|
|
|
|
|
I. – Après l’article L. 251-1 du code de la sécurité intérieure, il est inséré un article L. 251-1-1 ainsi rédigé :
|
|
|
« Art. L. 251-1-1. – I. – Afin de protéger la sécurité des personnes et des biens et de prévenir toute atteinte à l’ordre public, les images collectées au moyen de systèmes de vidéoprotection autorisés en application de l’article L. 252-1 peuvent faire l’objet de traitements comprenant un système d’intelligence artificielle.
|
|
|
« Ces traitements sont strictement nécessaires et proportionnés et ont pour unique objet de détecter, en temps réel, des événements prédéterminés susceptibles de présenter ou de révéler des risques d’atteinte à la sécurité des personnes et des biens et à l’ordre public et de les signaler en vue de la mise en œuvre des mesures nécessaires, par les services de la police et de la gendarmerie nationales, les services d’incendie et de secours, les services de police municipale et les services internes de sécurité de la société nationale SNCF et de la Régie autonome des transports parisiens.
|
|
|
« II. – Les traitements mentionnés au I sont régis par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) et la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
|
|
|
« III. – Les traitements mentionnés au I du présent article n’utilisent aucun système d’identification biométrique, ne traitent aucune donnée biométrique et ne mettent en œuvre aucune technique de reconnaissance faciale. Ils ne peuvent procéder à aucun rapprochement, interconnexion ou mise en relation automatisée avec d’autres traitements de données à caractère personnel.
|
|
|
« Ils procèdent exclusivement à un signalement d’attention, strictement limité à l’indication du ou des événements prédéterminés qu’ils ont été programmés pour détecter. Ils ne produisent aucun autre résultat et ne peuvent fonder, par eux-mêmes, aucune décision individuelle, ni aucun acte de poursuite.
|
|
|
« Ils demeurent en permanence sous le contrôle des personnes chargées de leur mise en œuvre.
|
|
|
« IV. – Le recours à un traitement mentionné au I est, par dérogation à l’article 31 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, autorisé par un décret pris après avis de la Commission nationale de l’informatique et des libertés.
|
|
|
« Ce décret fixe les caractéristiques essentielles du traitement. Il indique notamment les événements prédéterminés que le traitement a pour objet de signaler et, le cas échéant, les spécificités des situations justifiant son emploi, les services mentionnés au second alinéa du I du présent article susceptibles de le mettre en œuvre, les éventuelles conditions de leur participation financière à son utilisation et les conditions d’habilitation des agents pouvant accéder à ses résultats. Il désigne l’autorité chargée d’établir l’attestation de conformité mentionnée au dernier alinéa du V.
|
|
|
« Le décret est accompagné d’une analyse d’impact relative à la protection des données personnelles qui expose :
|
|
|
« 1° Le bénéfice escompté de l’emploi du traitement au service de la finalité mentionnée au I, au regard des événements prédéterminés donnant lieu à signalement par le système ;
|
|
|
« 2° L’ensemble des risques éventuellement créés par le système et les mesures envisagées afin de les minimiser et de les rendre acceptables au cours de son fonctionnement.
|
|
|
« V. – Le traitement satisfait aux caractéristiques suivantes :
|
|
|
« 1° Lorsque le système d’intelligence artificielle employé repose sur un apprentissage, des garanties sont apportées afin que les données d’apprentissage, de validation et de test choisies soient pertinentes, adéquates et représentatives et que leur traitement soit loyal, objectif et de nature à identifier et prévenir l’occurrence de biais et d’erreurs. Ces données demeurent accessibles et protégées tout au long du fonctionnement du traitement ;
|
|
|
« 2° Le traitement comporte un enregistrement automatique des évènements permettant d’assurer la traçabilité de son fonctionnement ;
|
|
|
« 3° Les modalités selon lesquelles, à tout instant, le traitement peut être arrêté sont précisées ;
|
|
|
« 4° Le traitement fait l’objet d’une phase de test conduite dans des conditions analogues à celles de son emploi tel qu’autorisé par le décret mentionné au IV. Cette phase de test est attestée par un rapport de validation.
|
|
|
« Lorsque le traitement est développé ou fourni par un tiers, celui-ci présente des garanties de compétences et de continuité et fournit une documentation technique complète.
|
|
|
« Le respect des caractéristiques définies au présent V fait l’objet d’une attestation de conformité établie par l’autorité administrative compétente. Cette attestation est publiée avant que le traitement soit mis à la disposition des services mentionnés au second alinéa du I qui demandent l’autorisation de l’utiliser dans les conditions prévues au VI.
|
|
|
« VI. – L’emploi du traitement est autorisé par le représentant de l’État dans le département ou à Paris, le préfet de police, qui s’assure de sa stricte nécessité et de son caractère proportionné pour garantir la sécurité publique et la prévention et la détection d’infractions pénales.
|
|
|
« La demande qui lui est adressée par un services mentionné au second alinéa du I comprend, en tant que de besoin, l’actualisation de l’analyse d’impact réalisée lors de l’autorisation délivrée par décret, adaptée aux circonstances du déploiement. Cette analyse actualisée est transmise à la Commission nationale de l’informatique et des libertés.
|
|
|
« La décision d’autorisation est publiée et motivée. Elle précise :
|
|
|
« 1° Le responsable du traitement et les services associés à sa mise en œuvre ;
|
|
|
« 2° Les motifs de cette mise en œuvre au regard de la finalité mentionnée au I ;
|
|
|
« 3° Le périmètre géographique concerné par cette mise en œuvre ;
|
|
|
« 4° Les modalités d’information du public, notamment sur ses droits ou, lorsque cette information entre en contradiction avec la finalité poursuivie, les motifs pour lesquels le responsable du traitement en est dispensé ;
|
|
|
« 5° La durée d’autorisation. Cette durée ne peut excéder cinq ans, renouvelable selon les mêmes modalités lorsque les conditions demeurent réunies.
|
|
|
« VII. – L’autorité responsable tient un registre des suites apportées aux signalements effectués par le traitement.
|
|
|
« Le représentant de l’État dans le département ou, à Paris, le préfet de police est tenu régulièrement informé des conditions dans lesquelles le traitement est mis en œuvre, en tient informée, en tant que de besoin, la Commission nationale de l’informatique et des libertés et peut suspendre l’autorisation délivrée par décret ou y mettre fin à tout moment, s’il constate que les conditions ayant justifié sa délivrance ne sont plus réunies.
|
|
|
« VIII. – Les images mentionnées au I dont la durée de conservation, prévue par les articles L. 252-5 et L. 242-4, n’est pas expirée peuvent être utilisées comme données d’apprentissage dans les conditions prévues au 1° du V du présent article. »
|
|
|
II. – La Commission nationale de l’informatique et des libertés est régulièrement informée des conditions de mise en œuvre du I. Le Gouvernement remet au Parlement, au plus tard six mois après l’entrée en vigueur de la présente loi, un rapport d’évaluation de sa mise en œuvre, dont le contenu est déterminé par décret en Conseil d’État après avis de la Commission nationale de l’informatique et des libertés. Ce décret détermine notamment les modalités de pilotage et d’évaluation pluridisciplinaire et objective de la mise en œuvre du I et les indicateurs utilisés par celle-ci. Il précise également les modalités selon lesquelles le public et les agents concernés sont informés et associés à l’évaluation.
|
