La ville de Nice voulait utiliser un algorithme pour analyser automatiquement des images de vidéoprotection afin de détecter des véhicules stationnés irrégulièrement devant des écoles et d’alerter la police municipale. Dans une décision du 30 janvier 2026 (CE, n° 506370), le Conseil d’État confirme la position de la CNIL : filmer l’espace public ne donne pas, à lui seul, le droit d’en automatiser l’analyse. Sans base légale expresse, ces traitements ne peuvent pas être mis en œuvre. Décryptage, en langage clair, d’une décision qui marque un coup d’arrêt à la surveillance algorithmique dans l’espace public.
1. Un dispositif “simple” en apparence : repérer automatiquement les véhicules devant les écoles
Le dossier tranché par le Conseil d’État part d’une intention que beaucoup jugeront légitime : sécuriser les abords des écoles. Concrètement, la commune de Nice avait envisagé un traitement intitulé « zone d’intrusion entrées des écoles ».
Le principe était le suivant :
- des caméras de vidéoprotection (souvent appelées “vidéosurveillance” dans le langage courant) filment la voie publique ;
- un algorithme analyse ces images pour détecter automatiquement la présence de véhicules stationnant irrégulièrement devant les écoles pendant les horaires d’ouverture ;
- en cas de détection, une alerte est envoyée à la police municipale, qui peut ensuite intervenir.
À première vue, certains pourraient se dire : “Puisqu’il y a déjà des caméras, ajouter un outil de détection automatique, ce n’est qu’un réglage technique.” Justement, la décision rappelle que ce n’est pas un simple réglage.
Pourquoi ? Parce que l’on change de nature d’usage : on passe de la captation d’images à leur analyse systématique et automatisée, avec un objectif opérationnel (déclencher une action). En termes de protection des données et de libertés publiques, c’est un saut important.
Et même si le dispositif vise des véhicules, on parle bien, potentiellement, de données à caractère personnel : une plaque d’immatriculation, un modèle de véhicule, un trajet, une présence à un endroit et à un moment précis… Autant d’éléments qui peuvent contribuer à identifier, directement ou indirectement, une personne.
2. La CNIL met un cadre : analyse d’impact et contrôle préalable pour certains traitements algorithmiques
Saisie par la commune, la CNIL avait rendu, le 15 mai 2025, une délibération défavorable à la mise en œuvre “en l’état” de ce dispositif. Deux messages ressortent du texte communiqué :
- Le recours à des traitements algorithmiques appliqués à des images de voie publique n’est pas neutre et doit être évalué au regard de la protection des données.
- Le dispositif envisagé nécessitait a minima une analyse d’impact relative à la protection des données (souvent appelée AIPD ou DPIA en anglais), et, pour plusieurs traitements algorithmiques envisagés, un avis préalable de la CNIL.
Pour un public non juriste, l’analyse d’impact peut se résumer ainsi : c’est un document qui oblige l’organisme à se poser les bonnes questions avant de déployer une technologie pouvant porter atteinte à la vie privée.
Typiquement, une AIPD doit permettre de clarifier :
- à quoi sert exactement le dispositif (finalités) ;
- quelles données sont traitées, pendant combien de temps, avec quels destinataires ;
- quels risques concrets existent (erreurs de détection, surveillance excessive, réutilisation des images, détournement de finalité…) ;
- quelles mesures réduisent ces risques (paramétrage, limitation du périmètre filmé, restrictions d’accès, journalisation, tests, contrôle humain, information du public, etc.).
La commune soutenait, au contraire, que le dispositif était légal sans base normative spécifique et ne nécessitait pas un tel niveau d’encadrement. C’est ce désaccord qui a conduit au contentieux.
3. Le cœur de la décision : sans base légale expresse, l’analyse automatisée de l’espace public est interdite
Dans sa décision du 30 janvier 2026, le Conseil d’État tranche clairement : le fait que la voie publique soit placée sous vidéoprotection n’autorise pas, en soi, son analyse automatisée et systématique.
Le raisonnement tient en une idée simple, mais déterminante : en matière de surveillance de l’espace public, on applique le principe de légalité stricte. Autrement dit, lorsque l’État ou une collectivité met en œuvre un dispositif susceptible d’affecter des libertés (vie privée, liberté d’aller et venir, liberté de réunion…), il faut un texte qui l’autorise explicitement, et pas seulement “par extension” ou “par analogie”.
Le Conseil d’État rappelle ainsi que :
- le code de la sécurité intérieure autorise la mise en place de systèmes de vidéoprotection sur la voie publique ;
- mais ce cadre n’autorise pas, en l’absence de texte spécifique, le recours à des traitements automatisés analysant systématiquement les images.
En pratique, cela revient à dire : filmer n’est pas analyser. Ce sont deux étapes distinctes, et la seconde — l’analyse algorithmique — doit être expressément prévue.
Point important : le Conseil d’État indique aussi que cette interdiction vaut même si les traitements ne relèvent pas de la catégorie des systèmes d’intelligence artificielle “à haut risque” au sens du règlement européen sur l’IA. Autrement dit, l’argument “ce n’est pas de l’IA à haut risque” ne suffit pas : la question de la base légale nationale reste centrale.
Cette décision s’inscrit dans une tendance de fond : face à l’essor des technologies de détection et de reconnaissance (comportements, silhouettes, attroupements, véhicules…), le juge administratif se montre particulièrement attentif au fait que l’innovation ne contourne pas les exigences démocratiques fondamentales : la loi d’abord.
4. Ce que ça change concrètement : bonnes pratiques et réflexes pour les collectivités (et leurs prestataires)
Cette décision ne signifie pas que toute innovation est impossible. Elle signifie qu’un projet de vidéosurveillance algorithmique dans l’espace public doit être abordé avec méthode — et surtout avec le bon point de départ : la base juridique.
Voici les enseignements opérationnels à retenir.
1) Vérifier la base légale avant même de choisir la technologie
Le réflexe “on a déjà des caméras, on ajoute une brique logicielle” est précisément ce que le Conseil d’État sanctionne. Avant de contractualiser, de tester ou de déployer, il faut identifier le texte qui autorise l’usage envisagé. S’il n’existe pas, le risque est simple : blocage du projet, contentieux, dépenses inutiles, et atteinte à l’image de la collectivité.
2) Documenter la conformité : AIPD, gouvernance, contrôle humain
Même lorsqu’un dispositif est juridiquement envisageable, la conformité ne se décrète pas. Elle se démontre. L’AIPD n’est pas une formalité : c’est un outil de pilotage. Il est aussi essentiel de prévoir :
- une gouvernance claire (qui décide, qui accède, qui contrôle, qui audite) ;
- une traçabilité des accès et des alertes ;
- un contrôle humain sur les décisions opérationnelles (pour limiter les effets d’une détection erronée).
3) Encadrer les relations avec les prestataires
Les solutions d’analyse vidéo reposent souvent sur des acteurs privés (éditeurs, intégrateurs, hébergeurs). La collectivité doit sécuriser :
- les clauses relatives à la sécurité et à la confidentialité ;
- les interdictions de réutilisation des images à d’autres fins ;
- les garanties sur l’explicabilité des alertes et les performances (taux de faux positifs / faux négatifs), car une alerte algorithmique peut avoir des conséquences concrètes sur des personnes.
4) Anticiper l’acceptabilité sociale et la transparence
Enfin, l’espace public est, par définition, un espace partagé. Plus un dispositif est intrusif (même sans “reconnaissance faciale”), plus la question de l’acceptabilité est sensible. L’information du public, la limitation du périmètre, et la proportionnalité entre l’objectif poursuivi et les moyens employés ne sont pas seulement des obligations juridiques : ce sont aussi des conditions de confiance.
***
Pour toute demande de conseil juridique, n’hésitez pas à nous contacter. Vous pouvez dès à présent demander un devis gratuit ici.
