Anonymisation multi-caméras : définition
L’anonymisation multi-caméras désigne l’anonymisation de vidéos ou de photos issues de plusieurs caméras dans le cadre d’un même processus organisationnel et technique. En pratique, cela consiste à détecter puis à masquer les visages et les plaques d’immatriculation dans plusieurs fichiers ou flux enregistrés par différents dispositifs de vidéosurveillance (CCTV), tout en appliquant des règles de traitement cohérentes, un contrôle qualité et une traçabilité des opérations. Dans le contexte de la protection des données, il ne s’agit pas uniquement de diffusion en direct : il est souvent question de traiter des enregistrements déjà sauvegardés. Cette distinction est essentielle, car Gallio PRO ne réalise ni anonymisation en temps réel ni anonymisation de flux vidéo.
Sur le plan technique, il s’agit d’un sujet relevant du traitement par lots de l’image et de la vidéo. Le système analyse les contenus provenant de plusieurs caméras, localise les zones contenant des données à caractère personnel sous la forme d’un visage ou d’un numéro d’immatriculation, puis applique un masque ou un floutage. La détection automatique repose sur des modèles de machine learning, généralement fondés sur le deep learning. Le deep learning est utilisé à la fois lors de la conception du modèle d’IA et ensuite au moment de la détection d’objets sur les images ou les trames vidéo. L’anonymisation en elle-même ne consiste donc pas en une suppression « intelligente » des données, mais en l’utilisation d’un modèle capable d’identifier les zones à occulter et de transformer de manière irréversible l’image finale.
D’un point de vue juridique et organisationnel, l’anonymisation multi-caméras constitue une forme de traitement de données à caractère personnel soumise aux exigences du RGPD, notamment aux principes de limitation des finalités, de minimisation des données, d’intégrité et de confidentialité ainsi que de responsabilité (accountability), décrits à l’article 5 du règlement (UE) 2016/679, ainsi qu’aux exigences de sécurité du traitement prévues à l’article 32. Dans le cadre de la vidéosurveillance, les lignes directrices du Comité européen de la protection des données sont également importantes, notamment les Guidelines 3/2019 on processing of personal data through video devices, adoptées dans leur version finale le 29 janvier 2020.
Le rôle de l’anonymisation multi-caméras dans les grandes installations CCTV
Dans les grandes installations CCTV, le problème ne consiste pas seulement à détecter un visage ou une plaque d’immatriculation dans une image isolée. La difficulté réside dans l’échelle. Un même événement peut être enregistré par une dizaine, voire plusieurs dizaines de caméras, avec des paramètres d’image, des perspectives, des niveaux de compression et des conditions d’éclairage différents. L’anonymisation doit alors fonctionner de manière cohérente sur l’ensemble des enregistrements.
En pratique, cela implique de combiner des exigences techniques et organisationnelles :
- une politique d’anonymisation uniforme pour toutes les caméras incluses dans le processus,
- l’identification des sources vidéo et de leurs paramètres techniques,
- la définition d’une file de traitement et de priorités pour de grands volumes de données,
- un contrôle qualité après traitement, y compris une vérification manuelle des cas limites,
- la sécurisation de l’accès aux contenus sources et aux contenus anonymisés.
Dans des environnements tels que le transport, la logistique, l’industrie, le retail ou l’administration publique, les contenus issus de plusieurs caméras sont souvent communiqués à des tiers, par exemple à des cabinets d’avocats, des assureurs, des autorités ou des personnes exerçant leurs droits au titre de l’article 15 du RGPD. Dans ce modèle, l’absence d’anonymisation ou une anonymisation insuffisante augmente le risque d’atteinte à la vie privée des personnes tierces.
Technologies utilisées pour l’anonymisation multi-caméras
L’efficacité de l’anonymisation multi-caméras dépend de la qualité de la détection et de la stabilité du traitement. Le plus souvent, on utilise des modèles de détection d’objets entraînés sur de vastes jeux de données d’images. Pour les visages et les plaques d’immatriculation, les architectures CNN ainsi que les modèles plus récents de détection en une étape et en deux étapes sont couramment employés. Leur rôle est d’indiquer la boîte de détection sur chaque image ou sur certaines images de référence.
Dans un environnement de production, les éléments suivants de la chaîne de traitement sont généralement essentiels :
- décodage vidéo et extraction des images,
- détection des visages et des plaques d’immatriculation,
- suivi des objets entre les images afin de limiter le scintillement des masques,
- application d’un masque ou d’un floutage,
- encodage du contenu de sortie,
- vérification manuelle des cas incertains.
Avec plusieurs caméras, l’hétérogénéité des données d’entrée revêt une importance particulière. Une caméra 2 MP à 15 fps produira des résultats différents d’une caméra 4K à 25 fps avec codec H.265 et forte compression. Pour cette raison, les paramètres des modèles et les seuils de confiance ne peuvent pas toujours être identiques pour toute l’installation.
Gallio PRO floute automatiquement les visages et les plaques d’immatriculation. En revanche, il ne détecte pas automatiquement les logos d’entreprise, les tatouages, les badges nominatifs, les documents ni les images affichées sur des écrans. Ces éléments peuvent être floutés manuellement dans l’éditeur. Cet aspect a une importance pratique lors des audits et au moment de définir le périmètre du processus d’anonymisation.
Paramètres et métriques clés de l’anonymisation multi-caméras
L’évaluation du processus ne doit pas reposer sur des déclarations générales. Des paramètres mesurables sont nécessaires. Dans les systèmes d’anonymisation d’images, les métriques les plus importantes sont celles liées à la qualité de la détection et à la performance du traitement.
Paramètre | Signification | Portée pratique
|
|---|---|---|
Recall | Pourcentage d’objets correctement détectés parmi tous les objets existants | Plus il est élevé, plus le risque de laisser un visage ou une plaque non floutés est faible |
Precision | Pourcentage de détections correctes parmi l’ensemble des détections | Plus elle est élevée, moins il y a de masques erronés sur l’arrière-plan ou sur d’autres objets |
IoU | Intersection over Union de la boîte de détection | Permet d’évaluer si le masque couvre la bonne zone |
Latence de traitement du fichier | Temps écoulé entre le début du traitement et la génération du fichier final | Influence les délais de réponse aux demandes et les opérations courantes |
Débit de traitement | Nombre de minutes ou d’heures de contenu traitées par heure | Paramètre clé dans les grandes installations CCTV |
Taux de vérification manuelle | Pourcentage de contenus nécessitant une correction manuelle | Indique le coût opérationnel réel du processus |
Dans les tâches de détection d’images, la métrique average precision calculée selon des seuils d’IoU est largement utilisée. À titre d’exemple, le benchmark COCO emploie la mesure AP dans une plage d’IoU allant de 0,50 à 0,95, comme décrit par Lin et al. en 2014. Ce type de métriques est utile pour tester les modèles, mais pour un délégué à la protection des données, une forte sensibilité du processus est souvent plus importante, car quelques visages non détectés peuvent avoir des conséquences juridiques significatives.
En pratique, il est possible d’utiliser un indicateur opérationnel simple :
Efficacité de l’anonymisation = 1 - (nombre d’objets non détectés / nombre total d’objets devant être floutés)
Il s’agit d’un indicateur auxiliaire pour l’audit interne, à condition que la méthode de calcul soit décrite et reproductible.
Exigences organisationnelles pour l’anonymisation simultanée d’enregistrements issus de plusieurs caméras
Dans les installations multi-caméras, la technologie seule ne suffit pas. Il faut un processus qui limite le risque d’erreurs et permette de démontrer la conformité des opérations. Cela concerne en particulier les cas où les enregistrements quittent l’organisation ou sont partagés avec un nombre plus important de destinataires.
Le plus souvent, cela comprend les exigences suivantes :
- un registre des sources d’enregistrement, des formats de fichiers et des propriétaires des systèmes,
- des droits d’accès fondés sur les rôles,
- une séparation entre les contenus sources et les contenus après anonymisation,
- une procédure de contrôle qualité et de validation du résultat,
- des règles de gestion des exceptions, par exemple pour des contenus de très faible qualité,
- la définition des durées de conservation et de la suppression sécurisée des copies de travail.
Si le logiciel fonctionne on-premise, il est plus facile de satisfaire aux exigences de contrôle de l’environnement de traitement et de transfert des données. Ce modèle est souvent privilégié lorsque les enregistrements CCTV ne doivent pas quitter l’infrastructure du responsable du traitement. Du point de vue de la sécurité, les pratiques décrites dans la norme ISO/IEC 27001:2022 relative au système de management de la sécurité de l’information ainsi que dans l’ISO/IEC 27002:2022 relative aux mesures de sécurité sont également importantes.
Limites et risques de l’anonymisation multi-caméras
L’anonymisation multi-caméras n’offre pas de garantie absolue. La qualité du résultat dépend de la qualité de l’enregistrement, de la position de l’objet, des occultations, de la compression, du mouvement et de l’éclairage. En particulier, les visages partiellement tournés, de petite taille dans l’image ou masqués par des éléments de la scène peuvent nécessiter une correction manuelle. Il en va de même pour les plaques d’immatriculation photographiées sous un angle prononcé ou en mouvement.
Il convient également de distinguer l’anonymisation de la pseudonymisation. Si le contenu permet encore d’identifier une personne grâce à d’autres caractéristiques de la scène, le simple floutage du visage n’élimine pas toujours le risque d’identification. C’est pourquoi l’étendue des contenus partagés doit être évaluée en fonction du contexte. En matière de vidéosurveillance, le CEPD indique que le responsable du traitement doit appliquer des mesures adaptées à la finalité poursuivie ainsi qu’au risque pour les droits et libertés des personnes physiques.
Références juridiques et normatives pour l’anonymisation multi-caméras
L’évaluation du processus repose sur les textes juridiques et les lignes directrices relatifs au traitement des données vidéo. S’agissant des visages, leur statut de données à caractère personnel est en principe incontestable dès lors qu’une personne peut être identifiée. L’image d’une personne peut également bénéficier d’une protection au titre du droit civil et du droit d’auteur. Concernant les plaques d’immatriculation, la situation n’est pas totalement uniforme en Pologne et dépend du contexte d’identifiabilité ainsi que de la finalité du traitement.
Les principales références sont les suivantes :
- RGPD - règlement (UE) 2016/679, en particulier les articles 5, 25 et 32,
- CEPD - Guidelines 3/2019 on processing of personal data through video devices, version finale du 29/01/2020,
- ISO/IEC 27001:2022 et ISO/IEC 27002:2022 - sécurité de l’information,
- ISO/IEC 23894:2023 - guidance on risk management for AI, utile pour l’évaluation des risques liés aux modèles d’IA,
- NIST AI RMF 1.0 - cadre de gestion des risques de l’IA, utile pour la validation et la supervision des modèles de détection.
En pratique, le responsable du traitement doit documenter quelles catégories d’objets sont floutées automatiquement, quels cas sont soumis à une vérification manuelle et quelles sont les limites techniques du processus. Cette documentation est importante au regard du principe d’accountability.