Procédure de validation juridique des analytics

Une validation juridique formelle est déclenchée pour tout analytics allant au-delà de la simple détection de mouvement ou du franchissement de ligne virtuelle par différence d'image. Concrètement, tout module alimenté par un algorithme d'apprentissage automatique, tout module générant des données sur des individus (comptage individualisé, suivi de trajectoire, détection comportementale) et tout module croisant des données vidéo avec d'autres sources d'information nécessitent une validation.

La validation est également requise lorsqu'un analytics précédemment validé fait l'objet d'une mise à jour substantielle du modèle sous-jacent, d'une extension de périmètre (nouvelles caméras, nouveaux espaces couverts) ou d'un changement de finalité (utilisation des données à des fins non prévues lors de la validation initiale).

Étape 1 — Analyse légale (J à J+10) : le service juridique de Mileo Technology réalise une analyse de la conformité du système à l'AI Act (classification du risque, documentation requise), au RGPD (base légale, nécessité, proportionnalité) et aux recommandations spécifiques de la CNIL pour la catégorie d'analytics concernée.

Étape 2 — DPIA (J+10 à J+25) : si l'analyse légale conclut à la nécessité d'une DPIA (systématique pour les analytics comportementaux, conditionnelle pour les autres catégories), celle-ci est réalisée conjointement par Mileo Technology et le DPO du client. La DPIA est soumise à validation interne avant de passer à l'étape suivante.

Étape 3 — Consultation CNIL si nécessaire (J+25 à J+55) : lorsque la DPIA identifie un risque résiduel élevé non atténuable, la consultation préalable de la CNIL est obligatoire en application de l'article 36 du RGPD. La CNIL dispose de 8 semaines pour répondre, ce qui peut allonger significativement le délai global.

Étape 4 — Accord écrit du client et documentation (J+25 ou J+55 à J+30 ou J+60) : à l'issue des étapes précédentes, un accord écrit formalisant les conditions d'usage de l'analytics, les obligations du client et les paramètres techniques validés est signé par les parties. La documentation complète est versée au dossier de projet.

Le délai minimum entre le déclenchement de la procédure de validation et le déploiement effectif de l'analytics est fixé à 30 jours calendaires, en l'absence de consultation CNIL. Ce délai est incompressible et ne peut être raccourci pour des raisons d'urgence opérationnelle ou de contraintes contractuelles.

En cas de consultation CNIL, le délai est porté à 90 jours minimum. Mileo Technology informe le client de ce délai dès le début de la procédure afin de permettre une planification réaliste du projet. Tout déploiement intervenant avant l'expiration de ce délai engage exclusivement la responsabilité du client.

Chaque procédure de validation juridique est pilotée par un responsable de validation désigné au sein de Mileo Technology, qui est l'interlocuteur unique du DPO client pour toute la durée de la procédure. Ce responsable s'assure de la complétude du dossier, du respect des délais et de la communication des résultats.

L'intégralité du dossier de validation (analyse légale, DPIA, correspondances CNIL le cas échéant, accord signé) est archivée pendant 5 ans à compter de la fin du contrat de déploiement. Ces archives constituent des éléments de preuve en cas de contrôle réglementaire ou de contentieux.