Smart city et confidentialité vidéo : définition
La smart city et la confidentialité vidéo désignent le domaine de la conception, du déploiement et de la supervision des systèmes de vidéosurveillance urbaine de manière à ce que le traitement des images issues des caméras reste conforme au droit de la protection des données et au principe de minimisation de l’atteinte aux droits des personnes physiques. En pratique, il s’agit de permettre à la ville d’utiliser des enregistrements et des photos à des fins telles que la sécurité publique, la gestion du trafic, l’analyse d’événements ou la documentation d’incidents, sans pour autant enregistrer ni divulguer de manière excessive les caractéristiques identifiables des personnes et des véhicules.
Dans le contexte de l’anonymisation des photos et des vidéos, cette notion renvoie avant tout à l’application de mesures techniques et organisationnelles limitant l’identification des personnes sur les contenus visuels. Cela concerne principalement le floutage des visages et des plaques d’immatriculation avant tout partage ultérieur, analyse, publication ou transmission en dehors d’un cercle restreint de destinataires autorisés. La base juridique principale reste ici le RGPD, à savoir le règlement (UE) 2016/679, applicable depuis le 25 mai 2018, ainsi que, dans les projets utilisant des systèmes d’IA, le règlement européen sur l’intelligence artificielle, c’est-à-dire l’AI Act — règlement (UE) 2024/1689, publié le 12 juillet 2024 et appliqué progressivement à partir de 2025.
Pour les collectivités territoriales, il est essentiel de comprendre qu’une image de vidéosurveillance peut contenir des données à caractère personnel si elle permet d’identifier une personne directement ou indirectement. Cette approche est confirmée par la jurisprudence de la CJUE, notamment l’affaire C-212/13 Ryneš, ainsi que par la pratique constante des autorités de protection des données dans l’UE. Pour cette raison, la vidéosurveillance dans une smart city n’est pas uniquement une question d’infrastructure. C’est aussi un processus de traitement de données qui exige une base légale, une évaluation des risques, des politiques de conservation et des mécanismes d’anonymisation des contenus visuels.
Cadre juridique de la vidéosurveillance urbaine et de l’anonymisation vidéo
Dans les projets de smart city, il ne suffit pas d’invoquer un objectif d’intérêt public. Le responsable du traitement doit démontrer la conformité de l’ensemble du cycle de vie de l’enregistrement avec les principes de licéité, de limitation des finalités, de minimisation des données, d’intégrité et de confidentialité. Dans le cas de la vidéosurveillance urbaine, cela implique de distinguer l’étape de captation de l’étape de réutilisation du contenu.
Les principaux textes et lignes directrices comprennent :
- Le RGPD — règlement (UE) 2016/679, en particulier les articles 5, 6, 25, 32 et 35.
- Les lignes directrices 3/2019 du CEPD relatives au traitement des données à caractère personnel au moyen de dispositifs vidéo, adoptées dans leur version finale le 29 janvier 2020.
- L’AI Act — règlement (UE) 2024/1689. Dans les systèmes de smart city, les règles applicables aux systèmes à haut risque et les restrictions relatives à l’identification biométrique à distance revêtent une importance particulière.
- Le droit national encadrant la vidéosurveillance des organismes publics et l’accès aux informations publiques.
- En Pologne — les positions de l’UODO, ainsi que, lors de la publication de contenus, le Code civil et la loi sur le droit d’auteur et les droits voisins en matière de droit à l’image.
En pratique juridique, les divergences relatives aux plaques d’immatriculation sont également importantes. En Europe, le floutage des plaques est souvent considéré comme un standard de conformité et de prudence juridique. En Pologne, la situation n’est pas uniforme. Les lignes directrices de l’UODO, du CEPD et une partie de l’argumentation fondée sur la jurisprudence de la CJUE soutiennent une approche prudente, tandis que certaines décisions des juridictions administratives ont indiqué qu’une plaque d’immatriculation, à elle seule, ne constitue pas toujours une donnée à caractère personnel. Pour une administration publique, cela implique une analyse du contexte et du risque, et non l’adoption d’une seule interprétation.
Comment la smart city applique l’anonymisation des photos et des vidéos
Dans les systèmes urbains, l’anonymisation ne signifie généralement pas la suppression complète de l’enregistrement, mais la réduction du caractère identifiable de certains éléments de l’image. Il s’agit le plus souvent des visages des passants et des plaques d’immatriculation des véhicules. C’est particulièrement important lors de la transmission d’enregistrements à des unités organisationnelles, de la publication de contenus promouvant des investissements, de la mise à disposition de contenus aux médias ou de l’utilisation de jeux de données à des fins de test et de formation.
Sur le plan technique, le processus comprend généralement :
- la détection d’objets dans les images,
- le suivi des objets détectés d’une image à l’autre,
- l’application d’un masque d’anonymisation, par exemple un flou ou une pixellisation,
- la vérification de la qualité afin de ne laisser aucune image non floutée.
Pour la détection automatique des visages et des plaques, on utilise des modèles d’apprentissage automatique, le plus souvent fondés sur le deep learning. Le réseau neuronal est d’abord entraîné sur des jeux de données contenant des exemples annotés de visages ou de plaques d’immatriculation. Ce n’est qu’ensuite qu’un tel modèle entraîné peut être utilisé pour le floutage automatique sur des photos et des vidéos. Sans cette phase d’apprentissage, le modèle n’est pas capable de détecter de manière fiable les objets dans des conditions urbaines variables, comme la pluie, le mouvement, la nuit ou l’occultation partielle d’un visage.
Dans le contexte de Gallio PRO, il convient de distinguer clairement l’étendue des fonctionnalités. Le logiciel floute automatiquement les visages et les plaques d’immatriculation. Il ne floute pas les silhouettes entières. Il ne réalise pas d’anonymisation en temps réel ni d’anonymisation de flux vidéo. Il ne détecte pas automatiquement les logos, les tatouages, les badges nominatifs, les documents ni les images affichées sur des écrans. Ces éléments peuvent être masqués manuellement dans l’éditeur.
Paramètres clés et métriques pour la confidentialité vidéo
L’évaluation d’un système d’anonymisation dans une smart city doit reposer sur des paramètres mesurables. De simples déclarations de conformité ne suffisent pas. Pour le DPO et l’équipe IT, l’efficacité de la détection est aussi importante que le risque de divulgation de données après anonymisation.
Paramètre | Signification | Portée pratique
|
|---|---|---|
Recall | Proportion de visages ou de plaques réellement présents correctement détectés | Un recall faible augmente le risque de laisser subsister des données à caractère personnel |
Precision | Proportion de détections correctes parmi l’ensemble des détections | Une precision faible augmente le nombre de masques erronés |
IoU | Intersection over Union pour la zone de détection | Influe sur le fait que le masque couvre réellement toute la zone du visage ou de la plaque |
Couverture des images | Proportion d’images où le masque est correctement maintenu | Essentiel en cas de mouvement de caméra et de déplacement rapide de l’objet |
Latence de traitement | Temps de traitement du contenu | Influe sur l’efficacité du travail de l’administration et, dans les systèmes hors ligne, détermine le temps de préparation avant diffusion |
Conservation des enregistrements | Durée de conservation du contenu source | Doit être justifiée par la finalité et la politique du responsable du traitement |
Pour l’évaluation du risque, il est possible d’utiliser un modèle opérationnel simple :
Risque de divulgation = probabilité de non-détection x impact de l’identification
Si le contenu doit être diffusé plus largement, le niveau d’efficacité requis pour l’anonymisation doit être plus élevé que dans le cadre d’une circulation interne strictement contrôlée.
Cas d’usage pour les collectivités : publication et mise à disposition d’enregistrements
Un cas d’usage typique concerne la vidéosurveillance urbaine des carrefours, arrêts de transport et places publiques. La ville souhaite utiliser les enregistrements pour analyser le trafic, documenter un investissement ou répondre à une demande d’accès à l’information publique. Le contenu comporte toutefois des visages de passants et des numéros de plaques d’immatriculation.
Un déroulement sécurisé du processus comprend généralement les étapes suivantes :
- définir la finalité de la réutilisation du contenu,
- vérifier la base légale et la nécessité de réaliser une AIPD conformément à l’article 35 du RGPD,
- sélectionner la partie de l’enregistrement strictement nécessaire à la finalité,
- flouter automatiquement les visages et les plaques d’immatriculation,
- effectuer un contrôle manuel du contenu afin d’identifier les autres éléments identifiants,
- mettre à disposition une copie traitée au lieu du fichier source,
- appliquer une politique de conservation et de contrôle des accès.
Une telle approche soutient le principe de privacy by design prévu à l’article 25 du RGPD. Elle permet également de limiter le nombre d’opérations effectuées sur le contenu source par des personnes non autorisées. Dans un environnement on-premise, un avantage supplémentaire est l’absence de nécessité de transférer les enregistrements vers des services cloud externes, ce qui simplifie l’analyse des flux et des transferts de données.
Défis et limites dans les projets de smart city
Même un système correctement conçu n’élimine pas tous les risques. Les problèmes les plus fréquents sont d’ordre technique et organisationnel. Ils concernent la qualité de l’image, l’angle de la caméra, l’éclairage, la compression, ainsi que les erreurs lors de la réutilisation du contenu.
Parmi les principales limites figurent :
- la baisse de l’efficacité de la détection en cas de faible résolution et de forte compression,
- l’occultation partielle d’un visage ou d’une plaque,
- le risque d’identification indirecte malgré le floutage, par exemple via le contexte de lieu et de temps,
- la nécessité de distinguer le contenu probatoire du contenu destiné à la publication,
- l’approche non uniforme de la qualification des plaques d’immatriculation en Pologne.
En ce qui concerne l’image des personnes, il convient de rappeler que l’obligation d’anonymisation peut découler non seulement du RGPD, mais aussi de la protection des droits de la personnalité et des règles encadrant la diffusion de l’image. Les exceptions concernent la personne notoirement connue lorsque l’image a été réalisée dans le cadre de l’exercice de ses fonctions publiques, l’image en tant qu’élément accessoire d’un ensemble tel qu’un rassemblement, un paysage ou une manifestation publique, ainsi que la situation dans laquelle la personne a reçu une rémunération convenue pour poser. Chacun de ces cas nécessite toutefois une analyse concrète de la situation de fait.