L'abonnement à l'Informé est à usage individuel
Un autre appareil utilise actuellement votre compte
Continuer la lectureJO : la vidéosurveillance algorithmique attaquée
Un particulier vient de porter plainte devant la CNIL contre le système de vidéosurveillance « intelligente » expérimenté à l’occasion des Jeux olympiques 2024 à Paris.
Les JO de Paris débuteront le 26 juillet prochain. Dans les coulisses de cet événement planétaire, le ministère de l’Intérieur prépare un chantier de taille : le déploiement de la vidéosurveillance algorithmique (VSA). Dans la rue ou sur des drones, des logiciels innovants équiperont les caméras pour permettre un traitement automatique des images captées. Un scénario digne de Minority report dont les implications pour les libertés fondamentales questionnent. Pour la Quadrature du Net, association qui œuvre pour la défense des libertés numériques, pas de doute, la VSA « n’est qu’une manœuvre hypocrite destinée à légaliser par petites touches une infrastructure policière déjà massivement déployée en France ». Elle vient d’ailleurs de déposer une plainte à la Commission nationale de l’informatique et des libertés (CNIL) contre l’expérimentation par la SNCF d’un tel système dans les gares de Lyon et du Nord à Paris et Saint-Charles à Marseille, afin de détecter des objets délaissés dans ces enceintes et retrouver leurs propriétaires. Une autre plainte est désormais sur les bureaux de la CNIL, déposée cette fois par David Libeau, un développeur, membre des associations Exodus Privacy & Open Knowledge France qui avait déjà été l’un des premiers à attaquer ChatGPT en France. Elle vise les systèmes d’entraînement utilisés par la VSA dans le cadre de la loi du 19 mai 2023 relative aux JO. L’Informé a pu consulter ce document, partagé ci-après.
Depuis ce texte et son décret d’application du 28 août 2023, les caméras installées dans l’espace public ou embarquées sur des aéronefs (dont des drones) peuvent permettre un traitement algorithmique des images captées. En phase d’exploitation, elles seront censées détecter, en temps réel, des indices de risques terroristes et d’atteinte grave à la sécurité des personnes durant les JO, mais également à l’occasion des manifestations « récréatives ou culturelles » (comme des concerts) jusqu’au 31 mars 2025. Parmi ces éléments identifiés, les textes évoquent des objets abandonnés, la présence d’un véhicule dans une zone interdite ou sensible, un départ de feu, des mouvements de foule ou encore une densité trop importante de personnes dans un lieu déterminé. L’idée est d’alerter au plus vite les forces de l’ordre ou de secours pour réduire au maximum les délais d’intervention. Mais avant cela, une phase dite de « conception » a été prévue par le législateur afin d’aiguiser ces traitements. Le ministère de l’Intérieur est ainsi autorisé à collecter un échantillon d’images dans des conditions « analogues » à la phase d’exploitation afin de servir de « données d’apprentissage », sachant que les données devront être détruites à la fin de l’expérimentation. Pour les services de Gérald Darmanin, l’enjeu est de modéliser et d’identifier au plus tôt les caractéristiques propres à chaque évènement afin d’isoler des « critères » et des « indicateurs » utilisés en vitesse de croisière par la VSA.
La plainte s’attaque justement à cette première phase, considérant que le dispositif manque de garanties. Il y aurait d’abord une possible violation de la législation sur les données personnelles, à commencer par le règlement général sur la protection des données (RGPD). La première contrariété tient à un défaut d’information. L’auteur de la plainte reproche au ministère de l’Intérieur, notamment, de ne pas indiquer via des panneaux installés sur la voie publique ou sur un site web où seront captées les images utilisées pour cette phase d’apprentissage. En février dernier déjà, l’intéressé lui avait réclamé « la communication de la liste des jours et les plages horaires de collecte d’images ainsi que le lieu ou la zone géographique où ont été collectées les images », mais la demande est restée sans réponse à ce jour.
La plainte pointe aussi un flou sur les responsabilités de chacun. Le 8 janvier 2024, un marché portant sur le déploiement en Île-de-France de « solutions algorithmiques de vidéoprotection » a été attribué à trois titulaires dont Wintics, un spécialiste du traitement de l’image avec sa solution Cityvision. En théorie, « au titre du RGPD, lors de la phase de conception, le ministère de l’Intérieur devrait être regardé comme responsable de traitement et la société Wintics, qui agit pour le compte de l’État, comme sous-traitante », écrit Libeau. Problème, ce n’est pas ce qu’indique Wintics sur son site : sur une page consacrée à ce règlement européen, la start-up explique qu’en tant que développeur de son logiciel, elle « occupe le rôle de responsable de traitement (...) pour ses activités d’entraînement de réseaux de neurones permettant la détection d’objets, et plus généralement pour ses activités de développement du logiciel d’analyse vidéo Cityvision ».
David Libeau considère que les textes français cognent en outre avec le règlement sur l’intelligence artificielle (ou RIA), texte européen qui interdit « le moissonnage non ciblé d’images faciales provenant de l’internet ou de la vidéosurveillance ». La loi sur les JO prévient que les traitements utilisés pour la VSA « n’utilisent aucun système d’identification biométrique, ne traitent aucune donnée biométrique et ne mettent en œuvre aucune technique de reconnaissance faciale ». Cependant, le plaignant juge les textes bien trop flous lorsqu’ils autorisent le ministère de l’Intérieur à faire « développer des capacités d’analyse de données collectées au moyen de systèmes de vidéoprotection » lors de la phase de la conception de la VSA, sans plus de précision. Ce champ exploratoire serait trop vaste selon le développeur, pour qui rien n’interdit « que la technique d’analyse d’image dite de la reconnaissance faciale [puisse] faire partie des capacités d’analyse de données ». Sur son site, Wintics indique d’ailleurs que « les données produites par les analyses (détections, comptages, etc.) sont totalement anonymes (en particulier, elles ne relèvent pas de la reconnaissance faciale ni de la lecture de plaques d’immatriculation) ». Cependant, la société française reconnaît que certaines des images utilisées pour entraîner les algorithmes « font apparaître des personnes (dont les visages peuvent parfois être visibles) et des véhicules (dont les plaques d’immatriculation peuvent parfois être visibles) ». La société prévient même que sa base de données d’entraînement « est constituée à date de 30 438 images », dont près de la moitié « contient des données à caractère personnel (i.e. visages ou plaques d’immatriculation) ». Libeau craint que ce traitement soit finalement « contraire au RIA en ce qu’il permet l’extension de bases de données pour de la reconnaissance faciale par l’extraction non ciblée d’images faciales depuis des séquences de vidéosurveillance ». Contactés, ni le ministère ni Wintics n’ont répondu à nos sollicitations.
