Accueil
Le quotidien du droit en ligne
-A+A
Article

Surveillance policière par drones : encadrement nécessaire

Le Conseil d’État rappelle qu’un dispositif de surveillance policière utilisant la captation d’images de personnes par drones constitue un traitement de données à caractère personnel et doit dès lors assurer un certain nombre de garanties pour être licite.

par Cécile Crichtonle 22 mai 2020

Il est bienvenu de rappeler les notions fondatrices en matière de protection des données à caractère personnel dans le contexte d’urgence sanitaire. L’ordonnance rendue par le Conseil d’État le 18 mai 2020 en livre une excellente illustration.

La préfecture de police de Paris avait ordonné la mise en œuvre d’un dispositif de surveillance policière par drones afin de veiller au respect des mesures de confinement. Cette surveillance s’est prolongée à l’occasion du plan de déconfinement. Deux associations ont saisi le juge des référés du tribunal administratif de Paris d’une requête tendant à suspendre ce dispositif, à cesser la captation, l’enregistrement, la transmission et l’exploitation des images captées par drones, ainsi qu’à détruire les images déjà captées. Considérant que la collecte, l’enregistrement provisoire et la transmission d’images captées par drones ne constituent pas un traitement de données à caractère personnel, le tribunal administratif a rejeté la requête par ordonnance du 5 mai 2020 (v. Dalloz actualité, 15 mai 2020, obs. C. Crichton). Les éléments présentés par les requérantes, résultant de communications de la préfecture de police adressées à un journal, étaient selon le tribunal insuffisants pour caractériser l’identification d’un individu par la préfecture de police à partir des images captées par drones.

L’ordonnance rendue par le tribunal administratif est annulée par le Conseil d’État, qui juge que la préfecture de police de Paris a bien procédé à un traitement de données à caractère personnel. Ce faisant, le Conseil d’État revient sur deux notions fondamentales : les données à caractère personnel et le traitement de données à caractère personnel. D’une part, ces premières sont définies comme « toute information se rapportant à une personne physique identifiée ou identifiable » (règl. [UE] 2016/679, 27 avr. 2016, art. 4.1 ; dir. [UE] 2016/680, 27 avr. 2016, art. 3.1). D’autre part, un traitement est défini comme une opération appliquée à des données personnelles, telle que « la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction » (règl. [UE] 2016/679, art. 4.2 ; dir. [UE] 2016/680, art. 3.2).

Il résulte de ces définitions que la captation d’images par drones constitue un traitement de données à caractère personnel (CE, ord., 18 mai 2020, pts 16-17). En effet, le visionnage en temps réel de secteurs situés sur la voie ou dans les espaces publics, à une hauteur allant jusqu’à cent mètres, est susceptible d’identifier des personnes. Il est utile de rappeler qu’un simple accès à des données à caractère personnel constitue un traitement. La conservation ou non des données comme la volonté effective ou non d’identification des personnes sont des conditions indifférentes (pt 16). Relevons enfin que c’est la directive du 27 avril 2016 qui est en l’espèce applicable, puisque la surveillance policière par drones entre dans le cadre de mesures de protection prises par une autorité compétente contre les menaces pour la sécurité publique et la prévention de telles menaces ; mesures prévues en son article premier (pt 15).

Le fait que la captation d’images par drones soit qualifiée de traitement de données personnelles n’est cependant pas synonyme d’illicéité. À cette fin, le Conseil d’État relève que la finalité poursuivie est légitime (pt 13), celle-ci étant d’informer le centre de commandement qui déciderait le cas échéant de procéder à la dispersion d’un rassemblement ou à l’évacuation des lieux fermés au public (pt 11). Le dispositif de surveillance n’est pas non plus « de nature à porter, par lui-même, une atteinte grave et manifestement illégale aux libertés fondamentales invoquées » (pt 14).

Toutefois, pour que le traitement soit licite, le Conseil d’État juge qu’il est nécessaire :

• soit, conformément à l’article 31 de la loi Informatique et Libertés n° 78-17 du 6 janvier 1978, de consacrer par voie réglementaire, après avis motivé et publié de la CNIL, un arrêté autorisant le traitement de données à caractère personnel (pts 18-19) ;

• soit de doter « les appareils utilisés par la préfecture de police de dispositifs techniques de nature à rendre impossible, quels que puissent en être les usages retenus, l’identification des personnes filmées » (pt 20).

Dès lors, en l’absence de telles garanties, le Conseil d’État ne pouvait qu’ordonner à l’État de cesser de procéder aux mesures de surveillance policière par drones ordonnées à Paris.

En réaction à l’ordonnance de référé du Conseil d’État, la CNIL a indiqué dans un communiqué du même jour avoir entamé des procédures de contrôle depuis le 23 avril 2020, tant « auprès du ministère de l’intérieur concernant l’usage de drones dans plusieurs villes » qu’auprès « de plusieurs communes dont les polices municipales ont, elles aussi, semble-t-il, eu recours à des drones ». Ces procédures de contrôle s’achèveront, précise-t-elle, sur une prise de position.