La CNIL met en demeure le ministère de l’Intérieur et six communes pour utilisation illégale d’un logiciel de vidéosurveillance

Initiée en novembre 2023 par la Commission nationale de l’informatique et des libertés (CNIL), la procédure de contrôle sur l’utilisation d’un logiciel de la société Briefcam par des services de police a abouti, jeudi 5 décembre, à une mise en demeure du ministère de l’Intérieur.

Alertée à la suite d’une enquête du média d’investigation Disclose sur l’utilisation illégale d’un logiciel d’analyse d’images de vidéosurveillance, permettant la reconnaissance faciale en direct, la CNIL a conclu, à l’issue de son enquête, à une utilisation qui n’était pas conforme au cadre légal.

L’autorité de contrôle du respect de la vie privée a ainsi mis en demeure le ministère de supprimer ou de brider cette fonctionnalité de reconnaissance faciale. Le logiciel relève de la législation applicable aux logiciels de rapprochement judiciaire dont l’utilisation est strictement encadrée par le code de procédure pénale.

En effet, l’article 230-20 du Code de procédure pénale dispose que : « Afin de faciliter le rassemblement des preuves des infractions et l’identification de leurs auteurs, les services de la police nationale et de la gendarmerie nationale chargés d’une mission de police judiciaire ainsi que le service placé sous l’autorité du ministre chargé du budget chargé d’effectuer des enquêtes judiciaires peuvent mettre en œuvre, sous le contrôle de l’autorité judiciaire, des logiciels destinés à faciliter l’exploitation et le rapprochement d’informations sur les modes opératoires réunies par ces services au cours :

1° Des enquêtes préliminaires, des enquêtes de flagrance ou des investigations exécutées sur commission rogatoire ;

2° Des procédures de recherche des causes de la mort ou d’une disparition prévues par les articles 74 et 74-1. »

Le visage étant une donnée biométrique en ce qu’il constitue une caractéristique physique ou biologique permettant d’identifier une personne, il ne peut faire l’objet d’une analyse par un logiciel de reconnaissance, conformément à l’article 9 du règlement général sur la protection des données (RGPD).

Conformément au RGPD, entré en application au 25 mai 2018, et à la loi française dite « Informatique et Libertés » modifiée le 1er juin 2019, les exceptions au principe d’interdiction des traitements de données biométriques sont peu nombreuses et doivent être « absolument nécessaires » (décision de la Cour de justice de l’Union européenne C-205/21 du 26 janvier 2023).

Dans le rapport de la CNIL, sont recensées quelques 177 utilisations par la police entre 2017 et 2023 et 386 utilisations par la gendarmerie en 2022 et 2023. Faute de déclaration de l’utilisation de ce logiciel par les services concernés auprès de la CNIL, la mise en œuvre de ce logiciel était illégale.