Mise à jour (26/06/2024) : La société Veesion a également objecté auprès de la Cnil, qui lui a donné un délai d'un mois pour présenter ses observations quant à ce manquement.
Article original : Le logiciel de "reconnaissance des gestes", développé et commercialisé par l'entreprise Veesion, n'est pas conforme au Règlement général sur la protection des données (RGPD), a conclu la Commission nationale de l'informatique et des libertés (Cnil) dans un courrier du 6 juin 2024 envoyé à l'entreprise française. Cette dernière a contesté cette décision devant le Conseil d'Etat dans le cadre d'une procédure de référé-suspension, une procédure d'urgence permettant d'obtenir la suspension d'une décision administrative.
Fondée par Benoît Koenig, Thibault David et Damien Ménigaux, Veesion est une entreprise qui a développé et commercialise un logiciel de détection des "comportements suspects en temps réel" grâce à l'intelligence artificielle. Dédié au secteur du retail pour détecter les vols à l'étalage, il est installé sur des boîtiers ajoutés au dispositif de vidéosurveillance d'un magasin.
Les prétentions de Veesion rejetées
Par une décision rendue le 21 juin, le juge administratif a rejeté les prétentions de Veesion. Elle soutenait, peut-on lire, qu'il s'agissait "d'une sanction déguisée excédant les pouvoirs de la Cnil" d'une part. D'autre part, le courrier de déclaration de non-conformité serait "entaché d'erreurs de droit et d'erreurs d'appréciation au regard des dispositions sur le droit d'opposition du règlement général sur la protection des données", rétorquait la jeune pousse.
Dans le détail, Veesion s'appuie sur l'article R. 253-6 du code la sécurité intérieure, issu du décret du 27 novembre 2023, qui écarte "tout droit d'opposition provenant d'un système de protection" (droit qui permet de s'opposer à ce que des données personnelles soient traitées par un organisme). Elle estime que "la spécificité de sa solution" et ce texte doivent "conduire à écarter" la position de l'autorité de protection des données sur l'utilisation de caméras augmentées dans l'espace public publiée en juillet 2022, rapporte le Conseil d'Etat.
Le logiciel ne remplie pas les conditions du nouveau régime des JO
Dans le cadre d'un référé-suspension, le rôle du Conseil d'Etat est de vérifier que les critères de recevabilité sont remplis, à savoir l'urgence et le doute sérieux sur la légalité de la décision contestée. En l'espèce, il a décidé que le fait que les dispositions du code de la sécurité intérieure s'appliqueraient à "la solution développée par la société Veesion, qui constitue un traitement algorithmique d'analyse des images collectées par les caméras, n'est pas de nature à créer un doute sérieux". Même analyse pour l'application de l'article 10 de la loi du 19 mai 2023 relative aux jeux olympiques et paralympiques de 2024 qui prévoit qu'à titre expérimental, et ce jusqu'au 31 mars 2025, les images collectées au moyen de systèmes de vidéoprotection peuvent faire l'objet de "traitements algorithmiques".
Sur ce second point, la plus haute juridiction administrative estime que le logiciel de Veesion ne remplit pas les conditions de ce texte, à savoir que ces traitements sont autorisés "à la seule fin d'assurer la sécurité de manifestations sportives, récréatives ou culturelles qui, par l'ampleur de leur fréquentation ou par leurs circonstances, sont particulièrement exposées à des risques d'actes de terrorisme ou d'atteintes graves à la sécurité des personnes". Pour rappel, cette expérimentation a été lancée dans le cadre des jeux de Paris. "Il résulte de ce qui précède que, sans qu'il soit besoin de se prononcer sur la condition d'urgence, la requête de la société Veesion ne peut qu'être rejetée", en conclut ainsi le Conseil d'Etat.
Les limites de la vidéosurveillance algorithmique
Avec cette décision, la justice rappelle que ce qu'on appelle "la vidéosurveillance algorithmique", qui désigne un système qui automatise le traitement des images de caméras de surveillance, ne peut pas être utilisée à tort et à travers. De son côté, la start-up Veesion s'adresse en priorité au secteur du retail, en plus particulièrement aux commerçants indépendants confrontés au vol à l'étalage. Sur son site, elle déclare que "sa solution est 100% made in France et respectueuse du RGPD" avec un lien renvoyant vers "ses engagements". Elle y indique notamment que son logiciel ne traite pas de données biométriques au sens du règlement européen. "Notre système ne permet pas d’identifier ('il s’agit de Monsieur. X') ni de reconnaître ('c’est la même personne qui est venue il y a 3 jours') les individus", e justifie-t-elle. Elle ajoute que sa technologie a pour objectif d'analyser "les gestes des individus" puis, si nécessaire, procède à "un signalement d'attention aux personnels qualifiés en magasin en cas de geste suspect reconnu".
Lors d'un échange avec L'Usine Digitale en avril dernier, elle avait déclaré que son logiciel équipait "3000 magasins" pour un coût entre "250 euros et 1150 euros par mois" en fonction du nombre de caméras installées. Ces clients ont été ou seront informés par la Cnil que le logiciel utilisé n'est pas conforme au RGPD, peut-on lire dans la décision de justice. A noter que 60% de son revenu provient de l'étranger, avec plus de 10% issus des Etats-Unis, pays qui n'applique pas le RGPD. Il reste à voir quelle stratégie elle choisira pour se conformer, si c'est possible, aux remarques de la Cnil. Sollicitée sur cet aspect, Veesion n'a pas encore répondu.
La Cnil réitère sa position sur le droit d'opposition
Le droit d'opposition semble être au coeur du raisonnement de la Cnil, bien que son courrier ne soit pas public. Elle avait pris une position similaire en juin 2020 sur les caméras dites "intelligentes" déployées à la station Châtelet-Les Halles et sur trois marchés cannois pour détecter le port du masque pendant la pandémie de Covid-19. Elle avait mis un coup d'arrêt à ces dispositifs estimant que le droit d'opposition n'était pas respecté. Elle précisait notamment que la possibilité pour les passants de manifester leur opposition par un mouvement corporel significatif, tel un "non" de la tête, n'était pas satisfaisante.
Si le droit d'opposition n'est pas applicable, "il est nécessaire de mettre en place un cadre légal adapté qui respecte l’article 9 et/ou l’article 23 du RGPD", avait conclu la Commission. C'est ce qu'a fait le gouvernement a fait en adoptant le décret du 10 mars 2021 qui ouvre la possibilité aux exploitants de services de transport collectif de voyageurs et aux gestionnaires des espaces affectés à ces services, tels que la RATP ou la SNCF, d'installer des caméras "intelligentes" capables de détecter le port du masque.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
