Les dispositifs avaient été déployés dans certaines collectivités à la sortie du confinement pour rassurer la population et contrôler l’espace public. Des caméras thermiques à l’entrée des bâtiments pour mesurer la température corporelle des entrants, des caméras s’assurant du bon respect du port du masque ou de la distanciation sociale.
Face à cette multiplication, la Cnil a publié des recommandations et demande une vigilance particulière. Elle alerte même que «sous réserve d’une analyse au cas par cas», «une grande partie de ces dispositifs ne respecte pas le cadre légal applicable à la protection des données personnelles».
Le cas des caméras thermiques
Sur les caméras thermiques, utilisées notamment dans deux communes de l’Essonne, Lisses et Mennecy, la Cnil souligne que les données traitées sont à la fois personnelles et de santé. «Le traitement de ces données est en principe interdit», rappelle la commission, sauf exceptions (art. 9.2 du RGPD), telles que des motifs d’intérêts publics importants ou des motifs d’intérêt public dans le domaine de la santé publique, mais cela implique un encadrement législatif ou encore le consentement explicite.
Le consentement ne peut pas être libre, rappelle la Cnil, si le contrôle est obligatoire pour l’accès à un service ou des locaux. Le tribunal administratif de Versailles avait ainsi estimé que les caméras thermiques installées à l’entrée de certains bâtiments administratifs de la commune de Lisses respectaient bien le RGPD, étant donné qu’il n’était pas obligatoire pour les agents de se soumettre à l’œil de la caméra pour pénétrer dans le bâtiment.
La Cnil rappelle par ailleurs le peu d’intérêt sanitaire de ces dispositifs pour la lutte contre l’épidémie de Covid-19. Le Haut Conseil de la santé publique avait estimé, dans un avis publié en avril dernier, que «la prise de température dans un objectif de dépistage de Covid-19 dans la population n’apparait pas comme une mesure fiable pour repérer les personnes infectées par le virus SARS-CoV-2 et en éviter sa diffusion». L’association nationale de vidéoprotection (AN2V), qui réunit les professionnels de la filière, avait d’ailleurs émis un avis défavorable, pour ces raisons, au déploiement de cette technologie.
Faire non de la tête n’est pas une opposition suffisante
La société Datakalab, qui a notamment équipé la ville de Cannes ou la RATP en caméras permettant de mesurer le taux de port de masque ou le respect de la distanciation sociale déclarait qu’il suffisait de faire «non» de la tête pour s’opposer au traitement. Cela n’est «pas satisfaisant du point de vue de la protection des intérêts des personnes», constate la Cnil.
Ces modalités «doivent être considérées comme non-conformes» au RGPD, conclut-elle, ajoutant : «Elle contraint également les individus à afficher publiquement leur opposition au traitement et fait porter une charge trop importante sur la personne, à fortiori si les dispositifs de ce type se multiplient», remarque la commission.
«Grande vigilance»
Plus globalement, la Cnil réitère ses demandes pour un encadrement législatif de ces dispositifs : «Le recours à des caméras « intelligentes » n’est aujourd’hui prévu par aucun texte particulier». Elle avait déjà fait plusieurs appels en ce sens : sur les usages vidéos en 2018 ou sur la reconnaissance faciale en 2019. Ces différentes demandes n’ont pas encore été suivies d’effets législatifs.
Elle alerte par ailleurs sur le développement de ces dispositifs sans réflexion, au risque «de généraliser un sentiment de surveillance chez les citoyens, de créer un phénomène d’accoutumance et de banalisation de technologies intrusives, et d’engendrer une surveillance accrue, susceptible de porter atteinte au bon fonctionnement de notre société démocratique».
Cet article est en relation avec le dossier
Thèmes abordés