Données personnelles provenant de la vidéoprotection et des drones : des précisions par décret

Un décret publié le 27 novembre 2023 au Journal officiel autorise la mise en œuvre des traitements de données à caractère personnel provenant de systèmes de vidéoprotection, précise leurs finalités, les données enregistrées, les modalités et la durée de leur conservation, les conditions d’accès aux données ainsi que les droits des personnes concernées.
Il modifie également le chapitre II du titre IV du livre II de la partie réglementaire du code de la sécurité intérieure (CSI) afin de préciser que les caméras installées sur des aéronefs utilisées à des fins de police administrative sont, dans les départements des Hauts-de-Seine, de la Seine-Saint-Denis et du Val-de-Marne, autorisées par le préfet de police. 
Ce texte est pris pour l’application des articles L. 251-1 et suivants du CSI, modifiés par la loi n° 2023-380 du 19 mai 2023 relative aux Jeux olympiques et paralympiques de 2024 et portant diverses autres dispositions.
Pour rappel, le cadre juridique relatif à la vidéoprotection est prévu par les articles 10 à 10-2 de la loi n° 95-73 du 21 janvier 1995 d’orientation et de programmation relative à la sécurité, qui ont été codifiés aux articles L. 251-1 à L. 255-1 et L. 233-1 à L. 233-9 du CSI.
L'article 10 de la loi n° 2023-380 du 19 mai 2023 relative aux Jeux olympiques et paralympiques de 2024 prévoit des expérimentations limitées dans le temps – elles s'arrêteront le 31 mars 2025 - et dans l'espace, assises sur des technologies maitrisées.
L'article 9 de la loi n° 2023-380 du 19 mai 2023 relative aux Jeux olympiques et paralympiques de 2024 est venu quant à lui réformer ce cadre juridique afin de le mettre en conformité avec le RGPD et la directive (UE) 2016/680 du 27 avril 2016, dite "police-justice". Et c'est cet article 9 que ce décret vient préciser. 

Ce texte établit les responsables de traitements autorisés à mettre en œuvre des systèmes de vidéoprotection.
Sur la voie publique, le décret liste : 
- les autorités publiques compétentes parmi lesquelles les collectivités territoriales, pour les finalités mentionnées du 1° au 11° de l’article L. 251-2 du CSI ;
- les autres personnes morales aux abords immédiats de leurs bâtiments et installations pour les finalités mentionnées au premier alinéa de l’article L. 223-1 du CSI dans les lieux susceptibles d’être exposés à des actes de terrorisme ;
- les commerçants aux abords immédiats de leurs bâtiments et installations pour les finalités mentionnées au dernier alinéa de l’article L. 251-2 du CSI dans les lieux particulièrement exposés à des risques d’agression ou de vol.

Dans des lieux et établissements ouverts au public, le décret stipule que "les personnes morales peuvent être autorisées à mettre en œuvre des systèmes de vidéoprotection dans les lieux et établissements ouverts au public pour assurer la sécurité des personnes et des biens lorsque ces lieux et établissements sont particulièrement exposés à des risques d’agression ou de vol (avant dernier alinéa de l’article L. 251-2 du CSI) ou à des risques de terrorisme (deuxième alinéa de l’article L. 223-1 du CSI).
Quoiqu'il en soit, toutes ces personnes mentionnées sont responsables des traitements de données à caractère personnel provenant des systèmes de vidéoprotection. Le ministère de l'Intérieur doit encore définir les notions "d'abords immédiats des bâtiments et installations sur la voie publique" et de "lieux et établissements ouverts au public" dans une circulaire qui précisera le décret.

Le décret détaille aussi quelles données à caractère personnel peuvent être enregistrées par les systèmes de vidéoprotection. Sont listées les images, à l'exclusion des sons, captées par les systèmes de vidéoprotection ; le jour et les plages horaires d'enregistrement ; le lieu où ont été collectées les images. Mais "il est interdit de sélectionner dans les traitements une catégorie particulière de personnes à partir de ces seules données". 
Ces données peuvent être conservées pendant un délai fixé par l'autorisation préfectorale, dont la durée ne peut excéder un mois.
"Au terme de ce délai, ces données sont effacées automatiquement des traitements", sauf en cas de besoin d'une procédure judiciaire, administrative ou disciplinaire.