AMENDEMENT

I. Alinéa 2

1° Après la référence :

I. –

insérer les mots :

À titre expérimental et jusqu'au 1^er janvier 2026,

2° remplacer les mots

Afin de permettre la réponse

par les mots :

aux seules fins de répondre

3° remplacer les mots :

destinées à faciliter la sélection et l’exportation des images requises vers le service requérant

par les mots

pour extraire et exporter les images ainsi réquisitionnées

II. – Alinéa 3

Remplacer la référence :

L. 252-1 du code de la sécurité intérieure

par la référence :

L. 1632-1 du code des transports

II. - Alinéa 4

Supprimer la dernière phrase

III. - Alinéas 5 à 7

Remplacer ces alinéas par vingt-et-un alinéas ainsi rédigés :

« IV. - Les traitements mentionnés au I du présent article, y compris pendant leur conception, sont régis par les dispositions applicables du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) et de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

« V. - Les traitements mentionnés au I du présent article n'utilisent aucun système d'identification biométrique, ne traitent aucune donnée biométrique et ne mettent en œuvre aucune technique de reconnaissance faciale. Ils ne peuvent procéder à aucun rapprochement, à aucune interconnexion ni à aucune mise en relation automatisée avec d'autres traitements de données à caractère personnel. Ils ne peuvent procéder à une sélection automatisée et systématique d’images ni fonder, par eux-mêmes, aucune décision individuelle ni aucun acte de poursuite. Ils demeurent en permanence sous le contrôle d’un agent de police judiciaire présent au sein du centre de traitement des enregistrements de vidéoprotection.

« VI. - Par dérogation à l'article 31 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, le recours à un traitement mentionné au I du présent article est autorisé par un décret pris après avis de la Commission nationale de l'informatique et des libertés. Le Gouvernement peut organiser une consultation publique sur internet dans le cadre de l'élaboration du décret. Ce décret fixe les caractéristiques essentielles du traitement. Il indique les éventuelles conditions de la participation financière à l'utilisation du traitement des services mentionnées au I et les conditions d'habilitation et de formation des agents pouvant accéder. Il désigne l'autorité chargée d'établir l'attestation de conformité mentionnée au dernier alinéa du VII.

« VII. - L'Etat assure le développement du traitement ainsi autorisé, en confie le développement à un tiers ou l'acquiert. Dans ces deux derniers cas, il veille à ce que le tiers qui va développer ou développe cette solution soit prioritairement une entreprise qui répond aux règles de sécurité définies par l'Agence nationale de la sécurité des systèmes d'information s'agissant du respect des exigences relatives à la cybersécurité. Dans tous les cas, le traitement doit satisfaire aux exigences suivantes, qui doivent pouvoir être vérifiées pendant toute la durée du fonctionnement du traitement :

« 1° Lorsque le traitement algorithmique employé repose sur un apprentissage, des garanties sont apportées afin que les données d'apprentissage, de validation et de test choisies soient pertinentes, adéquates et représentatives. Leur traitement doit être loyal et éthique, reposer sur des critères objectifs et permettre d'identifier et de prévenir l'occurrence de biais et d'erreurs. Ces données font l'objet de mesures de sécurisation appropriées ;

« 2° Le traitement permet des mesures de contrôle humain et un système de gestion des risques permettant de prévenir et de corriger la survenue de biais éventuels ou de mauvaises utilisations ;

« 3° Les modalités selon lesquelles, à tout instant, le traitement peut être interrompu sont précisées ;

« 4° Le traitement fait l'objet d'une phase de test conduite dans des conditions analogues à celles de son emploi autorisé par le décret mentionné au VI, attestée par un rapport de validation.

Lorsque le traitement est développé ou fourni par un tiers, celui-ci fournit une documentation technique complète et présente des garanties de compétence, de continuité, d'assistance et de contrôle humain en vue notamment de procéder à la correction d'erreurs ou de biais éventuels lors de sa mise en œuvre et de prévenir leur réitération. Il transmet également une déclaration, dont les modalités sont fixées par décret, des intérêts détenus à cette date et au cours des cinq dernières années.

« Dans le cadre du présent VII, la Commission nationale de l'informatique et des libertés exerce les missions prévues au 2° du I de l'article 8 de la loi n° 78-17 du 6 janvier 1978 précitée, en particulier en accompagnant les personnes chargées du développement du traitement.

« L'Agence nationale de la sécurité des systèmes d'information exerce, dans ce même cadre, ses missions s'agissant du respect des exigences relatives à la cybersécurité.

« Le respect des exigences énoncées au présent VII fait l'objet d'une attestation de conformité établie par l'autorité administrative compétente. Cette attestation est publiée avant que le traitement soit mis à la disposition des services mentionnés au I qui demandent l'autorisation de l'utiliser dans les conditions prévues au VIII.

« VIII. - L'emploi du traitement est autorisé par le représentant de l'Etat dans le département ou, à Paris, par le préfet de police. Cette autorisation peut être accordée uniquement lorsque le recours au traitement est proportionné à la finalité poursuivie.

« L'actualisation de l'analyse d'impact réalisée lors de l'autorisation du traitement par décret est adressée à la Commission nationale de l'informatique et des libertés. La décision d'autorisation est motivée et publiée. Elle précise :

« 1° Le responsable du traitement et les services associés à sa mise en œuvre ;

« 2° Le périmètre géographique concerné par la mise en œuvre du traitement dans les limites mentionnées au même I ;

« 3° La durée de l'autorisation.

« IX. - Le responsable du traitement mentionné au 1° du VII tient un registre des suites apportées aux extractions effectuées par le traitement ainsi que des personnes ayant accès aux traitements.

« X. - La Commission nationale de l'informatique et des libertés contrôle l'application du présent article. À cette fin, elle peut faire usage des prérogatives prévues aux sections 2 et 3 du chapitre II du titre Ier de la loi n° 78-17 du 6 janvier 1978 précitée.

« XI. – Le Parlement est informé tous les six mois des conditions de mise en œuvre de l'expérimentation mentionnée au I. Au plus tard six mois avant la fin de la durée mentionnée au I, le Gouvernement remet au Parlement un rapport d'évaluation de la mise en œuvre de l'expérimentation, dont le contenu est fixé par décret pris après avis de la Commission nationale de l'informatique et des libertés. Ce rapport évalue l’application des mesures prévues par le présent article et l’opportunité de les pérenniser ou de les modifier, notamment au vu de l’évolution des technologies en la matière. »

Cet amendement procède à plusieurs modifications afin de rendre expérimentale l’utilisation de traitements algorithmiques sur des images issues des caméras des opérateurs de transports aux fins de répondre plus efficacement à des réquisitions judiciaire et à mieux définir son champ.

À titre principal, est prévue une expérimentation de dix-huit mois en vue de l’utilisation de traitements de données aux seules fins d’extraire et d’exporter des images sollicitées dans le cadre de réquisitions judiciaires adressées à la SNCF et à la RATP, poursuivant l’unique objectif d’en raccourcir les délais de traitement et excluant ainsi toute délégation de compétence ou de mission de police judiciaire à ces agents. Au bénéfice des seules SNCF et RATP, les cas d’usage de cette expérimentation sont limitativement énumérés et restreints à l’extraction et l’exportation d’images issues des systèmes de vidéoprotection de ces entreprises, sous le contrôle permanent d’un agent de police judiciaire et en temps différé, à l’exclusion, contrairement à ce que prévoyait la rédaction initiale de la proposition de loi, de la sélection des images, compétence inhérente d’une mission de police judiciaire.

Une telle expérimentation serait, sur le modèle de celle existante pour le déploiement de vidéo intelligence augmentée dans le cadre de la sécurisation des Jeux olympiques et paralympiques, conduite par l’Etat, qui disposerait d’un monopole d’acquisition, encadré par des garanties quant au développement des logiciels utilisés, et devrait fixer les conditions d’utilisation et de formation à l’utilisation de tels traitements par lesdits agents de la SNCF et de la RATP.

Le présent amendement assortit par ailleurs le dispositif expérimental de garanties complémentaires, en particulier en excluant l’utilisation de données biométriques et en interdisant la mise en relation de ces traitements avec d’autres traitements existants afin d’encadrer l’utilisation de tels traitements et prévenir tout risque de détournement de ceux-ci.

Enfin, cette expérimentation serait placée sous le contrôle du Parlement, qui serait informé tous les six mois des mesures prises ou mises en œuvre par la SNCF et la RATP. Conformément au cadre expérimental prévu par l'article 37-1 de la Constitution, le Gouvernement devrait adresser au Parlement un rapport final évaluant l’application des mesures de la proposition de loi et l’opportunité de les pérenniser ou de les modifier, notamment compte tenu des évolutions technologiques. Le rapport devrait être rendu au plus tard six mois avant la fin de l'expérimentation afin que le Parlement puisse en tirer toutes les conséquences nécessaires. Parallèlement, la CNIL serait chargée du contrôle de l’application de ces dispositions et pourrait, dans ce cadre, faire usage de prérogatives renforcées de contrôle et de sanctions.