Vols de drones suspendus

19 janvier 2021

Le 12 janvier 2021, la formation restreinte de la CNIL a sanctionné le ministère de l’Intérieur

pour avoir utilisé de manière illicite des
drones équipés de caméras, notamment pour surveiller le respect des mesures de confinement. Elle enjoint au ministère de cesser tout vol de drone jusqu’à ce qu’un cadre normatif l’autorise » (Communiqué CNIL)

Ô Drone, suspend ton vol

Le 18 mars 2020, le préfet de police décidait d’autoriser un dispositif visant à capturer des images par drones et à les exploiter afin de faire respecter les mesures de confinement. Un drone de la flotte de quinze appareils que compte la préfecture de police a ainsi été utilisé quotidiennement pour effectuer cette mission de police administrative.

La Préfecture de police avait beau jeu de faire tout d’abord valoir que le dispositif n’avait pour objet de donner, aux forces de l’ordre chargées de faire respecter effectivement les règles de sécurité sanitaire, « qu’une simple » physionomie générale de l’affluence, sans reconnaissance faciale, sur le territoire parisien en contribuant à détecter, sur des secteurs déterminés exclusivement situés sur la voie ou dans des espaces publics, les rassemblements de public contraires aux mesures de restriction en vigueur pendant la période de déconfinement. Les images, toujours selon la Préfecture, n’étaient, par ailleurs, pas conservées.
Le dispositif litigieux, nécessaire pour la sécurité publique, était donc légitime et, en tout état de cause ne relevait pas du RGPD et/ou de la loi Informatique et Libertés (aucune données personnelles n’étant traitées ou conservées ou transférées).

L’association « La Quadrature du Net » et la Ligue des droits de l’homme n’étaient pas de cet avis et portaient l’affaire devant le Conseil d’Etat afin de voir interdire ce système de surveillance.

 

Un premier revers cinglant

Par deux décisions du 18 mai et du 22 décembre 2020, la Préfecture était sommée de de cesser, sans délai, de procéder aux mesures de surveillance par drone des rassemblements de personnes sur la voie publique. Le raisonnement en deux temps est simple :
Premièrement: Si les appareils en cause sont susceptibles de collecter des données identifiantes et ne comportent aucun dispositif technique de nature à éviter, dans tous les cas, que les informations collectées puissent conduire, au bénéfice d’un autre usage que celui actuellement pratiqué, à rendre les personnes auxquelles elles se rapportent identifiables
– alors les données susceptibles d’être collectées par le traitement litigieux doivent être regardées comme revêtant un caractère personnel
– ce qui relève bien de la loi Informatique et Libertés.
Deuxièmement : Si le dispositif de surveillance litigieux consiste à collecter des données, grâce à la captation d’images par drone, à les transmettre, dans certains cas, au centre de commandement de la préfecture de police pour un visionnage en temps réel et à les utiliser pour la réalisation de missions de police administrative
– alors ceci constitue un traitement
– ce qui relève bien de la loi Informatique et Libertés.
Aussi, une autorisation par arrêté du ou des ministres compétents ou par décret, selon les cas, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés (CNIL) était-elle donc nécessaire avant la mise en place de ce système de surveillance. Et c’est bien les risques d’un usage contraire aux règles de protection des données personnelles qu’elle comporte qui justifient la cessation immédiate du système de surveillance.
Deuxième revers : le calice jusqu’à la lie
Dans le prolongement de ces deux décisions, la CNIL a sanctionné, ce jeudi 14 décembre, la place Beauvau pour l’utilisation illicite desdits drones.

En ligne, l’autorité de régulation demande au ministère de cesser les vols de drones « jusqu’à ce qu’un cadre normatif autorise un tel traitement de données personnelles ou jusqu’à ce qu’un système technique empêchant toute identification des personnes soit mis en œuvre ».
Néanmoins cette dernière décision a un périmètre bien plus large que celles du Conseil d’Etat.

En effet, les décisions rendues par le Conseil d’État étaient des décisions particulières, rendues en procédure d’urgence et dans des délais légaux particulièrement courts, portant sur des décisions d’engager des moyens aériens dans des situations et des lieux précis :
la première était relative à la surveillance des mesures de confinement à Paris, et la seconde concernait la surveillance des manifestations à Paris.
La procédure initiée par la CNIL est, quant à elle, générale et vise toutes les utilisations de drones par les services du ministère de l’Intérieur (services de police et de. gendarmerie, sur l’ensemble du territoire national) pour les traitements visant à prévenir ou détecter les infractions pénales, à mener des enquêtes et à poursuivre leurs auteurs, ou ayant pour but la protection contre les menaces pour la sécurité publique « jusqu’à ce qu’un cadre normatif autorise un tel traitement de données personnelles ou jusqu’à ce qu’un système technique empêchant toute identification des personnes soit mis en œuvre ».
Et la CNIL de considérer que « le perfectionnement de technologies telles que la reconnaissance faciale pourrait entraîner, à l’avenir, des risques encore plus importants pour les droits et libertés individuelles si elles étaient couplées à l’utilisation de drones ». Elle considère donc que leur déploiement en dehors de tout cadre légal doit être sévèrement sanctionné.

Dans le prolongement de l’article de Monsieur Ernesto OTTONE, les possibilités techniques et l’urgence ne peuvent tout justifier: « (le) danger est la concentration du pouvoir entre les mains de gouvernements autoritaires, qui peuvent l’utiliser pour développer des contrôles tyranniques et écraser les libertés individuelles et les droits de l’Homme ».

S’il est certain que les règles en matière de protection des données (telles que le RGPD) ne doivent pas entraver les mesures prises dans le cadre de la lutte contre la pandémie de coronavirus, qu’il est dans l’intérêt de l’humanité de freiner la propagation des maladies et d’utiliser des techniques modernes pour lutter contre les fléaux qui frappent de grandes parties du monde, il est malgré tout souhaitable que, même en cette période hors du commun, la protection des données à caractère personnel soit garantie et soumise aux principes généraux du droit.

 

« Le prix de la liberté c’est la vigilance éternelle » (Thomas Jefferson)

De ces deux textes c’est certainement le DMA le plus contraignant et celui qui pourrait bien être le plus grand bouleversement du secteur numérique de ces dernières années.

BENJAMIN MARTIN-TARDIVAT

Associé fondateur du Cabinet d’avocats WITETIC, Benjamin Martin-Tardivat accompagne les entreprises et les créateurs depuis plus de 20 ans dans la gestion de leur patrimoine immatériel que ce soit en matière de propriété intellectuelle (stratégies, audits, protections, valorisations, défense, …) ou en matière de compliance (mise en conformité RGPD).
Spécialisé dans la protection des données personnelles, il intervient comme Data Protection Officer (« DPO ») auprès de nombreuses sociétés et associations françaises et étrangères.
Il forme étudiants, créateurs d’entreprises et administrations afin de les sensibiliser aux problématiques du droit d’auteur, de la propriété industrielle et de la protection des données dans la société de l’information et l’impact des nouvelles technologies et de l’IA dans ces domaines.

L’Institut

À la fois enjeu de nos sociétés démocratiques et ingrédient stratégique pour les acteurs économiques, les données numériques sont au coeur des grands questionnements autour du monde digital. La gouvernance des données ne peut plus s’en remettre au hasard des initiatives isolées ou aux simples lois du marché : elle doit être, à différents niveaux, régulée, organisée, codifiée. Si le règlement européen RGPD constitue une avancée majeure reconnue bien au-delà des frontières de l’UE, il ne suffira pas.

Initiative de juristes, chercheurs, universitaires, ONG, acteurs de l’écosystème numérique et personnalités publiques, l’Institut des Droits Fondamentaux Numériques est né de cette importance et de l’urgence d’une réelle gouvernance des données, protectrice à la fois des droits des individus (citoyens, consommateurs), et de ceux des entreprises et organisations.

Plus d’articles

Les données : le nouvel or bleu ? #iDFRightsLive mardi 9 mars – 9h-10h30

Les données : le nouvel or bleu ? #iDFRightsLive mardi 9 mars – 9h-10h30

Vie privée, données des entreprises : quelles réglementations en Europe ?
Faut-il créer un marché des données ?
L’ institute for Digital Fundamental Rights, a le plaisir de vous convier à sa toute première conférence en ligne sur la protection des données personnelles en Europe dont la France.

Contactez-nous

Adresse

179, boulevard Haussmann 75008 Paris

Restez informés

Recevez régulièrement les actualités de

Suivez-nous sur les réseaux