Protection de la vie privée dans le street view : définition
La protection de la vie privée dans le street view désigne un ensemble d’exigences organisationnelles, juridiques et techniques liées à la publication de photos et d’enregistrements utilisés pour créer des cartes de rues et des panoramas à 360 degrés. En pratique, il s’agit de préparer le contenu visuel de manière à réduire, avant sa mise à disposition, le risque d’identification des personnes, des véhicules et d’autres éléments permettant de relier l’image à une personne physique précise ou à un espace privé.
Dans le contexte de l’anonymisation des images street view, il s’agit principalement de détecter et de flouter automatiquement les visages et les plaques d’immatriculation, et, dans certains déploiements, d’évaluer si des parties visibles de propriétés privées, de fenêtres de bâtiments ou d’intérieurs ne portent pas atteinte au droit à la vie privée. Il ne s’agit pas d’une anonymisation de documents ni de données textuelles. C’est un processus de traitement d’images et de vidéos dans lequel le matériau source est analysé de manière algorithmique, puis modifié avant publication.
Du point de vue du RGPD, le point de départ est qu’une image d’une personne peut constituer une donnée à caractère personnel si elle permet une identification directe ou indirecte. De même, une plaque d’immatriculation peut être considérée comme un identifiant, même s’il existe en Pologne une divergence d’interprétation sur ce point. Le Comité européen de la protection des données et la pratique de nombreuses autorités de contrôle adoptent une approche de précaution. En revanche, une partie de la jurisprudence administrative polonaise estime qu’une plaque seule ne constitue pas toujours une donnée personnelle. Pour les usages street view, la norme de conformité consiste donc à flouter ces deux catégories d’objets avant publication.
Comment fonctionne l’anonymisation street view en pratique
Lors de la création de cartes de rues, les images sont généralement collectées à l’aide de caméras multi-objectifs montées sur un véhicule. On obtient ainsi des panoramas ou des séquences d’images en haute résolution. Sur ce type de contenu, on applique une détection d’objets, puis un masquage de certaines classes d’objets. Dans les systèmes modernes, la détection repose sur des modèles de deep learning.
Le deep learning est ici nécessaire, car les méthodes classiques fondées uniquement sur les caractéristiques visuelles sont trop peu efficaces dans des conditions de luminosité variables, avec des angles de vue différents, un masquage partiel des visages ou le mouvement des véhicules. Le modèle d’IA est d’abord entraîné sur des données annotées, puis utilisé pour détecter les visages et les plaques d’immatriculation dans de nouvelles images. Après la détection, on applique un floutage, une pixellisation ou une autre forme de masquage irréversible.
Un pipeline typique comprend les étapes suivantes :
- acquisition du matériau source et des métadonnées,
- nettoyage préalable de l’image et correction géométrique,
- détection des visages et des plaques d’immatriculation à l’aide d’un modèle d’IA,
- vérification des résultats selon des seuils de confiance,
- correction manuelle des objets oubliés ou mal étiquetés,
- publication de la seule version anonymisée.
En pratique, il est essentiel que l’anonymisation soit réalisée avant la mise à disposition des images aux utilisateurs finaux. Cela concerne aussi bien les photos panoramiques que les images sources utilisées pour les générer.
Exigences juridiques relatives à la protection de la vie privée dans le street view
L’évaluation de la conformité nécessite de combiner le droit de la protection des données, le droit à l’image ainsi que les règles relatives à la vie privée dans l’espace public et semi-privé. Il n’existe pas d’acte juridique unique consacré exclusivement aux cartes de rues ; on applique donc un ensemble de normes générales et de lignes directrices des autorités de contrôle.
Les principaux textes et références sont les suivants :
- le RGPD — règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, applicable depuis le 25 mai 2018,
- la Charte des droits fondamentaux de l’Union européenne — articles 7 et 8,
- la Convention européenne des droits de l’homme — article 8,
- la loi polonaise du 4 février 1994 sur le droit d’auteur et les droits voisins — règles relatives à la diffusion de l’image,
- le Code civil polonais — protection des droits de la personnalité, y compris l’image et la vie privée,
- les lignes directrices du CEPD et les positions des autorités nationales de contrôle, notamment l’UODO.
En ce qui concerne les visages, l’obligation d’anonymisation ne découle pas directement d’une disposition unique, mais le plus souvent de la nécessité de limiter l’identification des personnes et le risque d’atteinte à leurs droits. En matière de droit à l’image, trois exceptions souvent citées à l’obligation d’obtenir une autorisation de diffusion sont généralement mentionnées : lorsqu’il s’agit d’une personne notoirement connue fixée dans le cadre de l’exercice de fonctions publiques, lorsque l’image ne constitue qu’un détail d’un ensemble plus large tel qu’un rassemblement, un paysage ou un événement public, et lorsque la personne a reçu la rémunération convenue pour poser. Toutefois, ces exceptions ne suppriment pas automatiquement les exigences découlant du RGPD lors de la publication massive de contenus géospatiaux.
S’agissant des plaques d’immatriculation, la situation est plus complexe. Dans de nombreux pays européens, leur floutage constitue une pratique standard et attendue du point de vue réglementaire. En Pologne, il existe une divergence : les lignes directrices en matière de protection des données et une partie de la pratique de l’Union européenne plaident en faveur de l’anonymisation, tandis que la jurisprudence des juridictions administratives se montre parfois plus restrictive quant à la qualification des plaques comme données personnelles en elles-mêmes. Pour la publication en street view, une approche de précaution reste la plus sûre.
Principaux paramètres et métriques de l’anonymisation street view
L’efficacité d’un système ne doit pas être évaluée uniquement au nombre d’objets détectés. L’essentiel réside dans l’équilibre entre le taux de détection, la qualité du masquage et le coût de la correction manuelle. C’est pourquoi les projets street view utilisent des métriques connues en vision par ordinateur.
Paramètre | Signification | Application pratique
|
|---|---|---|
Précision (Precision) | Part des détections correctes parmi l’ensemble des détections | Limite le floutage excessif |
Rappel (Recall) | Part des objets détectés parmi l’ensemble des objets réels | Essentiel pour le risque lié à la vie privée |
Score F1 | Moyenne harmonique de la précision et du rappel | Évalue l’équilibre du modèle |
mAP | Mean Average Precision pour la détection d’objets | Permet de comparer les modèles de détection |
Taux de faux négatifs (False Negative Rate) | Part des objets non détectés | A un impact direct sur le risque d’atteinte à la vie privée |
Temps de traitement par image | Latence hors ligne, par exemple secondes par image ou par panorama | Planification de la puissance de calcul |
Dans les usages liés à la protection de la vie privée, un rappel élevé est généralement plus important qu’une précision maximale, car un visage ou une plaque omis génère un risque plus élevé qu’un floutage excessif d’une partie de l’arrière-plan. Cette relation peut être décrite par une formule simple :
Recall = TP / (TP + FN)
où TP désigne les objets correctement détectés et FN les objets non détectés.
Défis techniques de la protection de la vie privée dans le street view
Même un modèle bien entraîné n’atteint pas une efficacité totale dans toutes les conditions. Les difficultés concernent les petits objets en arrière-plan, les forts reflets, les prises de vue nocturnes, la pluie, l’occultation partielle des visages ainsi que les plaques atypiques. Un défi supplémentaire réside dans les fenêtres des bâtiments, à travers lesquelles un intérieur privé peut être visible, même si le système ne classe pas automatiquement tous ces cas.
C’est pourquoi un processus conforme au principe de privacy by design devrait inclure :
- le choix d’un seuil de détection en fonction du type de contenu,
- un contrôle qualité sur un échantillon statistique du lot de données,
- un circuit de correction manuelle pour les cas limites,
- une limitation de l’accès aux contenus non anonymisés,
- une conservation des données sources conforme à la finalité du traitement.
Dans ce contexte, un logiciel on-premise revêt une importance particulière, car il permet de traiter les photos et les enregistrements dans une infrastructure contrôlée par le responsable du traitement. Cela limite le transfert des contenus sources à des tiers et simplifie l’analyse des risques. Gallio PRO fonctionne précisément comme un logiciel on-premise de traitement d’images et de vidéos. Il détecte et floute automatiquement les visages et les plaques d’immatriculation. Il ne réalise ni l’anonymisation de flux vidéo ni l’anonymisation en temps réel. Il ne détecte pas automatiquement les logos, les tatouages, les plaques nominatives, les documents ni le contenu affiché sur les écrans. Ces éléments peuvent être corrigés manuellement dans l’éditeur. Le système ne devrait pas conserver de journaux contenant des données personnelles sans base légale claire ni finalité de traitement définie.
Exemples d’applications de la protection de la vie privée dans le street view
Les cas d’usage de cette notion concernent avant tout les projets dans lesquels des images de l’espace public sont publiées à grande échelle. L’objectif n’est pas l’analyse visuelle en elle-même, mais la mise à disposition sécurisée des images aux utilisateurs finaux.
- création de cartes urbaines et de panoramas pour des portails cartographiques,
- documentation des infrastructures routières avant publication des contenus en ligne,
- présentation d’itinéraires touristiques et d’espaces extérieurs commerciaux,
- archivage de photos de rues à des fins de planification, avec séparation entre la version source et la version publiée.
Références normatives et sources
Les sources ci-dessous constituent une base d’interprétation de la notion et de la pratique de l’anonymisation street view. Il est utile de les croiser avec les lignes directrices locales et, lorsque l’ampleur du projet est importante, avec une analyse d’impact relative à la protection des données.
- Règlement (UE) 2016/679 — RGPD, JOUE L 119 du 4.05.2016.
- Lignes directrices du Groupe de travail Article 29 et documents du CEPD relatifs à la notion de donnée personnelle et au privacy by design.
- Loi polonaise du 4 février 1994 sur le droit d’auteur et les droits voisins.
- Loi polonaise du 23 avril 1964 — Code civil.
- ISO/IEC 23894:2023 — Information technology — Artificial intelligence — Guidance on risk management.
- ISO/IEC 27001:2022 — Information security management systems — Requirements.