Une quantité massive de données se retrouve entre les mains du secteur privé, sans contrôle suffisant de la part des autorités.
Alors qu’un nombre croissant de collectivités installent des système LAPI (Lecteur Automatique de Plaque d’Immatriculation) pour surveiller le trafic des véhicules, la confidentialité et l’efficacité de ces outils soulèvent de nombreuses inquiétudes
Ces systèmes LAPI, qui existent depuis près de dix ans. Auparavant, les lecteurs de plaques d’immatriculation étaient coûteux et limités à des endroits disposant d’une alimentation électrique, mais pas d’un accès en ligne en temps réel. Des entreprises comme Motorola aux Etats-Unis ont bouleversé le marché des systèmes LAPI en proposant des caméras moins coûteuses, qui se connectent via un réseau cellulaire à large bande et utilisent des cellules photovoltaïques pour recharger leurs batteries. Cela signifie que les caméras peuvent être installées à peu près n’importe où et que les données peuvent être rapidement téléchargées vers un référentiel central dans le cloud.
En France, seuls:
- Le ministère de l’intérieur, de l’outre-mer et des collectivités territoriales ;
- Le ministère de la défense ;
- Le ministère du budget, des comptes publics et de la fonction publique.
peuvent utiliser cette technologie. Les données personnelles concernées en France sont :
- la photographie du numéro d'immatriculation du véhicule et son taux de lisibilité ;
- le numéro d'immatriculation du véhicule ;
- la photographie du véhicule et de ses éventuels occupants ;
- la date et l'heure de chaque photographie ;
pour chaque photographie, l'identifiant et les coordonnées de géolocalisation du dispositif de contrôle automatisé.
- Les occupants des véhicules photographiés ne seront pas reconnaissables. Le nombre de passagers et éventuellement leur sexe pourront être déterminés grâce aux images.
En ce qui concerne la durée de conservation des données
Les données relatives à un rapprochement positif entre le FVV et/ou le SIS et les caractéristiques d’un véhicule sont conservées pendant une durée d’un mois. Les données qui n’ont pas fait l’objet d’un rapprochement positif avec le FVV et/ou le SIS sont conservées durant un délai maximum de huit jours. Plus d'infos sur la CNIL.
Aux Etats-Unis, ce service est moins régulé. Et cette combinaison puissante de technologies explique la popularité de ces nouveaux systèmes. Flock (autre entreprise aux Etats-Unis) capture désormais plus d’un milliard d’images de véhicules par mois sur son réseau de plus de 1 400 collectivités et 500 services de police à travers les États-Unis. La prévention de la criminalité est en effet l’un des principaux arguments de vente de l’entreprise. Cependant, cette affirmation pourrait n’être que partiellement vraie. Un audit réalisé par deux associations de consultants sans but lucratif a découvert que les caméras LAPI n’étaient pas efficaces pour empêcher les vols de véhicule. En examinant les données des systèmes LAPI à partir de 2013 pour la ville voisine de Piedmont, les organisations ont découvert que moins de 0,3 % des « résultats positifs » issus de la lecture des plaques d’immatriculation menaient à des pistes criminelles valides.
Avec une telle quantité de plaques enregistrées, il est essentiel de comprendre comment Flock et les autres fournisseurs de systèmes LAPI collectent et partagent leurs données. « Les collectivités qui ont investi dans des caméras Flock achètent et installent effectivement des dispositifs de surveillance non seulement pour elles-mêmes, mais aussi pour les autorités, en ajoutant leurs caméras à un réseau national consultable par la police ». Le rapport met en lumière d’autres problématiques :
- Il n’existe aucun contrôle légal de l’utilisation de ces données par Flock ou toute autre entreprise privée.
- Les conséquences en cas d’erreur : Aucun système de reconnaissance optique des caractères n’est parfait, et des erreurs pourraient amener la police à arrêter des personnes innocentes.
- Le partage des données : L’entreprise Flock affirme qu’elle supprime automatiquement les données datant de plus de 30 jours, et bien que cela soit vrai pour le moment, rien ne garantit que cette tendance se poursuivra à l’avenir. Ils recommandent des périodes de conservation beaucoup plus courtes, de l’ordre de quelques minutes par exemple, pour mieux préserver la vie privée.
Les organisations ne s’intéressent pas uniquement à nos plaques d’immatriculation
La question du partage de nos informations personnelles a des conséquences bien plus importantes. Pour aller plus loin dans la collecte de données, prenons l’exemple des entreprises qui recueillent notre ADN. Je veux parler des bases de données ADN privées et des services de tests génétiques qui ont gagné en popularité ces dernières années. « Quelle part de ce secteur doit être publique et quelle part doit rester entre les mains d’entreprises privées ? »
C’est exactement le dilemme auquel sont confrontés Flock et les autres vendeurs de systèmes LAPI. Toutefois, avec les données ADN, vous pouvez au moins choisir de ne pas fournir d’informations privées – si vous avez la présence d’esprit de le faire lorsque vous vous inscrivez au service.
Ce point m’est revenu à l’esprit après avoir regardé le documentaire de Netflix intitulé Our Father, dans lequel un médecin spécialiste de la fertilité inséminait ses patientes sans les informer. Une centaine de ses descendants ont finalement pu se retrouver grâce aux bases de données de tests génétiques.
Et comme pour les plaques d’immatriculation, nos données génétiques sont précieuses pour des organisations telles que les forces de l’ordre, les laboratoires pharmaceutiques ou les développeurs d’applications.
Mais contrairement à notre ADN, nous n’avons pas la possibilité de nous soustraire facilement aux systèmes LAPI. Certaines collectivités supprimeront vos données à votre demande, mais la plupart d’entre nous ne prendront probablement pas le temps de le leur demander ou ne sauront même pas que nos mouvements ont été enregistrés. Il y a également un autre problème avec les données des plaques d’immatriculation : la transparence. Votre police locale peut être totalement transparente sur la façon dont elle conserve et supprime vos données, mais cela peut être vain si un autre service de police n’est pas transparent ou applique des politiques différentes.
Certains États américains ont commencé à reconnaître ces problèmes en adoptant des lois sur la protection de la vie privée, mais cette question reste un domaine juridique en évolution. Comme le prédit le rapport de l’ACLU, l’adoption rapide des systèmes LAPI par les policiers et les collectivités devraient soulever de futurs problèmes de confidentialité.