L’autorité de protection des données (APD) italienne a été informée de la mise en place d’un nouveau système de surveillance basé sur l’IA par la municipalité de Trente, le contrôleur, avec le soutien de FBK, une fondation de recherche. Dans le cadre d’une expérience sociale, le contrôleur a permis le déploiement de trois projets, « Marvel » et « Protector », déjà terminés, et « Precrisis » qui doit encore être activé, utilisant des systèmes d’IA développés par la fondation afin de collecter des données dans les zones publiques de la municipalité au moyen de caméras vidéo et de microphones qui pourraient servir à prévenir des situations potentielles de danger pour le public.

Le responsable du traitement a notamment précisé que les projets étaient financés par l’UE et a fourni des détails sur le fonctionnement technique de chacun d’entre eux. En particulier, le projet « Marvel » vise à développer un système automatisé d’analyse de scènes audiovisuelles en temps réel afin de détecter les problèmes de sécurité urbaine. La fondation a accès aux enregistrements des caméras publiques de la municipalité, qui sont instantanément anonymisés et analysés dans les stations de travail de la fondation. Le projet « Protector » vise quant à lui à améliorer la sécurité autour des lieux de culte, notamment contre les risques de crimes haineux et d’attaques terroristes. La plateforme acquiert des données vidéo à partir des caméras présentes dans les zones entourant les lieux de culte et des données textuelles dérivées des commentaires haineux sur les médias sociaux, qui sont ensuite élaborées par un système d’intelligence artificielle afin de détecter d’éventuels risques pertinents. Là encore, la fondation a accès en temps réel aux enregistrements qui sont instantanément anonymisés. Enfin, en ce qui concerne le projet « Precrisis », le responsable du traitement a indiqué qu’il n’a pas encore été mis en œuvre, mais qu’il sera activé prochainement, après l’adoption des mesures nécessaires pour assurer la conformité avec le RGPD.

En outre, le responsable du traitement a fait valoir, en ce qui concerne les trois projets, que la base juridique de ce traitement est l’article 6, paragraphe 1, point e), du RGPD et il a fait référence à la loi italienne n° 38/2009 qui accorde aux municipalités la compétence d’adopter des systèmes de vidéosurveillance pour améliorer la sécurité urbaine et à la loi régionale du 3 mai 2018, qui accorde à la municipalité une compétence générique en matière de développement de projets sociaux, culturels et économiques. En outre, le responsable du traitement a affirmé que les projets étant encore en phase de développement, les dispositions du RGPD ne commenceraient à s’appliquer que lorsqu’ils seraient activés. En outre, le responsable du traitement a ajouté que ces projets de recherche seraient également menés conformément aux dispositions de l’article 89 du RGPD. Enfin, le responsable du traitement a indiqué qu’il avait désigné la fondation de recherche comme sous-traitant en vertu de l’article 28 du RGPD pour le traitement futur des données à caractère personnel qui aura lieu une fois que les projets seront activés.

Dans une décision 9977020 du 11.01.2024 (https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9977020; traduite et présentée sur gdprhub https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_(Italy)_-_9977020&mtc=today), l’autorité italienne de protection des données (APD ; Garante per la protezione dei dati personali) considère notamment :

En ce qui concerne les deux premiers projets, l’APD a constaté que, même s’il s’agissait de projets expérimentaux et qu’aucune donnée n’était utilisée à des fins réelles de prévention de la criminalité, le responsable du traitement effectuait toujours un traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions en vertu de l’article 10 RGPD. En fait, les algorithmes ont été formés sur la base des données collectées par les caméras déjà présentes sur le territoire de la municipalité dans le but de détecter et de documenter les activités criminelles et pourraient donc inclure le traitement de vidéos enregistrant des activités criminelles.

En outre, l’APD a estimé que le responsable du traitement ne pouvait pas prétendre de bonne foi qu’aucun traitement réel n’était encore effectué parce que les projets étaient encore expérimentaux, étant donné que le responsable du traitement lui-même a indiqué les rôles, les finalités et la base juridique de ce traitement. L’APD a également confirmé le rôle de la municipalité en tant que responsable du traitement et le fait qu’elle pouvait se voir infliger une amende, même si certaines activités étaient effectuées par un sous-traitant pour son compte.

L’APD a ensuite évalué les techniques d’anonymisation mises en place. Le responsable du traitement a fait valoir qu’il avait adopté des techniques d’anonymisation dès la collecte des données : l’altération des sons de la voix dans les enregistrements vocaux et le floutage des visages des personnes dans les vidéos. L’APD a estimé que ces techniques étaient inadéquates car elles ne garantissaient pas une anonymisation complète des données à caractère personnel collectées. En outre, en ce qui concerne les données collectées sur les plateformes de médias sociaux, elles étaient simplement pseudonymisées et non anonymisées de sorte que leur traitement devait être conforme au RGPD.

En outre, l’autorité de protection des données a estimé que le traitement des données était contraire aux principes de licéité, de loyauté et de transparence visés à l’article 5, paragraphe 1, point a), du RGPD.

En ce qui concerne le principe de légalité, l’autorité de protection des données a considéré que la loi régionale accordant à la municipalité une compétence générale sur le développement de projets sociaux, culturels et économiques identifiés par le responsable du traitement ne peut constituer une base juridique valable conformément à l’article 6, paragraphe 1, point e), du RGPD, à l’article 6, paragraphes 2 et 3, du RGPD et à l’article 9, paragraphe 2, point g), du RGPD. Se référant notamment à la jurisprudence de la CJUE et de la Cour européenne des droits de l’homme l’APD a estimé que, pour qu’un traitement soit fondé sur une loi, celle-ci doit prévoir des règles spécifiques sur la portée et les limites des opérations de traitement et les personnes concernées doivent pouvoir s’attendre raisonnablement à ce que le traitement soit effectué. De même, l’ADP a estimé que le responsable du traitement ne pouvait pas justifier le traitement sur la base de la loi n° 38/2009 sur la sécurité urbaine, qui autorise l’utilisation de caméras dans le seul but de contraster et de prévenir la criminalité et qui ne pouvait pas être invoquée pour le traitement ultérieur. En ce qui concerne l’argument du responsable du traitement selon lequel l’article 89 du RGPD pourrait s’appliquer aux opérations de traitement, l’autorité de protection des données a estimé que le responsable du traitement, en tant que municipalité, n’avait pas prouvé qu’il devait être considéré comme un institut de recherche. À la lumière de ce qui précède, l’APD a également considéré que le partage de données personnelles faiblement anonymisées ou pseudonymisées avec le sous-traitant s’est fait en violation de l’article 5, paragraphe 1, point a), du RGPD et qu’il n’y avait pas de base légale. Par conséquent, selon l’ADP, le responsable du traitement a agi en violation des articles 5, 6, 9 et 10 du RGPD.

En ce qui concerne la transparence, l’APD a estimé que le responsable du traitement avait enfreint l’article 13, paragraphe 1, points c) et e), l’article 13, paragraphe 2, points a), b) et d), et l’article 14 du RGPD, car il n’avait pas fourni d’informations appropriées sur les opérations de traitement.

Enfin, l’autorité de protection des données a également estimé que le responsable du traitement avait enfreint l’article 35 du RGPD car il n’avait pas effectué correctement une analyse d’impact sur la politique de protection des données et qu’il aurait dû envisager de consulter l’autorité de protection des données avant le traitement conformément à l’article 36 du RGPD, étant donné qu’il s’agissait d’un cas de surveillance publique à grande échelle.

À la lumière des conclusions ci-dessus et compte tenu des dispositions de l’article 83, paragraphes 2 et 3, du RGPD, l’APD a estimé qu’il convenait d’infliger au responsable du traitement une amende d’un montant de 50 000 euros.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)