Faisant suite à une procédure de contrôle débutée en mai 2020, la Commission nationale de l’informatique et des libertés (CNIL) a rappelé à l’ordre le Ministère de l’Intérieur le 12 janvier dernier « pour avoir procédé à des vols de drones équipés de caméras en dehors de tout cadre légal » [1]. Cette décision illustre une nouvelle fois la difficulté de concilier la surveillance par drone de la population et le droit à la vie privée et à la protection des données personnelles.
On rappellera, à toutes fins, que les drones sont juridiquement assimilés à des « aéronefs », c’est-à-dire des appareils capables de s’élever et de circuler dans les airs [2]. Ils ont néanmoins pour particularité d’être très furtifs, discret et de pouvoir voler sans la présence d’un pilote à leur bord, ils sont dits « télépilotés » [3]. Dès mars 2020, la presse révèle que les forces de police et de gendarmerie ont utilisé des « aéronefs sans pilote » [4] équipés de caméras notamment pour surveiller les mesures de confinement [5].
L’usage des drones s’est intensifié lors de la pandémie. Pour autant, ces engins étaient déjà utilisés auparavant notamment pour la vidéo protection d’événement (Ils ont été utilisés en 2018 lors de l’évacuation de la ZAD de Notre-Dame-des-Landes par exemple). La préfecture de police de Paris, le groupement de gendarmeries de Haute-Garonne et le commissariat de Cergy-Pontoise ont reconnu avoir utilisé des drones équipés de caméras [6].
Les drones à l’affut des données personnelles.
Le 9 juillet 2020, la CNIL a missionné une délégation à la préfecture de police de Paris dans le but de procéder à un contrôle. Il a été constaté que les engins utilisés sont très perfectionnés. Ils peuvent voler à une altitude comprise entre 30 et 120 mètres et leurs caméras comportent un objectif de 12 millions de pixels pouvant agrandir l’image jusqu’à vingt fois. Les drones peuvent donc enregistrer des images sur lesquelles des personnes sont aisément identifiables. Contrairement à ce que le ministère de l’Intérieur avait soutenu, les drones utilisés permettent donc de collecter des données personnelles [7] au sens de l’article 4 du Règlement général sur la protection des données (RGPD) [8].
Même si le ministère de l’Intérieur a développé un mécanisme de floutage des images, ce dernier n’a pas été mis en place dès les débuts de l’utilisation des drones. Les images ne peuvent pas être directement « occultées » par le drone ; elles sont donc collectées, transmises et traitées avec, potentiellement, des personnes identifiables.
La CNIL désigne le ministère de l’Intérieur comme le responsable du traitement de ses données. La formation restreinte, considère que le ministère de l’Intérieur a manqué à plusieurs obligations issues de la loi Informatique et Libertés [9]. En effet, cette loi du 6 janvier 1978 a vocation à s’appliquer lorsque la captation d’image par drone donne lieu à un enregistrement de données personnelles [10].
Conformément aux articles 87 et 89 de ce texte, un cadre législatif ou réglementaire aurait dû être mis en place préalablement à l’utilisation, par le ministère, de drones équipés de caméras.
De surcroît, il a été considéré que les traitements en cause sont « susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées » [11]. Ce risque élevé naît des caractéristiques techniques inhérentes aux drones. Comme indiqué plus haut, ils peuvent filmer en haute résolution toute personne circulant dans l’espace public, et cela à leur insu. Les drones peuvent alors révéler, au moins indirectement, comme lors de manifestations, les opinions politiques et religieuses des personnes, ou encore leurs appartenance syndicale [12]. Face à ce risque, une étude d’impact relative à la protection des données personnelles aurait dû être menée, comme le précise l’article 90 de la loi Informatique et Libertés.
Le ministère de l’Intérieur a également manqué à son obligation d’information des personnes. L’article 104 de la loi Informatique et Libertés oblige le responsable de traitement à mettre certaines informations à la disposition de la personne concernée comme les finalités poursuivies par le traitement. Néanmoins, il ressort des réponses apportées qu’aucune information répondant aux exigences de cet article n’a été communiquée par le ministère.
La fin de la surveillance par drone ?
Peut-on aller jusqu’à affirmer que ce rappel à l’ordre de la CNIL sonne le glas de l’utilisation des drones par les forces de l’ordre ? Rien n’est moins sûr.
Cette sanction, prise en formation restreinte, se place dans la continuité des décisions du Conseil d’État des 18 mai et 22 décembre dernier [13]. L’usage des drones avait déjà été interdit, mais dans le cadre restreint de leur usage par la préfecture de police de Paris. La décision de la CNIL est d’une portée plus large : elle s’applique à toutes les forces de l’ordre se trouvant sous l’autorité du ministère de l’Intérieur et sur tout le territoire français. De plus, l’injonction ne se limite pas aux traitements visant à surveiller les manifestations ou le confinement. Il s’agit des traitements
« visant à prévenir ou détecter les infractions pénales, à mener des enquêtes et à poursuivre les auteurs, ou ayant pour but la protection contre les menaces pour la sécurité publique » [14].
Néanmoins, la CNIL n’a qu’un pouvoir très restreint à l’égard de l’État, elle ne peut pas le condamner à payer une amende [15]. En revanche, elle peut décider de rendre publique sa sanction, ce qui est le cas en l’espèce.
Un cadre législatif pourrait bientôt venir encadrer l’utilisation des drones par le ministère de l’Intérieur. L’article 22 de la loi de sécurité globale a été adopté en première lecture à l’Assemblée nationale. Il vise à introduire un chapitre relatif aux « caméras aéroportées » dans le Code de la sécurité intérieure [16]. L’article L242-5 autorise notamment l’usage des drones pour surveiller les manifestations « lorsque les circonstances font craindre des troubles graves à l’ordre public ».
Ces dispositions pourraient, si elles sont définitivement adoptées, faire office de cadre législatif pour l’utilisation des aéronefs sans pilote. A cet égard, le Président de la Commission des Lois du Sénat a sollicité l’avis de la CNIL le 30 novembre 2020.
Par délibération du 26 janvier 2021 [17] portant avis sur une proposition de loi relative à la sécurité globale, l’autorité administrative a estimé qu’il serait souhaitable que le législateur conditionne l’utilisation des caméras aéroportées à une expérimentation préalable.
De manière générale, la CNIL exige, fort justement, des garanties supplémentaires pour protéger les données personnelles lors de l’utilisation, par les pouvoirs publics, de drones équipés de caméras. Elle précise que « le cadre à élaborer pour avoir recours à de nouveaux dispositifs vidéo, en particulier des drones, doit permettre de s’assurer qu’une fois leur nécessité avérée, les atteintes susceptibles d’être portés à la vie privée soient strictement proportionnées au regard des finalités poursuivies » [18].
Au-delà de cette discussion technique, il est permis de penser que si les drones utilisés par les pouvoirs publics n’ont actuellement pas « bonne presse », on ne peut pas affirmer pour autant qu’ils disparaitront à coup sûr de notre paysage…