Le Conseil d’État a rendu une ordonnance le 18 mai dans laquelle il demande à l’État de cesser d’utiliser des drones pour assurer le respect des règles du déconfinement à Paris. La censure de cette mesure de surveillance a souvent été présentée comme une victoire du respect des libertés dans la mise en œuvre souvent contestée de l’état d’urgence sanitaire.
En réalité, cette ordonnance de référé ne remet pas en cause la légitimité de l’usage des drones aux fins d’assurer la sécurité publique. Elle rappelle qu’une telle pratique nécessite une autorisation sous la forme d’un décret ou d’un arrêté ministériel pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés (CNIL).
L’intérêt de cette ordonnance est quadruple. Premièrement, cette ordonnance rappelle l’importance de bien savoir déterminer ce qu’est un traitement de données à caractère personnel. Deuxièmement, cette ordonnance illustre le régime particulier des traitements des autorités publiques qui ne relèvent pas du règlement général sur la protection des données (RGPD), mais de la transposition dans la loi informatique et libertés (LIL) de la directive 2016/680. Troisièmement, cette affaire illustre l’intérêt stratégique de la saisine de juge des référés pour une association activiste comme la Quadrature du Net qui est à l’origine du recours. Quatrièmement, l’ordonnance au-delà de la lutte contre le covid-19 pourrait être l’occasion d’ouvrir un vrai débat public sur l’usage des drones notamment par les forces publiques.
Comprendre ce qu’est un traitement de données à caractère personnel
Pour que le régime du droit européen à la protection des données à caractère personnel se déclenche, il suffit qu’un traitement de données à caractère personnel soit en cause. D’où l’importance de bien cerner cette notion de traitement de données à caractère personnel qui est harmonisée à l’échelle de l’Union européenne. Cette notion fondamentale doit s’interpréter de façon objective. Il s’agit d’un traitement qui permet l’identification directe ou indirecte d’un individu. Aussi, dès lors qu’un drone est doté d’un zoom optique permettant de visionner en direct des personnes, il importe peu de savoir si les pouvoirs publics ont ou non activé ce dispositif pour identifier des personnes.
Ce qui importe est de déterminer si l’usage de la technologie utilisée est susceptible de permettre une telle identification. L’argument soutenu par le tribunal administratif de Paris, selon lequel « l’enregistrement provisoire et la transmission d’images […] ne peu[ven]t être regardé[s] comme ayant procédé à un traitement de données à caractère personnel », est bien heureusement écarté par le Conseil d’État. Est rappelé ainsi que la notion de traitement est largement comprise comme incluant la collecte sans le stockage des données.
Si la notion de traitement de données à caractère personnel est ancienne, elle semble toujours mal cernée y compris par les praticiens du droit. De nombreux acteurs continuent de penser à tort qu’ils ne traitent pas de données à caractère personnel. Ainsi, la CNIL a eu l’occasion de rappeler dans un avis récent que le traitement de données pseudonymisées tel qu’imaginé dans la future application StopCovid constitue bien un traitement de données à caractère personnel.
Connaître la spécificité de certains traitements des autorités publiques
L’ordonnance est l’occasion de rappeler que les traitements des autorités publiques ayant pour finalité d’assurer la sécurité publique relèvent de la directive 2016/680. Sont couverts par cette directive les traitements de prévention, de détection des infractions pénales, d’enquêtes et de poursuites en la matière, exécution de sanctions pénales, protection contre les menaces pour la sécurité publique et prévention de telles menaces, mise en œuvre par les autorités publiques, ou d’autres entités disposant de prérogatives de puissance publique.
La licéité de ces traitements est soumise à des règles plus strictes que celle du RGPD. Ainsi, l’article 89 de la LIL impose que ces traitements fassent systématiquement l’objet d’une autorisation préalable. En revanche, ce régime d’autorisation est formellement identique à celui des traitements qui nécessitent une formalité préalable au sens du RGPD (v. LIL, art. 31). Un arrêté ou un décret ministériel est nécessaire et celui-ci doit être pris après avis motivé et publié de la CNIL.
L’ordonnance en déduit que cette absence de formalité préalable constitue en soi « une atteinte grave et manifestement illégale au droit au respect de la vie privée ». En effet, l’objet même de cette formalité préalable est de s’assurer de la conformité des modalités d’utilisation des drones et de pouvoir vérifier que certaines garanties ont été prises. Une partie non négligeable du contenu de la directive 2016/680 est sur ce point harmonisée avec le RGPD. En particulier, la finalité du traitement doit être clairement déterminée, les données traitées doivent être limitées au strict nécessaire (principe de minimisation), la durée de conservation doit être précisée en ce sens. Avoir recours aux drones à des fins de surveillance de l’espace public dans le cadre d’une mission de sécurité publique est susceptible d’engendrer « un risque élevé pour les droits et les libertés » au sens de l’article 90 de la LIL. Une analyse d’impact relative à la protection des données à caractère personnel pourrait donc être préalablement nécessaire.
L’ordonnance du Conseil a ainsi le mérite de rappeler la nécessité d’encadrer le recours de l’usage des drones par les pouvoirs publics. Si la CNIL est un acteur incontournable pour assurer la régulation des drones, c’est au juge que la Quadrature du Net s’est directement adressée dans l’affaire en cause pour obtenir rapidement gain de cause.
Recourir au juge ou à la CNIL
Il s’agit là d’une particularité du droit européen de la protection des données à caractère personnel. Rien n’oblige une personne à saisir préalablement la CNIL pour faire cesser une violation. Le juge, et notamment le juge des référés, est d’ailleurs de plus en plus souvent saisi. C’est notamment le cas lorsque des droits et libertés sont en cause, comme en l’espèce. Il est intéressant de souligner que la CNIL, restée silencieuse sur ce sujet, pourtant médiatisé, s’est sentie obligée de s’exprimer officiellement après l’ordonnance du Conseil d’État. Le communiqué de presse relève que la CNIL s’est bien saisie de la question de l’usage de drones dans le contexte de la pandémie actuelle. Si elle ne semble pas avoir instruit de plaintes formelles, la CNIL aurait été saisie de demandes d’informations depuis le 23 avril 2020. La CNIL affirme aussi mener des contrôles et vérifications auprès de différentes autorités publiques (ministère de l’intérieur, gendarmerie, services de police, communes).
En s’adressant directement au Conseil d’État, la Quadrature du Net semble avoir pris de cours la CNIL. Cette stratégie contentieuse a été payante, car elle ouvre désormais la voie à une prise de position plus décomplexée de la CNIL sur l’usage des drones tant durant la période de confinement que dans la période actuelle.
Ouvrir un vrai débat public sur l’usage des drones
Les dangers du recours à l’usage des drones au regard de la protection des données à caractère personnel1 et du respect de la vie privée ont déjà fait l’objet de plusieurs études et de prises de position des autorités de régulation à l’échelle européenne (G29 ou Contrôleur européen de la protection des données). Le développement actuel de cette technologie couvre des réalités très différentes pouvant inclure des caméras sophistiquées qui peuvent être combinées avec des outils de reconnaissance faciale. L’enjeu ici est de se prémunir de tout effet de cliquet visant à progressivement rendre acceptable une technique de surveillance intrusive. Aussi, alors que le recours aux drones à usage civil semble se développer, il serait pertinent d’avoir un vrai débat public sur les implications juridiques, sociales, voire éthiques, de cette technologie. C’est aussi toute la pertinence du régime français actuel de la vidéoprotection et de la vidéosurveillance qui pourrait être questionnée à cette occasion.
1 Voir l’excellente étude sur la pratique comparée des états de Cristina Pauner, Surveillance Capabilities of Drone Technology and Law Enforcement Uses: Implications on Data Protection Within the European Framework in Russell L. Weaver Arnaud Raynouard, Duncan Fairgrieve, Steven I Friedland, Cybersurveillance in a post-Snowden world: balancing the fight against terrorism against fundamental rights, Carolina Academic Press 2017, p.51-72.
