Étapes de promulgation de la loi
- Première lecture – Sénat : 22 décembre 2022
- Première lecture – Assemblée nationale : 1 février 2023
- Commission Mixte Paritaire (accord) : 4 avril 2023
- Décision du Conseil constitutionnel : 17 mai 2023
- Promulgation de la loi : 19 mai 2023
Enjeux en matière de protection des données personnelles et de vie privée
La loi JOP 2024 intègre des dispositions relatives à la protection des données personnelles, conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi informatique et libertés.
Ces dispositions visent à garantir que les données des participants, des spectateurs et des autres parties prenantes des Jeux Olympiques et Paralympiques sont traitées de manière légale, équitable et transparente.
La mise en conformité du code de la sécurité intérieure (CSI) avec le RGPD et la loi « Informatique et libertés »
L’article 6 procède à une mise en conformité des dispositions relatives à la vidéoprotection du code de la sécurité intérieure avec le Règlement général de protection des données (RGPD) et la loi « Informatique et libertés ».
En effet, plusieurs dispositions du CSI étaient obsolètes depuis l’évolution de la réglementation en matière de protection des données personnelles en 2018.
Dans sa délibération sur consultation publique, la Commission nationale de l’informatique et des libertés (CNIL) avait souligné qu’il fallait «une réforme plus globale des traitements des images dans les espaces ouverts au public pour sécuriser les acteurs et encadrer les usages. Et que «de plus, le CSI devra être complété pour prévoir un encadrement au niveau réglementaire de l’ensemble des droits des personnes concernées.»
Cette revue consistait principalement à permettre aux responsables de traitement de connaître l’état réel de leurs obligations en la matière et aux personnes concernées de savoir de quelle manière exercer leurs droits.
Même si c’est chose faite, il est important de noter que la loi JOP a abrogé l’article L. 251‑7 du Code de la sécurité intérieure. Ce dernier prévoit l’obligation d’informer la CNIL, notamment via la remise d’un rapport annuel par le gouvernement, relatif à l’activité des commissions départementales de vidéoprotection.
L’abrogation de cet article qui permet au gouvernement d’outrepasser le droit de regard de la CNIL, interroge sur les droits et libertés des personnes.
Un encadrement du recours aux scanners corporels
La loi du 19 mai 2023 relative aux JOP 2024 prévoit la possibilité, pour les agents privés de sécurité, d’avoir recours à l’utilisation de scanners corporels pour sécuriser l’accès aux enceintes dans lesquelles sont organisées des manifestations rassemblant plus de 300 spectateurs.
L’utilisation de ces scanners est toutefois soumise à des conditions strictes d’utilisation parmi lesquelles citons :
- Les agents de sécurité utilisant des scanners corporels doivent être titulaires d’une carte professionnelle autorisant « la surveillance humaine et le gardiennage » ou « surveillance des grands événements sportifs » ;
- Les scanners corporels autorisés sont des scanners à ondes millimétriques ;
- L’utilisation de ces scanners est soumise à plusieurs conditions destinées à garantir le respect de la vie privée des personnes concernées :
- Le contrôle par scanner corporel se limite à la personne y ayant consenti expressément ;
- L’opérateur qui réalise l’analyse des images ne connaît pas l’identité de la personne et ne peut la visualiser en même temps que l’image produite par le scanner ;
- Le dispositif comprend un système brouillant le visage ;
- Le stockage et l’enregistrement des images sont interdits.
L’Intelligence Artificielle s’invite dans la loi JOP: La prise en compte des risques liés au recours aux caméras augmentées
→ Une autorisation préfectorale obligatoire
La loi JOP 2024 prévoit l’utilisation des caméras augmentées avec un autorisation préfectorale obligatoire, motivée et publiée. En cas de manquements aux exigences, cette autorisation peut être retirée à tout moment.
La décision d’autorisation doit préciser les éléments suivants:
- Le responsable du traitement et les services associés à sa mise en œuvre ;
- La manifestation sportive, récréative ou culturelle concernée et les motifs de la mise en œuvre du traitement au regard de la finalité ;
- Le périmètre géographique concerné par la mise en œuvre du traitement ;
- Les modalités d’information du public, notamment sur ses droits, ou, lorsque cette information entre en contradiction avec les objectifs poursuivis, les motifs pour lesquels le responsable du traitement en est dispensé, accompagnés d’un renvoi vers l’information générale organisée par le ministère de l’intérieur ;
- La durée de l’autorisation (d’un mois maximum, renouvelable à conditions que les conditions de délivrance de l’autorisation restent remplies).
→ Une expérimentation de durée limitée : du 19 mai 2023 au 31 mars 2025
L’article 10 vient permettre, à titre expérimental, l’utilisation de traitements algorithmiques sur les images captées par les dispositifs de vidéoprotection et les drones afin de détecter et de signaler des événements prédéterminés susceptibles de menacer la sécurité des personnes.
Ces traitements comportent des systèmes d’intelligence artificielle (IA), appelés « caméras augmentées ».
Il s’agit d’une innovation majeure, puisque c’est la première fois que des dispositifs d’intelligence artificielle seraient utilisés dans l’espace public en matière de sécurité.
Cette expérimentation est limitée dans le temps (jusqu’au 31 mars 2025).
→Un renforcement des garanties
Le recours à un tel dispositif, soulève des enjeux en matière de vie privée, notamment en terme de collecte massive de données personnelles et de surveillance automatisée en temps réel des personnes.
C’est pourquoi la loi JOP prévoit un renforcement des garanties à tous les moments du développement et du déploiement du dispositif. Ces garanties permettent de limiter les risques d’atteinte aux données et à la vie privée des personnes :
- Absence de traitement de données biométriques ;
- Absence de rapprochement avec d’autres fichiers ;
- Absence de reconnaissance faciale;
- Absence de décision automatique : les algorithmes ne servent qu’à signaler des situations potentiellement problématiques à des personnes qui procèdent ensuite à une analyse humaine.
→L’information préalable du public et l’exercice des droits
La loi JOP prévoit dans son article 9, que le public sera préalablement informé, par tout moyen approprié, de l’emploi de traitements algorithmiques sur les images collectées au moyen de systèmes de vidéoprotection augmentés. Une exception à l’obligation d’information des personnes est toutefois prévue lorsque les circonstances l’interdisent ou que cette information entrerait en contradiction avec les objectifs poursuivis.
L’information générale du public sur l’emploi de traitements algorithmiques est organisée par le Ministre de l’Intérieur.
Par ailleurs, la loi JOP prévoit aussi que les personnes concernées peuvent exercer leurs droits :
- d’accès,
- de rectification,
- d’effacement,
- et de la limitation des données directement auprès du responsable de traitement.
→L’obligation d’information du responsable de traitement
Le responsable du traitement est tenu :
- d’informer chaque semaine le préfet des conditions de mise en œuvre du traitement,
- de dresser et mettre à jour un registre des suites apportées aux signalements effectués par le traitement, incluant les noms et prénoms des personnes ayant accès aux signalements.
Par ailleurs le responsable de traitement est également tenu de dresser, et conserver pendant 12 mois, des journaux des opérations de consultation et de communication, comprenant le motif, la date et l’heure de ces opérations et les personnes en étant à l’origine.
→Un accompagnement de la CNIL et de l’ANSSI
L’article 10 prévoit que le recours à la vidéoprotection algorithmique soit autorisé par décret pris après l’avis du régulateur. Ce décret doit être accompagné d’une analyse d’impact relative à la protection des données (AIPD) exposant : le « bénéfice escompté » du recours au traitement algorithmique d’images de vidéoprotection, et « l’ensemble des risques éventuellement créés par le système et les mesures envisagées afin de les minimiser et de les rendre acceptables au cours de son fonctionnement ».
Par ailleurs, après avoir pris connaissance de ladite analyse d’impact, la CNIL pourrait
conclure que le traitement de données visé est non-nécessaire ou non-proportionnel au regard de sa finalité, ou que les mesures envisagées dans l’AIPD afin de minimiser les risques induits par le traitement ne sont pas satisfaisantes.
Pendant la phase de développement du traitement, la Commission nationale de l’informatique et des libertés exerce les missions prévues au 2 du I de l’article 8 de la loi informatique et libertés, en particulier en accompagnant les personnes chargées du développement du traitement.
L’Agence nationale de la sécurité des systèmes d’information exerce, dans ce même cadre, ses missions s’agissant du respect des exigences relatives à la cybersécurité.
→Suivi et évaluation de l’expérimentation
Le suivi et l’évaluation de l’expérimentation est confié à la CNIL qui a mission de contrôler l’application du traitement. A cet effet, elle pourra donner un avis, publier des lignes directrices, etc.
En plus la CNIL est informée tous les trois mois des conditions de mise en œuvre de l’expérimentation. Le Gouvernement remet au Parlement, au plus tard le 31 décembre 2024, un rapport d’évaluation de la mise en œuvre de l’expérimentation, dont le contenu est fixé par décret en Conseil d’Etat après avis de la CNIL.
Une réalisation de tests génétiques conformément au RGPD
L’article 5 de la loi JOP est destiné à autoriser le Laboratoire antidopage français à procéder à des tests génétiques sur des échantillons d’urine ou de sang prélevés auprès des sportifs le temps des jeux Olympiques et Paralympiques et pendant leurs phases préparatoires, pour répondre aux demandes du Comité international olympique (CIO) de mise en conformité avec le Code mondial antidopage.
Les dispositions de ce texte prévoient :
- L’information expresse du sportif et qu’il ait donné son consentement,
- La pseudonymisation des échantillons soumis à analyse et qu’ils portent sur les seules parties du génome pertinentes,
- Les données analysées ne peuvent conduire à révéler l’identité des sportifs ni servir au profilage des sportifs
- Les données génétiques analysées sont détruites sans délai lorsqu’elles ne révèlent la présence d’aucune substance ou l’utilisation d’aucune méthode interdites
- Les données génétiques analysées sont détruites sans délai au terme des poursuites disciplinaires ou pénales engagées, lorsqu’elles révèlent la présence d’une substance ou l’utilisation d’une méthode interdites
- Le traitement des données issues de ces analyses est strictement limité aux données nécessaires et aux finalités poursuivies
Pour aller plus loin : La collecte des données dans le cadre des JOP s’invite dans le plan de contrôles de la CNIL pour 2024
Publiées le 8 février 2024, les thématiques de contrôles prioritaires de la CNIL pour 2024 incluent la collecte des données dans le cadre des JOP de Paris 2024.
A ce titre, le régulateur français de la protection des données a d’ores et déjà annoncé que :
- Des contrôles porteront sur l’utilisation des caméras augmentées ;
- Des contrôles portant sur la mise en place de codes QR pour les zones à accès restreints, les habilitations d’accès ;
Au-delà de cet aspect sécuritaire, le régulateur s’intéressera également à l’aspect plus commercial des JOP et notamment :
- à la collecte de données opérée dans le cadre des services billetiques .
Au regard de la volumétrie des personnes concernées et du nombre de partenaires de l’évènement qui pourraient se voir transmettre les données, il apparaît nécessaire de s’assurer des conditions dans lesquelles est opérée cette collecte en vérifiant les informations communiquées, les destinataires des données, comme recommandé par l’article 5 du RGPD et par l’article 32 du RGPD.
Les données à caractère personnel doivent être « collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ». Article 5, RGPD
« Le responsable de traitement met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. »
Le respect des principes du RGPD est essentiel pour garantir la protection des données personnelles des sportifs, spectateurs, touristes, organisateurs participants aux grands événements sportifs..
En résumé, la loi JOP 2024 vise à concilier l’organisation sécurisée d’événements sportifs de grande envergure avec le respect des droits fondamentaux des individus, notamment en ce qui concerne la sécurité physique et la protection des données personnelles.
En adoptant une approche équilibrée entre ces deux aspects, la France s’efforce de faire des Jeux Olympiques et Paralympiques de 2024 un événement inoubliable, tant sur le plan sportif que sur celui de la sécurité et de la protection des données.
La tenue de grands événements sportifs est le lieu de prolifération d’attaques cyber. Ces attaques le sont à des fins lucratives, de déstabilisation ou d’espionnage. C’est pourquoi l’ANSSI fourni des recommandations dans un guide intitulé «Grands événements sportifs en France, évaluation de la menace.»
Retrouvez notre Infographie sur la Cybermenace dans le cadre des JOP 2024 ici .
Vous recherchez un cabinet capable de vous accompagner dans la mise en conformité au RGPD de votre entreprise, le pilotage de l’Intégration de la sécurité et de la Protection des données dans des projets stratégiques, la conduite de vos projets incluant des systèmes d’IA, la formation et la sensibilisation de vos collaborateurs, et bien plus encore… ??? Vite, contactez nous en nous écrivant à information@alcees.com et échangeons sur vos projets !!!
Ensemble, donnons du sens éthique à vos projets et formons vos équipes ! Partageons nos expertises !
Alcees Confirme sa Participation à La Plage aux Entrepreneurs 2024 et vous y donne rendez-vous
Alcees participe à l’INSUR TOUR MARSEILLE 2024 : L’Évènement Incontournable pour les Professionnels de l’Assurance
Alcees participe au REGTECH DAY 2024 : L’Évènement Incontournable de l’Innovation dans les Fonctions de Contrôle du Secteur Financier
Alcees Confirme sa Participation aux Universités d’Eté de la Cybersécurité & du Cloud de Confiance et vous y donne rendez-vous
5 Informations Clés pour Bien Gérer la Conformité au Règlement Européen sur l’Intelligence Artificielle
Alcees Participe au Kick Off du RISK SUMMIT 2025
Partager cette publication à un collègue ou une connaissance
Insights liés
Fondée en 2018, Alcees est une entreprise de services du numérique (esn) d’essence française et européenne, 100% cyber centric. Alcees propose aux collectivités et entreprises publiques, aux banques, aux assureurs, aux éditeurs de logiciels, aux opérateurs de santé, des solutions-conseils sur-mesure pour améliorer la performance de leurs opérations et simplifier leur exposition aux risques cyber par la conformité aux normes et standards les plus élevés et par mesures simples.
La mission de l’ENISA dans le cadre du cadre de certification de cybersécurité de l’UE est de contribuer de manière proactive à l’émergence d’un cadre de l’UE pour la certification des produits et services TIC, et de réaliser l’élaboration de systèmes de certification candidats conformément à la loi sur la cybersécurité.
L’ENISA, avec son rôle central en tant qu’agence qui interagit avec les services publics ainsi qu’avec l’industrie et les organisations de normalisation, fournit un point de référence solide pour développer des systèmes de certification de cybersécurité candidats.
Trois systèmes sont actuellement en cours de développement à différents stades. L’ENISA, la Commission européenne, soutenue par des groupes de travail représentant l’écosystème et les autorités compétentes des États membres, travaillent ensemble pour établir les premiers systèmes.
Le premier système, l’EUCC (European Cybersecurity Certification Scheme on Common Criteria), cible les produits TIC tels que les produits matériels et logiciels et les composants. Le 3 octobre 2023, un premier projet d’acte d’exécution a été publié par la Commission européenne et est ouvert aux commentaires jusqu’au 30 octobre 2023.