[Chronique] Chronique de droit de l’administration numérique – janvier/novembre 2022

Dans une première décision, le Conseil constitutionnel précise les conditions d’utilisation des drones par les forces de l’ordre (Cons. const., décision n° 2021-834 DC du 20 janvier 2022, Loi relative à la responsabilité pénale et à la sécurité intérieure). Le Conseil d’État sanctionne fortement google en raison d’une information insuffisante sur l’utilisation des cookies publicitaires (CE, 28 février 2022, n° 449209). Il encadre également la possibilité pour l’administration de mettre en place un recours obligatoire à des téléservices, de façon à ménager un accès effectif des usagers aux services publics (CE, 3 juin 2022, n°s 452798, 452806 et 454716 ; CE, avis, 3 juin 2022, n°s 461694, 461695 et 461922). La CNIL a eu l’occasion de préciser son sont point de vue sur le déploiement des caméras « augmentées » dans l’espace public (CNIL Caméras dites « intelligentes » ou « augmentées » dans les espaces publics, Position sur les conditions de déploiement, 19 Juillet 2022). Elle également lourdement sanctionné la société CLEARVIEW AI qui commercialise un logiciel de reconnaissance faciale en méconnaissance des dispositions du RGPD (CNIL, délibération n° SAN-2022-019 du 17 octobre 2022).

Sommaire

I. Les conditions de l’utilisation des drones par les forces de l’ordre précisées par le Conseil constitutionnel

Cons. const., décision n° 2021-834 DC du 20 janvier 2022, Loi relative à la responsabilité pénale et à la sécurité intérieure

II. Information insuffisante sur l’utilisation des cookies publicitaires : le Conseil d’État confirme la sanction infligée à Google

CE, 28 février 2022, n° 449209

III. Recours obligatoire aux téléservices et accès aux services publics

CE, 3 juin 2022, n°s 452798, 452806 et 454716 ; CE, avis, 3 juin 2022, n°s 461694, 461695 et 461922

IV. Position de la CNIL sur le déploiement des caméras « augmentées » dans l’espace public

Caméras dites « intelligentes » ou « augmentées » dans les espaces publics, position sur les conditions de déploiement, 19 juillet 2022

V. Reconnaissance faciale : sanction de 20 millions d’euros à l’encontre de CLEARVIEW AI

CNIL, délibération n° SAN-2022-019 du 17 octobre 2022

I. Les conditions de l’utilisation des drones par les forces de l’ordre précisées par le Conseil constitutionnel (Cons. const., décision n° 2021-834 DC du 20 janvier 2022, Loi relative à la responsabilité pénale et à la sécurité intérieure N° Lexbase : A83077II)

La loi n° 2021-646 du 25 mai 2021, pour une sécurité globale préservant les libertés N° Lexbase : L5930L4E, avait été censurée dans plusieurs de ses dispositions concernant l’utilisation des drones par les forces de l’ordre [1]. Certes, le Conseil constitutionnel avait jugé que « pour répondre aux objectifs de valeur constitutionnelle de prévention des atteintes à l’ordre public et de recherche des auteurs d’infractions, le législateur pouvait autoriser la captation, l’enregistrement et la transmission d’images par des aéronefs circulant sans personne à bord aux fins de recherche, de constatation ou de poursuite des infractions pénales ou aux fins de maintien de l’ordre et de la sécurité public ». Toutefois, il avait estimé que les dispositions litigieuses n’étaient pas suffisamment protectrices des droits fondamentaux. En effet, « eu égard à leur mobilité et à la hauteur à laquelle ils peuvent évoluer, ces appareils sont susceptibles de capter, en tout lieu et sans que leur présence soit détectée, des images d’un nombre très important de personnes et de suivre leurs déplacements dans un vaste périmètre. Dès lors, la mise en œuvre de tels systèmes doit être assortie de mesures garantissant le droit au respect de la vie privée ».

La loi n° 2022-52 du 24 janvier 2022, relative à la responsabilité pénale et la sécurité intérieure N° Lexbase : L7812MAL, donne l’occasion pour le Conseil constitutionnel de se prononcer à nouveau sur ce sujet. Les sages ont validé à cette occasion l’essentiel des dispositions sur l’utilisation des drones notamment par la police et la gendarmerie, tout en émettant plusieurs réserves d’interprétation en vue de mieux cadrer le recours à ces dispositifs en censurant deux dispositions précises.

1. Validation de l’essentiel des dispositions relatives au recours aux drones par les forces de l’ordre

Les juges relèvent d’abord que si ce recours porte atteinte au droit au respect de la vie privée « en adoptant les dispositions contestées, le législateur a poursuivi l'objectif de valeur constitutionnelle de prévention des atteintes à l'ordre public ».

Le législateur a précisément circonscrit les finalités justifiant le recours à ces dispositifs. S’agissant des services de police nationale et de gendarmerie nationale ainsi que les militaires déployés sur le territoire national, ils ne peuvent être autorisés à en faire usage « qu’aux fins d’assurer la prévention des atteintes à la sécurité des personnes et des biens dans des lieux particulièrement exposés à des risques de commission de certaines infractions, la protection des bâtiments et installations publics et de leurs abords immédiats particulièrement exposés à des risques d’intrusion ou de dégradation, la sécurité des rassemblements de personnes sur la voie publique ou dans des lieux ouverts au public lorsque ces rassemblements sont susceptibles d’entraîner des troubles graves à l’ordre public, la prévention d’actes de terrorisme, la régulation des flux de transport aux seules fins du maintien de l’ordre et de la sécurité publics, la surveillance des frontières et le secours aux personnes. » Quant aux agents des douanes, ils ne peuvent être autorisés à recourir à ces dispositifs « qu’afin de prévenir les mouvements transfrontaliers de marchandises prohibées ».

2. Les réserves d’interprétation

Les Sages relèvent que le recours aux drones ne peut être autorisé par le préfet que s’il est proportionné au regard de la finalité poursuivie. Les services compétents doivent en conséquence préciser cette finalité et justifier, au regard de celle-ci, la nécessité de recourir aux dispositifs aéroportés.

Sur ce point précis, le Conseil constitutionnel énonce deux réserves d’interprétation. Tout d’abord, l’autorisation du préfet ne saurait être accordée qu’après qu’il se soit assuré que le service ne peut employer d'autres moyens moins intrusifs au regard du droit à la vie privée ou que l’utilisation de ces autres moyens serait susceptible d’entraîner des menaces graves pour l’intégrité physique des agents.

Ensuite, l’autorisation accordée par le préfet ne pas être permanente. Ainsi « elle ne peut être délivrée, lorsqu’il s'agit d’assurer la sécurité d’un rassemblement public, que pour la durée de ce dernier et, pour les autres finalités, que pour une durée maximale de trois mois ».  Elle ne peut être renouvelée que si les conditions de sa délivrance continuent d’être réunies, étant précisé qu’un « tel renouvellement ne saurait, sans méconnaître le droit au respect de la vie privée, être décidé par le préfet sans qu’il soit établi que le recours à ces dispositifs aéroportés demeure le seul moyen d’atteindre la finalité poursuivie ».

Enfin, si la loi précise que « ces dispositifs aéroportés ne peuvent procéder à aucun rapprochement, interconnexion ou mise en relation automatisé avec d’autres traitements de données à caractère personnel », le Conseil constitutionnel énonce que ces « dispositions ne sauraient, sans méconnaître le droit au respect de la vie privée, être interprétées comme autorisant les services compétents à procéder à l’analyse des images au moyen d’autres systèmes automatisés de reconnaissance faciale qui ne seraient pas placés sur ces dispositifs aéroportés ».

3. Les dispositions censurées

La loi déférée au contrôle du Conseil constitutionnel prévoyait que, en cas d’urgence résultant d’« une exposition particulière et imprévisible à un risque d’atteinte caractérisée aux personnes ou aux biens », ces mêmes services peuvent recourir immédiatement à des dispositifs aéroportés, pour une durée pouvant atteindre quatre heures et à la seule condition d’en avoir préalablement informé le préfet. Il est donc possible, en application de ces dispositions de permettre le déploiement de caméras aéroportées sans autorisation du préfet, sans le réserver à des cas précis et d’une particulière gravité, et sans définir les informations qui doivent être portées à la connaissance de ce dernier. Ces dispositions, qui n’assurent pas la conciliation entre le droit au respect de la vie privée et l’objectif de valeur constitutionnelle de prévention des atteintes à l’ordre public, sont invalidées par le Conseil constitutionnel.

Enfin, le Conseil constitutionnel invalide les dispositions de la loi organisant une expérimentation de l’utilisation des drones par les policiers municipaux pour une durée de cinq ans. Ce dispositif devait être utilisé pour assurer « la régulation des flux de transport » ainsi que « les mesures d’assistance et de secours aux personnes », mais également « la sécurité des manifestations sportives, récréatives ou culturelles ». Les sages ont considéré que le législateur n’avait pas limité cette utilisation « aux manifestations particulièrement exposées à des risques de troubles graves à l’ordre public ». En outre, si le législateur a prévu que le préfet devait donner son autorisation, « il n’a pas prévu que ce dernier puisse y mettre fin à tout moment, dès lors qu’il constate que les conditions ayant justifié sa délivrance ne sont plus réunies ».

II. Information insuffisante sur l’utilisation des cookies publicitaires : le Conseil d’État confirme la sanction infligée à Google (CE,28 février 2022, n° 449209 N° Lexbase : A92167KK)

Le 7 décembre 2020, la CNIL avait condamné la société Google à payer deux amendes d’un montant total de 100 millions d’euros, notamment au motif qu’elle n’avait pas recueilli le consentement des utilisateurs avant tout dépôt de cookies ou autres traceurs, en violation de l’article 82 de la loi n° 78-17 du 6 juillet 1978 N° Lexbase : L8794AGS, dite  « loi informatique et libertés » [2], transposant l’article 5 de la Directive « ePrivacy » du 13 juillet 2002 [3].

On rappellera ici qu’un cookie « est un petit fichier stocké par un serveur dans le terminal (…) d’un utilisateur et associé à un domaine web (…) Ce fichier est automatiquement renvoyé lors de contacts ultérieurs avec le même domaine » [4]. Il permet notamment à des tiers de collecter des informations sur les utilisateurs, principalement à des fins publicitaires.

Si cette pratique est légale elle est étroitement encadrée par les textes. Plus précisément, l’article 82 de la loi « informatique et libertés » prévoit que tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète à la fois de la finalité de l’utilisation des cookies et des moyens dont il dispose pour s’y opposer.

Saisi d’un recours dirigé contre la délibération du 7 décembre 2020, le Conseil d’État reconnait dans un premier temps la compétence de la CNIL en matière de dépôt de cookies y compris lorsqu’est en cause un traitement de données transfrontalier (A), avant de confirmer la sanction infligée à Google en raison du manquement à l’obligation d’information préalable des utilisateurs (B).

A. La CNIL est compétente en matière de dépôt de cookies lorsqu’est en cause un traitement de données transfrontalier

En principe, en application de l’article 56 du RGPD, concernant un traitement de données transfrontalier, c’est « l’autorité de contrôle de l’établissement principal ou de l’établissement unique du responsable du traitement ou du sous-traitant » qui est compétente pour agir « en tant qu’autorité de contrôle chef de file ». Les sociétés Google LLC et Google Ireland Limited ayant leur siège en Irlande, c’est donc a priori l’autorité de protection des données irlandaise qui devrait être compétente.

Le Conseil d’État confirme toutefois la compétence de la CNIL pour prendre des sanctions sur le dépôt de cookies en dehors du mécanisme de guichet unique. En effet, le système du guichet unique prévu par le RGPD n’est pas applicable en matière de dépôts de cookies. C’est donc aux Etats membres qu’il appartient de déterminer leurs règles de compétence en matière de sanction comme le précise l’article 5 bis de la Directive 2002/58/CE du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) N° Lexbase : L6515A43, dite « vie privée et communications électroniques », qui prévoit un régime juridique particulier pour les cookies. C’est cette interprétation qui a été retenue par la Cour de justice dans ses arrêts « Bundesverband der Verbraucherzentralen und Verbraucherverbände Verbraucherzentrale Bundesverband eV/Planet49 GmbH » du 1^er octobre 2019 [5]  et « Facebook Ireland Ltd e.a. » du 15 juin 2021 [6] qui est ici retenue par le Conseil d’État. Or, d’après la loi française, c’est bien la CNIL qui est compétente pour connaître des violations du RGPD et de loi « informatique et libertés », y compris celles concernant l’article 82 de cette loi, relatif au dépôt de cookies.

B. La sanction d’un manquement à l’information préalable des utilisateurs

Sur le fond, le Conseil d’État confirme les trois violations à l’article 82 de la loi « Informatique et Libertés » qui avaient été sanctionnées par la CNIL : le dépôt de cookies sans consentement préalable de l’utilisateur, le défaut d’information de l’utilisateur et la défaillance partielle du mécanisme proposé pour refuser les cookies.

Contrairement à ce qu’affirmait la société Google, les cookies avaient bien un objet exclusivement publicitaire et leur dépôt était donc bien soumis à l’obligation d’information préalable.

Antérieurement à la mise en œuvre de la procédure de sanction, la CNIL avait constaté que lorsqu’un utilisateur se rendait sur la page « google.fr », sept cookies étaient automatiquement déposés sur son terminal, sans action de sa part, dès son arrivée sur le site. L’information était seulement accessible en cliquant sur une mention présente dans un bandeau d'informations en pied de page, puis en faisant défiler la fenêtre sans cliquer sur cinq liens hypertextes thématiques figurant dans le contenu, pour enfin cliquer sur un bouton « autres options » qui contenait l'information.

Postérieurement à l’engagement de la procédure de sanction, les sociétés requérantes avaient mis à jour leur système, de telle sorte que, depuis le 10 septembre 2020, l'utilisateur arrivant sur la page « google.fr » voyant désormais s’afficher, au milieu de son écran avant de pouvoir accéder au moteur de recherche, une fenêtre surgissante intitulée « Avant de continuer », qui contient une information préalable sur l’utilisation de cookies par Google et comporte deux boutons intitulés « Plus d’informations » et « J’accepte ».  Toutefois, pour le Conseil d’État, « les indications ainsi fournies n’informent pas directement et explicitement l’utilisateur sur les finalités des cookies et les moyens de s’y opposer ».

Les juges considèrent enfin que mesures prononcées par la CNIL étaient suffisamment proportionnées eu égard à « la part de marché supérieure à 90 % représentée par le moteur de recherche de Google, avec une estimation de 47 millions d'utilisateurs en France, ainsi que des bénéfices particulièrement importants produits par le segment de la publicité ciblée en ligne permise par les données collectées par le recours aux cookies ».

Notons que les difficultés google n’étaient pas terminées, la CNIL ayant prononcé une nouvelle sanction à l’encontre de cette entreprise le 31 décembre 2021, portant non plus sur l'information des personnes mais sur la façon dont leur consentement est recueilli.

Ces différentes décisions ont fini par faire réagir google qui a annoncé en avril 2022 de nouvelles options de consentement relatif aux cookies en Europe. Les utilisateurs ont désormais le choix entre deux boutons : « Tout accepter » ou « Tout refuser », qui sont désormais clairement affichés. Un troisième bouton « Plus d’options » permet de personnaliser le choix des cookies.

Enfin, on relèvera que dans un arrêt du 27 juin 2002  [7], le Conseil d’État a rappelé que la CNIL était compétente pour sanctionner les manquements à l’article 82 de la loi « Informatique et Libertés », même dans le cas où le responsable de traitement n’est pas en établi en France, mais qu’il dispose sur le territoire français d’un établissement impliqué dans les activités liées au traitement effectué. Il s’agissait dans cette dernière affaire de la promotion et la commercialisation d’outils publicitaires par la société Amazon Online France.

III. Recours obligatoire aux téléservices et accès aux services publics (CE, 3 juin 2022, n°s 452798, 452806 et 454716 N° Lexbase : A99817YC ; CE, avis, 3 juin 2022, n°s 461694, 461695 et 461922 N° Lexbase : A05907ZU)

Dans un contexte de dématérialisation massive, le Conseil d’État a été amené à se prononcer, dans une décision et un avis du 3 juin 2022, sur la question de savoir s’il était légal d’imposer aux usagers d’accomplir des démarches administratives en ligne, plus précisément dans le domaine de la délivrance des titres de séjour.

Cette question se pose de deux points de vue différents.

Tout d’abord, de leur propre initiative, un certain nombre de préfectures ont organisé des téléservices rendant obligatoire, pour certaines demandes de titres de séjour, la saisine de l’administration par voie électronique pour obtenir un rendez-vous ou déposer la demande. C’est la légalité de ces initiatives qui fait l’objet d’une demande d’avis au Conseil d’État, conformément à l’article L. 113-1 du Code de justice administrative N° Lexbase : L2626ALT.

Ensuite, le décret n° 2021-313 du 24 mars 2021, relatif à la mise en place d'un téléservice pour le dépôt des demandes de titres de séjour N° Lexbase : L7980L3X, et son arrêté d’application du 27 avril 2021 N° Lexbase : Z08816UE ont voulu donner une base juridique plus solide à ces initiatives en mettant en place un téléservice dénommé « Administration numérique pour les étrangers en France » (ANEF) pour la délivrance de certains titres de séjour. Ce décret fait l’objet d’un recours pour excès de pouvoir de plusieurs associations.

Ce qui est au centre de l’avis et de la décision du Conseil d’État c’est la question de l’accès aux services publics. Certes, cet accès est censé être facilité par la dématérialisation, laquelle doit éviter les longues files d’attente devant les services des préfectures. Toutefois, s’agissant de publics souvent en situation de précarité et parfois ne maîtrisant ni l’outil informatique, ni la langue française, le recours au tout informatique peut constituer un obstacle rédhibitoire, comme cela a pu être constaté à deux reprises par le Défenseur des droits [8].  Que ce soit dans son avis ou dans son arrêt du 3 juin 2022, le Conseil d’État se montre favorable à l’émergence de ces procédures dématérialisées, en posant toutefois un certain nombre de garde-fous garantissant un accès effectif aux services publics

1. Un chef de service peut mettre en place un téléservice

L’intérêt de cette question, abordée par l’avis de 3 juin 2022, peut paraître très relatif, les initiatives des préfets en matière de dématérialisation de la procédure de délivrance de titres de séjours étant désormais encadrée par le décret et l’arrêté susvisés du 24 mars 2021. En réalité, toutefois, les enseignements que l’on peut tirer de cet avis sont transposables à l’ensemble des administrations pour lesquelles aucun texte n’organise de téléservices.

La  première question qui se posait ici consistait à déterminer si les initiatives préfectorales dans le domaine de la dématérialisation d’une partie de la procédure de délivrance des titres de séjour pouvaient être regardées comme aboutissant à la mise en place d’un téléservice au sens de l’ordonnance n° 2005-1516 du 8 décembre 2005, relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives N° Lexbase : L4696HDB, l’article 1, II, 4° de ce texte définissant comme téléservice « tout système d’information permettant aux usagers de procéder par voie électronique à des démarches ou formalités administratives ». Or, comme on l’a mentionné, il ne s’agit pas ici de délivrer un titre de séjour par voie dématérialisée, mais exclusivement de permettre la prise d’un rendez-vous ou de déposer certaines pièces justificatives. Prônant une interprétation particulièrement souple de ces dispositions le Conseil d’État considère toutefois que doit être regardé comme un téléservice au sens de cette ordonnance, non seulement un système permettant à un usager de procéder par voie électronique à l’intégralité d’une démarche ou formalité administrative, mais aussi un système destiné à recevoir, par voie électronique et dans le cadre d’une telle démarche ou formalité, une demande de rendez-vous ou un dépôt de pièces ».

La seconde question consistait à déterminer si l’instauration d’un téléservice par certaines préfectures entrait dans le cadre légal défini par l’article L. 112-8 du Code des relations entre le public et l’administration N° Lexbase : L1776KN4, qui appréhende cette question uniquement du point de vue du droit des administrés à saisir l’administration par voie électronique. L’article L. 112-10 du même code N° Lexbase : L5051LAC prévoit que ce droit peut être écarté « par décret en Conseil d’État, pour des motifs d’ordre public, de défense et de sécurité nationale, de bonne administration ou lorsque la présence personnelle du demandeur apparaît nécessaire ». Or, précisément, le décret n° 2015-1423 du 5 novembre 2015, relatif aux exceptions à l’application du droit des usagers de saisir l’administration par voie électronique N° Lexbase : L2422KQR, prévoyait, dans sa rédaction initiale, que les dispositions des articles L. 112-8 N° Lexbase : L1776KN4 et L. 112-9 N° Lexbase : L1777KN7 du même code ne s’appliquaient pas aux démarches ayant pour objet les documents de séjour et titres de voyage. Ceci s’explique principalement par le fait que l’article R. 311-1 du Code de l’entrée et du séjour des étrangers et du droit d’asile N° Lexbase : L4509LZZ prévoyait que « tout étranger (…) qui sollicite un titre de séjour (…) est tenu de se présenter » devant les services compétents.

Dans le silence des textes, le Conseil d’État décide de recourir à la célèbre jurisprudence « Jamart » [9] relative au pouvoir réglementaire autonome des chefs de service pour considérer que ces dispositions « n’ont pas elles-mêmes, ni pour objet, ni pour effet, d’interdire à l’administration de mettre des téléservices à la disposition des usagers pour les démarches administratives qui sont exclues de ce droit ». Les préfets n’ont toutefois pas la possibilité de déroger à l’obligation de présentation personnelle figurant dans le Code de l’entrée et du séjour des étrangers et du droit d’asile : avant l’intervention du décret du 24 mars 2021, l’enregistrement de la demande ne pouvait donc pas être dématérialisée, ce processus devant être réservé aux démarches préalables à cet enregistrement.

2. Un chef de service ne peut pas rendre obligatoire le recours à un téléservice

Si les préfets peuvent donc, sans y être habilités par un texte, créer un téléservice destiné à la prise de rendez-vous et au dépôt de pièces en vue de la présentation d’une demande de titres de séjour, le Conseil d’État estime qu’ils n’ont pas la possibilité de rendre obligatoire son usage.

La juridiction administrative suprême précise ici que « avant l’entrée en vigueur du décret du 24 mars 2021, les préfets ne tenaient pas de leurs pouvoirs d’organisation du service la compétence pour rendre l’emploi des téléservices obligatoire ».

3. Le pouvoir réglementaire peut rendre obligatoire le recours à un téléservice

Il convenait alors de déterminer si le pouvoir réglementaire pouvait lui-même mettre en place un téléservice obligatoire, comme il l’a fait par le décret du 24 mars 2021.

Ce décret prévoit en effet une exception à la règle de la présentation personnelle en préfecture, l’article R. 431-2 du Code de l’entrée et du séjour des étrangers et du droit d’asile N° Lexbase : L8257L39 précisant désormais que « la demande d’un titre de séjour figurant sur une liste fixée par arrêté du ministre chargé de l’immigration s’effectue au moyen d’un téléservice ». Concrètement, cela implique non pas le droit mais l’obligation pour les usagers d’utiliser ce téléservice.

Il résulte de la jurisprudence du Conseil constitutionnel que l’édiction de nouvelles règles de procédure administrative relève de la compétence du pouvoir réglementaire [10]. S’inspirant de cette jurisprudence, le Conseil d’État décide, dans sa décision du 3 juin 2022, que l’obligation de recourir à un téléservice pour accomplir une démarche administrative « n’a pas pour effet de modifier les conditions légales auxquelles est subordonnée (la) délivrance » de l’autorisation de séjour et « ne met pas en cause, par elle-même, les règles concernant les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques  non plus qu'aucune autre règle ou aucun autre principe dont l’article 34 ou d'autres dispositions de la Constitution prévoient qu’ils relèvent du domaine de la loi ».

Quant aux dispositions des articles L. 112-8 à L. 112-10 du Code des relations entre le public et l’administration, si elles créent un droit, pour les usagers, de saisir l’administration par voie électronique, sans le leur imposer « elles ne font cependant pas obstacle à ce que le pouvoir réglementaire édicte une obligation d’accomplir des démarches administratives par la voie d'un téléservice ».

Le Conseil d’État énonce ensuite que « ni les principes d’égalité devant la loi, d’égalité devant le service public et de continuité du service public, ni le droit à la compensation du handicap énoncé par l'article L. 114-1-1 du Code de l’action sociale et des familles N° Lexbase : L4905LWL, ni le principe de non-discrimination reconnu par l'article 14 de la CESDH N° Lexbase : L4747AQU, ni, en tout état de cause, les autres droits garantis par la même convention, l'article 9 de la Convention des Nations Unies relative aux droits des personnes handicapées N° Lexbase : L1043LIH ou la loi n° 2008-496 27 mai 2008, portant diverses dispositions d’adaptation du droit communautaire dans le domaine de la lutte contre les discriminations N° Lexbase : L8986H39, ne font obstacle, par principe, à ce que soit rendu obligatoire le recours à un téléservice pour accomplir une démarche administrative, et notamment pour demander la délivrance d'une autorisation ».

Si cela n’apparaît pas expressément dans la décision du 3 juin 2022, c’est bien le principe de mutabilité - ou d’adaptabilité - du service public qui sous-tend le raisonnement du Conseil d’État. Ce principe suppose que le régime des services publics doit pouvoir être adapté en fonction des évolutions techniques, des besoins sociaux et des exigences de l’intérêt général. Même s’il n’est pas expressément mentionné, c’est déjà ce principe qui inspire le Conseil d’État dans le célèbre arrêt du 10 janvier 1902 [11] « Compagnie nouvelle de gaz de Déville-lès-Rouen ». Dans cette affaire, la juridiction administrative suprême admet que l’administration peut procéder à la modification unilatérale d’un contrat lui permettant de demander à son cocontractant, qui utilisait le gaz pour assurer l’éclairage public, à recourir désormais à l’électricité.  Mais si les usagers ne peuvent pas non plus s’opposer aux évolutions concerner le fonctionnement des services publics, ces évolutions, comme le précise le Conseil d’État dans un arrêt « Vincent » du 25 juin 1969 [12], ne doivent pas avoir « pour effet de limiter dans des conditions anormales le droit d’accès des usagers au service public ». 

4. L’obligation de recourir à un téléservice n’est possible « qu’à la condition de permettre l’accès normal des usagers au service public et de garantir aux personnes concernées l’exercice effectif de leurs droits »

Si l’administration peut aménager l’accès aux services publics, les évolutions qu’elle met en œuvre ne sauraient répondre qu’à sa seule convenance et avoir pour effet d’en limiter l’accès. Ainsi, dans sa décision du 3 juin 2022, le Conseil d’État énonce que le pouvoir réglementaire ne peut édicter une obligation de recourir à un téléservice « qu’à la condition de permettre l’accès normal des usagers au service public et de garantir aux personnes concernées l’exercice effectif de leurs droits ». Il doit pour cela tenir compte « de l’objet du service, de la complexité des démarches (…) et de leurs conséquences pour les intéressés, des caractéristiques de l’outil numérique (…) ainsi que de celles du public concerné, notamment (…) de ses difficultés dans l’accès aux services en ligne ou dans leur maniement ».  Ici c’est la prise en compte du « public concerné » qui est susceptible de générer des difficultés, pour des raisons de compétence linguistique, mais également de compétence en matière d’outils numériques, ce qui renvoie à la notion récente « d’illettrisme électronique » ou en encore « d’illectronisme » [13] qui concerne 17 % de la population, soit près de 13 millions de personnes en France, selon une étude récente de la Défenseure des droits [14].

Il existe donc une gradation dans les mesures que doit prendre l’autorité compétente lorsqu’elle met en place un téléservice en vue de garantir à tous un accès au service public. Dans certains cas, le téléservice peut être obligatoire, et cela sans qu’aucune alternative ne soit aménagée, parce que le public concerné est censé être rompu à l’outil informatique. À titre d’exemple, l’article D. 612-1 du Code de l’éducation N° Lexbase : L3072LWP précise que « la procédure nationale de préinscription dans une formation initiale du premier cycle de l’enseignement supérieur (…) est dématérialisée et gérée par un téléservice national, dénommé Parcoursup, placé sous la responsabilité du ministre chargé de l’enseignement supérieur ». Dans d’autres cas, le recours au téléservice est obligatoire, mais des aménagements sont prévus. Ainsi, par exemple, l’article R. 5411-2 du Code du travail N° Lexbase : L9335KLC précise que si « l’inscription sur la liste des demandeurs d’emploi est faite par voie électronique auprès de Pôle emploi (…) À défaut de parvenir à s'inscrire lui-même par voie électronique, le travailleur recherchant un emploi peut procéder à cette inscription dans les services de Pôle emploi, également par voie électronique, et bénéficier le cas échéant de l’assistance du personnel de Pôle emploi ». Enfin, dans d’autres hypothèses, une alternative physique à la dématérialisation est prévue. C’est le cas, par exemple, en matière d’impôt sur le revenu, conformément à l’article l 1649 quater B quinquies du Code général des impôts N° Lexbase : L6955LL8, lorsque le contribuable n’a pas accès à une connexion internet.

Au cas d’espèce, les juges relèvent que si le nouvel article R. 431-2 du Code de l’entrée et du séjour des étrangers et du droit d'asile prévoit un accueil et un accompagnement des demandeurs de titre de séjour leur permettant d’accomplir les formalités exigées, il ne prévoit pas de « solution de substitution destinée, par exception, à répondre au cas où, alors même que l’étranger aurait préalablement accompli toutes les diligences qui lui incombent et aurait notamment fait appel au dispositif d’accueil et d’accompagnement prévu, il se trouverait dans l’impossibilité d’utiliser le téléservice pour des raisons tenant à la conception de cet outil ou à son mode de fonctionnement » En outre, l’arrêté du 27 avril 2021 également attaqué ne prévoit aucune modalité d’accueil et d’accompagnement, celles-ci ne figurant que dans une circulaire ultérieurement publiée le 20 août 2021. L’accès au service public des usagers n’étant pas suffisamment garanti, les dispositions susvisées sont annulées par le Conseil d’État.

IV. Position de la CNIL sur le déploiement des caméras « augmentées » dans l’espace public (Caméras dites « intelligentes » ou « augmentées » dans les espaces publics, Position sur les conditions de déploiement, 19 juillet 2022)

Depuis quelques années, les caméras dites « augmentées » ou « intelligentes » sont de plus en plus présentes dans l’espace public. Il s’agit de dispositifs « constitués de logiciels de traitements automatisés d’images associés à des caméras » qui « permettent d’extraire diverses informations à partir de flux vidéo qui en sont issus ». Elles sont donc plus performantes que les caméras biométriques qui permettent seulement la reconnaissance faciale et donc l’identification ou l’authentification d’une personne de manière unique, par comparaison avec un gabarit filmé ou existant. Elles permettent en effet, sans identifier une personne de manière unique, de repérer des comportements considérés comme « suspects » pouvant laisser présumer une infraction passée ou imminente, résultant par exemple d’attroupements ou de mouvements rapides d’individus dans un lieu donné. Les personnes peuvent ainsi être analysées de manière automatisée, en temps réel, afin de collecter certaines informations les concernant, ce qui peut donner lieu à un traitement massif de données à caractère personnelles, et cela sans que les personnes concernées n’aient donné leur consentement. Elles représentent en conséquence un risque accru de surveillance généralisée des personnes par une analyse généralisée de leurs comportements.

À l’issue d’une consultation publique, la CNIL a publié sa position sur les conditions de déploiement des dispositifs de vidéo « augmentée » dans les lieux ouverts au public.

Elle pointe d’abord l’insuffisance du cadre législatif et réglementaire actuel, les dispositions du Code de la sécurité intérieure visant les dispositifs de télésurveillance n’étant pas adaptés à ces nouvelles technologies.

Mais si les textes sont donc inadaptés, ils n’interdisent pas pour autant le recours aux caméras augmentées.

Toutefois, la CNIL appelle les pouvoirs publics à une vigilance sur trois points.

Tout d’abord, ces nouveaux dispositifs, parce qu’ils captent et analysent des données, en particulier des images qui permettent d’identifier des personnes, doivent impérativement respecter les grands principes de la réglementation protégeant les données personnelles. Ceci implique d’abord, conformément à l’article 5.1.b du RGPD, que les responsables doivent avant tout déploiement de ce type de dispositif avoir clairement défini les finalités poursuivies, qui devront être déterminées, explicites et légitimes.  Ensuite, la base légale permettant de fonder le traitement de données devra être déterminée, au cas par cas, dans les conditions prévues à l’article 6 du RGPD. La base légale de l’intérêt légitime du responsable de traitement ne pourra être retenue que sous réserve de la justification du respect des conditions suivantes : légitimité de l’intérêt poursuivi par le responsable de traitement ; nécessité du traitement de données envisagé pour répondre à cet intérêt légitime ; absence d’atteinte disproportionnée aux intérêts et droits des personnes concernées compte tenu de leurs attentes raisonnables à l’égard de ce traitement. Plus généralement, le responsable du traitement devra faire, au préalable, une démonstration de la proportionnalité (c’est-à-dire des conditions de mise en œuvre du dispositif par rapport aux objectifs poursuivis) du dispositif envisagé. Sur ce point - particulièrement sensible - la CNIL indique que des mécanismes effectifs de protection des données et de la vie privée dès la conception (privacy by design) devront être mis en œuvre pour permettre de réduire les risques pour les personnes concernées. Elles pourraient consister, par exemple, à intégrer des mesures permettant la suppression quasi-immédiate des images sources ou la production d’informations anonymes.

Ensuite, un encadrement législatif est nécessaire concernant les dispositifs les plus intrusifs, c’est-à-dire ceux qui impactent le plus l’exercice des droits et libertés fondamentaux des personnes.  Dans le silence de la loi, ni les services de police, ni les collectivités territoriales ne sont habilités à brancher sur les caméras de vidéoprotection des dispositifs d’analyse automatique permettant de repérer des comportements contraires à l’ordre public ou des infractions.

Enfin, les personnes filmées et analysées par les dispositifs de caméras « augmentées » disposent de droits reconnus par la réglementation sur la protection des données, notamment du droit à l’information et du droit de s’opposer au traitement mis en œuvre. Or, ce dernier droit ne peut en principe être mise en œuvre, l’analyse des images se faisant de façon instantanée et celles-ci n’étant pas conservées.

Pour la CNIL, une telle limitation des droits des personnes n’est possible que dans deux cas de figure : le traitement impliqué par le dispositif de vidéo « augmentée » poursuit une finalité statistique au sens du RGPD  ; le droit d’opposition est écarté, sur le fondement de l’article 23 du RGPD, par un texte spécifique qui devra acter la légitimité et la proportionnalité du traitement opéré au regard de l’objectif poursuivi, la nécessité d’exclure la faculté pour les personnes de s’y opposer, tout en fixant des garanties appropriées au bénéfice de ces dernières.

En conséquence, « dans de nombreux cas, il sera donc nécessaire que des textes, réglementaires ou législatifs, autorisent l’usage des caméras augmentées dans l’espace public. Cette analyse juridique rejoint la nécessité politique pour la puissance publique de tracer la ligne, au-delà du « techniquement faisable, entre ce qu’il est souhaitable de faire d’un point de vue éthique et social et ce qui ne l’est pas dans une société démocratique ».

V. Reconnaissance faciale : sanction de 20 millions d’euros à l’encontre de CLEARVIEW AI (CNIL, délibération n° SAN-2022-019 du 17 octobre 2022 [LXB=X7540CNL])

Clearview AI est une société américaine qui a créé un logiciel de reconnaissance faciale basé sur une technologie permettant de rechercher un visage parmi une base de données de plus de vingt milliards d’images. Ces images sont obtenues par « web scraping » ou « harvesting », c’est-à-dire par extraction du contenu de sites web en vue de le transformer pour permettre son utilisation dans un autre contexte [15]. Concrètement, la société a créé un moteur de recherche permettant de rechercher un individu grâce à sa photographie, ce qui peut être utile notamment pour l’identification par les forces de l’ordre des auteurs ou des victimes d’infraction. Pour ce faire, est constitué un « gabarit biométrique », c’est-à-dire une représentation numérique des caractéristiques physiques du visage des personnes. Au sens du RGPD, il s’agit ici de données sensibles dès lors qu’elles sont liées à l’identité physique d’une personne et qu’elles permettent son identification. Or - cela relève de l’évidence – la très grande majorité des personnes dont les images sont utilisées ignorent être concernées par ce dispositif.

Plusieurs particuliers, mais également l’association Privacy International ont alerté la CNIL sur les pratiques de la société CLEARVIEW AI.

Les investigations menées par la CNIL ont permis de constater deux manquements au RGPD :

- une violation de l’article 6 en raison de la mise en place d’un traitement illicite de données personnelles, la collecte et l’utilisation des données biométriques n’ayant pas de base légale ;

- et une violation des articles 12, 15 et 17 en raison d’une absence de prise en compte satisfaisante et effective des droits des personnes.

En conséquence, le 26 novembre 2021, la présidente de la CNIL a demandé à la société de cesser la collecte et l’usage des données de personnes se trouvant sur le territoire français en l’absence de base légale, de faciliter l’exercice des droits des personnes concernées et de faire droit aux demandes d’accès et d’effacement formulées.

La société CLEARVIEW AI n’ayant pas apporté de réponse dans le délai de deux mois qui lui était imparti, la présidente de la CNIL a décidé de saisir la formation restreinte qui a prononcé la sanction pécuniaire maximale prévue par l’article 83 du RGPD, soit 20 millions d’euros. En raison des risques très importants pour les droits fondamentaux des personnes elle a également enjoint à CLEARVIEW AI de ne pas procéder, sans base légale, à la collecte et au traitement de données des personnes se trouvant en France et de supprimer les données de ces personnes qu’elle a déjà collectées, dans un délai de deux mois. Cette injonction est assortie d’une astreinte de 100 000 euros par jour de retard au-delà de ce délai

© Reproduction interdite, sauf autorisation écrite préalable