Le RGPD peut-il encore nous protéger face à l’expansion des vidéosurveillances algorithmiques ?

17/06/2025

Introduction : comprendre les enjeux de la vidéosurveillance

La question de l’autorisation des vidéosurveillances dites « augmentées » ou algorithmiques (VSA), dans l’espace public, n’est pas nouvelle. Toutefois, le déploiement concret de ces dispositifs connectés à des caméras de surveillance intelligentes est lui, bien plus récent.

Définition de la vidéosurveillance algorithmique

La CNIL définit ces systèmes comme des caméras réseau ou caméras IP intégrant des technologies avancées de traitement capables de détecter et analyser automatiquement objets, silhouettes, mouvements ou comportements suspects. Ces outils, souvent couplés à des systèmes de vidéoprotection ou à des kits de vidéosurveillance haute définition, transforment la simple captation d’images en une surveillance intelligente en temps réel.

Ces dispositifs peuvent être déployés pour prévenir agressions, vols, trafics de stupéfiants ou actes terroristes, sous réserve de respecter les garanties prévues par l’article L.251-2 du Code de la sécurité intérieure. On retrouve ces installations dans des lieux sensibles tels que les gares ou certains espaces publics fortement exposés.

Concrètement, la vidéosurveillance algorithmique a été utilisée à grande échelle lors des Jeux olympiques de 2024 en France, avec des caméras dotées de détection de mouvement, de vision nocturne infrarouge et reliées à des enregistreurs numériques (DVR). Cette mise en œuvre, décrite comme expérimentale, était encadrée par la Loi relative aux Jeux olympiques et paralympiques du 19 mai 2023 et devait initialement cesser en mars 2025. Or, le gouvernement envisage désormais de pérenniser cette mesure, transformant ce qui devait être une exception sécuritaire en surveillance généralisée justifiée par la sécurité nationale.

Face à cette évolution préoccupante, une question centrale émerge : le RGPD est-il encore un rempart efficace pour la protection de nos données personnelles face à l’essor de ces dispositifs de surveillance algorithmique ?

Les risques pour la vie privée et les données personnelles

L’utilisation de vidéosurveillance algorithmique dans l’espace public implique la collecte automatisée de données relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne : silhouette, posture, démarche, interactions dans un environnement donné, parfois même via l'analyse des flux vidéo en haute résolution. Ce traitement spécifique, qui s’appuie sur des dispositifs tels que des caméras intelligentes ou des systèmes de vidéosurveillance connectés, permet l’identification unique d’un individu.

Conformément à l’article 4 §14 du RGPD, ces données sont qualifiées de biométriques. Par leur nature, elles sont particulièrement sensibles et leur traitement est par principe interdit, sauf exception strictement encadrée.

En effet, le traitement d’une donnée sensible, tel que la reconnaissance faciale, accroît fortement le risque d’intrusion dans la vie privée, notamment dans des espaces fréquentés quotidiennement. Les images captées sont parfois stockées sur des enregistreurs DVR ou transmises via réseau IP, renforçant les enjeux de sécurisation des données personnelles.

Le rôle de la CNIL dans la régulation de la vidéosurveillance

Dans ce contexte, la CNIL joue un rôle essentiel pour garantir un équilibre entre sécurité publique et libertés individuelles. Elle rappelle que la légalité de l’usage des caméras algorithmiques dépend des cas d’usage et des objectifs poursuivis :

• Si le dispositif porte atteinte aux libertés publiques, seule une loi formelle peut en autoriser l’usage. À défaut, l’installation est illégale.
• Si la finalité est statistique et que les données sont anonymisées, le traitement peut être licite, sous réserve du respect des principes du RGPD.
• Dans les autres cas, une base légale conforme à l’article 23 du RGPD est requise, garantissant notamment le droit d’opposition effectif des personnes concernées.

L’enjeu est majeur : étendre l’usage de la vidéosurveillance algorithmique reviendrait à inverser la logique juridique actuelle, faisant de l’exception un principe. Cela ouvrirait la voie à une surveillance généralisée via des dispositifs de télésurveillance sophistiqués, banalisant des outils initialement conçus pour des usages ciblés.

La délicate conciliation entre sécurité des personnes et protection de leurs données personnelles

Les principes posés par le Règlement Général sur la Protection des Données (RGPD)

Le Règlement Général sur la Protection des Données (RGPD) impose un cadre clair et exigeant en matière de protection des données personnelles, y compris pour l’utilisation de dispositifs de vidéosurveillance algorithmique.

Tout traitement de données doit garantir :

• Une information transparente des personnes concernées,
• Le respect de leurs droits fondamentaux,
• Une finalité précise et légitime (article 6 du RGPD),
• L’application stricte des principes énoncés à l’article 5, tels que la minimisation des données, la limitation de la durée de conservation, et la licéité du traitement.

Concernant le principe de minimisation, qui est un principe fondamental sur lequel repose le RGPD, celui-ci signifie que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. 

Or, les vidéosurveillances algorithmiques peuvent filmer énormément de personnes et couvrir une large zone de surveillance, en un court espace de temps, collectant alors de manière massive des données en continu sur les personnes, leurs comportements, leur localisation. 

Ainsi, dans le cas de la vidéosurveillance algorithmique, cette exigence de minimisation est difficilement respectée. 

Mais de quels droits fondamentaux parlons-nous ici ? Ce sont notamment :

• La liberté d’aller et venir,
• La liberté de rassemblement,
• Le droit à l’anonymat,
• Le droit à la vie privée.

Ces droits sont directement menacés par un usage systématisé de caméras de vidéosurveillance intelligentes, notamment dans les lieux publics.

Défis pratiques de l'application du RGPD

Dans la pratique, l’application du cadre juridique est souvent lacunaire. L'absence de modalités claires d'utilisation des VSA (Vidéosurveillance Algorithmique) et la complexité des traitements automatisés soulèvent de véritables incertitudes juridiques sur la garantie des droits.

L’autorisation de tels dispositifs implique de maîtriser toute la chaîne de traitement, y compris :

• Le paramétrage des caméras IP HD,
• Le stockage des données sur serveur local ou NAS,
• La sécurisation des accès via réseau Ethernet ou IP.

En théorie, la charge de la preuve incombe au responsable de traitement. C’est à lui de démontrer que la vidéoprotection mise en place est :

• Nécessaire,
• Proportionnée,
• Conforme au RGPD.

Mais dans le cas des VSA, cette logique s’effondre : le traitement est imposé, automatisé, souvent opaque, et l’information est rarement visible, y compris sur les panneaux signalétiques censés indiquer la présence d’un système de vidéosurveillance.

A cela s’ajoute le fait que le respect effectif des droits des personnes concernées par le traitement reste difficile à garantir en pratique. 

Droit d’opposition : un droit menacé ?

En effet, pour s’opposer efficacement à un traitement par vidéosurveillance algorithmique, en effectuant un recours auprès de la CNIL ou devant les juridictions administratives, il faut justifier de l’un des motifs suivants :

• L’objectif poursuivi est publicitaire ou détourné de sa finalité initiale ;
• Le traitement repose sur une finalité obsolète ou disproportionnée ;
• Le traitement est clairement illégal (non autorisé, non déclaré, ou non encadré légalement) ;
• Le responsable du système de vidéosurveillance n’est pas en mesure de justifier un motif légitime ;
• Le consentement a été donné mais est ensuite retiré par la personne concernée.

Cependant, l’exercice du droit d’opposition d’un traitement effectué par une vidéosurveillance algorithmique devient quasiment théorique. 

Comment s’y opposer lorsque :

• L’identité du responsable de traitement n’est pas affichée ?
• Aucune procédure simplifiée n’est mise en place ?
• Le traitement repose sur un algorithme opaque, non paramétrable par la personne filmée ?

Dans les faits, c’est souvent à la personne concernée de faire valoir son droit en envoyant une demande par courrier recommandé ou par mail à un destinataire… souvent introuvable, du fait de l’absence d’informations claires.

Ainsi, le risque est réel : celui d’un renversement de la charge de la preuve, au détriment des citoyens. Ceux-ci devront prouver qu’ils ont été lésés, alors que le principe du RGPD impose l’inverse.

La justification de la vidéosurveillance algorithmique au nom de la sécurité

Ces installations sont souvent motivées par des objectifs de lutte contre le terrorisme ou de prévention des infractions dans l’espace public. Mais en réalité, les infractions comme les homicides, les agressions sexuelles ou encore les violences conjugales surviennent majoritairement dans des espaces privés, non couverts par les systèmes de vidéosurveillance, comme le domicile.

De plus, l’efficacité de ces systèmes de vidéosurveillance algorithmique reste difficile à démontrer, malgré la profusion de kits de surveillance full HD installés dans les villes. Le principe de minimisation est fréquemment oublié au profit d’un déploiement large de dispositifs permettant une collecte généralisée et importante des données personnelles. La mise en place de ces dispositifs est souvent justifiée par des motifs généraux liés à la prévention du terrorisme, sans définition précise du terme ou encadrement spécifique. Ce flou peut poser des risques juridiques au regard des exigences de finalité déterminée, explicite et légitime (article 5 du RGPD).

C’est ici que réside le véritable danger : un élargissement arbitraire des motifs de surveillance et des dispositifs de sécurité vidéo interconnectés dans des zones sensibles, c’est-à-dire des espaces publics où, du fait de la nature du lieu (établissements de santé, lieux de culte), de la vulnérabilité des personnes (mineurs, personnes en situation de précarité) ou de la densité de fréquentation du public, la vidéosurveillance fait peser un risque élevé sur les droits et libertés fondamentales.

Des alternatives moins intrusives au regard du droit à la vie privée existent pourtant. Des dispositifs non automatisés, non dotés d’algorithmes prédictifs, ou encore la présence humaine renforcée peuvent jouer un rôle dissuasif sans recourir à une captation massive de données sensibles.

À ce titre, La Quadrature du Net a interpellé la CNIL en rappelant que "le fait qu’une technologie soit peu risquée ne suffit pas à la rendre nécessaire ou souhaitable". Il est essentiel de conserver un regard critique sur ces équipements, qu’il s’agisse de caméras HD connectées, de vidéoprotection factice ou de systèmes automatisés à détection faciale.

Le principe de minimisation doit rester la pierre angulaire de tout arbitrage entre protection des personnes et respect de leurs droits fondamentaux. C’est ce qui permet de préserver les libertés individuelles face à des technologies de surveillance de plus en plus puissantes. 

La crainte d’un glissement vers une société de surveillance

La vidéosurveillance algorithmique : une exception qui devient la règle

Plus les dispositifs de VSA sont justifiés au nom de la sécurité nationale, plus la surveillance tend à devenir un principe fondamental et donc un risque tendant à la restriction des libertés individuelles.

Dans un but de prévention des infractions, les caméras connectées, systèmes de visualisation en direct, détecteurs de mouvement, et surveillance par infrarouge jour et nuit s’installent dans les rues, les écoles, les transports. Ces installations, souvent motorisées et reliées à des centres de télésurveillance, rendent la captation des comportements permanente.

Légaliser ce type d’usage signifie que le droit cesserait d’encadrer la surveillance pour commencer à la légitimer, créant un précédent dangereux sur le plan juridique. Ce cadre pourrait ensuite être exploité dans des contextes encore plus attentatoires aux libertés, comme la surveillance des opinions politiques, syndicales ou associatives qui sont actuellement définies comme des données sensibles, protégées par le RGPD à l’article 9 qui pose le principe d’interdiction de leur traitement. 

Le rôle déterminant de la CNIL

Face à ce glissement, la Commission nationale de l’informatique et des libertés (CNIL) demeure un acteur clé du contrôle des droits et libertés. Elle a récemment émis un avis sur un dispositif algorithmique de détection d’intrusion installé par la mairie de Nice devant des établissements scolaires.

Dans ce courrier officiel, la CNIL :

• Exige que les zones de détection soient strictement limitées,
• Impose une analyse fonctionnelle ne permettant pas la qualification des personnes et de leurs comportements,
• Demande la mise en œuvre de mesures techniques robustes : chiffrement des vidéos, limitation des accès, formation des sous-traitants.

Elle rappelle également que toute installation de caméras intelligentes est soumise à autorisation préfectorale.

Cet avis souligne avec force l’importance d’un cadre légal strict, clair et transparent pour éviter les abus, assurer la proportionnalité des mesures, et préserver les droits fondamentaux.

Conclusion

La technologie évolue plus vite que le droit. Or, le cadre juridique doit évoluer et s’adapter en même temps pour rester un outil de protection stable et efficace.

Les dispositifs de vidéosurveillance algorithmique doivent rester des mesures exceptionnelles, strictement encadrées par des textes clairs, notamment le RGPD. Leur déploiement ne peut être justifié qu’en dernier recours, après avoir démontré que les autres mesures (non automatisées, non biométriques) sont insuffisantes.

Lorsqu’un système de vidéosurveillance est mis en place, la transparence doit être totale :

• Information claire via panneau de signalisation,
• Indication du responsable de traitement,
• Accès facilité aux images filmées,
• Respect de la durée de conservation.

Cependant, l’expansion de ces dispositifs soulève un risque concernant la garantie des droits et libertés fondamentales. 

Ainsi, le RGPD est un outil juridique puissant pour protéger et assurer le respect de nos droits. Mais encore faut-il qu’il soit respecté, appliqué et contrôlé correctement.

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus