Questions pour le conseil municipal du 24/09 : RGPD sur les caméras (suite)

Date : 22/09/2022

Sujet : une question préalable a été transmises au maire de Plougonvelin avant le conseil municipal du 24 septembre.

Nous avions fait parvenir au conseil municipal de mai une question préalable concernant les caméras de vidéoprotection de la commune. Suite à cette demande, le Maire nous a transmis les documents nécessaires et nous en avons fait l’analyse.

En synthèse,

nous avons été surpris par le nombre de caméras installées par la municipalité dans notre commune : au moins 38 et toutes ne semblent pas recensées, sans compter les caméras installées sous la responsabilité de tiers comme la CCPI.
Nous avons relevé qu’un arrêté préfectoral était probablement caduque.
Nous avons relevé qu’une caméra (rue Pen ar Bed) avait une base de licéité douteuse.
Quelques incohérences de forme ont été relevées.

Notre intervention à propos des caméras de la commune repose sur une réflexion générale concernant l’impact des nouvelles technologies sur nos libertés individuelles. Il nous paraît fondamental que le citoyen soit informé et comprenne ce qui se joue dernière des technologies qui paraissent dans un premier temps anodines et semblant aller dans le sens de la préservation de la sécurité. Il nous paraît tout aussi fondamental que les municipalités comprennent à quoi elles participent.

La cybersurveillance de l’espace public englobe un large spectre de possibilités qui va de la simple présence d’une caméra passive à des systèmes d’information complexes capables de contrôler chaque acte individuel, de profiler les gens, de tirer des conclusions (probables mais non certaines) aboutissant à des restrictions de droits et des pertes de chances (cf. le système de crédit social chinois).

En France la sensibilisation à ce sujet reste faible malgré des actions comme la plainte collective lancée par l’association La Quadrature Du Net contre le ministère de l’intérieur.

Aujourd’hui, à Plougonvelin nous sommes au stade le plus faible de cybersurveillance. D’autres villes françaises vont beaucoup plus loin sans pour autant toujours pouvoir justifier de bénéfices supérieurs aux coûts. Notre intervention en conseil municipal a pour but de susciter le débat et de provoquer la réflexion.

Bonne lecture

Question

Monsieur Le Maire,

Suite à notre demande en conseil municipal (cf. annexe I ci-jointe), le groupe Cap Plougonvelin a bien reçu les éléments demandés liés à la vidéoprotection communale à Plougonvelin. Après analyse, nous vous faisons parvenir par ce document nos remarques et analyses.

Nous demandons à ce que les éléments listés soient communiqués au prochain conseil municipal ; nous souhaitons savoir ce qui sera pris en compte et quelles corrections des éléments non-conformes ou problématiques seront apportés.

Nous souhaitons également disposer des éléments manquants.

Équipement

38 caméras sont identifiées dans le contrat de maintenance signé à la date du 30 juin 2022.
Les caméras de la mairie ne sont pas listées dans ce contrat.
Les caméras de la déchetterie ne sont pas listées dans ce contrat.
La caméra piéton autorisée par l’arrêté préfectoral du 25 oct. 2019 n’est pas listée dans ce contrat.
Il est possible que d’autres caméras manquent à l’inventaire.

Nous souhaitons avoir une liste complète et confirmée de toutes les caméras exploitées par la commune.

Arrêté préfectoral caduque

Nous avons constaté que l’arrêté préfectoral du 17 juin 2022 était rédigé d’une façon le rendant caduque. En effet il indique dans son article 1^er que « Monsieur Bernard Gouerec est autorisé à installer et exploiter un système de vidéoprotection… » or M. Gouerec n’étant plus maire de la commune, il nous semble que l’exploitation est de facto devenue impossible de façon légale.

Même en cas de problème sur les bâtiments, toute exploitation des images est donc susceptible d’être contestée et légalement rejetée, et le responsable des traitements pourrait même voir sa responsabilité engagée.

Ce constat a été fait pour la vidéoprotection des bâtiments de la mairie mais il est possible que tout ou partie des autres arrêtés préfectoraux puissent souffrir du même vice de rédaction. Par ailleurs, les autorisations sont données avec une limite de temps qu’il faut respecter pour ne pas être hors la loi.

Il apparaît nécessaire de vérifier la validité de la rédaction ainsi que les dates anniversaires des autorisations préfectorales de vidéoprotection.

En attendant nous demandons à ce que la vidéoprotection gérée par la commune soit suspendue de façon à éviter tout risque de poursuite.

Registre des traitements

On relève différents manques dans le registre des traitements.

Tout d’abord, la référence aux arrêtés préfectoraux n’est pas mentionnée pour la licéité du traitement. Ce ne serait pas un problème s’il n’y en n’avait qu’un mais puisqu’il y en a plusieurs, avec des rédactions différentes et des dates d’anniversaires différentes, cela pose un problème.

Le ou les contrats de sous-traitance ne sont pas non plus mentionnés. Le contrat de Voltstage paraît conforme du point de vue RGPD.

Le cas de la caméra « TiMadéo » listée dans le contrat de maintenance est particulièrement problématique. C’est en effet un lieu privé. Au sens juridique, il s’agit ici d’une vidéosurveillance et non d’une vidéoprotection. Ceci nous semble contradictoire avec les finalités et bases de licéité de la fiche de traitement. Par ailleurs, une demande d’installation de caméra a été refusée au propriétaire du restaurant par un arrêté préfectoral en date du 17/06/2022 pour cet établissement.

On peut s’interroger également sur l’usage de moyens communaux pour cette caméra.

Nous demandons des éclaircissements sur ce point et en cas de non-conformité l’arrêt de l’exploitation de cette caméra.

Données sensibles potentiellement captées par certaines caméras

La fiche de traitement ne fait pas mention de données à caractère personnel sensible au sens de l’article 9 du RGPD. Or il apparaît clairement que certaines caméras sont susceptibles de collecter des données à caractère personnel révélant la religion ou les opinions politiques.

C’est le cas pour les deux caméras place de l’église mais c’est également le cas pour toutes les caméras filmant les abords de salles où ont lieu des réunions à caractère politique.

Nous demandons à ce que l’étude d’impact soit clarifiée ce point pour garantir la conformité du traitement.

Étude d’impact

L’étude d’impact et la fiche de traitement mentionnent des durées de rétention de 30 jours. Au moins un décret (celui des caméras de la mairie) fixe le délai à 15 jours et celui du policier municipal le fixe à 6 mois (ce qui nous paraît d’ailleurs excessif et préjudiciable pour les libertés individuelles).

Ce n’est donc pas conforme aux bases légales. Il faut corriger ces points.

Nous approuvons les recommandations faites par le DPD/DPO sur l’information aux personnes.

Concernant les transferts, nous tenons à rappeler que les avis et décisions des autorités de contrôle, dont la CNIL en France, et la cour européenne de justice sont clairs : l’usage de service dans le nuage informatique appartenant à des sociétés de droit américain est prohibé. Il n’est pas possible d’y déroger dans un cas aussi sensible que la vidéoprotection. L’usage de GSuite doit donc être traité en priorité.

À la lumière des éléments relevés ici et des récentes actions de la CNIL envers des communes ayant recours à la vidéoprotection, nous contestons l’avis du DPD/DPO à propos de l’avis des personnes concernées (p. 5 du PIA). Il nous semble qu’a minima l’avis du conseil municipal doit être demandé. Comme le note d’ailleurs lui-même le DPD/DPO dans la justification de la validation : « le traitement relève d’une décision politique ».

Enfin les scénarios de risques et de conséquences nous semblent perfectibles en particulier en matière de risque politique.

Annexe (question d’avril )

La vidéosurveillance est un sujet sensible pour la CNIL car elle touche directement et profondément aux libertés individuelles. Cap Plougonvelin est également particulièrement vigilent sur ce sujet et c’est pourquoi nous souhaitons interroger le conseil sur le déploiement et l’usage de la vidéoprotection municipale.

Après Valenciennes en février 2020, la CNIL a adressé le 23 décembre 2021 une mise en demeure à une autre commune pour non conformité vis-à-vis de la loi Informatiques & Liberté / RGPD pour des raisons d’inexactitude des données (art. 4 I&L), de durée incorrecte de conservation des données (RGPD art. 87), d’information insuffisante (art. 104 I&L), de défaut de sécurité et de respect insuffisant des principes de privacy by design / by default (art. 99 et 101 I&L) ou encore de non respect de l’obligation à l’inscription au registre des traitements (art. 100 I&L).

L’usage des caméras de cette commune manquait également aux dispositions de l’article L. 251-3 du code de la sécurité intérieure car l’intérieur d’immeubles d’habitation était visible.

L’absence d’analyse d’impact a également été reprochée à la commune.

Nos questions sont les suivantes :

le délégué à la protection des données personnelles mandaté par la commune a-t-il un volet suffisant de jours pour mener correctement sa mission (combien de jours par an) ?
Le traitement de vidéosurveillance figure-t-il bien au registre des traitements ? Nous souhaitons en avoir une copie.
L’affichage est-il jugé suffisant / conforme par le délégué à la protection des données autour des zones surveillées ? Dans les salles communales ? Sur la voie publique ? Nos souhaitons avoir copie de son avis.
Les contrats de sous-traitance incluant de la vidéosurveillance ont-il été vérifiés et validés du point de vue RGPD ?
L’étude d’impact obligatoire a-t-elle été réalisée ? Nous souhaitons en avoir une copie.

Textes de référence :