Caméras intelligentes et vie privée : le juste équilibre ?
Veille Juridique n°33 – Mars 2021
Caméras intelligentes et vie privée : le juste équilibre ?. Depuis le mois de mars, des caméras installées dans les transports en commun ont vocation à vérifier le respect du port du masque par les usagers. Ces mesures font partie de l’arsenal déployé afin d’enrayer le développement de l’épidémie de Covid-19.
De nombreuses mesures de surveillance adoptées ces derniers mois (applications anti-covid, tests des employés, drones, passeport vaccinal, …) ont suscité débats et réactions, tant de la part de la CNIL qu’au sein des organes parlementaires ou devant les instances judiciaires.
Le système de contrôle évoqué ici est en revanche passé sans encombre sous les fourches caudines de la Commission Informatique et Libertés, et les raisons en sont simples : contrairement aux systèmes de vidéo-surveillance développés en 2020 qui collectaient de nombreuses données personnelles, et qu’elle avait interrompus, ceux-ci traitent le strict minimum de données nécessaires à la vérification du port du masque.
Plus concrètement, le système ne traite pas de données biométriques et ne met pas en œuvre de reconnaissance faciale, et les données ne sont pas utilisées pour poursuivre des infractions.
Le but premier est de produire des informations statistiques et d’adapter la sensibilisation du public.
Ces garanties sont d’autant plus importantes que tout dispositif de vidéo-surveillance constitue une atteinte aux droits fondamentaux, et que les personnes concernées sont rarement en mesure de s’opposer au traitement.
La CNIL a considéré à cet égard, dans le passé, que faire « non » de la tête devant une caméra ne pouvait être considéré comme un moyen d’opposition réaliste et suffisant.
En raison de ces atteintes, les systèmes de caméras intelligentes doivent ainsi être réglementés par la loi, ce qui a été le cas avec le décret publié le 10 mars dernier concernant le port du masque dans les transports.
Les garanties prévues par le décret, ainsi que les objectifs de santé publique et de protection des personnes, apparaissent suffisants à la CNIL pour justifier une limitation du droit à la vie privée, et notamment pour écarter le droit d’opposition.
La Commission souligne en revanche le danger d’accoutumance des individus compte tenu de la multiplication des mesures actuelles de surveillance.
Elle insiste dès lors sur l’information détaillée des personnes et sur une durée d’utilisation du dispositif limitée dans le temps et en lien direct avec le contexte de l’épidémie.
Et aussi
France :
- Destruction de données à caractère personnel : la CNIL rappelle, à l’occasion de l’incendie qui a détruit le 10 mars dernier un centre de données d’OVH, les démarches à effectuer par le responsable de traitement auprès des personnes concernées.
Elle précise que l’indisponibilité et la destruction de données constituent des violations de données au sens du RGPD, qui doivent sous certaines conditions lui être notifiées.
La CNIL renvoie par ailleurs au site cybermalveillance.gouv.fr qui fournit des conseils afin de gérer de tels incidents.
- La CNIL a également publié ses priorités en matière de contrôles pour l’année 2021. Il s’agit des questions de cyber-sécurité des sites web, de la sécurité des données de santé, et de l’utilisation des cookies, thèmes éminemment d’actualité.
Rappelons que la CNIL a mis à jour ses lignes directrices en matière de cookies, et qu’elle entame au mois d’avril un contrôle étendu de leurs conditions de collecte.
- Transferts de données hors Union Européenne : le Conseil d’Etat a décidé le 12 mars de ne pas suspendre le partenariat entre le ministère de la santé et Doctolib dans le contexte de la campagne actuelle de vaccination, malgré les risques invoqués d’accès aux données par les autorités américaines, Doctolib ayant partiellement recours pour l’hébergement des données à une filiale américaine d’Amazon.
Le Conseil d’Etat se satisfait notamment, en cas de demandes d’accès par une autorité américaine, de l’existence d’une procédure précise qui prévoit la contestation de toute demande générale ou ne respectant pas la règlementation européenne.
Les données hébergées sont en outre sécurisées par le biais d’une procédure de chiffrement reposant sur un tiers de confiance situé en France afin d’empêcher la lecture des données par des tiers.
- Données professionnelles : le tribunal de Paris a refusé, le 9 mars dernier, d’accéder à la demande d’un dentiste concernant la suppression de sa fiche et des avis le concernant par Google My Business.
Le tribunal confirme le caractère personnel de ces données mais considère que la balance des droits penche en faveur de la liberté d’expression et d’information de Google et des internautes, en fournissant des informations relatives à l’exercice de la profession du dentiste et des expériences des patients concernés.
- Dans un contexte similaire, la Cour de cassation a par un arrêt du 17 février insisté sur la nécessité de cette mise en balance des droits et intérêts en jeu, concernant la publication sur Internet d’une condamnation pénale liée à l’activité professionnelle du plaignant.
Le fait que cette information soit publique et à caractère professionnel n’implique pas qu’elle puisse être publiée sur Internet sans vérification préalable de l’atteinte portée à la vie privée du plaignant.
La mise en balance des droits et intérêts en jeu doit tenir compte de la possible « contribution de la publication incriminée à un débat d’intérêt général, la notoriété de la personne visée, l’objet du reportage, le comportement antérieur de la personne concernée, le contenu, la forme et les répercussions de ladite publication ».
Dans le cas d’espèce la Cour considère que cette mise en balance n’a pas été effectuée et renvoie les parties devant la Cour d’appel.
Europe :
- Le RGPD, deux ans après :
Le Parlement européen a adopté ce 25 mars une Résolution concernant le rapport d’évaluation de la Commission européenne sur la mise en œuvre du RGPD.
Il soutient la nécessité de poursuivre cette mise en œuvre de façon plus efficace, en particulier dans le contexte des actions coordonnées des autorités de contrôle européennes.
On relève à ce sujet les récentes prises de bec entre l’autorité allemande et l’autorité irlandaise de protection des données, cette dernière étant accusée de ne pas contrôler suffisamment les « big techs » installées sur son territoire.
Le Parlement européen identifie comme prioritaires les problématiques liées aux traitements de données effectués par les principales plateformes et les services numériques, en particulier dans le domaine de la publicité en ligne, du micro-ciblage, du profilage sur base d’algorithmes et des risques liés à la dissémination et à l’amplification des informations sur les réseaux.
Il apparait également essentiel de développer des outils à destination d’un public plus large, et notamment les TPEs et PMEs, comme le souligne le Comité européen de protection des données (EDPB) dans son programme de travail 2021-2022. Notons que la Belgique vient de publier à cet effet une série d’outils pratiques à destination des petites et moyennes entreprises.
- Europe : Adoption de deux documents par l’EDPB :
Concernant d’une part les enjeux de protection des données concernant les voitures connectées, et d’autre part les assistants vocaux.
- Belgique :
Dans le cadre d’une nouvelle publication, l’université libre de Bruxelles organise le 22 avril un événement en ligne sur « la société des algorithmes : technologie, pouvoir et connaissance ». Les inscriptions sont ouvertes sur le site de l’université.
International :
- Etats-Unis :
Outre les projets de loi en cours d’adoption dans plusieurs Etats, c’est aujourd’hui au niveau fédéral qu’un texte vient d’être présenté au parlement américain, sous le nom de « Information Transparency and Personal Data Control Act (ITPDCA) ».
Cette loi prévoit notamment les conditions auxquelles les consommateurs doivent être mis en mesure de consentir ou de s’opposer au traitement de leurs données, la transparence des transferts à des tiers, et l’obligation de soumettre leurs traitements à des audits réguliers.
La Commission Fédérale du Commerce serait compétente pour superviser le respect de la loi.
- Corée :
Une procédure d’adéquation du cadre de protection des données est en voie de conclusion, qui facilitera les échanges de données entre la Corée et l’Union européenne. Les conclusions de la Commission seront prochainement soumises pour avis au Comité européen de protection des données.
- ONU :
Le rapporteur spécial de l’ONU pour la vie privée, Joseph Cannataci – dont le mandat arrive à son terme – vient de publier un rapport sur l’intelligence artificielle et le respect de la vie privée des enfants.
- GAFA :
Google annonce mettre fin à l’utilisation de cookies pour un nouveau modèle de collecte de données – Federated Learning of Cohorts (FLoC), qui cible des groupes plutôt que des individus, sur la base de centre d‘intérêts communs.
Cette annonce a suscité diverses réactions, certains soulignant que le nouveau système de collecte, s’il modifie les techniques utilisées, n’empêchera pas le ciblage publicitaire des internautes.
Des données concernant plus de 500 millions de comptes Facebook, incluant les numéros de téléphone de nombreux utilisateurs, ont été mises en vente sur Internet pendant le weekend de Pâques. Les données proviendraient d’une faille de sécurité découverte et colmatée en 2019.
Anne Christine Lacoste
Partenaire du Cabinet Olivier Weber Avocat, Anne Christine Lacoste est juriste spécialisée en droit des données ; elle a été Responsable Relations Internationales auprès Contrôleur Européen de la Protection des Données et œuvré à la mise en place du RGPD dans l’Union Européenne.