Améliorer la protection des commerçants grâce à l’usage d’outils numériques

Cet amendement entend modifier le titre afin d'assurer son adéquation avec son contenu. 

Le titre des lois participe de l'objectif de valeur constitutionnel d'intelligibilité de la loi et doit être fidèle au contenu du texte. 

Aussi, il apparait que cette proposition de loi ne vise pas à "améliorer la protection des commerçants" mais à leur permettre d'utiliser la vidéosurveillance algorithmique". 

Une éventuelle évaluation ex post de ce texte pourra permettre de déterminer si cette possibilité a pu conduire à améliorer la protection des commerçants. 

En attendant, le titre proposé dans le présent amendement décrit fidèlement son contenu. 

Rédiger ainsi le titre : 

« visant à encadrer l’usage des outils de vidéo surveillance algorithmique par les commerçants ».

Cet amendement du groupe Socialistes et apparentés entend supprimer l'article unique de cette proposition de loi.

Au motif de répondre à une demande réelle et légitime des commerçants souhaitant protéger leurs magasins et leur activité, les auteurs de la proposition de loi ignorent les atteintes graves que le dispositif porte aux droits et libertés fondamentales.

Les députés socialistes et apparentés refusent que le Parlement ne se défausse de son devoir de garantir, par lui-même, la constitutionnalité des textes qu’il adopte. Ils rappellent que le législateur est pleinement responsable de la conciliation entre les objectifs poursuivis et le respect des droits et libertés fondamentaux, le Conseil constitutionnel devant demeurer un contrôleur de dernier ressort.

À ce titre, le texte soumis présente deux faiblesses majeures.

D’une part, la jurisprudence du Conseil constitutionnel, issue notamment de l’examen de la loi relative aux Jeux olympiques et paralympiques, impose que toute atteinte aux droits fondamentaux soit strictement nécessaire et proportionnée à la gravité des risques pesant sur la sécurité des personnes que la technologie est censée prévenir. Or, dans le cas de la loi JOP, c’est la menace terroriste exceptionnelle qui avait justifié une telle atteinte, et qui ne peut être raisonnablement invoquée dans un texte dont l’objectif avéré est de prévenir le vol.

D’autre part, cette conciliation avait été expressément subordonnée au caractère expérimental du dispositif et à l’évaluation de ses résultats. Or, à la lumière du bilan récemment remis au Ministère de l’Intérieur et au Parlement, dont l’efficacité apparaît pour le moins limitée, et eu égard aux recommandations de la CNIL en la matière, le juge constitutionnel ne pourra que constater le caractère disproportionné des atteintes portées, notamment au droit au respect de la vie privée.

Enfin, la tentative engagée en commission de transformer ce dispositif en une nouvelle expérimentation de cinq ans ne saurait tromper ni la vigilance de la représentation nationale ni celle du juge constitutionnel. Cette nouvelle expérimentation interviendrait sans que ne soient tirées les conséquences de l’évaluation précédente et s’abstient de borner dans l’espace, le déploiement du dispositif, en méconnaissance directe des conditions posées par le Conseil constitutionnel.

En outre, celui-ci exige que les événements susceptibles de présenter ou de révéler des risques ainsi que les situations justifiant le recours à de tels traitements soient prédéfinis avec une précision suffisante. Tel n’est pas le cas en l’espèce, le texte renvoyant au pouvoir réglementaire une responsabilité qui incombe pourtant au législateur : assurer la conciliation entre l’objectif poursuivi et la préservation des droits et libertés fondamentales.

Ce texte présente donc des insécurités juridiques majeures qui laissent présager de sa censure par le Conseil constitutionnel. Loin d’assurer l’objectif qu’il se fixe -la protection des commerçants-, ce texte risquerait au contraire de les exposer à l’acquisition d’un dispositif inefficace et lourdement attentatoire aux droits de tous les citoyens.

Supprimer cet article.

Cet amendement du groupe Socialistes et apparentés entend poser la question de la réutilisation des images captées : 

La circulation des images issues de la vidéosurveillance est particulièrement problématique, que ces images soient piratées, revendues ou données. 

C'est sur la base de telles images que les entreprises entrainent leurs algorithmes : elles ont donc une valeur économique puisqu'elles sont essentielles à la constitution même des algorithmes. 

Aussi cet amendement prévoit-il que l'entreprise qui a recours à cette technologie doit garantir la non circulation de ces images. 

Tel est le sens de cet amendement.

Après l’alinéa 11, insérer l’alinéa suivant : 

« 1° bis) Des garanties sont apportées afin que les images ainsi captées ne soient pas réutilisées ni à titre gratuit ni à titre onéreux. »

Cet amendement du groupe Socialistes et apparentés entend rappeler l'importance du respect des droits humains dans le cadre de l'utilisation de technologies parfois conçues en partie à l'étranger. 

Dans l'esprit de la loi Potier relative au devoir de vigilance, il appartient aux entreprises qui ont recours à ces technologies de veiller à ce que leur élaboration ne soit pas le fait d'entreprise ou de sous-traitants méprisant les droits humains. 

Il leur appartiendra, grâce à cet amendement, d'obtenir des garanties des entreprises qui produisent ces technologies qu'elles ne sont pas issues de pratiques dégradant la dignité humaine. 

Plusieurs enquêtes journalistiques ont révélé des conditions de travail qui confinent à l'asservissement de l'humain par la machine. 

S'il est envisagé de recourir à ce type de technologie, il convient de veiller à ce qu'elles ne soient pas conçues dans de telles conditions. 

Tel est le sens de cet amendement.

Après l’alinéa 11, insérer l’alinéa suivant : 

« 1° bis) Lorsque le traitement algorithmique employé repose sur un apprentissage, des garanties sont apportées afin qu’il soit conçu par des entreprises qui respectent les droits humains en France et à l’étranger notamment dans le cadre de l’entrainement des algorithmes. Si ces entreprises ont eu recours à des sous-traitants à l’étranger, il appartient à la personne morale qui fait usage de ces technologies de s’assurer que ces sous-traitants respectent ces droits humains notamment dans le cadre de cet entrainement des algorithmes. »

Cet amendement du groupe Socialistes et apparentés entend imposer un strict respect des règles relatives aux usages de l'intelligence artificielle. 

Il s'agit plus précisément de s'assurer que la mise en oeuvre de ce texte ne conduise pas à porter atteinte à l’article 5, paragraphe 1, point f), du règlement sur l’IA. 

Cette disposition a fait l'objet d'une interprétation par la Commission européenne qui estime que  "l’utilisation de caméras par un supermarché ou une banque pour détecter les clients suspects, par exemple pour conclure que quelqu’un est sur le point de commettre un vol, n’est pas interdite par l’article 5, paragraphe 1, point f), du règlement sur l’IA,
lorsqu’il est garanti qu’aucun employé n’est suivi et qu’il existe des garanties suffisantes". 

Tel est le sens de cet amendement. 

Après l’alinéa 11, insérer l’alinéa suivant : 

« 1° bis) Des garanties sont apportées afin qu’aucun employé ne puisse faire l’objet d’un suivi par les caméras associées à ce dispositif technique dans l’exercice de ses missions. »

Le présent amendement vise à renforcer les garanties encadrant la conservation et la transmission des données issues des technologies d’analyse automatique des images mises en œuvre dans le cadre des dispositifs de vidéosurveillance algorithmique, en limitant strictement leur transmission aux seules hypothèses de réquisition judiciaire et en prévoyant leur suppression dans un délai restreint, en accord avec les recommandations de la CNIL.

En subordonnant toute transmission à l’existence d’une réquisition judiciaire, le présent amendement garantit un contrôle effectif par l’autorité judiciaire, seule légitime pour apprécier la nécessité et la proportionnalité de l’atteinte portée aux droits fondamentaux.

La fixation d’un délai maximal de conservation de quarante-huit heures en l’absence d’événement, et de soixante-douze heures en cas d’incident, assure une minimisation stricte des données, au sens de l’article 5 du RGPD, tout en tenant compte des contraintes opérationnelles inhérentes à la qualification des faits et au déclenchement éventuel de la procédure pénale.

L’effacement intégral et irréversible des données en l’absence de réquisition dans ces délais garantit une protection maximale contre toute conservation excessive, détournement de finalité ou usage abusif.

Après l’alinéa 16, insérer les alinéas suivants : 

« Les données à caractère personnel issues des traitements mis en œuvre en application du présent article sont conservées pour une durée strictement proportionnée aux finalités poursuivies, conformément aux principes de minimisation et de limitation de la conservation prévus par la loi n° 78‑17 du 6 janvier 1978 précitée et par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

« En l’absence de détection d’un événement susceptible de constituer une atteinte à la sécurité des personnes ou des biens, ces données sont automatiquement supprimées dans un délai maximal de quarante-huit heures à compter de leur collecte.

« Lorsqu’un tel événement est détecté, seules les données strictement nécessaires à sa caractérisation peuvent être extraites et conservées pour une durée maximale de soixante-douze heures, exclusivement aux fins de permettre leur mise à disposition en cas de réquisition judiciaire.

« Les modalités d’application des huitième, neuvième et dixième alinéas du présent VII, notamment les conditions d’extraction, de sécurisation, de traçabilité, de transmission et d’effacement des données, sont précisées par décret en Conseil d’État pris après avis public et motivé de la Commission nationale de l’informatique et des libertés. »

Le présent amendement vise à sécuriser le régime de protection applicable aux données issues des technologies de vidéosurveillance algorithmique, compte tenu de la sensibilité particulière de ces traitements et des risques élevés qu’ils font peser sur le droit au respect de la vie privée.

Le principe d’un stockage, d’un hébergement et d’un traitement exclusivement internes garantit une maîtrise complète de la chaîne de traitement, une traçabilité intégrale des accès et une responsabilisation accrue des responsables de traitement, réduisant ainsi significativement les risques de fuite, de détournement ou d’usage abusif des données.

L’ouverture d’une dérogation strictement exceptionnelle, limitée aux seules hypothèses de risque grave et imminent pour la sécurité des systèmes d’information ou la continuité du service, permet de préserver tant la constitutionnalité que la conventionnalité du dispositif et de concilier la nécessité d’une protection accrue de ces données à l’opérabilité du déploiement de ces technologies.

Après l’alinéa 16, insérer les alinéas suivants : 

« Les données à caractère personnel issues des traitements mis en œuvre en application du présent article sont exclusivement stockées, hébergées et traitées en France, au moyen de systèmes d’information internes placés sous le contrôle direct, permanent et effectif du responsable du traitement.

« Par dérogation, le recours à un prestataire tiers pour l’hébergement ou le traitement de tout ou partie de ces données ne peut être autorisé qu’à titre exceptionnel, lorsqu’il est strictement indispensable pour prévenir un risque grave et imminent d’atteinte à la sécurité des systèmes d’information ou pour assurer la continuité du service, et à condition qu’aucune solution interne ne permette d’atteindre un niveau de sécurité équivalent.

« Dans ce cas, le prestataire ne peut agir que sur instruction documentée du responsable du traitement, sans accès autonome aux données, lesquelles demeurent placées sous le contrôle exclusif de ce dernier.

« Tout transfert, direct ou indirect, de ces données vers un État non membre de l’Union européenne est interdit.

« Les conditions d’application des huitième, neuvième, dixième et onzième alinéas du présent VII sont précisées par décret en Conseil d’État pris après avis public et motivé de la Commission nationale de l’informatique et des libertés. »