Port du masque obligatoire : le recours aux systèmes de vidéoprotection des services de transport public autorisé par décret

Port du masque obligatoire : le recours aux systèmes de vidéoprotection des services de transport public autorisé par décret

Le 11 mars 2021, est paru au Journal Officiel, le décret n° 2021-269 du 10 mars 2021. Il permet le recours à la vidéo intelligente pour mesurer le taux de port du masque dans les transports.

Pour rappel, la Commission nationale de l’informatique et des libertés (« Cnil ») avait demandé en juin 2020 que tous les dispositifs dits de « vidéo intelligente » soient interrompus, faute d’un encadrement légal suffisant. Or, dans un contexte sanitaire particulier où le respect des gestes barrières est primordial pour lutter contre l’épidémie, l’aménagement de la finalité des systèmes de vidéoprotection présents dans les transports en commun, semble a priori pertinente. C’est tout du moins ce que soutient le gouvernement. C’est pourquoi le ministère chargé des transports a consulté la Commission nationale de l’informatique et des libertés au sujet d’un projet de décret relatif à la vidéo intelligente.

Par un avis en date du 17 décembre 2020, la Commission a relevé que ce projet s’inscrivait dans un cadre particulier, celui de la lutte contre l’épidémie, et qu’il traduisait la volonté de ne laisser aucun outil de côté, pour permettre d’endiguer la propagation de la maladie. Cependant, la mise en œuvre d’une telle surveillance, implique nécessairement le respect de la vie privée (principe constitutionnel) et de veiller à la protection des données à caractère personnel. De ce fait, la Cnil relevait très justement, qu’il était nécessaire que « les atteintes portées à ces droits par les autorités publiques soient non seulement justifiées par un motif d’intérêt général, mais soient également nécessaires et proportionnées à la réalisation de cet objectif », sachant que la lutte contre l’épidémie de COVID-19 relève d’un objectif à valeur constitutionnelle de protection de la santé. La proportionnalité des mesures étant donc primordiale.

À ce titre, la Cnil s’est exprimée à la fois sur la finalité de ces dispositifs, la déclarant conforme (déterminée, explicite et légitime) à l’article 5.1b du Règlement Général sur la Protection des Données (« RGPD »,  règlement (UE) 2016/679 du 27 avril 2016), ainsi que sur l’exclusion du droit d’opposition des personnes concernées et enfin sur la durée d’application du décret. S’agissant de l’exclusion du droit d’opposition, elle avait confirmé que ce droit pouvait être écarté car il s’agit d’un objectif de santé publique et de protection des personnes concernées (« objectifs importants d’intérêt public »). Toutefois, elle a souligné qu’ « un tel déploiement présente le risque réel de généraliser un sentiment de surveillance chez les citoyens, de créer un phénomène d’accoutumance et de banalisation de technologies intrusives et, en définitive, d’engendrer une surveillance accrue ».

S’agissant de la durée d’application du décret, qui était fixé à un an à compter de sa publication, elle a affirmé que cette limite de temps était nécessaire « au regard de la nature potentiellement intrusive des dispositifs ».

À ces remarques, s’ajoute une recommandation ; celle de compléter certains points s’agissant des garanties apportées aux traitements dont le droit d’opposition est exclu : à savoir apporter une description précise de la finalité du traitement, et une information quant à l’exclusion des droits des personnes concernées.

 

Publication du décret et contenu du texte

Au visa du code de la santé publique (articles L.3131-12 et suivants), du code de la sécurité intérieure (article L.252-1), de la loi « Informatique et Libertés » du 6 janvier 1978, des deux décrets en date du 14 et du 16 octobre 2020 déclarant l’état d’urgence sanitaire et prescrivant les mesures générales nécessaires pour faire face à l’épidémie, et à l’avis de la Commission nationale de l’informatique et des libertés du 17 décembre 2020, le Premier ministre a présenté le décret n° 2021-269 relatif au recours à la vidéo intelligente pour mesurer le taux de port du masque dans les transports.

Le champ d’application du texte est précisé en son article 1, I : « Dans les territoires où, pour faire face à l'épidémie de covid-19, une loi ou un décret impose le port d'un masque de protection dans les véhicules ou les espaces accessibles au public et affectés au transport public de voyageurs, les exploitants de services de transport public collectif de voyageurs ainsi que les gestionnaires des espaces affectés à ces services veillent au respect de cette obligation. »

L’utilisation du système de vidéoprotection a donc pour objet de veiller au respect de l’obligation du port du masque (lorsque celle-ci est imposée par une loi ou un décret). Cela dit, le II de l’article 1 rassure sur son utilisation : « Pour l'exercice de cette mission, les exploitants et les gestionnaires qui utilisent des systèmes de vidéoprotection autorisés sur le fondement de l'article L. 252-1 du code de la sécurité intérieure peuvent utiliser ce dispositif aux fins :

1° D'évaluation statistique dans le respect des obligations prévues au I ;

2° D'adaptation de leurs actions d'information et de sensibilisation du public. »

Ainsi, il ne s’agit que d’un moyen, pour adapter les campagnes d’information et de sensibilisation du public, au port du masque. Le traitement logiciel afférent a pour objectif d’analyser en temps réel le flux vidéo, et, les exploitants et gestionnaires de ces systèmes s’assurent alors que le traitement de ces données respecte la loi « Informatique et Libertés » (loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés).

Par ailleurs, le texte exclut tout volet répressif puisque les images collectées « par des caméras fixes situées dans les véhicules ou les espaces accessibles au public affectés au transport public de voyageurs », ne sont ni stockées ni transmises à des tiers. Par conséquent, les images ne peuvent pas être utilisées comme preuves pour une verbalisation en cas de non-respect du port du masque. L’objectif d’une telle surveillance réside dans le fait de pouvoir évaluer le taux de port du masque dans un bus, une station ou une gare… Dans l’hypothèse où de nombreux voyageurs ne respecteraient pas cette obligation, on peut imaginer qu’une alerte vocale à bord du bus ou de la gare en question pourrait rappeler à l’ensemble des individus présents dans le lieu concerné, la nécessité d’appliquer cette mesure de sécurité. Enfin, lesdites données qui font l’objet de traitement sont anonymisées ; aucun classement des personnes ni aucune ré-identification n’est pas possible.

Le décret énonce également que : « les droits d’accès, de rectification, d’opposition ainsi que les droits à l’effacement et à la limitation prévus aux articles 15, 16, 17, 18 et 21 » du RGPD ne s’appliquent pas à ce traitement. En d’autres termes, on ne peut pas s’y opposer, et on ne peut pas faire une demande d’accès, une demande de rectification ou d’effacement (ce qui semble tout à fait logique au regard de la suppression à très bref délai des images des flux vidéo). En revanche, les responsables du traitement doivent tout de même informer les personnes concernées de la limitation de leurs droits, ainsi que des principales caractéristiques du traitement, conformément aux dispositions du paragraphe 2 de l’article 23 et de l’article 13 du RGPD.

Enfin, le décret s’applique « pendant une durée d’un an à compter de sa publication ». Nul besoin de revenir sur ce point puisque évoqué précédemment.

La réponse de la Cnil suite à la publication du décret

Suite à la publication du décret relatif à l’utilisation de la vidéo intelligente pour mesurer le port du masque dans les transports, la Commission nationale de l’informatique et des libertés affirme de nouveau les principales observations qu’elle avait déjà soulevées dans son avis du 17 décembre 2020.

Elle rappelle que ces dispositifs n’ont pas vocation à « sanctionner les infractions à la réglementation relative au port du masque ou à permettre le déploiement d’agents chargés du respect de cette réglementation sur les lieux ».

Aussi, une chose qui a son importance, elle relève, que ses principales recommandations ont été suivies, s’agissant notamment de « la nécessité d’apporter des précisions suffisantes sur la finalité et les caractéristiques essentielles des traitements envisagés » ainsi que sur le « caractère impératif de l’information des personnes ». L’instance tient encore une fois à rassurer, les dispositifs visés par le décret « n’ont pas pour finalité, ni ne peuvent permettre techniquement, l’identification des personnes. Ils n’ont donc pas vocation à traiter des données biométriques et ne constituent pas, à fortiori, un dispositif de reconnaissance faciale ».

La Commission nationale de l’informatique et des libertés affirme toutefois qu’elle restera particulièrement attentive aux conditions de mise en œuvre de tels dispositifs.

Ne ratez aucune actualité, suivez nous

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *