COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTES – direction de la conformité
S’agissant de l’AIPD en général
L’analyse effectuée dans son ensemble apparait incomplète dans la mesure où les développements ne
traitent pas de l’intégralité du traitement vidéo, mais seulement de certaines fonctionnalités de celuici.
Comme l’a rappelé la CNIL sur son site internet, il s’agit de considérer en premier lieu le dispositif
vidéoprotection en tant que traitement susceptible de rendre nécessaire la réalisation d’une AIPD.
De par son ampleur et ses conditions d’exploitation, le traitement vidéoprotection de la ville de
Marseille apparaît devoir faire l’objet d’une AIPD sur le fondement du RGPD (article 35-1) et/ou de la
directive police-justice (obligation transposée à l’article 90 de la loi informatique et libertés).
Le sujet de l’encadrement juridique exige également davantage de précision afin de pouvoir
déterminer avec précision le ou les régimes applicables et les conséquences sur le traitement (les
réponses à certaines questions devront être adaptées en conséquence).
S’agissant de la finalité du traitement
La première finalité apparait insuffisamment précisée dans la mesure où l’analyse se limite à décrire
une fonctionnalité (l’alerte au regard de situations « anormales ») sans préciser le ou les objectifs
poursuivis par l’ensemble du dispositif. Il convient donc d’aborder dans l’AIPD la ou les finalités de
l’ensemble du dispositif vidéo en veillant en particulier à assurer leur caractère déterminé et explicite.
Ces développements pourront faire état d’exemples, de cas d’usage et d’utilisation de fonctionnalités
spécifiques afin d’illustrer ces finalités.
S’agissant plus précisément de la mention de la seconde finalité (« raccourcir les temps de recherche
des évènements signalés sur réquisition de la police nationale »), il convient de préciser que la nécessité
de répondre à des réquisitions ne peut être le fondement d’une finalité d’un traitement. En raison
notamment du périmètre fluctuant par nature de ces actes, une telle finalité ne peut en effet satisfaire
à l’exigence de détermination prévue à l’article 5-1-b du RGPD et 4-1-b de la Directive police).
S’agissant des acteurs sous-traitants et fournisseurs de solution
Les sociétés XXX sont présentées comme sous-traitantes au sens de l’article 28 du RGPD.
Le détail de leurs interventions dans les opérations de traitement de données à caractère personnel
n’apparaissent cependant pas explicitement au sein de l’AIPD (ni dans le cycle de vie des données, ni
dans le schéma réseau par exemple). Il convient de décrire précisément les opérations réalisées par
chacun de ces acteurs sur les données (rôle, étapes et modalités de traitement, circuit des échanges,
type d’accès etc.) et de les inclure en conséquence dans le cycle de vie et dans le schéma réseau
précité. Il conviendra à cette occasion de préciser le fonctionnement ainsi que les modalités
d’intégration des solutions XXX au sein du système d’information (de la ville de Marseille ou des soustraitants).
S’agissant de la base légale et des référentiels applicables invoqués
L’AIPD précise, dans la partie « Quels sont les fondements qui rendent votre traitement licite ? », que
le fondement du traitement est « l’obligation légale par la Ville de Marseille d’assurer la sécurité des
citoyens conformément au CGCT » en citant l’article L. 2212-2 du CGCT.
1