Update: 23.10.2018

Vidéosurveillance en Suisse: gare au flou juridique

La vidéosurveillance est omniprésente dans l’espace public et les lieux privés et beaucoup de ces «caméras intelligentes» permettent une reconnaissance faciale. Deux évolutions qui, misent ensemble dans un contexte juridique éclaté, constituent un réel danger pour les droits humains de tout à chacun.

Chaque fois que des données de vidéosurveillance permettant d'identifier des personnes sont traitées, le droit fondamental à la liberté individuelle, et en particulier à la vie privée de ces personnes, est violé.

En conséquence, les images d'une vidéosurveillance permettant d'identifier des personnes sont considérées comme des données personnelles au sens de l'article 3 alinéa a de la loi fédérale sur la protection des données du 19 juin 1992 (LPD ; RS 235.1). Seule la vidéosurveillance impliquant des données personnelles particulièrement sensibles doit être préalablement approuvée par le responsable de la protection des données. Les données personnelles utilisées pour créer des profils de mouvement ou de personnalité sont particulièrement sensibles. Les données à caractère personnel ne peuvent être divulguées que s'il existe une base juridique pour ce faire, un intérêt privé ou public supérieur ou le consentement de la personne concernée (art. 12 et 13 LPD). Cet intérêt public peut inclure, par exemple, la poursuite d'infractions pénales.

Mosaïques

Alors que la protection de la liberté individuelle est inscrite dans la Constitution fédérale - ainsi que dans la CEDH - la portée et les modalités de la vidéosurveillance légale sont définies par des réglementations nationales, cantonales et même communales, et ceci de manière très différente. La vidéosurveillance par les particuliers et l'administration fédérale est largement réglementée au niveau fédéral par la loi sur la protection des données ; la vidéosurveillance par les autorités cantonales et communales, par exemple la police cantonale, est soumise au droit cantonal (en particulier la loi cantonale sur la protection des données et la loi sur la police). La mise en oeuvre détaillée est définie dans les règlements d'exploitation communaux. Il y a donc toute une panoplie de règlements. Dans un entretien avec la NZZ, le préposé fédéral à la protection des données Adrian Lobsiger diagnostique également une "fragmentation juridique". En 2007, le Conseil des Etats avait refusé de créer une base juridique pour la vidéosurveillance, une sorte de "loi sur la vidéosurveillance" au niveau fédéral. Il rejette une motion correspondante de Pierre Bonhôte (PS, NE). Le Conseil fédéral a plutôt émis la recommandation suivante : que les cantons et les communes observent la Constitution dans leurs activités de surveillance et comblent les lacunes éventuelles de la loi conformément à la Constitution, c'est-à-dire conformément aux principes généraux régissant les atteintes aux droits fondamentaux.

Règlements cantonaux

Une directive publiée par le service zurichois en charge de la protection des données en novembre 2017 précise les exigences légales en matière de vidéosurveillance par des acteurs de droit public. Des fiches d'information similaires ont également été rédigées par les services responsables de la protection des données des cantons de Bâle-Campagne et de Lucerne.

En principe, un organisme public peut traiter les données dont il a besoin pour accomplir ses tâches selon la loi sur l'information et la protection des données (art. 8 al. 1 IDG ZH). Il doit donc y avoir une restriction de la finalité. Etant donné que les données vidéos sont généralement des données personnelles spéciales, il doit exister une base juridique sous la forme d'un règlement suffisamment spécifique dans une loi formelle (principe de légalité: art. 8 al. 2 IDG ZH). Si des données doivent être transmises régulièrement à un autre organe public, ce flux de données doit également être réglementé par la loi (art. 16 et 17 al. 1 IDG ZH). En outre, il découle du principe de proportionnalité (art. 8 al. 1 IDG ZH) que les flux de données numériques (transfert de fichiers, services d'extraction Pull / Push, procédures de recherche, de récupération, etc) ne peuvent contenir que des données qui soient appropriées et nécessaires à l'exécution d'une tâche prescrite de manière légale à l'organisme public qui les traite.

Si un organisme public effectue une vidéosurveillance, il est en tout état de cause responsable du respect de la protection des données. Cette disposition s'applique également lorsque l'organisme public fait effectuer une vidéosurveillance par une entreprise privée. Dans ce cas, l'organisme public a la responsabilité de veiller à ce que cette entreprise privée respecte les exigences en matière de protection des données.

 Vidéosurveillance débridée

Dès 2007, le préposé zurichois à la protection des données Bruno Baeriswl avait mis en garde contre l'automatisation de la technologie de surveillance. Il parlait avant tout de logiciel de reconnaissance faciale, capable de comparer les enregistrements des visages des caméras de surveillance avec n'importe quelle base de données, une sorte de «vidéo surveillance plus».

En 2018, la caméra intelligente est une réalité internationale. Dans des pays tels que la Chine, la Grande-Bretagne ou l'Allemagne, la reconnaissance faciale est utilisée à des fins de surveillance gouvernementale. Selon les rapports du WOZ, en 2017, lors de la finale de la Ligue des Champions à Cardiff, le logiciel de la société japonaise d'électronique NEC a permis de comparer toutes les personnes présentes dans le stade avec une liste de 500'000 personnes potentiellement auteures de troubles. Dans le cadre des manifestations du G20, la police de Hambourg a également misé sur la reconnaissance faciale: des dizaines de téraoctets de matériel vidéo ont été examinés à l'aide du logiciel Face-Vacs de la société allemande Cognitec.

Sans une large base de données, la reconnaissance faciale est, il va sans dire, inutile. Mais il existe également en Suisse de nombreux registres qui peuvent être exploités à cette fin. La plus importante d'entre elles est la base de données des cartes d'identité et de leurs données biométriques (environ 4 millions d'enregistrements de données). Lors d'un test réalisé à l'aéroport de Zurich en collaboration avec la police cantonale zurichoise, les données biométriques ont déjà été utilisées pour le dépistage facial. Selon un rapport de la SRF du 20 février 2018, une caméra intelligente utilise certains repères sur le visage d'une personne (distance entre le nez, la bouche et les oreilles) pour vérifier si le passager est bien la personne figurant sur le passeport biométrique et si cette personne constitue une menace terroriste. C'est également la raison pour laquelle il n'est plus permis de sourire sur les photos d'identité depuis 2002, car cela fausse les distances examinées sur le visage.

Dérive

De l’utilisation de caméras intelligentes dans un aéroport à l’informatisation systématique de la poursuite pénale, il n’y a qu’un pas. Selon la police cantonale bernoise, les images prises dans le cadre d'un service de reconnaissance pourraient ainsi à l'avenir être utilisées pour la reconnaissance faciale. Il n'est pas exagéré non plus d'imaginer qu'à des fins de recherche, les photos de passeport des personnes annoncées soient reliées à des caméras de surveillance de reconnaissance faciale dans des lieux publics. Il est concevable que de telles pratiques soient de plus en plus répandues, de sorte que, par exemple, les personnes interdites de territoire déclenchent une alarme après de la police si elles sont repérées dans lesdits territoires interdits. Les nouvelles bases de données sur les menaces potentielles, créées dans le cadre de la gestion cantonale des menaces, en liaison avec les caméras de reconnaissance faciale, ouvrent de toutes nouvelles possibilités de surveillance des personnes potentiellement dangereuses. Si l’on comprend bien la volonté d’une poursuite efficace des personnes potentiellement dangereuses, il n’en demeure pas moins que, si la frontière entre les mesures de prévention et les poursuites reste floue, cela représente un réel danger pour les  droits fondamentaux de tout à chacun (voir notre article sur le sujet).

Patrick Walder d'Amnesty International a exprimé des craintes similaires dans le WOZ du 19 avril 2018: «L'utilisation généralisée de la reconnaissance faciale représente une atteinte massive aux droits fondamentaux. Il s'agit d'une forme de surveillance de masse indépendante de la suspicion qui n'est pas admissible du point de vue des droits de l'homme.»

Un premier essai pilote

Dès 2002-2003 (!), un test pilote avec le système de reconnaissance faciale FAREC avait déjà lieu à l'aéroport de Zurich-Kloten. L'objectif était d'intercepter des demandeurs d'asile déboutés sans papiers avant leur entrée en Suisse, a admis le Conseil fédéral dans sa réponse à l'interpellation d'Alex Heim (PDC/SO). La comparaison des données biométriques devait permettre de savoir si et où une personne s'était déjà rendue à Zurich. L'objectif de la mesure étant de déterminer le lieu d'origine de la personne et de faciliter ainsi son rapatriement. Une condition préalable à l'introduction définitive restait l'existence d'une base juridique formelle en raison de préoccupations liées à la protection des données. Celle-ci n'existait pas au moment du test, mais a été créée avec l'adoption de la révision totale de la Loi sur les étrangers (art. 103 al. 5 LEtr). Toutefois, rien n'indique que l'expérience pilote ait été par la suite convertie en une pratique régulière.

Introduction par la petite porte: l'affaire du service des sports de Zurich

Ce qui s'est passé récemment dans la ville de Zurich semble plutôt banal, cela illustre cependant le danger à trop tarder à légiférer sur un enjeu de société d’envergure majeure. A Noël 2017, le service des sports de la ville de Zurich a lancé un plan d'essai. Dans son nouveau règlement sur la vidéo, une clause subordonnée discrète parlait d'introduire la fonction de reconnaissance faciale. Cependant, étant donné que le service des sports avait déjà réalisé de manière illégale (c'est-à-dire sans base légale) des enregistrements vidéo dans certaines installations sportives, le mal était fait. En raison d'un appel, à l'heure actuelle, tous les systèmes vidéo des installations sportives et de natation de Zurich sont éteints.

Néanmoins, la vidéosurveillance est prévue pour onze installations sportives et de baignades à l'avenir. Selon une étude menée par Lokalinfo, la ville de Zurich n'exploite pas des dizaines, mais des milliers de caméras vidéo avec une couverture presque complète. Le potentiel est donc énorme, et le besoin d'une évaluation automatique d'une telle quantité d'images devrait aller de pair.

Autres domaines d'application possibles: la violence entre fans des club du FCZ et du GC ou la surveillance de scènes des squats et de manifestations non autorisées.

Révision de la protection des données par étape

La vie privée de Monsieur et Madame tout le monde en Suisse n'est pas suffisamment protégée par l'actuelle loi sur la protection des données (LPD). Un fait qui ne surprenant pas si l’on se rappelle que celle-ci a plus de 20 ans. La protection de la vie privée en Suisse est dépassée et inadaptée à l'ère de l'hyperconnectivité.

En 2011, le Conseil fédéral a chargé le Département fédéral de justice et police (DFJP) d'examiner les mesures visant à renforcer la protection des données et de lui soumettre des propositions pour la fin de l'année 2014. Fin 2016, le Conseil fédéral a envoyé un avant-projet en consultation, suivi à l'automne 2017 du message et du projet de révision total de la Loi fédérale sur la protection des données.

Dans ce contexte, la Confédération ne s'occupe pas en premier lieu des données de ses propres citoyens, mais de la conformité avec les dispositions de l'Union européenne en matière de poursuite pénale. En conséquence, la Commission des institutions politiques du Conseil National a décidé en janvier 2018 d'aborder la révision totale en deux étapes partielles. La Commission discute d'abord de l'adaptation des accords de Schengen, puis de la législation actuelle en matière de protection des données pour la population, l'économie et les autorités fédérales. Le Conseil national a donné son accord de principe à la procédure lors de la session d'été 2018.

L'introduction d'une directive centrale pour la vidéosurveillance sous la forme d'une loi sur la vidéosurveillance au niveau fédéral serait cependant également une mesure raisonnable.

Commentaire: stop à la surveillance généralisée

Le gouvernement fédéral doit être un législateur dynamique et entreprenant s'il veut suivre le rythme de la croissance rapide des possibilités technologiques comme la reconnaissance faciale. Cela comprend la protection adéquate de ses citoyens et l'établissement de limites pour l'industrie de la technologie ainsi que pour ses propres services de police et de sécurité.

Grâce aux décisions spéciales du Conseil fédéral, en l'occurrence les mesures policières de lutte contre le terrorisme, certaines personnes accusées d'intention terroriste seront, à l'avenir, soumises à des mesures plus sévères. Le traitement des données par les autorités de sécurité est de plus en plus étendu à des catégories d'individus de manière préventive telles que de personnes considérées comme dangereuses. La quantité de données évaluées par l'Etat est en constante augmentation. Il est tout à fait logique qu'il le fasse avec les moyens techniques les plus efficaces à sa disposition. Il s'agira très prochainement de caméras vidéo intelligentes avec reconnaissance des visages intégrée.

Le législateur doit donc se pencher sur la question de l'utilisation privée et publique de la reconnaissance faciale numérique avant qu'elle ne s'impose de façon erratique dans notre quotidien faute de règles claires. De l'avis de humanrights.ch, les applications étatiques de la reconnaissance faciale doivent en principe être interdites, car elles sont beaucoup trop intrusives contre la liberté personnelle de tous les citoyens. En effet, personne ne peut éviter une caméra vidéo intelligente dans l'espace public sans avoir à éviter tout l'espace public.

Malgré les progrès technologiques, nous ne devons jamais oublier que le risque zéro n'existe pas et que la sécurité proche de l’absolu exige un prix trop élevé de notre part à tous. Dans un Etat de droit, il ne peut y avoir d’élimination totale de tous les dangers et de définitions pénales de toutes les infractions.

© humanrights.ch / MERS - Hallerstr. 23 - CH-3012 Bern - Tel. +41 31 302 01 61