L’image captée par une caméra installée sur la voie publique est-elle une donnée personnelle ? Cette question, qui pourrait sembler d’ordre purement technique, engage en réalité les fondements mêmes du droit de la protection des données et conditionne l’ensemble du régime juridique applicable aux dispositifs de vidéosurveillance urbaine.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire et un avocat enverra une lettre de mise en demeure !

Car si la réponse est affirmative — et elle l’est, dans la très grande majorité des configurations pratiques —, alors la caméra de rue n’est pas un simple équipement sécuritaire : elle est un instrument de traitement de données personnelles, soumis à toutes les exigences du Règlement général sur la protection des données (RGPD), applicable depuis le 25 mai 2018, et susceptible à ce titre d’engager la responsabilité juridique du responsable du traitement qui ne respecterait pas ses obligations.

Cette qualification est d’autant plus décisive que la prolifération des dispositifs de captation d’images dans l’espace public a atteint, en France comme dans l’ensemble de l’Union européenne, une densité sans précédent. Plus de 80 000 caméras de vidéoprotection seraient déployées sur la voie publique française, auxquelles s’ajoutent des millions de dispositifs privés dont les champs de vision débordent fréquemment sur des espaces communs.

Dans ce contexte, la neutralité technique de la caméra — longtemps présentée comme un simple œil mécanique enregistrant objectivement la réalité de la rue — ne peut plus être admise sans examen. L’enregistrement d’une personne identifiable dans l’espace public constitue une opération de collecte de données personnelles au sens de l’article 4 du RGPD, et cette collecte engage l’ensemble de la chaîne d’obligations pesant sur le responsable du traitement : identification d’une base légale valide, respect des principes de finalité déterminée, de minimisation des données, de limitation de la conservation et de sécurité du traitement.

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

La Commission nationale de l’informatique et des libertés (CNIL), autorité administrative indépendante chargée de veiller au respect du droit de la protection des données en France, a développé au fil des années une doctrine substantielle sur la vidéosurveillance, articulée autour des grands principes du RGPD. Ses lignes directrices, délibérations et décisions de sanction témoignent d’une exigence croissante à l’égard des responsables de traitement, qu’il s’agisse de collectivités territoriales, de gestionnaires de transports en commun, d’opérateurs de centres commerciaux ou de particuliers. Mais cette doctrine, aussi élaborée soit-elle, se heurte à la réalité d’un terrain où les obligations juridiques sont fréquemment méconnues ou contournées, et où la légitimité d’un dispositif de surveillance est souvent appréciée à l’aune de sa seule utilité sécuritaire, sans considération pour les droits des personnes filmées.

La Cour européenne des droits de l’homme avait pourtant, dès l’arrêt Peck contre Royaume-Uni du 28 janvier 2003, posé un principe essentiel : la présence d’une personne dans l’espace public n’emporte pas renonciation à toute protection de sa vie privée au sens de l’article 8 de la Convention européenne des droits de l’homme.

La diffusion d’images captées par une caméra publique sans le consentement de la personne filmée peut constituer une ingérence dans sa vie privée, sauf à justifier cette ingérence par une base légale suffisante, une finalité légitime et une nécessité démonstrative dans une société démocratique. Ce triptyque — légalité, légitimité, nécessité — constitue la matrice de tout contrôle de proportionnalité en matière de surveillance, et il s’applique avec la même rigueur à la vidéosurveillance classique et aux nouveaux dispositifs d’analyse algorithmique.

C’est précisément sur ce second terrain que la matière a connu ses développements les plus significatifs et les plus préoccupants. L’émergence des caméras dites augmentées, qui ne se bornent plus à enregistrer des images mais les analysent en temps réel pour détecter des comportements, qualifier des situations et déclencher des alertes, opère une mutation qualitative du dispositif de surveillance.

La loi n° 2023-380 du 19 mai 2023 relative aux Jeux olympiques et paralympiques de 2024 a ouvert, à titre expérimental, la voie à de tels traitements algorithmiques sur la voie publique française.

Le Règlement (UE) 2024/1689 établissant des règles harmonisées concernant l’intelligence artificielle (AI Act), entré en vigueur le 2 août 2024, est venu compléter ce dispositif en posant des interdictions et des obligations renforcées pour les systèmes d’IA employés à des fins de surveillance dans les espaces accessibles au public, reconnaissant ainsi que la surveillance algorithmique de masse constitue un risque systémique pour les libertés fondamentales en Europe.

L’objet du présent article est d’examiner avec rigueur les fondements et les limites du cadre juridique applicable à la vidéosurveillance urbaine, en partant de la qualification juridique comme données personnelles des images captées dans l’espace public (I), pour analyser ensuite les régimes renforcés applicables aux dispositifs algorithmiques et les enjeux inédits qu’ils soulèvent pour la préservation des libertés fondamentales dans la cité numérique (II).

I. La vidéosurveillance urbaine saisie par le droit des données personnelles : qualification et régime juridique applicable

A. L’image de la personne filmée dans l’espace public comme donnée personnelle : fondements textuels, jurisprudentiels et doctrinaux de la qualification

La première question est celle de la qualification juridique. Une caméra installée sur la voie publique ou dans un lieu ouvert au public produit-elle nécessairement des données personnelles soumises au RGPD ? La réponse est nuancée mais, dans la grande majorité des configurations pratiques, affirmative.

Aux termes de l’article 4 du RGPD, constitue une donnée personnelle « toute information se rapportant à une personne physique identifiée ou identifiable ». Est identifiable « une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

L’image d’une personne filmée dans la rue entre aisément dans ce champ dès lors qu’elle permet d’identifier cette personne, soit directement par reconnaissance du visage, soit indirectement par recoupement avec d’autres informations telles que la localisation, l’horaire, la plaque d’immatriculation d’un véhicule ou le contexte du déplacement.

Le Comité européen de la protection des données (CEPD) a consacré ses lignes directrices 3/2019 sur le traitement des données personnelles par dispositifs vidéo à cette question. Il y précise que les images de personnes physiques captées par un dispositif vidéo constituent des données personnelles lorsqu’elles permettent l’identification de ces personnes et que le RGPD s’applique pleinement à de tels traitements. Le CEPD insiste par ailleurs sur le fait que, même lorsque le but initial d’un dispositif est uniquement statistique ou technique — comptage de personnes, mesure des flux — la captation d’images identifiables crée un risque de requalification ultérieure et doit être traitée avec les mêmes précautions que tout autre traitement de données personnelles.

La CNIL, dans sa fiche pratique consacrée à la vidéoprotection, distingue soigneusement les dispositifs de vidéoprotection au sens du Code de la sécurité intérieure — qui filment la voie publique et relèvent d’un régime d’autorisation préfectorale — des dispositifs de vidéosurveillance au sens du RGPD, qui traitent des données personnelles et relèvent du régime général de protection des données. Cette distinction est importante car elle montre que les deux corps de règles ne sont pas exclusifs l’un de l’autre : un dispositif peut simultanément être soumis au régime d’autorisation préfectorale et aux exigences du RGPD dès lors qu’il collecte des images de personnes identifiables.

La Cour européenne des droits de l’homme a posé des fondements essentiels dans sa jurisprudence. Dans l’affaire Peck contre Royaume-Uni, la Cour a jugé que le fait pour une personne d’être filmée dans la rue à un moment de vulnérabilité personnelle, puis que ces images soient diffusées à un large public sans son consentement, constituait une violation de l’article 8 de la Convention. La Cour a ainsi affirmé avec clarté que « la voie publique n’est pas un espace libre de droit » et que la personne qui circule dans la rue ne renonce pas, du seul fait de sa présence dans un espace visible, à toute protection de sa vie privée. Ce principe jurisprudentiel est capital : il interdit de traiter la caméra de rue comme un dispositif juridiquement indifférent.

Sur le plan doctrinal, le philosophe et sociologue David Lyon a montré que la surveillance moderne ne consiste pas simplement à observer des comportements, mais à collecter systématiquement des informations sur les individus afin de les classer, de les évaluer et, éventuellement, de les gouverner. Kevin D. Haggerty et Richard V. Ericson ont décrit la surveillance contemporaine comme un « assemblage surveillant » dans lequel des fragments d’informations extraits de contextes différents sont recombinés pour produire une représentation opérationnelle des personnes.

Daniel J. Solove a, quant à lui, élaboré une taxonomie des atteintes à la vie privée qui souligne que la simple collecte et l’agrégation d’informations peuvent constituer une atteinte grave à la vie privée, même en l’absence de divulgation ou d’usage ultérieur préjudiciable.

La rupture essentielle entre le regard humain et l’enregistrement technique mérite d’être soulignée avec force. Voir quelqu’un dans la rue et l’enregistrer ne sont pas des actes juridiquement équivalents. Le regard humain est fugitif et s’efface dans la mémoire ; la caméra conserve, archive et rend l’information mobilisable à tout moment.

Le passant qui croise une personne dans la rue l’oublie ; le système de vidéosurveillance en conserve la trace pour une durée déterminée, parfois longue, accessible à des agents habilités, potentiellement transmissible à des autorités judiciaires et, dans les systèmes les plus sophistiqués, susceptible d’être analysée automatiquement. La caméra transforme ainsi une présence ordinaire dans l’espace public en trace exploitable, ce qui justifie pleinement l’application du droit de la protection des données.

La qualification de traitement de données personnelles emporte des conséquences majeures : le responsable du traitement doit identifier une base légale valide parmi celles énumérées par l’article 6 du RGPD, informer les personnes concernées de l’existence du traitement, de sa finalité et de leurs droits, limiter la collecte aux données strictement nécessaires, encadrer la durée de conservation des images, garantir la sécurité du système et maintenir un registre des traitements. Ces obligations, qui s’imposent à tout responsable de traitement, constituent le socle juridique indérogeable de tout dispositif de vidéosurveillance légitime.

B. Les obligations du responsable de traitement : bases légales, finalités, proportionnalité et droits des personnes concernées

La question de la légitimité d’un dispositif de vidéosurveillance ne se réduit pas à l’identification d’une base légale formelle. Elle exige une appréciation substantielle fondée sur les principes de finalité déterminée, de nécessité démontrée, de proportionnalité spatiale et temporelle et de transparence effective à l’égard des personnes concernées.

Le principe de finalité, consacré par l’article 5, paragraphe 1, sous b), du RGPD, exige que les données soient collectées pour des finalités déterminées, explicites et légitimes. Appliqué à la vidéosurveillance, ce principe interdit le déploiement de caméras à des fins vagues, génériques ou indéfinies. Dire qu’une caméra est installée pour « assurer la sécurité » sans préciser de quel type de risque il s’agit, dans quel périmètre, selon quels critères et avec quelles garanties pour les personnes filmées, ne constitue pas une finalité suffisamment déterminée au sens du RGPD. La CNIL insiste sur ce point : la finalité doit être documentée, précise et opposable.

Le Code de la sécurité intérieure, en son article L251-2, énumère les finalités pour lesquelles des systèmes de vidéoprotection peuvent filmer la voie publique : protection des bâtiments et installations publics et de leurs abords, sauvegarde des installations utiles à la défense nationale, régulation des flux de transport, prévention des atteintes à la sécurité des personnes et des biens dans des lieux exposés à des risques d’agression ou de vol, prévention et constatation des infractions terroristes, et constatation de certaines infractions routières. Cette énumération limitative montre que la caméra de voie publique n’est pas un instrument à vocation universelle : elle ne peut être légalement déployée qu’en correspondance avec une finalité expressément prévue par la loi.

Le principe de nécessité impose une démonstration positive : il ne suffit pas qu’une caméra soit utile ou techniquement possible ; il faut établir qu’elle répond à un besoin réel et qu’aucune mesure moins intrusive ne permet d’atteindre le même objectif de manière raisonnablement équivalente. La CNIL invite ainsi les responsables de traitement à se demander si des alternatives moins attentatoires à la vie privée — meilleur éclairage, présence humaine renforcée, contrôle d’accès, sécurisation matérielle — ne permettraient pas d’atteindre le même niveau de sécurité. Ce test de nécessité est exigeant et souvent négligé dans les faits, au profit d’un pragmatisme sécuritaire qui tend à voir dans la caméra une solution universelle et peu coûteuse.

La proportionnalité spatiale est également un critère décisif. L’orientation de la caméra doit être rigoureusement limitée à l’espace correspondant à la finalité déclarée. Filmer l’entrée d’un immeuble n’autorise pas à capter les fenêtres des appartements voisins, les balcons, la voie publique ou les véhicules stationnés. La CNIL rappelle ainsi qu’un particulier peut installer une caméra pour surveiller sa propriété, mais que celle-ci ne peut filmer la voie publique, les entrées d’immeubles voisins ou les espaces communs. Ce principe exprime une règle fondamentale : la sécurité privée ne justifie pas l’appropriation visuelle de l’espace partagé.

La proportionnalité temporelle impose une limitation stricte de la durée de conservation des images. Plus cette durée est longue, plus le risque de détournement d’usage, d’accès non autorisé ou d’exploitation secondaire est élevé. Le RGPD, en son article 5, paragraphe 1, sous e), pose le principe de limitation de la conservation : les données ne doivent pas être conservées plus longtemps que nécessaire au regard des finalités poursuivies. En matière de vidéosurveillance, la CNIL recommande généralement une durée de conservation maximale d’un mois pour les images de voie publique en l’absence d’incident signalé, durée pouvant être réduite à quelques jours dans de nombreux cas. Au-delà de cette durée, la conservation doit être spécialement justifiée.

La transparence constitue enfin une condition de loyauté à l’égard des personnes concernées. L’article 13 du RGPD impose d’informer les personnes concernées de l’identité du responsable du traitement, de la finalité et de la base légale du traitement, de la durée de conservation, de l’existence de leurs droits d’accès, de rectification, d’effacement, de limitation et d’opposition, ainsi que de la possibilité de saisir la CNIL en cas de difficulté. Un simple pictogramme de caméra posé sur une vitre ne satisfait pas à cette obligation d’information complète. Des mentions d’information accessibles, claires et compréhensibles doivent être affichées à l’entrée des zones filmées.

La jurisprudence européenne offre des repères précieux pour l’appréciation de la proportionnalité. Dans l’affaire López Ribalda et autres contre Espagne, la Grande Chambre de la Cour européenne des droits de l’homme a examiné la compatibilité d’un dispositif de vidéosurveillance occulte mis en place par un employeur avec l’article 8 de la Convention. Elle a admis, dans des circonstances très particulières caractérisées par l’existence de soupçons sérieux et précis de vol, que la surveillance cachée pendant une durée limitée pouvait ne pas violer la Convention, dès lors qu’un contrôle judiciaire effectif permettait d’apprécier ex post la proportionnalité de la mesure. Mais la Cour a pris soin de souligner que cette décision ne consacre aucune liberté générale de surveiller : elle confirme au contraire que la légitimité d’un dispositif dépend du contexte précis, de la gravité du motif, de l’étendue de la surveillance, de sa durée et des garanties offertes aux personnes.

Le Conseil d’État français a tracé des limites importantes dans ses ordonnances du 18 mai 2020 et du 22 décembre 2020, rendues à la suite de recours de l’association La Quadrature du Net. Saisi de la question de la légalité de la captation d’images par drones au-dessus de manifestations publiques, le Conseil d’État a jugé que la surveillance de personnes identifiables dans l’espace public par des dispositifs aéroportés supposait une base juridique précise, une finalité déterminée et des garanties suffisantes pour les personnes filmées. À défaut, l’usage de ces dispositifs était illégal. Ce raisonnement est directement transposable à l’ensemble des dispositifs de vidéosurveillance : la technologie ne crée pas le droit de surveiller.

L’analyse d’impact relative à la protection des données (AIPD), prévue par l’article 35 du RGPD, constitue un outil indispensable pour les dispositifs de vidéosurveillance susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Elle oblige le responsable du traitement à évaluer systématiquement les risques liés au traitement et à documenter les mesures prises pour y remédier. La CNIL a précisé que les dispositifs couvrant de vastes espaces publics, interceptant en continu des données relatives à un grand nombre de personnes non averties ou comportant des capacités d’analyse automatisée doivent en principe faire l’objet d’une AIPD préalable à leur mise en œuvre.

II. Les dispositifs algorithmiques d’analyse d’image : rupture qualitative et encadrement renforcé

A. La loi du 19 mai 2023 et l’expérimentation des caméras augmentées : portée, limites et risques pour les libertés fondamentales

Le déploiement de caméras dotées de capacités d’analyse algorithmique automatisée dans l’espace public constitue une rupture qualitative majeure par rapport à la vidéosurveillance classique. Alors que la caméra traditionnelle se borne à enregistrer et à stocker des images, qui ne sont consultées qu’a posteriori et uniquement par des agents habilités, la caméra augmentée analyse en temps réel les flux vidéo pour détecter automatiquement des événements prédéfinis, qualifier des comportements et générer des alertes. Le passage de l’enregistrement passif à l’interprétation algorithmique active transforme fondamentalement la nature du traitement et le niveau de risque pour les libertés fondamentales.

La CNIL a défini les caméras augmentées comme « des dispositifs vidéo auxquels sont ajoutés des traitements algorithmiques d’analyse automatisée d’images », précisant qu’elles peuvent détecter des comportements, des mouvements, des objets ou des situations sans nécessairement identifier les individus filmés. Cette définition inclusive est importante : elle reconnaît que l’analyse algorithmique constitue un traitement de données personnelles distinct et supplémentaire par rapport à la simple captation, même lorsque les individus ne sont pas formellement identifiés, dès lors que leur comportement fait l’objet d’une qualification automatisée.

La loi n°2023-380 du 19 mai 2023 relative aux Jeux olympiques et paralympiques de 2024, en son article 10, a ouvert la voie à une expérimentation inédite en droit français.

Elle a autorisé, à titre temporaire et expérimental, le recours à des systèmes de traitement algorithmique d’images collectées par des systèmes de vidéoprotection ou des caméras installées sur des aéronefs aux fins de détecter en temps réel certains événements prédéterminés susceptibles de présenter ou de révéler des risques. Cette autorisation est encadrée par des conditions strictes : les finalités autorisées sont limitativement énumérées, les systèmes doivent être déclarés à la CNIL préalablement à leur mise en œuvre, ils ne peuvent procéder à aucune identification biométrique, et des garanties procédurales et techniques précises doivent être respectées.

Le décret n°2023-828 du 28 août 2023 a précisé les modalités de mise en œuvre de cette expérimentation. Il définit les catégories d’événements dont la détection est autorisée — mouvements de foule, présence d’objets abandonnés, franchissement de zones, situations de non-respect de la direction de circulation — et précise les garanties techniques et organisationnelles devant entourer leur traitement. Il prévoit notamment que les systèmes doivent faire l’objet d’une évaluation préalable par la CNIL et que les résultats des analyses algorithmiques ne peuvent en aucun cas servir de base directe et exclusive à des décisions administratives ou judiciaires affectant les personnes détectées.

Le Conseil constitutionnel, saisi de la conformité de cette disposition à la Constitution, a rendu sa décision n°2023-850 DC le 17 mai 2023. Il a validé l’essentiel du dispositif, en soulignant son caractère expérimental et limité dans le temps, l’interdiction absolue de toute identification biométrique, la finalité strictement définie des événements déclectables et l’existence de garanties de contrôle. Il a également précisé que le législateur devrait évaluer les résultats de cette expérimentation avant de décider d’une éventuelle généralisation, imposant ainsi une logique de proportionnalité dynamique : le maintien ou l’extension du dispositif est conditionné à la démonstration de son utilité et de sa nécessité effective.

Cette expérimentation française soulève néanmoins des questions de fond qui demeurent ouvertes. La définition des événements délectables repose sur des paramètres algorithmiques qui ne sont pas publics, ce qui rend difficile tout contrôle démocratique sur les critères de détection. La notion de « comportement atypique » ou de « mouvement de foule » est fondamentalement ambiguë et culturellement indexée : ce qui est perçu comme anormal par un algorithme entraîné sur certains corpus de données peut correspondre à des pratiques sociales ordinaires pour certaines communautés. Le risque de biais discriminatoire dans les systèmes d’analyse comportementale est documenté par la recherche scientifique et reconnu par les autorités de contrôle européennes.

La Commission nationale consultative des droits de l’homme (CNCDH) a émis un avis critique sur cette expérimentation, soulignant le risque d’une normalisation progressive de la surveillance algorithmique de l’espace public et appelant à une vigilance accrue quant au risque d’effet dissuasif sur l’exercice des libertés fondamentales — liberté de manifestation, liberté d’association, liberté de mouvement — que peut produire un environnement urbain densément surveillé et algorithmiquement analysé.

L’association La Quadrature du Net, pionnière dans le contentieux relatif à la surveillance numérique, a formé un recours devant le Conseil d’État contre les textes d’application de l’expérimentation olympique, contestant notamment l’insuffisance des garanties entourant le fonctionnement des algorithmes et l’absence de transparence sur les taux d’erreur des systèmes utilisés. Ce contentieux illustre le rôle croissant des organisations de la société civile dans la régulation effective de la surveillance technologique, face aux insuffisances des mécanismes de contrôle institutionnels.

B. L’AI Act et la Convention-cadre du Conseil de l’Europe : vers un corpus normatif européen et international de la surveillance intelligente

L’entrée en vigueur du Règlement (UE) 2024/1689 établissant des règles harmonisées concernant l’intelligence artificielle marque une étape décisive dans la construction d’un régime juridique européen de l’intelligence artificielle appliquée à la surveillance. Ce règlement, fondé sur une approche par les risques, distingue les systèmes d’IA interdits, les systèmes à haut risque soumis à des obligations renforcées et les systèmes à risque limité ou minimal bénéficiant d’un régime allégé.

Son article 5 énumère les pratiques d’IA dont l’utilisation est absolument interdite, au motif qu’elles sont incompatibles avec les valeurs fondamentales de l’Union européenne. Parmi ces interdictions figure, dans des termes d’une extrême sévérité, le recours à des systèmes d’identification biométrique à distance en temps réel dans des espaces accessibles au public à des fins répressives. Seules des dérogations strictement encadrées sont admises, en cas de recherche d’une victime spécifique, de prévention d’une menace terroriste grave et imminente ou de localisation d’un suspect dans le cadre d’une infraction pénale particulièrement grave. Ces dérogations sont soumises à autorisation judiciaire préalable, à des critères de nécessité et de proportionnalité, et à un contrôle a posteriori obligatoire.

Cette interdiction de principe de la reconnaissance faciale de masse dans l’espace public constitue l’un des apports les plus significatifs de l’AI Act pour la protection des libertés fondamentales en Europe. Elle prend acte du risque systémique que représente la possibilité d’identifier automatiquement toute personne circulant dans un espace public : un tel dispositif permettrait théoriquement de reconstituer en temps réel les déplacements, les fréquentations, les habitudes et les activités de millions de personnes, créant ainsi une infrastructure de surveillance totale incompatible avec les exigences d’une société démocratique.

Les systèmes d’IA utilisés pour l’évaluation des risques ou la prédiction des comportements individuels, ainsi que les systèmes d’analyse comportementale dans des espaces publics, sont classés parmi les systèmes à haut risque en vertu de l’Annexe III de l’AI Act. Ils sont soumis à des obligations substantielles : documentation technique complète et mise à jour, enregistrement automatique des opérations permettant un audit a posteriori, transparence accrue à l’égard des personnes concernées, supervision humaine effective, précision, robustesse et cybersécurité garanties, et conformité aux exigences fondamentales avant la mise sur le marché.

Les autorités de surveillance désignées par chaque État membre pour l’application de l’AI Act devront coordonner leur action avec les autorités de protection des données, créant ainsi un réseau de contrôle croisé entre les régimes issus du RGPD et de l’AI Act. Cette articulation institutionnelle est essentielle pour éviter les angles morts réglementaires que des responsables de traitement peu scrupuleux pourraient tenter d’exploiter en se prévalant alternativement de l’un ou de l’autre régime.

Sur le plan international, la Convention-cadre du Conseil de l’Europe sur l’intelligence artificielle, les droits de l’homme, la démocratie et l’État de droit, ouverte à la signature le 5 septembre 2024, constitue le premier instrument juridique contraignant sur l’IA au niveau mondial. Elle s’applique aux activités du cycle de vie des systèmes d’IA qui présentent des risques pour les droits de l’homme, la démocratie et l’État de droit, réalisées par des Parties ou des acteurs privés agissant en leur nom. Elle impose aux États parties d’adopter les mesures législatives ou autres nécessaires pour s’assurer que les activités liées aux systèmes d’IA sont compatibles avec les obligations relatives aux droits de l’homme et ne portent pas atteinte aux institutions et aux processus démocratiques.

La convention prévoit des garanties spécifiques pour les personnes affectées par des systèmes d’IA : droit à une procédure régulière, droit à des recours effectifs, interdiction des décisions entièrement automatisées qui auraient des effets juridiques significatifs sans supervision humaine adéquate. Ces principes s’appliquent directement aux systèmes de vidéosurveillance algorithmique dans la mesure où ceux-ci sont susceptibles de conduire à des décisions opérationnelles affectant concrètement les personnes détectées — interpellation, contrôle d’identité, refus d’accès, signalement à des autorités.

La réflexion doctrinale sur les risques psycho-juridiques de la surveillance algorithmique de l’espace public mérite d’être prise au sérieux. Michel Foucault avait montré, dans sa célèbre analyse du panoptique de Bentham, que la surveillance agit moins par l’observation effective que par l’intériorisation de la possibilité d’être observé : l’individu placé sous le regard potentiel d’un surveillant modifie spontanément son comportement pour se conformer aux normes attendues. Dans la ville algorithmiquement surveillée, ce mécanisme prend une dimension nouvelle : l’individu ne sait pas s’il est simplement filmé, enregistré, identifié ou automatiquement qualifié comme suspect. Cette incertitude produit un effet dissuasif sur l’exercice des libertés fondamentales que le droit doit prendre en compte.

Shoshana Zuboff a analysé, dans son ouvrage fondateur sur le capitalisme de surveillance, les logiques d’extraction, de prédiction et de modification des comportements qui caractérisent les économies numériques contemporaines. Même si son analyse vise principalement les plateformes numériques commerciales, elle éclaire le risque inhérent à la surveillance algorithmique de l’espace public : lorsque les comportements humains dans la rue deviennent systématiquement captables, analysables et prédictibles, la frontière entre sécurité publique, gestion sociale et gouvernement algorithmique des comportements devient extrêmement fragile.

Le droit de la protection des données impose en outre, pour tout dispositif de vidéosurveillance augmentée, la mise en œuvre effective du principe de protection des données dès la conception (privacy by design) et par défaut (privacy by default), consacré par l’article 25 du RGPD. Ce principe exige que les paramètres techniques des systèmes soient réglés, dès leur conception, de manière à minimiser la collecte de données, à réduire au maximum l’angle de captation, à ne conserver que les images strictement nécessaires, à chiffrer les flux vidéo, à journaliser tous les accès et à automatiser la suppression des enregistrements à l’expiration de la durée de conservation autorisée. La sécurité par défaut s’oppose à la surveillance par défaut.

En définitive, le droit européen et français dessine progressivement un corpus normatif cohérent pour encadrer la vidéosurveillance algorithmique de l’espace public. Ce corpus repose sur quatre piliers : le RGPD et ses exigences de licéité, de finalité, de nécessité, de proportionnalité et de transparence ; le Code de la sécurité intérieure et ses régimes d’autorisation spécifiques pour la vidéoprotection de la voie publique ; l’AI Act et ses interdictions et obligations renforcées pour les systèmes d’IA à haut risque ; et la Convention-cadre du Conseil de l’Europe sur l’IA, qui inscrit ces exigences dans une perspective internationale de protection des droits fondamentaux. La complémentarité de ces instruments constitue une force mais aussi une source potentielle de complexité qui nécessitera un effort constant d’articulation et d’interprétation cohérente de la part des autorités compétentes.

Pour lire une version plus complète de cet article sur la video surveillance en ville, cliquez

Sources :

1. Règlement – 2016/679 – EN – rgdp – EUR-Lex
2. Particulier | CNIL
3. CEDH, Cour (quatrième section), AFFAIRE PECK c. ROYAUME-UNI, 28 janvier 2003, 44647/98 | Doctrine
4. La Convention européenne des droits de l’homme (version intégrale) – Manuel pour la pratique de l’éducation aux droits de l’homme avec les jeunes
5. Règlement – UE – 2024/1689 – EN – EUR-Lex
6. La vidéoprotection | CNIL
7. (PDF) L’Assemblage de la Surveillante
8. « Une taxonomie de la vie privée » par Daniel J. Solove
9. Article L251-2 – Code de la sécurité intérieure – Légifrance
10. CEDH, AFFAIRE LÓPEZ RIBALDA ET AUTRES c. ESPAGNE, 2019, 001-197095
11. LOI n° 2023-380 du 19 mai 2023 relative aux jeux Olympiques et Paralympiques de 2024 et portant diverses autres dispositions (1) – Légifrance
12. Décision n° 2023-850 DC du 17 mai 2023 | Conseil constitutionnel