Anonymisation probatoire de vidéos : définition
L’anonymisation probatoire de vidéos désigne l’édition de contenus vidéo ou photo réalisée de manière à protéger les données personnelles tout en préservant la valeur probante du support. En pratique, il s’agit d’un masquage ou d’un floutage contrôlé de certains éléments de l’image, le plus souvent les visages et les plaques d’immatriculation, tout en maintenant l’intégrité du fichier source, la possibilité de reconstituer l’étendue des modifications et la traçabilité de l’ensemble du processus. Dans le contexte de l’anonymisation visuelle, il ne s’agit pas d’une simple dissimulation d’une partie du cadre, mais d’une procédure qui doit être techniquement reproductible et démontrable sur le plan procédural.
Dans les procédures judiciaires, administratives, internes et de conformité, un enregistrement vidéo peut être à la fois un support de preuve et un support de données à caractère personnel. Cela crée une tension entre le principe de minimisation des données prévu à l’article 5, paragraphe 1, point c du RGPD, et les exigences de préservation de l’authenticité, de l’intégrité et de la chaîne de traitement de la preuve. L’anonymisation probatoire de vidéos répond à ce problème en séparant le support source de la copie de travail et de la copie destinée à la divulgation, tout en documentant qui a appliqué le masquage, quand, sur quel fondement et dans quelle mesure.
Dans ce sens, l’édition probatoire couvre trois dimensions : technique, juridique et organisationnelle. La dimension technique concerne la détection d’objets et l’occultation irréversible des zones désignées dans la copie destinée à l’usage. La dimension juridique porte sur la base légale du traitement, l’étendue de la divulgation et le respect du principe de proportionnalité. La dimension organisationnelle comprend le versioning des fichiers, le contrôle d’accès, les sommes de contrôle et les métadonnées du processus.
Rôle de l’anonymisation probatoire de vidéos dans l’anonymisation des photos et des enregistrements
Dans les contenus visuels, les données personnelles prennent principalement la forme de visages, de plaques d’immatriculation et, parfois, d’autres identifiants visibles dans le champ. Pour Gallio PRO, le périmètre clé de l’automatisation couvre les visages et les plaques d’immatriculation. Les autres éléments, tels que les documents, tatouages, logos, badges nominatifs ou l’image affichée sur un écran, nécessitent une édition manuelle dans l’éditeur.
En pratique, l’anonymisation probatoire doit satisfaire aux conditions suivantes :
- l’original reste intact et est conservé séparément,
- l’anonymisation s’applique à une copie de travail ou à une copie destinée à la divulgation,
- l’étendue du masquage est justifiée par la finalité et la base légale,
- le processus peut être reconstitué à partir de la documentation et des métadonnées,
- les masques appliqués restent stables d’une image à l’autre et ne découvrent pas l’objet lors d’un changement de position.
Dans les affaires liées à la vidéosurveillance, aux événements routiers, à la santé et sécurité au travail, aux sinistres, aux réclamations et aux incidents de sécurité, l’anonymisation doit supprimer l’excès de données sans altérer l’essence de l’événement. Par exemple, il est possible de flouter les visages des tiers tout en laissant inchangés le déroulement d’une collision, la trajectoire d’un véhicule et la séquence temporelle.
Technologies utilisées pour l’anonymisation probatoire de vidéos
L’anonymisation automatique d’images repose généralement sur des modèles de vision par ordinateur. Pour les visages et les plaques d’immatriculation, on utilise la détection d’objets, le suivi inter-images et l’application de masques. Le deep learning est souvent mobilisé lors de la construction du modèle d’IA, car ce sont les réseaux neuronaux qui apprennent à reconnaître des motifs de visages et de plaques dans des conditions variées d’éclairage, de perspective et de qualité d’enregistrement. Le modèle final est ensuite utilisé pour détecter les objets dans le contenu et pour automatiser le floutage.
Le pipeline de traitement le plus courant comprend :
- le décodage du flux vidéo en images,
- la détection des visages ou des plaques d’immatriculation,
- le suivi de l’objet sur les images successives,
- l’extension de la zone de masque avec une marge de sécurité,
- l’application d’un effet de flou, de pixellisation ou d’un masque intégral,
- le rendu de la copie finale et l’enregistrement des métadonnées du processus.
Dans les supports à valeur probante, non seulement l’efficacité de la détection compte, mais aussi sa prévisibilité. Pour cette raison, le système ne doit pas modifier le contenu en dehors de la zone strictement nécessaire à l’anonymisation. Gallio PRO ne réalise ni anonymisation en temps réel ni anonymisation de flux vidéo en direct. Il fonctionne sur des fichiers enregistrés, ce qui facilite le contrôle qualité, le versioning et l’audit du processus.
Principaux paramètres et métriques de l’anonymisation probatoire de vidéos
L’évaluation de la qualité d’une anonymisation probatoire ne peut pas reposer uniquement sur une appréciation subjective de l’image. Des indicateurs mesurables de détection, de couverture et d’intégrité du processus sont nécessaires. Dans la littérature et dans la pratique des systèmes de vision par ordinateur, on utilise des métriques telles que la précision, le rappel et l’intersection sur union (IoU). Les définitions de ces métriques sont standard dans l’évaluation de la détection d’objets et ont été largement décrites notamment dans les benchmarks COCO ainsi que dans les documents du NIST relatifs à l’évaluation des systèmes de reconnaissance et d’analyse d’images.
Paramètre | Signification pratique | Exemple d’interprétation
|
|---|---|---|
Rappel | Proportion de visages ou de plaques réellement présents détectés par le système | Un faible rappel signifie un risque de laisser des données personnelles non floutées |
Précision | Proportion de détections correctes parmi l’ensemble des détections | Une faible précision augmente le nombre de faux masques |
IoU | Degré de recouvrement du masque par rapport à l’objet de référence | Un IoU trop faible peut laisser une partie du visage hors du masque |
Taux de couverture par image | Proportion d’images dans lesquelles l’objet a été correctement masqué | Important en cas de mouvement rapide et d’occultations temporaires |
Temps de traitement | Durée nécessaire pour traiter le support | Important sur le plan opérationnel, mais secondaire par rapport à l’exhaustivité de l’anonymisation |
Hash de conformité | Somme de contrôle du fichier source et du fichier final | Facilite la démonstration de l’intégrité et la distinction entre les versions |
Pour documenter le processus, il est recommandé d’enregistrer au minimum l’identifiant du dossier, l’identifiant du fichier, la date de l’opération, l’utilisateur, l’étendue de l’anonymisation, la version du modèle et la somme de contrôle SHA-256. Les algorithmes de la famille SHA-2 ont été publiés par le NIST dans la norme FIPS PUB 180-4, ensuite mise à jour. En pratique probatoire, un hash ne prouve pas la véracité du contenu, mais il permet de démontrer l’immutabilité d’une version donnée du fichier.
Exigences juridiques et documentaires applicables aux supports probatoires
L’anonymisation d’un support destiné à une procédure suppose de concilier la protection de la vie privée avec l’obligation de préserver la preuve. Du point de vue du RGPD, les principes de licéité, de minimisation des données, d’intégrité et de confidentialité prévus à l’article 5, ainsi que la protection des données dès la conception prévue à l’article 25, sont essentiels. Si le support contient des images de personnes, la base légale du traitement ultérieur doit être appréciée séparément pour la conservation de l’original et pour la divulgation de la copie anonymisée.
En Pologne, l’image d’une personne est également protégée par le Code civil ainsi que par la loi sur le droit d’auteur et les droits voisins. En principe, la diffusion d’une image requiert l’autorisation de la personne représentée ou un autre fondement juridique, sous réserve des exceptions connues relatives à une personne publiquement connue, à un détail d’un ensemble ou à la situation d’une rémunération convenue pour la pose. En ce qui concerne les plaques d’immatriculation, la situation n’est pas totalement uniforme. En pratique, dans une approche de conformité, il convient de tenir compte du fait que l’appréciation dépend du contexte et de la possibilité d’identifier une personne, et que la jurisprudence administrative nationale a déjà retenu que le numéro d’immatriculation ne constitue pas toujours, à lui seul, une donnée personnelle.
Une bonne pratique documentaire devrait inclure :
- un protocole de création de la copie de travail et de la copie destinée à la divulgation,
- les sommes de contrôle de l’original et de la version après anonymisation,
- la description de la base légale et de la finalité de la communication,
- l’étendue des objets floutés automatiquement et manuellement,
- l’identification de l’outil utilisé, de sa version et de l’opérateur,
- la confirmation que l’original a été conservé sans modification.
Limites et risques de l’anonymisation probatoire de vidéos
L’anonymisation probatoire n’est pas un processus infaillible. La qualité dépend de la résolution, de la compression, de l’éclairage, de l’angle de prise de vue, du nombre d’objets dans le champ et des occultations. Le risque inclut à la fois une anonymisation insuffisante, c’est-à-dire le maintien visible d’un fragment identifiable de visage ou de plaque, et un masquage excessif, susceptible de compliquer l’évaluation de la preuve.
Les principales limites opérationnelles sont les suivantes :
- l’automatisation peut ne pas détecter un objet en cas de fort flou de mouvement,
- le suivi peut perdre l’objet lorsque plusieurs personnes se chevauchent,
- l’édition manuelle exige un contrôle selon le principe des quatre yeux pour les supports critiques,
- toutes les méthodes de floutage ne présentent pas la même résistance aux tentatives de reconstitution des détails,
- l’absence de documentation du processus réduit la valeur probante de la copie anonymisée.
Pour cette raison, pour les supports présentant un enjeu procédural, la vérification finale image par image, ou au minimum sur les segments à haut risque, devrait constituer la norme. Cela concerne en particulier les enregistrements issus de la vidéosurveillance, des caméras embarquées et des appareils mobiles.