Drones de surveillance en France et contrôle de la CNIL : quel équilibre entre technologie et respect des données personnelles ?

La Commission Nationale de l’Informatique et des Libertés, dite CNIL, est une autorité administrative indépendante qui a été créée par la loi Informatique et Liberté de 1978. Elle se voit chargée de veiller à la protection des données personnelles trouvées tant dans les fichiers que les traitement informatiques ou papiers, qu’ils soient publics ou privés. La CNIL veille « à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. ».

Le pouvoir de contrôle et de sanction de la CNIL

Pour assurer ces objectifs, la CNIL est dotée de différents pouvoirs comme celui de sanction. Ce dernier intervient dans ce qui est appelé la chaîne répressive de la CNIL composée de 3 étapes :

  • Le signalement s’opère soit par une auto-saisine de la CNIL, une plainte d’usagers, une coopération entre les CNIL à l’échelle européenne ou encore par la presse. 
  • Le contrôle s’opère lui sur place, en ligne, sur convocation ou sur pièce. 
  • La suite du contrôle varie en fonction de ce que décide de faire la CNIL : qu’elle fasse peu ou pas d’observation ou qu’elle constate des manquements sérieux. 
    • Dans le premier cas, il peut y avoir soit mise en demeure soit clôture de l’affaire et, s’il y a sanction, elle est soit publique et publiée sur les sites de la CNIL et Légifrance, soit elle est non publique. Lorsqu’il y a des manquements sérieux, souvent une violation des données, il peut y avoir soit mise en demeure soit sanction immédiate. 

Dans les deux cas, soit la décision est rendue publique ou non et elle peut être pécuniaire ou non. 

La position de la CNIL concernant les différents usages des drones

Dans ses toutes dernières décisions, la CNIL se saisit de l’enjeu des drones et de leur utilisation par le gouvernement dans le but de surveiller le respect des règles tant du déconfinement que le déroulement des manifestations. 

La CNIL s’est déjà prononcée sur les conditions d’utilisation des drones de loisir pour faire respecter le droit à la vie privée en mettant en place, en coopération avec la Direction Générale de l’Aviation Civile, à la fois une carte interactive ainsi qu’une notice d’avertissement sur les règles d’usage de ces drones. C’est désormais l’utilisation sécuritaire des drones qui est réglementée. 

En effet, le gouvernement s’est équipé de drones dans le but de veiller au respect par les habitants de Paris des règles appliquées pour la période de déconfinement. Ainsi, à l’issue d’une ordonnance en référé rendue par le Conseil d’Etat le 18 mai 2020, ce dernier enjoint à l’Etat de « cesser, sans délai, de procéder aux mesures de surveillance par drone, du respect, à Paris, des règles de sécurité sanitaire applicables à la période de déconfinement ». L’utilisation de ces drones qui, en filmant, et par procédé de zoom, permettent une identification des personnes, portent une atteinte « grave et manifestement illégale au droit au respect de la vie privée » selon le Conseil d’Etat. D’autant plus que cette utilisation ne semble pas être prévue par la loi Informatique et Liberté de 1978 ni même correspondre aux règles protégeant les données personnelles alors que la préfecture de police de Paris y est soumise. Il semble nécessaire de rappeler que la loi Informatique et Liberté, créée pour réglementer la liberté de traitement de données personnelles, à savoir la liberté de ficher des personnes, s’est vu réécrite à plusieurs reprises, notamment en 2018 et 2019, via une ordonnance puis un décret. Ces modifications sont souvent encouragées par des évolutions européennes. Ces dernières, aussi nombreuses que promptes, sont indissociables de l’évolution de la société accompagnée de la transition numérique. 

La surveillance par drones sanctionnée par la CNIL

Après la constatation susmentionnée du Conseil d’Etat, à laquelle s’ajoute une autre décision au 22 décembre 2020, la CNIL se saisit de l’enjeu qu’entraîne ces pratiques de surveillance vidéo par drones : comment les concilier avec le respect des droits de l’homme, de l’identité ou encore de la vie privée ? Après que l’information de l’usage de ces drones a été relayée par la presse dès le mois de mars 2020, la CNIL met en place une procédure de contrôle. 

Différents contrôles sont alors diligentés auprès du Ministère de l’Intérieur et de plusieurs villes, de commissariats et de gendarmeries où l’usage de drones à titre de surveillance est avéré. Une fois la procédure de contrôle et son instruction assurée, par un contrôle à la fois sur place et sur pièce, la formation restreinte de la CNIL compétente en matière de sanction prend sa décision le 12 janvier 2021 : en plus d’un rappel à l’ordre, elle condamne le Ministère de l’intérieur pour « avoir utilisé de manière illicite des drones équipés de caméras, notamment pour surveiller le respect des mesures de confinement. Elle enjoint au ministère de cesser tout vol de drone jusqu’à ce qu’un cadre normatif l’autorise. ». Cette décision est rendue publique puisque publiée à la fois sur le site de la CNIL et sur Légifrance.

Effectivement, bien que le Ministère de l’Intérieur assure « utiliser des drones équipés de caméras, notamment pour vérifier le respect des mesures de confinement, pour la surveillance de manifestations, pour des missions de police judiciaire ou encore pour la surveillance de rodéos urbains », la CNIL constate que le traitement de ces données personnelles ne repose sur aucune base légale. Dans le même temps, bien qu’il existe un dispositif de floutage des visages une fois la vidéo réalisée par le drone, ce dispositif n’intervient qu’en aout alors que les drones sont en fonction depuis mars et, par ailleurs, aucun cadre légal n’autorise le ministère à recueillir des images sur lesquelles des personnes sont identifiables et ce via des drones équipés de caméras. La captation d’images transmises en l’état au pilote du drone ne sont floutées qu’ultérieurement. La CNIL considère cela comme un traitement des données personnelles et, bien que l’objectif sécuritaire soit allégué par le Ministère et qu’il ne soit pas remis en cause ni par le Conseil d’Etat ni par la formation restreinte de la CNIL, il y a violation et traitement des données personnelles. 

La CNIL constate également qu’aucune analyse d’impact n’est réalisée pour déterminer s’il est possible d’utiliser un tel procédé de drones de surveillance. Cette analyse d’impact est pourtant un élément essentiel de la procédure permettant à la CNIL d’autoriser une telle utilisation de drones de surveillance. Parallèlement, l’autorité administrative indépendante relève que les citoyens n’ont pas été prévenus de la mise en circulation de ces drones de surveillance.

Ainsi, l’utilisation de tels procédés en dehors d’un quelconque cadre législatif adapté revient à un manquement de la part du Ministère de l’Intérieur. L’usage de drone, même pour assurer la sécurité, ne peut être toléré sans garantie que le traitement des données est fait dans le respect et le cadre de la loi Informatique et Liberté, d’où la sanction de la CNIL. 

Cette sanction à l’encontre du Ministère est symptomatique des enjeux actuels : la protection des données personnelles et des libertés individuelles face aux évolutions technologiques et numériques. Il s’agit de trouver un juste équilibre entre l’utilisation des nouvelles technologies et la protection des données personnelles et le cadre législatif en est la réponse. Le droit se doit d’évoluer et de s’adapter rapidement aux évolutions technologiques en cascade pour assurer une certaine cohérence au sein de la société et alors réduire les possibilités de manquements en matière de protection des données. Reste à patienter pour comprendre quelle sera la portée de cette décision dans la construction d’une législation adaptée…

Marine Baldari

James Béranger

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *