L’Europe est souvent considérée comme le continent où la protection des données personnelles est placée au premier plan. Cette protection globalisée et son respect, à l’image d’un cadre législatif général (RGPD), se trouvent plus rigoureusement vérifiés quand il s’agit de mesures de surveillance planifiées à s’exercer sur la population. C’est dans ce cadre qu’en France, la CNIL a fortement critiqué des projets de surveillance à Marseille, à Nice et à Saint-Étienne à la fin d’octobre 2019. Les premiers dans le sud de la France concernaient la mise en place de portiques de reconnaissance faciale à l’entrée de deux établissements scolaires. Le deuxième à Saint-Étienne était relatif à l’installation dans l’espace public de micros détectant des signaux sonores anormaux. Ces derniers devaient dans le cas où un tel signal était capté, rediriger les caméras de surveillance et le cas échéant alerter les secours ou les forces de l’ordre.

Dans le cas des portiques de reconnaissance faciale, la CNIL a émis un avis sur l’illégalité de la mise en œuvre d’un tel système. Dans le cas du projet de la métropole de Saint-Étienne d’installer des micros dans l’espace public, la CNIL a procédé à un contrôle du projet et en a détaillé la violation du droit des données personnelles dans une lettre notifiée à la métropole.

Cela illustre la confrontation de deux paradigmes que rien ne semble réunir : la surveillance aux fins d’un environnement sécuritaire et la protection des données personnelles.

Les prises de position de la CNIL sur ces deux types de projets de surveillance, bien qu’elles soient justifiées et souhaitables, tendent à démontrer un certain manque de cohérence dans le discours de l’autorité française en matière de surveillance sur le plan juridique dans un contexte d’hypersécurité. Ainsi, cela met en lumière la priorité donnée à la surveillance sur la protection des données personnelles.

Le manque de cohérence dans le discours de la CNIL en matière de surveillance dans un contexte d’hypersécurité

Il est nécessaire de rappeler le contexte qui a favorisé le développement de l’hypersécurité en France. À la suite des attentats du Bataclan, le président de la République française François Hollande décide de déclencher l’état d’urgence. Il s’agit d’une mesure exceptionnelle qui est décidée en conseil des ministres en cas de péril imminent résultant d’atteintes graves à l’ordre public ou en cas de calamité publique. Cette mesure vise, pour répondre à ces événements, à renforcer le pouvoir des autorités publiques et à restreindre les libertés individuelles. Il a duré jusqu’en 2017, date à laquelle la loi antiterroriste, sous la présidence d’Emmanuel Macron, a été promulguée et qui transpose certaines mesures exceptionnelles de l’état d’urgence en droit commun. Cette loi, qui a nourri les débats, cristallise la volonté d’accroître la surveillance en France à des fins sécuritaires. Bien que le principal motif de telles mesures soit la lutte contre le terrorisme, on ne peut s’empêcher de penser que les motifs de surveillance ont tendance à se généraliser.

Plus que le contenu de la loi, c’est l’esprit du législateur qui importe. On a assisté à un glissement dans la psychose et le besoin d’hypersécurité qui va à l’encontre de la protection des données personnelles et de la vie privée. En effet, toute mesure de surveillance qu’elle soit physique ou électronique, nécessite le traitement de données personnelles. S’il est donc utile de rappeler ce tournant sécuritaire qui a eu lieu en France, il s’agit désormais de le rapprocher aux affaires qui nous intéressent.

Dans les deux cas, nous sommes en présence de mesures de surveillance. Cependant, l’une est assumée puisqu’il s’agit de placer des portiques dont le rôle principal est un rôle de surveillance de l’individu à des fins de sécurité des établissements scolaires. De l’autre côté, nous sommes en présence d’un dispositif de captations sonores généralisées dont la raison principale est de détecter des bruits anormaux à des fins d’adaptations de l’intervention des autorités. Cependant, le risque est de voir l’utilisation du système détourné afin de collecter les échanges par voix humaines dans l’espace public.

En ce qui concerne la surveillance sonore, sur le terrain des données personnelles, la CNIL considère que cela entraîne le traitement de données sensibles et qu’il n’est pas possible pour l’individu de s’opposer audit traitement. Cependant en matière de surveillance sonore une analogie doit être faite avec les caméras de surveillance dans l’espace public. Cette dernière est encadrée dans le code de la sécurité intérieure. Ainsi l’article L.251-2 du code établit une liste de critères selon lesquels une autorité publique peut mettre en place un moyen de vidéo-protection sur la voie publique. Ce dernier, en plus de renvoyer aux critères de prévention et de lutte contre le terrorisme expressément prévu par l’article L.223-1, vient balayer un spectre de situations assez large pour lequel la vidéo-protection serait prévue. On retrouve par exemple la protection des bâtiments publics et leurs abords, la régulation des flux de transports, la prévention de risques naturels ou technologiques ou encore la prévention de l’abandon d’ordures et de déchets. On comprend donc que la législation sur la surveillance vidéo a été pensée de telle sorte que les autorités publiques puissent toujours y avoir recours dans l’espace public. Bien que ce dispositif doive respecter les principes élémentaires de garantie de la vie privée, il constitue tout de même un régime dérogatoire en matière de traitement des données personnelles. En effet, l’article L.251-1 dispose que :

« Les enregistrements visuels de vidéoprotection répondant aux conditions fixées aux articles L. 251-2 et L. 251-3 sont soumis aux dispositions du présent titre, à l’exclusion de ceux qui sont utilisés dans des traitements automatisés ou contenus dans des fichiers structurés selon des critères permettant d’identifier, directement ou indirectement, des personnes physiques, qui sont soumises à la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. »

A contrario, cela signifie que, pour tous les enregistrements qui ne font pas l’objet de traitements automatisés ou contenus dans des fichiers structurés permettant l’identification d’une personne physique, la législation sur la protection des données personnelles ne s’applique pas. Difficile dès lors de ne pas y voir une manière de contourner ce droit puisque le recours à des traitements automatisés ou de recoupement à des bases de données existantes n’aura lieu en général, qu’à titre de vérification ou pour enclencher des poursuites pénales, c’est-à-dire dans des cas assez restreints. Or, la vidéo-protection mène potentiellement à la collecte de données biométriques, considérées comme des données sensibles qui doivent bénéficier d’une protection renforcée selon l’article 9 du RGPD. Et le traitement des données existe puisque les données sont transmises et enregistrées. On retrouve donc la même problématique de traitement de données sensibles en matière de vidéosurveillance qu’en matière de surveillance sonore.

Par conséquent, on note le décalage de la CNIL qui critique la mesure de surveillance, de captation sonore, voulue par la métropole stéphanoise alors que le dispositif pourrait bénéficier du même régime que celui de la vidéosurveillance, qui n’a pas l’air de déranger outre mesure le gendarme de la protection des données français.

Concernant la décision relative à la surveillance au moyen de portiques de reconnaissance faciale dans les lycées de Marseille et de Nice un parallèle peut également être fait avec le régime de vidéosurveillance notamment en ce qui concerne l’atteinte à la protection des données. En effet, la CNIL justifie son refus du dispositif de reconnaissance faciale par l’absence de proportionnalité du dispositif par rapport aux finalités recherchées qui pourraient être atteintes par d’autres moyens. En outre, elle indique que les données biométriques doivent faire l’objet d’une protection particulière du fait de leur sensibilité, que la reconnaissance faciale présente des risques majeurs d’atteintes à la vie privée et aux libertés fondamentales et est de nature à créer un sentiment de surveillance renforcée. On pourrait alors appliquer ce raisonnement à la vidéosurveillance dans l’espace public au regard des possibilités d’exploitation de données biométriques et pourtant il n’en est rien.

On doit nécessairement constater une application à deux vitesses de la protection des données personnelles selon le degré de nécessité et de légitimité de la surveillance. De plus, l’argument du sentiment de surveillance renforcée, soulevé par la CNIL est important. Il démontre à lui seul que la surveillance est intrusive seulement si les personnes qu’elles visent se sentent surveillées. Voilà un indice supplémentaire en faveur de l’application à deux vitesses de la protection des données personnelles.

Ainsi, les avis et recommandations de la CNIL en la matière apparaissent comme ambigus en ce qu’ils visent à protéger les données personnelles tandis que des règles en matière de surveillance par l’utilisation de nouvelles technologies existent déjà pour contourner cette protection.

Par conséquent, la surveillance par les nouvelles technologies se fait nécessairement au détriment de la protection des données personnelles et de la vie privée puisqu’elle est intrusive par nature. C’est d’autant plus le cas avec l’utilisation des nouvelles technologies qui sont discrètes, plus insidieuses et qui permettent de contourner plus facilement les réglementations protectrices pour l’individu tel qu’on peut le constater en matière de vidéosurveillance.

Priorité donnée à la surveillance sur la protection des données personnelles

Il serait inexact de considérer la protection des données personnelles comme un contre-pouvoir à la surveillance. Il y a deux raisons à cela. En premier lieu, les moyens de contournement pour des motifs d’intérêts publics ou de sécurité intérieure existent déjà et c’est précisément ce qui a justifié le développement de la surveillance. En second lieu, la protection des données personnelles n’a pas vocation à contrebalancer stricto sensu les abus du pouvoir exécutif. C’est d’ailleurs pour cette raison que le RGPD a une portée aussi générale. C’est pour cette même raison qu’il apparaît que la surveillance et la protection des données sont si incompatibles.

Ainsi, l’explication du raisonnement de la CNIL est à rechercher autre part que sur le terrain purement juridique et doit être conjuguée à des dimensions sociales et sécuritaires. En effet, on pourrait très bien interpréter la réglementation sur les données personnelles de façon qu’elle soit toujours en opposition avec les mesures de surveillance massives et invasives qui sont mises en place en France. Mais le fait est que la surveillance est nécessaire à des fins de prévention et de sécurité. On voit mal comment l’on peut, sur la base de la protection des données et sur le respect à la vie privée, construire un argumentaire anti-surveillance, surtout après les événements post-2015. En effet, comment ne pas reprocher l’absence de mesures préventives de surveillance de la part du gouvernement après une attaque terroriste ? On n’ose à peine imaginer la contestation sociale si une telle situation venait à se produire. C’est donc dans la prise en compte de ces paramètres légaux, mais également sociaux que l’on peut expliquer le raisonnement de la CNIL. Ainsi, si l’on se réfère à son avis concernant les portiques de reconnaissance faciale, la disproportion est souvent invoquée. Ce n’est donc pas la surveillance qui est remise en cause, mais bien le recours au dispositif qui est utilisé. Ainsi, elle préconise l’utilisation de badge qui devrait suffire à atteindre la finalité qui est le contrôle des élèves et qui apparaîtrait comme proportionnée.

De la même façon, on ne peut s’empêcher de penser que ce qui justifie le refus à l’égard de la mesure mise en place par la ville de St Étienne, c’est la superposition de mesures de surveillance par vidéo et par captation sonore. En effet, on se demande comment justifier légalement le refus de surveillance par captation sonore tandis que l’on accepte la surveillance par vidéo qui produit globalement les mêmes atteintes. La CNIL apporte un élément de réponse dans sa lettre à la métropole stéphanoise en considérant que ce couplage conduit à renforcer le caractère intrusif du système de surveillance.

Ainsi, la sécurité apparaît comme un motif légitime de mise en place de surveillance et il s’agit plutôt de faire appliquer le droit à la protection des données personnelles dans les cas où la surveillance est superflue et non quand elle est nécessaire. Si certains prétendent que cela relève du compromis, on doit plutôt analyser cette situation comme étant une frontière entre la surveillance et la protection des données personnelles. On pourrait donc résumer selon la formule suivante : la protection des données personnelles commence là où la surveillance n’est plus impérieusement nécessaire.