IA, vidéosurveillance et smart cities : quel cadre juridique pour les collectivités ?

À l'heure du développement des smart cities, l'intégration de l'intelligence artificielle dans les dispositifs de vidéoprotection transforme la gestion de l'espace public. Les caméras dites « augmentées » ou « intelligentes» n'assurent plus seulement la captation d'images : elles analysent automatiquement les flux vidéo notamment pour détecter des comportements, générer des statistiques ou rechercher des informations.

Ces nouvelles capacités, fondées sur l’ajout de l’IA dans les caméras ou l’utilisation de logiciels spécifiques modifient profondément la nature même de la vidéoprotection traditionnelle dans l’espace public. La CNIL a mené une série de contrôles ciblés auprès des collectivités territoriales et du ministère de l’Intérieur entre 2022 et 2024. Ces contrôles ont révélé de nombreux manquements, notamment l'utilisation de dispositifs pour des finalités interdites, ayant conduit à plusieurs mises en demeure.

Dans le même mouvement, le juge administratif a renforcé les contrôles liés à ces dispositifs : après un premier arrêt du Conseil d'État en 2023, le tribunal administratif de Grenoble a récemment annulé la décision d’une commune de mettre en œuvre un logiciel permettant l’analyse d’images de vidéosurveillance via l’IA.

L'enjeu est donc le suivant : comment conjuguer l'usage croissant de l'IA par les communes avec la nécessaire protection de la vie privée des personnes dans l'espace public, tout en tenant compte des réglementations européennes, tel le RGPD et l’IA Act ?

1. Le cadre juridique et règlementaire des caméras intelligentes dans l’espace public

L'utilisation en France et par les autorités publiques de technologies d'analyse algorithmique des images dans le cadre de la vidéoprotection repose sur un ensemble de textes encadrant strictement leur mise en œuvre.

Le Code de procédure pénale autorise l’exploitation de logiciels d’analyse vidéo en différé, à partir d'images déjà enregistrées, dans le cadre des prérogatives de police judiciaire et pour les besoins d'enquêtes judiciaires. La directive(UE) 2016/680 dite « Police-Justice », transposée en droit français par l'ordonnance du 12 décembre 2018, encadre spécifiquement les traitements de données par les autorités publiques compétentes. Cette directive prévoit notamment des exigences renforcées pour les données biométriques, qui permettent l'identification d'une personne à partir de caractéristiques physiques, physiologiques ou comportementales.

Parallèlement, le Code de la sécurité intérieure, le RGPD, ainsi que la Loi informatique et libertés définissent les règles applicables aux traitements de données personnelles dans un contexte de sécurité publique.

En outre, la CNIL a pris position sur le sujet des caméras intelligentes en publiant un guide en juillet 2022 et une synthèse des références juridiques applicables.

A l’occasion des Jeux Olympiques et Paralympiques de 2024, un régime dérogatoire temporaire a été instauré par la Loi n°2023-380 du 19 mai 2023, autorisant, à titre expérimental, l'usage de traitements algorithmiques d'images pour sécuriser les événements à risque. Ce cadre a été précisé par le décret du 28août 2023 et validé par le Conseil constitutionnel. Toutefois, cette autorisation restait strictement limitée à la période expérimentale, a pris fin le 31 mars 2025 et n'est pas transposable à d'autres contextes comme l’a rappelé le Conseil d’Etat dans l'affaire Veesion ci-dessous pour un usage commercial.

Enfin, à l'heure où les smart cities déploient l'IA et la vidéosurveillance intelligente, les communes doivent également anticiper l’application de l’IA Act récemment entré en vigueur.

2. L’encadrement juridique de l’usage des caméras intelligentes par le juge administratif

Le juge administratif a été amené à encadrer l’utilisation de technologies d'analyse vidéo intelligente telles que BriefCam, aujourd'hui déployées dans près de 200 communes françaises.

Dans l'affaire Cœur Côte Fleurie (CE,21 décembre 2023), le Conseil d'État a autorisé l’usage d’un tel logiciel sous réserve de respecter les trois conditions suivantes:

-       les fonctionnalités sensibles, telle la reconnaissance faciale, sont désactivées ;

-       l'analyse algorithmique est réalisée en différée ;

-       exclusivement à des fins statistiques.

Le Conseil d’Etat a rappelé que toute utilisation de cette technologie au-delà de ce qui est prévu par la finalité initialement choisie par le responsable de traitement, expose les collectivités à des risques d'annulation ou de sanctions.

Cette exigence du respect de la finalité a été confirmée dans d’autres décisions récentes. En2024, le Conseil d’État a rejeté, dans l'affaire Veesion (CE, 21 juin2024), l’argumentation consistant à se se fonder sur la loi du 19 mai 2023relative aux Jeux Olympiques et Paralympiques avec la finalité de la sécurité publique pour justifier l’exploitation de dispositifs de vidéosurveillance intelligente.Les juges administratifs ont rappelé à la société éditrice du logiciel installé sur des boîtiers ajoutés au dispositif de vidéosurveillance, que la finalité commerciale du traitement (à savoir permettre aux commerçants de lutter contre le vol) ne correspondait pas au périmètre d’application de cette loi, limitée à la sécurisation d’événements publics à risque.

De manière similaire, dans l'affaire Commune de Moirans (TA Grenoble, 24 janvier 2025), la juridiction a annulé la décision de la commune de recourir à l’outil BriefCam. En effet, le juge reprochait à la collectivité les trois manquements suivants :

-       absence de finalité explicite,

-       absence de garanties suffisantes pour la vie privée et

-       absence de décision administrative fondant l’utilisation d’un tel outil

3. Sécuriser vos projets de vidéosurveillance intelligente : bonnes pratiques RGPD et conformité administrative

Nous avons listé ci-dessous les actions essentielles à mettre en œuvre pour s’assurer de la conformité de la vidéoprotection au RGPD. Il est indispensable de procéder à l’analyse au cas par cas propres aux besoins et usages envisagés de l’entité concernée.

3.1. Analyse rigoureuse de l’utilisation de caméras intelligentes :

  • Vérifier si des données personnelles ou biométriques seront traitées.
  • Définir clairement les finalités (statistiques, information, alerte) et les lieux d’implantation (attention aux zones sensibles : écoles, hôpitaux).
  • Examiner les décisions qui seront prises à partir des données.
  • S'assurer de l'existence d'une base légale claire (mission d'intérêt public ou norme juridique spécifique).

3.2. Évaluer la proportionnalité et la nécessité du recours à cette technologie

  • Rechercher des alternatives moins intrusives.
  • Documenter l'utilité du dispositif, la sensibilité et le volume des données traitées.
  • Réaliser une analyse d’impact en cas de surveillance à grande échelle.

3.3. Garantir la protection des données dès la conception (ou « Privacy by Design »)

  • Mettre en œuvre le floutage, l'anonymisation des données collectées et limiter la conservation des images.
  • Privilégier le traitement local des données et supprimer rapidement les informations collectées.

3.4. Informer les personnes concernées et encadrer l’utilisation de la technologie

  • Informer clairement les usagers par une signalétique adaptée (QR code, marquage au sol, annonces sonores).
  • Former les équipes internes susceptibles d’utiliser la technologies et les données collectées.
  • Vérifier la conformité au RGPD des prestataires.

3.5. Désactiver les fonctionnalités sensibles, telles la reconnaissance faciale et analyser les données en différé uniquement

4. Anticiper l'avenir : intégrer l'IA Act dans vos projets de vidéosurveillance intelligente

L’IA Act introduit une distinction fondamentale entre l’identification biométrique à distance en temps réel et celle réalisée a posteriori qui est possible et encadrée. En effet, les systèmes de reconnaissance biométrique en temps réel sont interdits, sauf rares exceptions (recherche de victimes, prévention de menaces graves, localisation d'auteurs d'infractions graves …) et toujours soumis à l’autorisation préalable d’une autorité judiciaire ou administrative indépendante.

Les communes doivent ainsi être particulièrement vigilantes face à l’activation de nouvelles fonctionnalités biométriques, telles que la reconnaissance faciale, aujourd’hui parfois proposées en option par les éditeurs de logiciels. Leur activation sans encadrement expose les collectivités à des risques majeurs de sanctions administratives et contentieuses.

Par ailleurs, l’IA act classe les systèmes d’identification biométrique, de reconnaissance des émotions et plus généralement les systèmes d'IA utilisés par les autorités publiques pour le profilage parmi les systèmes d’IA à haut risque. Les dispositifs utilisés par les collectivités classés parmi ces IA à haut risque, imposent de respecter les éléments suivants :

  • Une gestion continue des risques ;
  • Une documentation technique détaillée ;
  • Une traçabilité complète ;
  • Une supervision humaine effective.

Enfin, l’IA Act interdit expressément l’utilisation de systèmes créant des bases de données de reconnaissance faciale par moissonnage non ciblé d’images provenant d'Internet ou de flux de vidéosurveillance, consolidant ainsi une approche fondée sur la protection stricte des libertés publique.

Pour sécuriser vos projets de vidéosurveillance intelligente avec des algorithmes d’IA, vous devez anticiper dès maintenant les obligations cumulées du RGPD et de l'IA Act. Un audit juridique et un encadrement précis sont indispensables pour sécuriser toute initiative de smart city.

Pour toute question ou accompagnement, n’hésitez pas à nous solliciter en écrivant à cbeaussier@squairlaw.com.

Clémentine Beaussier, avocate associée chez Squair

Lire l'article
Ecouter l'épisode
Lire le communiqué
Voir la vidéo
En savoir plus
1er mai 2025
Say, hi !
Cta Arrow
Saturday - Thursday :
8:30 am - 10:45 pm
Call for an appointment

hello@libertylaw.com

Brand logo

© 2024

Squair

Pages
Accueil
Activités
Équipe
Actualités
Contact
Informations Légales
Mentions Légales
Conditions générales d'utilisation
Politique de confidentialité