Vidéoprotection des communes et analyse d'impact relative à la protection des données

Question de M. BRUYEN Christian (Marne - Les Républicains-A) publiée le 03/07/2025

M. Christian Bruyen interroge Mme la ministre déléguée auprès du ministre de l'économie, des finances et de la souveraineté industrielle et numérique, chargée de l'intelligence artificielle et du numérique sur les problématiques liées à la vidéoprotection dans les communes, et plus particulièrement sur l'interprétation des critères relatifs à l'analyse d'impact sur la protection des données (AIPD).

L'AIPD est un outil prévu par le règlement général sur la protection des données (RGPD) permettant de s'assurer qu'un dispositif de traitement respecte la vie privée, en évaluant notamment sa nécessité et sa proportionnalité au regard des objectifs poursuivis. L'article 35, paragraphe 3, point c du RGPD rend cette analyse obligatoire dès lors qu'un dispositif est « susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques », notamment « lorsqu'il conduit à une surveillance systématique à grande échelle d'une zone accessible au public ».

Si le caractère « systématique » de la surveillance peut être facilement établi, l'appréciation de la notion « à grande échelle » demeure plus complexe, en particulier en zone rurale. Le groupe de travail 29 (GT29) recommande de prendre en compte plusieurs critères : le nombre de personnes concernées (en valeur absolue ou relative), le volume et la nature des données collectées, la durée ou la régularité du traitement, ainsi que son étendue géographique.

Des situations concrètes révèlent la difficulté de cette appréciation. Ainsi, l'installation de 15 caméras sur les axes principaux d'une commune de 1 000 habitants, couvrant environ 20 % de la population de manière hebdomadaire, ou de 6 caméras dans une commune de 400 habitants filmant potentiellement 50 % des administrés, pose la question du seuil à partir duquel l'opération peut être qualifié de traitement à grande échelle au sens du RGPD. L'ambiguïté est renforcée par l'absence d'indicateurs précis sur l'interprétation à donner à l'« étendue géographique » : celle-ci doit-elle être corrélée au nombre de voies couvertes, à la surface effective surveillée ou à un ratio population/superficie ?

En dépit de la publication de l'instruction du 20 mars 2024, qui propose un modèle d'AIPD spécifique aux dispositifs de vidéoprotection, les exigences documentaires requises dans le cadre de la procédure d'autorisation préfectorale, à renouveler tous les cinq ans, entraînent une charge administrative conséquente, notamment pour les communes de moins de 3 500 habitants. Celles-ci, en raison de leur taille, ne disposent souvent ni de délégué à la protection des données (DPO) interne ni de ressources juridiques suffisantes pour évaluer la nécessité d'une AIPD avec un degré de certitude satisfaisant.

Aussi, il sollicite un positionnement clair du Gouvernement, tenant compte des difficultés spécifiques des collectivités de taille modeste, sur les modalités d'appréciation du critère de traitement « à grande échelle » dans les zones peu denses, et sur la portée exacte de la notion d'« étendue géographique ».

Il demande en particulier si un seuil de population ou de densité peut être fixé pour évaluer le caractère « élevé » du risque et si des clarifications réglementaires ou doctrinales complémentaires sont envisagées afin de sécuriser juridiquement les communes dans leurs démarches.

Publiée dans le JO Sénat du 03/07/2025 - page 3779

En attente de réponse du Ministère délégué auprès du ministre de l'économie, des finances et de la souveraineté industrielle et numérique, chargé de l'intelligence artificielle et du numérique.