AVIS D’EXPERT JURIDIQUE – Alexandra Iteanu, Avocat à la Cour (Numérique, Cybersécurité et Data), livre un article juridique d’actualité concernant les Jeux Olympiques 2024 et l’avis de la CNIL au sujet du projet de loi qui l’encadre. Il dresse un état des lieux et donne également des conseils juridiques pour les entreprises prestataires qui souhaiteraient contribuer à l’organisation de ces JO.
Plus de 15 millions de visiteurs attendus en Ile-de-France, près de 600 000 spectateurs munis de billets, les Jeux Olympiques qui se tiennent à Paris du 26 juillet au 11 août 2024 vont rassembler un nombre record de sportifs, officiels, spectateurs, touristes… et immanquablement leurs données personnelles.
L’encadrement de l’évènement et la gestion des foules est en partie fondée sur un projet de loi relatif aux jeux Olympiques et Paralympiques de 2024, toujours en discussion.
La CNIL, autorité de contrôle chargée de veiller à la protection des données personnelles en France, a relevé plusieurs dispositions de ce projet de loi impactant directement les données à caractère personnel des visiteurs de l’évènement.
(1) La CNIL se prononce sur le projet de loi relatif au JO 2024.
Dans une délibération datant du 8 décembre 2022 [1], l’Autorité de contrôle liste les différentes situations organisées par ce projet de loi, et qui impactent fortement la vie privée des personnes concernées.
Parmi les cas de figure évoqués, on dénombre notamment la nécessaire mise en conformité du Code de la sécurité intérieur avec le règlement européen UE n°2016/679 dit RGPD (article 5 du projet de loi), la possibilité de mettre en place des scanners corporels à l’entrée des enceintes sportives (article 10 du même projet) ou encore l’autorisation de l’examen des caractéristiques génétiques des sportifs afin de lutter contre le dopage (article 4 du projet de loi).
Une mesure attire cependant tout particulièrement l’attention puisqu’elle risque d’impacter fortement un très grand nombre de personnes, et mérite que l’on s’y attarde : il s’agit du recours à des caméras dites augmentées pour assurer la sécurité des grands évènements.
(2) La mesure phare de ce projet de loi : le recours à des caméras dites « augmentées » pour assurer la sécurité des grands évènements et détecter/signaler en temps réels les situations susceptibles de menacer la sécurité des personnes.
Le projet de loi relatif aux jeux Olympiques et Paralympiques de 2024 prévoit en effet de modifier le Code de la sécurité intérieur, pour y intégrer la possibilité pour les autorités publiques de mettre en œuvre de systèmes de vidéoprotection ayant recours à des systèmes d’intelligence artificielle (IA) dénommée « caméras augmentées ».
Ces caméras ont pour unique mission de « détecter, en temps réel, des évènements prédéterminés susceptibles de révéler des risques ou de les signaler »[3], comme par exemple la détection de mouvement de foule.
Selon la CNIL, la mise en place par les autorités publiques de ces dispositifs, même à titre expérimental, constitue un véritable tournant pour la protection de la vie privée des personnes, et doit impérativement être encadrée et des limitées fixées.
La CNIL salue ainsi la mise en place dans ce projet de loi des mesures suivantes :
- un déploiement expérimental ;
- limité dans le temps et l’espace ;
- pour certaines finalités spécifiques et correspondant à des risques graves pour les personnes ;
- l’absence de traitement de données biométriques ;
- l’absence de rapprochement avec d’autres fichiers ;
- l’absence de décision automatique : les algorithmes ne servent qu’à signaler des situations potentiellement problématiques à des personnes qui procèdent ensuite à une analyse humaine.
(3) Mais attention aux chaines de sous-traitance et aux personnes autorisées à accéder.
Si les garde-fous instaurés par ce projet de loi peuvent être salués, leur mise en pratique devra être tout aussi surveillée.
Le recours à ces dispositifs de caméras augmentées et d’intelligence artificielle sera immanquablement confié à des prestataires externes (sous-traitants), experts dans ces domaines.
Comme pour toutes technologies innovantes, et au risque de perdre le contrôle sur ces dispositifs, il conviendra de porter une attention toute particulière sur ces prestataires externes, la description de leur technologie, mais aussi les éventuelles chaines de sous-traitance qu’elle implique.
En cybersécurité et d’autant plus dans le cadre de l’IA, le talon d’Achille des services publics est l’externalisation et le recours à des sous-traitants extérieurs qu’ils ne maitrisent pas, souvent considérés comme les maillons faibles de la chaine.
Une telle situation nécessite la mise en place d’accords de sous-traitance rigoureux et encadrés (conformément à l’article 28 du RGPD), d’une politique de sécurité précise (article 32 du RGPD), et d’audits réguliers chez ces sous-traitants. Car c’est en réalité ces derniers qui appliqueront la loi.
Ce sont ces pratiques de sécurité qui contribueront à définir le rôle général qui sera attribué à ces nouvelles innovations, et surtout à l’intelligence artificielle.
Par ailleurs, la gestion des droits des personnes disposant du droit d’accéder aux données collectées et produites par ces systèmes mis en place, devra également être contrôlées, car c’est aussi par la responsabilisation de ces ayants-droits, leur gestion, que le bât peut blesser.
Enfin, saluons également un nouveau dispositif mis en place par la CNIL, dit l’accompagnement renforcé. Les prestataires qui seront sélectionnés par les pouvoirs publics pour assurer cette gestion des foules, pourront et sans doute même devront, passer par un accompagnent dit renforcé de la CNIL, une sorte de contrôle permanent qui ne dit son nom, mais qui est de l’intérêt de tous y compris de ces prestataires qui vont passer un test en 2024, s’ils veulent pérenniser leurs offres.
Alexandra Iteanu, Avocat à la Cour
[1] Délibération 2022-118 du 8 décembre 2022
[2] Article 7 du projet de loi