Vidéosurveillance algorithmique : ce que les JO ont (vraiment) testé

C’est à l’occasion de son assemblée générale annuelle, que l’AFCDP, a réuni les acteurs clés de l’expérimentation VSA menée pendant les Jeux olympiques 2024. Une expérimentation à grande échelle plus prudente qu’innovante, qui laisse les DPO à la manœuvre, et la doctrine en suspens.

“Tant qu’il ne se passe rien, il ne se passe rien. Et c’est très bien ainsi. » La formule, teintée d’ironie, de Fabrice Mattatia, délégué à la protection des données (DPO) du ministère de l’Intérieur, donne le ton. Ce jour-là, à l’assemblée générale de l’AFCDP, les délégués à la protection des données, les juristes de la CNIL, les chercheurs et les opérateurs publics ne célèbrent pas une révolution technologique. Le ton est mesuré, parfois désabusé*.

L’heure est moins à l’euphorie des promesses de l’intelligence artificielle qu’à la rigueur des textes réglementaires, moins à l’innovation qu’à l’encadrement minutieux. Tous semblent s’accorder sur un constat commun : les expérimentations menées pendant les Jeux olympiques et paralympiques de Paris 2024 n’ont pas bouleversé les pratiques, elles ont surtout mis à nu l’étendue des précautions, des compromis et des garde-fous nécessaires pour éviter tout emballement technologique.

Car sur le terrain, rien ou presque n’est venu perturber l’ordre des choses. « On avait des caméras partout, mais très peu d’alertes pertinentes. Finalement, c’était presque trop calme », observe Blaise Rouhan, directeur des systèmes d’information de la Business Unit Sûreté de la RATP. Malgré l’ampleur de l’installation technique et la promesse d’une « vidéo augmentée », les résultats opérationnels s’avèrent discrets, loin de toute rupture. L’une des raisons avancées : la très forte mobilisation policière durant les Jeux, omniprésente dans les gares et aux abords des sites sensibles, qui a mécaniquement réduit le champ d’action de l’analyse algorithmique. « Quand vous avez une patrouille tous les dix mètres, forcément, les incidents sont rares », remarque un intervenant. L’IA n’a pas été prise en défaut – elle a simplement eu peu à détecter.

« L’enjeu n’est pas tant dans la détection que dans l’usage raisonné de ces nouvelles capacités », insiste encore Blaise Rouhan, rappelant que l’intérêt principal reste l’aide au tri, pas la substitution. Même prudence du côté de la SNCF. Nicolas Despalles, responsable de l’innovation pour la sûreté ferroviaire, enfonce le clou : « Ce n’est pas une technologie magique. L’opérateur reste au centre, l’algorithme n’est là que pour proposer, jamais pour décider. Et souvent, il propose des choses qu’on aurait vues nous-mêmes. » Derrière l’innovation, une philosophie persiste : celle du contrôle humain, de l’usage circonstancié, et de la complémentarité raisonnée entre homme et machine.

Une expérimentation encadrée, calibrée, mais sous-utilisée

Le cadre légal, rappelé avec une précision scrupuleuse par Sarah Artola, juriste au service de l’économie numérique et du secteur financier de la CNIL, ne laisse aucune ambiguïté : pas de reconnaissance faciale, pas de captation sonore, pas de décision automatisée. Huit cas d’usage avaient été autorisés, strictement encadrés par la loi du 19 mai 2023. En pratique, seuls quatre d’entre eux ont effectivement été retenus pour l’expérimentation dans les réseaux de transport : la détection d’un objet abandonné, d’un franchissement ou d’une présence en zone interdite, d’un mouvement de foule et d’une densité anormale de personnes. Chaque site devait faire l’objet d’une autorisation, d’un affichage spécifique et d’un suivi rigoureux.

Un formalisme parfois perçu comme lourd par les opérateurs, mais nécessaire selon la CNIL pour garantir un pilotage transparent. « La CNIL a séparé ses équipes d’accompagnement et de contrôle pour garantir une étanchéité stricte entre ces deux fonctions », précise Sarah Artola, rappelant la logique d’indépendance indispensable entre régulation et vérification. Elle insiste aussi sur un point souvent mal compris : « La CNIL n’a pas conçu les algorithmes, elle a encadré leur usage. Cela suppose un dialogue constant avec les opérateurs, mais en aucun cas une validation technique. » De quoi replacer la mission de l’autorité administrative dans son rôle de garant, et non d’acteur du déploiement.

La VSA : une aide, pas une délégation

L’expérimentation n’a donc pas supprimé le regard humain — elle l’a, au mieux, épaulé. Et parfois même conforté, lorsqu’une intuition de terrain trouvait un écho dans une alerte machine. Un consensus se dégage : pas d’automatisation aveugle, mais un dialogue permanent entre détection assistée et discernement humain.

Si les algorithmes ont pu détecter des anomalies, ce sont toujours les agents qui ont validé les alertes. C’est l’un des principaux enseignements de cette expérimentation : l’intelligence artificielle n’a pas remplacé l’humain ni automatisé les décisions. C’était précisément la règle du jeu. « L’opérateur reste au centre. C’est lui qui décide, qui valide, qui déclenche l’action », insiste Nicolas Despalles (SNCF). « L’algorithme propose, le cerveau humain dispose. »

Blaise Rouhan, DSI de la Business Unit Sûreté à la RATP, enfonce le clou : « Nous n’avons pas les yeux pour surveiller 16 000 caméras. Et demain, avec le Grand Paris, ce seront 30 000. On a besoin d’assistants. Pas d’automates. » L’objectif n’était donc pas de « faire mieux que l’humain », mais de l’épauler face à l’explosion du volume d’images.

D’autant que les premiers retours internes étaient empreints de méfiance. « Au début, certains craignaient que l’IA remplace les opérateurs. D’autres redoutaient une avalanche de fausses alertes, ingérables en temps réel », se souvient Blaise Rouhan. Ces craintes ont été dissipées par une phase de calibration pointilleuse et une approche itérative. « En moyenne, on a compté une cinquantaine d’alertes par jour pendant les JO. C’était absorbable. »

Mais ce chiffre masque une complexité bien réelle : chaque caméra a son propre environnement. « On ne paramètre pas une caméra de quai comme on paramètre une caméra de galerie commerciale. Il faut presque un réglage à la main, du sur-mesure. C’est un peu l’artisanat de la surveillance algorithmique », ironise Benjamin Nguyen.

CNIL et DPO : l’art délicat de coopérer sous contrôle

Si les algorithmes ont été surveillés, les opérateurs l’ont été tout autant. Dans l’ombre des caméras, une autre scène s’est jouée : celle du dialogue entre les délégués à la protection des données (DPO) et la CNIL, à la fois accompagnatrice et autorité de contrôle. Une situation singulière, parfois inconfortable.

« La CNIL est venue vérifier qu’on avait bien posé les affiches sur les sites d’expérimentation. Nous avions collé ces affiches, mais sans certificat de pose, c’était impossible à prouver. On leur a donc envoyé… le bon à tirer de l’imprimeur. » Ce moment de solitude raconté par Jean-Jacques Lemarechal (DPO Groupe RATP) fait sourire la salle. Et illustre parfaitement la tension permanente entre conformité et réalité du terrain.

Sarah Artola, juriste au sein de la CNIL, clarifie les rôles : « Nous avons séparé très strictement les équipes d’accompagnement et celles chargées du contrôle. Ce ne sont pas les mêmes visages, pas les mêmes missions. Il y a une étanchéité complète. » Une manière de rappeler que l’autorité administrative indépendante reste… indépendante.

Et lorsqu’il s’agit de répondre aux demandes de droit d’accès, la tâche frôle parfois l’absurde. Jean-Jacques Lemarechal, DPO du groupe RATP, détaille la procédure avec une précision désabusée : « Il faut que la personne fournisse son apparence physique, ses vêtements, l’horaire approximatif de passage… voire un selfie. Ensuite, nous devons retrouver les images et flouter, image par image, toutes les autres personnes. C’est artisanal, c’est minutieux… c’est kafkaïen. »

Et le plus souvent, ces demandes ne viennent pas d’usagers en quête de leur image, mais d’associations soucieuses de tester la robustesse juridique de la chaîne. « Ce sont des associations qui veulent tester la chaîne. Ils ne cherchent pas vraiment leur image, ils veulent voir si on respecte les procédures », confie-t-il. Une exigence de transparence, certes, mais dont l’exécution vire rapidement au casse-tête.

Car derrière chaque demande — rare, mais juridiquement recevable — se cache un travail titanesque. À la RATP, il faut mobiliser plusieurs agents, rechercher la séquence vidéo dans un volume de flux considérable, s’assurer de l’identité de la personne, traiter chaque image, puis flouter tous les tiers… sans altérer la lisibilité de l’enregistrement.

Cette procédure, nécessaire pour garantir les droits des citoyens, a été conçue à une époque où les systèmes de vidéosurveillance restaient simples. Appliquée aux nouveaux dispositifs augmentés, elle prend une autre dimension, presque paralysante. Un paradoxe que plusieurs DPO pointent du doigt : alors même que les caméras intelligentes sont censées améliorer la réactivité et l’efficacité, leur encadrement administratif génère une charge lourde, disproportionnée par rapport aux bénéfices concrets constatés pendant l’expérimentation.

Un logo pour signaler la VSA… sans vraiment expliquer

C’est un petit carré jaune, orné d’un cercle noir strié, censé représenter une caméra stylisée et un algorithme. Ce pictogramme, conçu pour signaler la présence d’une vidéosurveillance algorithmique, devait symboliser la transparence et l’information du public. Sur le papier, tout était clair. Dans la rue, beaucoup moins.

« Il ressemble à un viseur militaire. Franchement, on dirait un logo de jeu vidéo ou de paintball », lâche Benjamin Nguyen, mi-amusé, mi-désolé. Et d’ajouter : « Je doute que le grand public comprenne de quoi il s’agit. À choisir, l’ancien pictogramme avec une simple caméra semblait plus explicite. »

Sarah Artola (CNIL) reconnaît la difficulté de l’exercice : « Nous avons travaillé sur un pictogramme standardisé, lisible, et conforme à la logique de transparence. Il est accompagné d’un niveau deux d’information accessible via QR code. Mais il est vrai que l’appropriation reste inégale. » Traduction : l’affichage est légalement là, mais la pédagogie, elle, patine.

L’une des raisons tient à l’ambiguïté du message. Si l’on veut expliquer au citoyen que « cette caméra utilise une IA, mais ne fait pas de reconnaissance faciale, ni de traitement biométrique, ni de décision automatisée », il devient très difficile de condenser cela en une seule icône graphique. Et encore plus de susciter une compréhension intuitive.

« Ce logo, c’est un peu comme si on essayait de représenter un paradoxe juridique avec un sticker. Trop d’abstractions, pas assez de clarté », conclut un DPO. De plus, le public n’est pas toujours capable de distinguer une caméra classique d’une caméra intelligente. Cela dit, cette distinction n’est pas toujours injustifiée, selon les observations des performances.

VSA : des cas d’usage limités, des conditions d’utilisation restrictives

Presque tous les participants ont loué l’excellent travail du comité d’évaluation créé par la loi JO. Composé de profils variés — chercheurs, juristes, parlementaires, associations —, il a su incarner un rare espace de dialogue entre technique, droit et terrain. Un format salué pour sa rigueur… et regretté pour sa brièveté.

« C’est l’un des rares dispositifs où nous avons pu nous rendre sur place pour observer le déroulement, poser des questions aux opérateurs et prendre le temps nécessaire. C’était très précieux », souligne Benjamin Nguyen. Lui-même a pu constater le décalage entre la peur médiatique de « l’œil algorithmique » et la réalité concrète d’algorithmes encore fragiles et perfectibles.

Le comité a remis son rapport, jugé équilibré, dont l’objectif était autant d’évaluer les effets de la VSA que d’en cadrer les usages futurs. Sauf que depuis… plus rien. « Aujourd’hui, il n’existe aucun texte réglementaire qui prolonge ou encadre de nouvelles expérimentations. La loi était claire : le dispositif devait cesser en mars 2025.»

Résultat : les solutions expérimentées pendant les Jeux olympiques ont été désactivées ou temporairement interrompues. Les fabricants et les opérateurs se retrouvent dans une situation juridique floue et incertaine. « Le cadre a été posé, mais le législateur ne l’a pas prolongé. Le risque, c’est qu’on reparte à zéro — ou pire, qu’on laisse des pratiques se développer sans filet », alerte undes membres de notre comité.

Fabrice Mattatia le dit sans détour : « Le comité d’évaluation, c’est la preuve qu’on peut faire les choses proprement. Mais si on n’en tire pas les leçons à moyen terme, on va juste se retrouver à refaire la même expérimentation dans trois ans, avec les mêmes débats, les mêmes peurs, et les mêmes bugs. »

Et maintenant ? Un texte repoussé, une incertitude prolongée

La proposition de loi « transport sécurisé » qui devait prolonger l’expérimentation a été censurée par le Conseil constitutionnel. L’article 35 du projet de loi sur les JO de 2030 prévoit une prolongation jusqu’à la fin de l’année 2027 avec quelques ajustements : accès au signalement pour les ASVP, renforcement de l’indépendance du comité d’évaluation, etc.

En attendant, l’évaluation officielle est en ligne sur le site du ministère de l’Intérieur. Elle souligne l’efficacité relative de certains cas d’usage (80 % de détection réussie pour la surdensité), mais aussi l’impossibilité de valider des technologies qui n’ont pas été testées (IA d’entraînement, reconnaissance d’armes, etc.)

En résumé : l’expérimentation a eu lieu, le débat reste entier

La France a expérimenté, prudemment. L’intelligence artificielle a été testée, sans dérive. Les droits fondamentaux ont été surveillés de près, parfois jusqu’à l’absurde. Et pourtant, tout reste à faire.

L’expérience des JO aura surtout démontré une chose : la technologie est sous contrôle, mais le politique, lui, plane encore à haute altitude. Aucun cap assumé, aucune doctrine pérenne, juste une succession d’expérimentations exceptionnelles qui laissent les opérateurs en apnée. Pendant que les algorithmes patientent, ce sont les DPO, les juristes et les agents publics qui absorbent les incertitudes, gèrent les flous, amortissent les chocs. Sans filet. Sans boussole. Et parfois, sans reconnaissance.

---

🛠️ Ce que doivent savoir les DPO face à la VSA

1. Chaque expérimentation doit faire l’objet d’une AIPD

Et parfois même deux : une pour la conception de la solution, une autre pour son utilisation par l’opérateur. Attention, l’AIPD n’est pas une simple formalité : elle engage la responsabilité juridique de l’organisme.

2. La documentation est reine

Panneaux d’information, mentions légales, descriptions des algorithmes, plans d’implantation, procès-verbaux de calibration, preuves d’affichage… Tout doit pouvoir être présenté à la CNIL — y compris un bon à tirer de l’imprimeur, comme l’a rappelé Jean-Jacques Lemarechal.

3. Le RGPD s’applique même si les données ne sont pas conservées

Les métadonnées générées par l’algorithme (date, heure, caméra, événement détecté) constituent en soi des données personnelles si elles sont associées à une vidéo identifiable. Ce point est souvent négligé.

4. Les droits d’accès doivent être anticipés

En pratique, les demandes sont rares, mais complexes. Le processus repose sur une recherche manuelle chronophage et un floutage image par image. Prévoyez les outils, les ressources humaines… et du temps.

5. L’information du public ne peut se résumer à un pictogramme

Le fameux logo « viseur jaune » a davantage suscité la perplexité que l’adhésion. Il doit être intégré dans un dispositif d’information multicanal, avec un second niveau accessible en ligne, idéalement via QR code.