Logiciel d’anonymisation vidéo : définition
Un logiciel d’anonymisation vidéo est un logiciel conçu pour détecter et masquer les données personnelles visibles sur les photos et les enregistrements vidéo. En pratique, dans le contexte des contenus visuels, il s’agit principalement des visages et des plaques d’immatriculation. L’objectif est de limiter la possibilité d’identifier une personne physique avant toute réutilisation du contenu, par exemple sa publication, son partage, son archivage, son analyse ou sa transmission à un autre organisme.
Au sens du RGPD, l’anonymisation désigne un traitement des données tel que l’identification de la personne ne soit plus possible au moyen de procédés dont l’utilisation est raisonnablement probable. Cela découle du considérant 26 du Règlement (UE) 2016/679. Dans la pratique de la vidéo, une partie des solutions commercialisées comme « anonymization » relèvent plutôt d’un masquage permanent de l’image que d’une anonymisation au sens juridique. L’évaluation de leur efficacité dépend donc de la possibilité ou non de réidentifier une personne après application du masque, à partir du visage, de la plaque d’immatriculation ou d’autres éléments de contexte.
Ce type de logiciel utilise généralement des modèles de vision par ordinateur pour détecter des objets, puis applique un masque, un flou, une pixellisation ou un remplissage de zone. Dans le cas des visages et des plaques d’immatriculation, les performances automatiques dépendent de la qualité du modèle, de la résolution du contenu, de l’angle de prise de vue, de l’éclairage, du mouvement, de la compression et de l’occultation de l’objet.
Dans le contexte de Gallio PRO, cette notion désigne un logiciel qui détecte et floute automatiquement les visages et les plaques d’immatriculation dans les vidéos et les photos. Il ne couvre pas la détection automatique des logos, tatouages, badges nominatifs, documents ni des contenus affichés sur des écrans. Ces éléments peuvent être masqués manuellement dans l’éditeur. Le logiciel n’effectue pas d’anonymisation en temps réel ni d’anonymisation de flux vidéo.
Comment fonctionne un logiciel d’anonymisation vidéo
Sur le plan technique, le processus se compose de plusieurs étapes. Le système analyse d’abord les images et localise les objets à protéger. Il les suit ensuite d’une image à l’autre et applique un masque sur toute la durée de la séquence. Cela réduit le risque de « clignotement » du masque ou de révélation momentanée d’un visage.
Pour l’anonymisation automatique des visages et des plaques d’immatriculation, on utilise généralement des modèles de deep learning. Ils sont largement employés pour construire des détecteurs robustes face à la variabilité de l’image, par exemple différentes orientations du visage, une occultation partielle, le mouvement d’un véhicule ou des conditions météorologiques variées. Le modèle est d’abord entraîné sur des jeux de données annotés, puis utilisé en inférence, c’est-à-dire pour détecter des objets dans de nouveaux contenus.
- détection : identification de la zone du visage ou de la plaque d’immatriculation dans une image donnée,
- suivi (tracking) : maintien de l’identification du même objet entre des images successives,
- masquage : application d’un flou, d’une pixellisation ou d’un cache,
- vérification : contrôle qualité par un opérateur, en particulier pour les contenus à haut risque.
En pratique, une bonne solution doit associer automatisation et correction manuelle. La seule détection n’élimine pas les erreurs de type faux négatif, c’est-à-dire les visages ou plaques non détectés. Du point de vue du délégué à la protection des données, il s’agit d’un paramètre critique, car une seule omission peut entraîner la divulgation de données personnelles.
Types de logiciels d’anonymisation vidéo
Lors du choix d’un logiciel d’anonymisation vidéo, l’architecture de déploiement et le degré d’automatisation sont déterminants. Ces caractéristiques influencent le risque juridique, la sécurité des données, le coût opérationnel et l’efficacité du processus.
Critère | On-premise | Cloud
|
|---|---|---|
Lieu de traitement | Infrastructure propre ou dédiée | Environnement du fournisseur |
Contrôle des données | Élevé | Dépend du contrat et de la configuration |
Transfert de fichiers hors de l’organisation | Pas nécessairement requis | Généralement nécessaire |
Exigences d’infrastructure | Plus élevées | Plus faibles côté utilisateur |
Évaluation pour les contenus sensibles | Souvent privilégié | Nécessite une analyse des transferts et des sous-traitants |
Une seconde distinction concerne le mode de travail de l’opérateur. Les solutions automatiques permettent de traiter de grands volumes, mais elles doivent être contrôlées. Les solutions manuelles sont plus lentes, mais elles permettent de masquer des objets que le modèle ne détecte pas.
Mode de fonctionnement | Usage | Limites
|
|---|---|---|
Automatique | Gros volumes d’enregistrements, prises de vue répétitives | Risque d’omissions et d’erreurs de détection |
Manuel | Contenus atypiques, objets hors périmètre du modèle | Temps de travail plus important |
Hybride | Modèle opérationnel le plus courant | Nécessite une procédure de contrôle qualité |
Principaux paramètres et métriques d’évaluation
L’évaluation du logiciel ne doit pas reposer uniquement sur l’affirmation « IA ». Des paramètres mesurables sont nécessaires. Dans les systèmes de détection d’objets, on utilise le plus souvent la précision, le rappel et des mesures dérivées. Ces définitions sont standards en apprentissage automatique et dans la littérature en vision par ordinateur.
- precision = TP / (TP + FP) : proportion des détections correctes,
- recall = TP / (TP + FN) : proportion des objets réellement présents qui ont été détectés,
- F1 = 2 × (precision × recall) / (precision + recall),
- IoU - Intersection over Union, mesure de l’ajustement de la boîte de détection à l’objet,
- temps de traitement : par exemple nombre d’images par seconde ou temps nécessaire pour 1 heure de vidéo,
- stabilité du tracking : nombre d’interruptions du masquage dans une séquence,
- taux d’erreurs critiques : nombre de visages ou de plaques non détectés par unité de temps d’enregistrement.
Pour les usages liés à la conformité, un recall élevé est généralement plus important que la seule precision. Les faux positifs augmentent le nombre de masques inutiles, mais les faux négatifs peuvent entraîner une divulgation de données personnelles. C’est pourquoi les tests doivent être réalisés sur les propres contenus de référence de l’organisation, et pas seulement sur les données du fabricant.
Critères de choix d’un logiciel d’anonymisation vidéo
Le choix d’une solution doit résulter d’une analyse des risques, du type de contenu et de la base légale du traitement. Pour le DPO, les fonctions techniques comptent autant que la dimension organisationnelle.
- périmètre de détection automatique : le système détecte-t-il les visages et les plaques d’immatriculation ?
- possibilité de correction manuelle : indispensable pour les objets non pris en charge automatiquement,
- modèle de déploiement : on-premise ou cloud,
- absence de journaux inutiles contenant des données personnelles,
- prise en charge des photos et vidéos dans les formats et résolutions requis,
- performances sur de grands volumes de contenus,
- possibilité de valider le résultat avant l’export du fichier final,
- documentation technique et possibilité d’auditer les paramètres du processus.
Dans le cas de Gallio PRO, il est important de noter que le logiciel n’enregistre pas de journaux contenant les résultats de détection des visages et des plaques d’immatriculation, ni d’autres logs contenant des données personnelles ou des catégories particulières de données. Du point de vue de la minimisation des données, il s’agit d’une caractéristique organisationnelle importante.
Aspects juridiques et normatifs
Le principal point de référence reste le RGPD, c’est-à-dire le Règlement (UE) 2016/679 du 27 avril 2016. Les principes de privacy by design et privacy by default prévus à l’article 25, ainsi que la sécurité du traitement visée à l’article 32, sont également importants. Le considérant 26 fixe le critère d’évaluation de l’identifiabilité après anonymisation.
En ce qui concerne les visages, l’obligation de masquage peut aussi découler des règles relatives à la protection de l’image et des droits de la personnalité. En pratique, on distingue généralement trois exceptions typiques à l’obligation d’obtenir une autorisation pour diffuser l’image d’une personne : une personne connue dans l’exercice de fonctions publiques, une image constituant un simple détail d’un ensemble tel qu’un rassemblement, un paysage ou un événement public, et la situation dans laquelle la personne a perçu une rémunération convenue pour poser.
Pour les plaques d’immatriculation, l’appréciation n’est pas uniforme. Dans les pays européens, leur masquage est souvent considéré comme une pratique prudente du point de vue de la protection des données, mais la qualification juridique dépend du contexte et du droit national. En Pologne, il existe une divergence d’interprétation. Les lignes directrices des autorités de protection des données et la jurisprudence de l’Union soutiennent une approche prudente, tandis qu’une partie de la jurisprudence administrative considère qu’un numéro d’immatriculation ne constitue pas toujours une donnée personnelle. Du point de vue de la conformité, cela implique la nécessité d’évaluer le contexte et le risque d’identification.
Limites et contexte pratique d’utilisation
Aucun logiciel ne garantit une absence totale d’erreurs pour tous les contenus. Des difficultés apparaissent en cas de très faible résolution, de forte compression, de mouvements rapides de caméra, de foules denses, de scènes nocturnes ou d’occultation partielle de l’objet. C’est pourquoi le processus doit inclure un contrôle qualité, en particulier avant la publication du contenu sur internet.
Les logiciels d’anonymisation vidéo sont utilisés notamment par les collectivités territoriales, la police, les gestionnaires d’infrastructures routières, les entreprises de transport, les médias, les opérateurs de vidéosurveillance et les organismes qui réalisent une documentation technique sur le terrain. Dans chacun de ces cas, l’objectif est similaire : permettre une réutilisation des enregistrements sans divulguer inutilement l’identité des personnes ni les numéros des véhicules.