet de la CNIL (cliquez sur le lien pour accéder au document). Les acteurs publics comme privés sont invités à participer à la consultation jusqu’au 11 mars 2022.
D’autres articles d’Alice Picard, Juriste Consultante Protection des Données Digitemis
Moi DPO : la constitution du registre des activités de traitement
Le registre des activités de traitement est un outil de pilotage de la conformité de l’entreprise qui vient documenter les différents traitements effectués au sein de l’entreprise. Il permet au DPO ou, le cas échéant, au responsable du traitement, d’avoir une vision d’ensemble et de s’interroger sur la légitimité des traitements mis en œuvre.
Derniers articles
Anticipez, réagissez, survivez : élaboration d’un PCA/PRA proactif
Face aux menaces multiples, un PCA bien construit peut être la différence entre la survie et l’effondrement de votre entreprise.
Sécuriser votre environnement cloud : stratégies essentielles et tests d’intrusion
Découvrez les meilleures pratiques pour sécuriser vos données cloud avec des stratégies de protection et des tests d’intrusion efficaces.