Accueil
Le quotidien du droit en ligne
-A+A
Article

Surveillance par drones : rappel à l’ordre de la CNIL

Conformément aux récentes décisions rendues par le Conseil d’État, la CNIL estime que l’utilisation de drones par les services de police et de gendarmerie constitue un traitement de données à caractère personnel qui doit être encadré par une disposition législative ou réglementaire.

par Cécile Crichtonle 20 janvier 2021

L’usage de drones par les services de police et de gendarmerie a été révélé lors du premier confinement par divers articles de presse qui, en cascade, ont été à l’origine de plusieurs saisines du Conseil d’État. En l’absence de garanties, a-t-il énoncé, le traitement de données à caractère personnel résultant de cet usage n’est pas conforme à la loi Informatique et Libertés n° 78-17 du 6 janvier 1978 (CE 22 déc. 2020, req. n° 446155, Dalloz actualité, 15 janv. 2021, obs. P. Dupont et G. Poissonnier ; Lebon ; AJDA 2020. 2531 ; CE, ord., 18 mai 2020, req. nos 440442 et 440445, Dalloz actualité, 22 mai 2020, obs. C. Crichton ; AJDA 2020. 1031 ; ibid. 1552 , note X. Bioy ; D. 2020. 1336, obs. P. Dupont , note P. E. Audit ; ibid. 1262, obs. W. Maxwell et C. Zolynski ; AJCT 2020. 530, obs. R. Perray et Hélène Adda ; Dalloz IP/IT 2020. 573, obs. Cassandra Rotily et L. Archambault ; RTD eur. 2020. 956, obs. A. Bouveresse ). En parallèle, la CNIL a mené sa propre instruction, d’abord par un courrier du 23 avril 2020 adressé au ministère de l’Intérieur et resté sans réponse, ensuite par une procédure de contrôle ouverte le 7 mai 2020. Le 12 janvier 2021, la formation restreinte de la CNIL a prononcé à l’encontre du ministère de l’Intérieur un rappel à l’ordre pour manquement aux dispositions de la loi Informatique et Libertés assorti d’une injonction de mise en conformité.

La CNIL a constaté que « la préfecture de police de Paris, le commissariat de Cergy-Pontoise et le groupement de gendarmerie départementale de Haute-Garonne ont utilisé des drones afin de vérifier le respect des mesures de confinement. Par ailleurs, la préfecture de police de Paris a également utilisé ces dispositifs pour d’autres finalités, telles que des missions de police judiciaire (reconnaissance d’un lieu avant une interpellation, surveillance d’un trafic de stupéfiants), des opérations de maintien de l’ordre (surveillance de manifestations) ou de gestion de crise et des contrôles routiers (surveillance de rodéos urbains) » (pt 10).

Sans surprise, la CNIL considère que toute opération « – notamment la captation, la transmission, la modification ou la consultation – portant sur l’image de personnes pouvant être reconnues constitue un traitement de données à caractère personnel » (pt 17) au sens de l’article 4, 2, du règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD). Il convient de rappeler que la simple collecte de données à caractère personnel constitue un traitement, ce quand bien même les données feraient immédiatement l’objet d’une occultation automatisée. Les drones équipés d’une caméra procèdent dès lors à un traitement de données à caractère personnel par la captation des images. Quand bien même ils seraient équipés d’un système de floutage, ajoute la CNIL, les drones enregistraient des images non floutées et l’accès à ces données non occultées était rendu possible par certaines personnes. Il existe donc en tout état de cause un traitement de données à caractère personnel.

Après avoir désigné le ministère de l’Intérieur comme responsable de traitement (pts 29-32) et rappelé qu’est applicable le titre III de la loi Informatique et Libertés portant transposition de la directive (UE) 2016/680 du 27 avril 2016, la CNIL s’est intéressée aux manquements commis par ledit ministère.

Le traitement doit tout d’abord être encadré par une disposition législative ou réglementaire (L. n° 78-17, art. 89, I) pour les traitements relevant de la directive (UE) 2016/680 (L. n° 78-17, art. 87 : « traitements de données à caractère personnel mis en œuvre, à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales »). Si le traitement est un traitement de données sensibles relevant de l’article 6, I, de la loi n° 78-17, il doit en outre être autorisé par un décret en Conseil d’État pris après avis motivé et publié de la CNIL (L. n° 78-17, art. 89, II). Tel n’est pas le cas en l’espèce, les traitements ayant lieu sans texte (pts 42-43). Sur ce point, l’avis n° 401214 rendu le 20 septembre 2020 par le Conseil d’État est intéressant puisqu’il estime que la surveillance policière par drones relève de la matière réservée au législateur conformément à l’article 34 de la Constitution, ce eu égard à l’atteinte aux libertés fondamentales qu’engendre une telle pratique. Par son arrêt rendu le 22 décembre 2020, le Conseil d’État mentionnait que le traitement de données à caractère personnel résultant d’une surveillance par drones aux fins de protection contre les menaces pour la sécurité publique et de prévention de telles menaces, « sans l’intervention préalable d’un texte en autorisant la création et en fixant les modalités d’utilisation », est de nature à créer un doute sérieux sur sa légalité (req. n° 443155, préc., spéc. pts 12-13). Or, dans ce cadre, était fait mention d’un « texte » sans précision supplémentaire. Sur cette question, la CNIL exige simplement une « disposition législative ou réglementaire » autorisée par décret en Conseil d’État pris après avis motivé et publié de la CNIL (pt 40).

La CNIL reproche également au ministère de l’Intérieur l’absence d’analyse d’impact relative à la protection des données à caractère personnel puisque le traitement effectué par drones fait naître un risque élevé du fait des caractéristiques des drones pouvant filmer en haute résolution à tout lieu et à tout moment ; de l’utilisation qui en est faite, de nature à révéler les opinions politiques, les convictions religieuses ou philosophiques des personnes, ou leur appartenance syndicale ; et que le traitement est potentiellement effectué à l’insu des personnes et en l’absence de toute information (pts 44-47 ; L. n° 78-17, art. 90).

La CNIL sanctionne enfin un manquement à l’article 104 de la loi Informatique et Libertés relatif à l’information des personnes (pts 49-53). D’une part, aucune des informations figurant à cet article n’était délivrée aux personnes. D’autre part, seul l’acte instaurant le traitement – inexistant en l’espèce – permet d’octroyer au responsable de traitement des restrictions aux droits des personnes et notamment au droit de l’information.

Les motifs de la CNIL concernant les mesures de publicité de la décision sont relativement inhabituels et méritent d’être relevés en ce qu’ils sont portés sur l’avenir de l’usage des drones. Après avoir souligné les risques pour les droits et libertés des personnes, la CNIL relève, d’une part, que la performance des drones ne cessera de s’améliorer, rendant de moins en moins aisé pour les personnes de prendre conscience des traitements opérés (pt 60), et, d’autre part, que « le perfectionnement de technologies telles que la reconnaissance faciale pourrait entraîner, à l’avenir, des risques encore plus importants pour les droits et libertés individuelles si elles étaient couplées à l’utilisation de drones » (pt 61). Le fait que « le public [ait] démontré, au cours des derniers mois, un intérêt légitime pour les questions relatives au traitement de ses données à caractère personnel par l’État » constitue également pour la CNIL un motif justifiant la mise en ligne de sa délibération (pt 63).