Qu’est-ce que la minimisation des données vidéo ?

Minimisation des données vidéo : définition

La minimisation des données vidéo consiste à appliquer le principe de minimisation des données aux enregistrements vidéo et aux photos contenant des personnes, des véhicules ou d’autres éléments permettant une identification. En droit de la protection des données, ce principe découle de l’article 5, paragraphe 1, point c) du RGPD, selon lequel les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement. Dans le contexte de la vidéosurveillance et du traitement de contenus audiovisuels, cela signifie que le responsable du traitement doit limiter à la fois l’étendue de la captation et celle du partage, de l’export, de l’analyse et de la conservation des images.

En pratique, il ne s’agit pas uniquement de réduire la durée de conservation des enregistrements. La minimisation couvre l’ensemble du cycle de vie des données vidéo : champ de vision de la caméra, résolution, nombre de caméras, fréquence d’enregistrement, captation du son, choix des séquences transmises à des tiers et techniques d’anonymisation. Si l’objectif peut être atteint sans identifier toutes les personnes visibles sur l’enregistrement, le contenu doit être limité au seul extrait nécessaire ou faire l’objet d’une anonymisation, notamment par le floutage des visages et des plaques d’immatriculation. Cette approche découle du RGPD, des lignes directrices 3/2019 du Comité européen de la protection des données relatives au traitement de données personnelles par des dispositifs vidéo, adoptées en 2020, ainsi que de la pratique des autorités de contrôle.

Comment fonctionne le principe de minimisation des données en vidéosurveillance

En vidéosurveillance, la minimisation des données consiste à limiter les données dès la conception du système, puis au moment de l’utilisation des enregistrements. Cette approche est conforme à l’article 25 du RGPD, c’est-à-dire aux principes de privacy by design et de privacy by default. Le responsable du traitement doit évaluer quelles informations sont réellement nécessaires à la finalité poursuivie, par exemple la protection des biens, l’éclaircissement d’un incident ou le respect d’une obligation légale.

En pratique, la minimisation concerne simultanément plusieurs niveaux :

• l’étendue de la scène : la caméra ne doit pas couvrir une zone plus large que nécessaire, en particulier l’espace public ou les propriétés de tiers sans justification,
• le niveau d’identification : si l’identification de toutes les personnes n’est pas nécessaire à la finalité, il convient de limiter la visibilité des éléments identifiants,
• la durée de conservation : les enregistrements ne doivent être conservés que pendant la période nécessaire à la réalisation de l’objectif,
• l’étendue de la communication : une personne habilitée ne doit recevoir que l’extrait strictement nécessaire, et non l’ensemble des archives.

En cas de demande de conservation ou de remise d’un enregistrement, le principe selon lequel le contenu doit être préparé dans une version minimisée revêt une importance particulière. Si des personnes non concernées ou des véhicules sans lien avec l’affaire apparaissent sur la vidéo, leurs visages et leurs plaques d’immatriculation doivent être floutés, sauf si leur identification est nécessaire.

Quand l’anonymisation des vidéos est-elle obligatoire ?

L’anonymisation n’est pas obligatoire dans tous les cas de traitement de contenus vidéo, mais elle devient nécessaire lorsque l’utilisation ultérieure de l’enregistrement dépasse le cadre initial strictement nécessaire ou lorsque le contenu doit être transmis à une entité qui n’a pas besoin d’identifier l’ensemble des personnes visibles dans le cadre. Cela concerne par exemple la publication de contenus, la transmission d’enregistrements à des tiers, l’utilisation du contenu à des fins de formation ou de présentation, ainsi que l’exercice des droits des personnes concernées lorsque l’enregistrement inclut également d’autres personnes.

S’agissant des visages, l’obligation de protection découle en principe du RGPD, mais aussi des règles relatives aux droits de la personnalité et à la diffusion de l’image d’une personne. En pratique, on retient trois principales exceptions dans lesquelles le consentement à la diffusion de l’image peut ne pas être requis :

• lorsqu’il s’agit d’une personne connue du public et que l’image a été captée dans l’exercice de fonctions publiques,
• lorsque la personne n’apparaît que comme un élément accessoire d’un ensemble plus vaste, tel qu’un rassemblement, un paysage ou un événement public,
• lorsqu’il s’agit d’une personne ayant reçu la rémunération convenue pour poser, sauf réserve expresse contraire.

Concernant les plaques d’immatriculation, la situation en Pologne n’est pas totalement homogène. D’un côté, les lignes directrices de l’UODO, les positions du CEPD ainsi que la jurisprudence de la CJUE indiquent qu’un numéro d’immatriculation peut conduire à l’identification d’une personne et doit être traité avec prudence. De l’autre, certaines décisions des juridictions administratives considèrent qu’une plaque d’immatriculation ne constitue pas toujours, à elle seule, une donnée personnelle. En pratique, le floutage des plaques lors de la publication ou de la transmission d’un contenu constitue une mesure de précaution, conforme à l’approche adoptée par de nombreuses autorités de contrôle.

Technologies utilisées pour la minimisation des données vidéo

Dans les photos et les vidéos, la minimisation des données est mise en œuvre par la sélection, le recadrage, le raccourcissement et l’anonymisation. Dans les usages opérationnels, on recourt le plus souvent à des algorithmes de détection des visages et des plaques d’immatriculation, puis à des filtres de masquage. Lorsque le processus doit être automatisé à grande échelle, on utilise généralement des modèles d’apprentissage automatique, souvent fondés sur le deep learning. Un tel modèle est d’abord entraîné sur des jeux de données annotés, puis utilisé pour détecter des objets dans de nouveaux enregistrements.

Il convient de distinguer les étapes techniques suivantes :

• détection : localisation du visage ou de la plaque d’immatriculation dans l’image,
• suivi : maintien de l’identification de l’objet d’une image à l’autre,
• masquage : application d’un flou, d’une pixellisation ou d’un autre masque,
• vérification : contrôle que l’objet n’est pas resté visible après l’export du contenu.

Gallio PRO floute automatiquement uniquement les visages et les plaques d’immatriculation. Le logiciel ne détecte pas automatiquement les logos, les tatouages, les badges, les documents ni les contenus affichés sur des écrans de contrôle. Ces éléments peuvent être floutés manuellement dans l’éditeur. Il est également important de préciser que Gallio PRO ne réalise ni anonymisation en temps réel ni anonymisation de flux vidéo. Il s’agit d’un traitement de fichiers après enregistrement, en environnement on-premise. Le logiciel peut toutefois générer des journaux techniques, selon la configuration de l’environnement et le mode de déploiement.

Paramètres clés et métriques pour la minimisation des données vidéo

Pour évaluer si un processus de minimisation fonctionne correctement, il faut s’appuyer sur des paramètres mesurables. Dans les systèmes d’anonymisation de contenus vidéo, il ne suffit pas de mesurer l’efficacité de la détection : il faut aussi prendre en compte le nombre d’objets non détectés et l’impact sur la valeur probatoire de l’enregistrement.

Pour l’évaluation du risque, on peut utiliser une relation opérationnelle simple :

Risque de divulgation = nombre d’objets non détectés / nombre total d’objets identifiants

Dans un contexte de conformité, le niveau de faux négatifs doit être particulièrement faible, car un seul visage ou une seule plaque non détectés peut entraîner une divulgation non autorisée de données à caractère personnel.

Applications pratiques de la minimisation des données vidéo

Le principe de minimisation revêt une importance particulière chaque fois qu’un enregistrement sort de l’environnement de vidéosurveillance initial ou est analysé par des personnes qui n’ont pas besoin d’une vision complète de l’événement. Dans ces situations, l’anonymisation devient un outil permettant de réduire l’étendue des données sans perdre la finalité du traitement.

• traitement des demandes d’accès à un enregistrement : seule la séquence concernant la personne demanderesse est transmise, avec floutage des tiers,
• transmission de contenus à des avocats, assureurs ou sous-traitants : uniquement dans la mesure nécessaire au dossier,
• supports de formation et d’audit : après anonymisation des visages et des plaques d’immatriculation,
• publication de photos ou de vidéos prises dans un espace semi-public : après réduction préalable des éléments identifiants.

Références normatives et interprétatives

La base juridique de la minimisation des données vidéo repose avant tout sur les textes et lignes directrices relatifs à la protection des données et de la vie privée dans le cadre de la vidéosurveillance. En cas de divergence d’interprétation, il convient d’évaluer la finalité du traitement, la possibilité d’identification et la pratique locale de l’autorité de contrôle.

• Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 : article 5, paragraphe 1, point c), et article 25,
• Lignes directrices 3/2019 du CEPD sur le traitement des données à caractère personnel au moyen de dispositifs vidéo, version adoptée le 29 janvier 2020,
• jurisprudence de la CJUE relative à l’interprétation large des données permettant une identification indirecte,
• prises de position nationales des autorités de contrôle, notamment de l’UODO, concernant la publication d’enregistrements et la protection de l’image ainsi que des plaques d’immatriculation.