Question de M. BRUYEN Christian (Marne - Les Républicains-A) publiée le 03/07/2025
M. Christian Bruyen interroge Mme la ministre déléguée auprès du ministre de l'économie, des finances et de la souveraineté industrielle et numérique, chargée de l'intelligence artificielle et du numérique sur les problématiques liées à la vidéoprotection dans les communes, et plus particulièrement sur l'interprétation des critères relatifs à l'analyse d'impact sur la protection des données (AIPD).
L'AIPD est un outil prévu par le règlement général sur la protection des données (RGPD) permettant de s'assurer qu'un dispositif de traitement respecte la vie privée, en évaluant notamment sa nécessité et sa proportionnalité au regard des objectifs poursuivis. L'article 35, paragraphe 3, point c du RGPD rend cette analyse obligatoire dès lors qu'un dispositif est « susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques », notamment « lorsqu'il conduit à une surveillance systématique à grande échelle d'une zone accessible au public ».
Si le caractère « systématique » de la surveillance peut être facilement établi, l'appréciation de la notion « à grande échelle » demeure plus complexe, en particulier en zone rurale. Le groupe de travail 29 (GT29) recommande de prendre en compte plusieurs critères : le nombre de personnes concernées (en valeur absolue ou relative), le volume et la nature des données collectées, la durée ou la régularité du traitement, ainsi que son étendue géographique.
Des situations concrètes révèlent la difficulté de cette appréciation. Ainsi, l'installation de 15 caméras sur les axes principaux d'une commune de 1 000 habitants, couvrant environ 20 % de la population de manière hebdomadaire, ou de 6 caméras dans une commune de 400 habitants filmant potentiellement 50 % des administrés, pose la question du seuil à partir duquel l'opération peut être qualifié de traitement à grande échelle au sens du RGPD. L'ambiguïté est renforcée par l'absence d'indicateurs précis sur l'interprétation à donner à l'« étendue géographique » : celle-ci doit-elle être corrélée au nombre de voies couvertes, à la surface effective surveillée ou à un ratio population/superficie ?
En dépit de la publication de l'instruction du 20 mars 2024, qui propose un modèle d'AIPD spécifique aux dispositifs de vidéoprotection, les exigences documentaires requises dans le cadre de la procédure d'autorisation préfectorale, à renouveler tous les cinq ans, entraînent une charge administrative conséquente, notamment pour les communes de moins de 3 500 habitants. Celles-ci, en raison de leur taille, ne disposent souvent ni de délégué à la protection des données (DPO) interne ni de ressources juridiques suffisantes pour évaluer la nécessité d'une AIPD avec un degré de certitude satisfaisant.
Aussi, il sollicite un positionnement clair du Gouvernement, tenant compte des difficultés spécifiques des collectivités de taille modeste, sur les modalités d'appréciation du critère de traitement « à grande échelle » dans les zones peu denses, et sur la portée exacte de la notion d'« étendue géographique ».
Il demande en particulier si un seuil de population ou de densité peut être fixé pour évaluer le caractère « élevé » du risque et si des clarifications réglementaires ou doctrinales complémentaires sont envisagées afin de sécuriser juridiquement les communes dans leurs démarches.
- page 3779
Transmise au Ministère de la justice
Réponse du Ministère de la justice publiée le 04/12/2025
Le Règlement Général sur la Protection des Données (« RGPD ») prévoit dans son considérant 84 que lorsque les opérations de traitement sont susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement devrait effectuer une analyse d'impact relative à la protection des données pour évaluer, en particulier, l'origine, la nature, la particularité et la gravité de ce risque. Plus particulièrement, l'article 35 du RGPD encadre l'analyse d'impact relative à la protection des données et le paragraphe 3, c) précise que l'analyse d'impact est requise dans le cas d'une surveillance systématique à grande échelle d'une zone accessible au public. Concernant la notion de « risque élevé à grande échelle », les lignes directrices adoptées au niveau européen en octobre 2017 recommandent de prendre en compte plusieurs facteurs, tels que le nombre de personnes concernées ; le volume de données ; la durée ou la permanence de l'activité de traitement de données ; l'étendue géographique de l'activité de traitement. En complément, le considérant 91 du RGPD précise que les opérations de traitement à grande échelle sont celles qui visent à traiter un volume considérable de données à caractère personnel au niveau régional, national ou supranational, qui peuvent affecter un nombre important de personnes concernées et qui sont susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes concernées. Ainsi, cette notion doit s'apprécier au cas par cas et ne peut donner lieu à une interprétation stricte avec un nombre précis de personnes concernées ou une étendue géographique précise, au risque d'une appréciation trop rigide qui aboutirait à créer des effets de seuils. S'agissant de l'installation de caméras par une commune, et pour venir en soutien de celle-ci dans cette démarche, la consultation préalable de la préfecture pourrait être utile, afin de savoir si cette dernière a déjà effectué une analyse d'impact sur la protection des données (AIPD) en la matière. Si tel est le cas, la commune concernée pourra utilement s'appuyer dessus. Par ailleurs, dans le cadre de son activité d'accompagnement, la CNIL met à disposition de nombreuses recommandations sur l'AIPD et dispose de services de permanences téléphoniques à la fois généraux, et dédiés spécifiquement aux délégués à la protection des données compétents pour fournir des recommandations au cas par cas. Une circulaire du 20 mars 2024 (NOR : IOMD2405307J), relative à la mise en conformité du régime de la vidéoprotection avec le droit européen relatif à la protection des données adressée aux préfets, est disponible en libre accès sur internet et comporte, entre autres annexes, un modèle d'AIPD "cadre" pour les autorités publiques sur lequel peuvent utilement se baser les communes. Il est également possible de mutualiser les délégués à la protection des données. Enfin, l'association Déclic, soutenue par la CNIL, a également pour mission de partager une expertise et de bonnes pratiques entre opérateurs publics de services numériques des collectivités territoriales françaises.
- page 5980
Page mise à jour le