Saisie pour avis par le ministre de l’intérieur d’une demande d’avis concernant un projet de décret portant application des articles L. 242-1 et suivants du code de la sécurité intérieure et relatif à la mise en œuvre de traitements de données à caractère personnel provenant des caméras installées sur des aéronefs circulant sans personne à bord, la CNIL a précisé sa doctrine selon laquelle le seul fait de photographier ou de filmer une image sur laquelle il est possible que certains éléments puissent permettre de déduire des données à caractère personnel constituant des données sensibles ne constitue pas en soi un traitement automatisé de données sensibles au sens des articles 9 du RGPD et 6 de la loi « informatique et libertés ».
Ce n’est que si ces images sont traitées afin d’en extraire, d’interpréter ou d’utiliser lesdites données sensibles que le traitement sera regardé comme relevant du régime des traitements de données sensibles.
En l’espèce, la Commission s’est interrogé sur les conditions et circonstances dans lesquelles le ministère estime qu’il y aura traitement automatisé de données sensibles ou appelées à figurer dans un fichier, et regrette de ne pas avoir eu davantage de précisions sur ce point. A cet égard, elle a pris acte de ce que le ministère a confirmé qu’il n’y aurait pas de traitement automatisé de données sensibles eu égard à la doctrine de la CNIL.
Elle a également relevé que des garanties étaient prévues au projet d’article R. 242-2 du CSI, à savoir qu’est exclue la collecte de données génétiques et biométriques et qu’il est interdit de sélectionner dans les traitements une catégorie particulière de personnes à partir de ces seules données « sensibles ».
En l’état des précisions précitées relatives à la fonction de renseignement et au regard des finalités mentionnées au projet d’article R. 242-1 du CSI, la Commission, tout en précisant que les traitements projetés relevaient du régime juridique du RGPD, a estimé que les finalités projetées étaient déterminées, explicites et légitimes conformément à l’article 4-2° de la loi du 6 janvier 1978 modifiée.
_______________________________________________________________________________________
Délibération n° 2022-006 du 13 janvier 2022 portant avis sur un projet de décret portant application des articles L. 242-1 et suivants du code de la sécurité intérieure et relatif à la mise en œuvre de traitements de données à caractère personnel provenant des caméras installées sur des aéronefs circulant sans personne à bord (demande d’avis n° 21021309)
La Commission nationale de l’informatique et des libertés,
Saisie par le ministre de l’intérieur d’une demande d’avis concernant un projet de décret portant application des articles L. 242-1 et suivants du code de la sécurité intérieure et relatif à la mise en œuvre de traitements de données à caractère personnel provenant des caméras installées sur des aéronefs circulant sans personne à bord ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment le II et IV de son article 31 ;
Après avoir entendu le rapport de Mme Sophie LAMBREMON, commissaire, et les observations de M. Damien MILIC, commissaire adjoint du Gouvernement,
Emet l’avis suivant :
La Commission nationale de l’informatique et des libertés (ci-après « la Commission ») a été saisie par le ministère de l’intérieur d’un projet de décret portant application des articles L. 242-1 et suivants du code de la sécurité intérieure (CSI) et relatif à la mise en œuvre de traitements de données à caractère personnel provenant des caméras installées sur des aéronefs circulant sans personne à bord.
Les articles L. 242-1 et suivants du CSI ont été créés par l’article 47 de la loi n° 2021-646 du 25 mai 2021 pour une sécurité globale préservant les libertés, sur laquelle la Commission a déjà rendu un avis (délibération n° 2021-011 du 26 janvier 2021). Ces dispositions déterminent les conditions dans lesquelles les sapeurs-pompiers professionnels et volontaires des services d’incendie et de secours, les personnels des services de l’Etat et les militaires des unités investis à titre permanent de missions de sécurité civile, ainsi que les membres des associations agréées de sécurité civile au sens de l’article L. 725-1 du CSI peuvent procéder en tous lieux, au moyen de caméras installées sur des aéronefs circulant sans personne à bord et opérés par un télépilote, à la captation, l’enregistrement et la transmission d’images.
Il est prévu par l’article L. 241-3 du CSI que les modalités d’application du titre IV du livre II du même code et d’utilisation des données collectées doivent être précisées par un décret en Conseil d’Etat, pris après avis motivé et publié de la Commission.
Sur les conditions générales de mise en œuvre du dispositif
En premier lieu, conformément à ce qui est prévu par l’article L. 242-6 du CSI, le projet d’article R. 242-1-I du même code prévoit que les traitements de données à caractère personnel provenant des caméras installées sur des aéronefs circulant sans personne à bord et opérés par un télépilote ou sur des aéronefs captifs peuvent être mis en œuvre » en tous lieux « .
Sur ce point, la Commission relève que le ministère a indiqué que les traitements pourront être mis en œuvre dans des lieux privés et plus particulièrement dans des domiciles privés, lorsque la situation opérationnelle l’exige, en cas d’impossibilité d’accès, d’engagement dangereux pour les secours, ou d’insuffisance d’autres moyens. A cet égard, le ministère a précisé qu’aucune garantie particulière pour les lieux privés n’est prévue à ce stade, mais que des mesures spécifiques pourront cependant être prises par chaque acteur de la sécurité civile, au niveau local afin de limiter les atteintes à la vie privée des personnes concernées.
La Commission invite le Gouvernement à préciser dans le projet de décret que les aéronefs ne pourront être envoyés dans des lieux privés que lorsque cela est strictement nécessaire à l’objectif de sécurité civile poursuivi (à savoir les missions de prévention, de protection et de lutte contre les risques de sécurité civile, de protection des personnes et des biens et de secours d’urgence). Elle prend acte de ce que le projet de décret sera complété afin d’indiquer que les aéronefs pourront être mis en œuvre en tous lieux » y compris dans des lieux privés lorsque cela est strictement nécessaire « .
En deuxième lieu, la Commission relève que l’analyse d’impact relative à la protection des données (AIPD) « cadre » qui lui a été transmise indique que pour les deux finalités mentionnées au projet d’article R. 242-1 du CSI, à savoir la prévention des risques naturels et technologiques ainsi que le secours aux personnes et la lutte contre l’incendie, » les dégâts » pourront être évalués rapidement grâce à des traitements algorithmiques. Sur ce point, le ministère a précisé que l’évaluation des dégâts s’effectue aujourd’hui par comparaison « humaine » entre des images prises avant un évènement (tremblement de terre, inondations, etc.) et des images prises après celui-ci. Le ministère a cependant indiqué que les évolutions technologiques pourraient conduire à utiliser, dans un avenir plus ou moins proche, des dispositifs de vidéo « intelligente » ou « augmentée » (dites « intelligentes ») afin d’automatiser ces comparaisons, par exemple.
La Commission relève que de tels dispositifs de vidéo « augmentée » n’ont pas été prévus aux articles L. 242-1 et suivants. Elle regrette de ne pas avoir eu davantage de précisions sur les dispositifs projetés, qui sont encore au stade exploratoire selon le ministère. Elle rappelle que, dès lors qu’ils pourront concerner des données à caractère personnel, ces dispositifs peuvent être particulièrement intrusifs pour les libertés individuelles et qu’elle devra être tenue informée et saisie de toute modification substantielle affectant les caractéristiques du traitement.
A cet égard, la Commission prend acte des garanties apportées par le ministère selon lesquelles il ne sera pas prévu de recourir à des traitements algorithmiques d’analyse d’image aux fins de reconnaissance faciale ou d’analyse des comportements des personnes physiques via l’utilisation de données biométriques. Elle relève que ces garanties figurent à l’article L. 242-1 du CSI et sont reprises au projet d’article R. 242-2 du CSI.
En troisième lieu, la Commission relève que les transferts de données hors de l’Union européenne relèveront de la responsabilité des responsables de traitement, qui devront informer la Commission le cas échéant, à l’occasion de l’engagement de conformité ou postérieurement s’ils recourent par la suite à un sous-traitant qui transfère des données en dehors de l’Union européenne.
A cet égard, la Commission rappelle que tout transfert de données en dehors de l’Union européenne doit être réalisé selon les conditions prévues au chapitre V du RGPD. En particulier, elle rappelle que les transferts de données vers des Etats n’appartenant pas à l’Union européenne ne pourront être opérés que sous réserve du respect des conditions énoncées aux articles 45 et suivants du RGPD. En l’absence de décision d’adéquation adoptée par la Commission européenne, de tels transferts ne pourront être réalisés que sous réserve que des garanties appropriées soient mises en œuvre conformément à l’article 46 du RGPD. Elle prend acte de ce que l’AIPD sera complétée afin d’indiquer que, en cas de réalisation de transferts de données en dehors de l’Union européenne, ceux-ci seront effectués conformément aux conditions prévues au chapitre V du RGPD et que le ministère s’engage également à diffuser cette information concernant les transferts réalisés en dehors de l’Union européenne au moyen d’une doctrine d’emploi auprès des responsables de traitement.
Sur les finalités et le régime juridique applicable
Conformément à l’article L. 242-6 du CSI, le projet d’article R. 242-1 du CSI précise que les traitements projetés ont pour finalités :
la prévention des risques naturels ou technologiques ;
le secours aux personnes et la lutte contre l’incendie.
En outre, le projet d’article R. 242-4 du CSI précise que » les données mentionnées utilisées à des fins pédagogiques et de formations sont pseudonymisées « .
En premier lieu, la Commission prend acte des précisions apportées par le ministère selon lesquelles, d’une part, les « risques technologiques » sont liés à l’action humaine et plus précisément à la manipulation, au transport ou au stockage de substances dangereuses pour la santé et l’environnement (ex : risques industriels, nucléaires, biologiques, etc.), et d’autre part, que les « risques naturels » recouvrent l’ensemble des menaces que certains phénomènes et aléas naturels font peser sur des populations, des ouvrages et des équipements (inondations, mouvements de terrain, séismes, feux de forêt, tempêtes, etc.).
En deuxième lieu, si le projet de décret reprend les finalités telles qu’elles sont prévues par les dispositions de l’article L. 242-6 du CSI, la Commission considère, dans un souci de lisibilité et de clarté, que la rédaction du projet d’article R. 242-1-II du CSI devrait mieux distinguer les finalités principales du dispositif et le fait que les images captées peuvent être réutilisées à des fins d’action de formation ou de pédagogie des agents, ces finalités n’étant pas de même nature.
En troisième lieu, l’AIPD transmise indique que les traitements projetés permettent d’assurer des fonctions de prévention des risques, de renseignement en opération, et de secours. La Commission prend acte de ce que la « fonction renseignement en opération » est une fonction dédiée à un officier dans un poste de commandement pour analyser la zone d’intervention (identifier les sources de danger, les cibles potentiellement menacées, les ressources de la zone en matière d’accessibilité, etc.). Le renseignement permet de prioriser les actions du commandant des opérations de secours. Elle prend acte de ce que cette fonction est bien rattachée aux deux finalités mentionnées à l’article L.242-6 du CSI et au projet d’article R. 242-1 du CSI, dans la mesure où elle n’a pas pour finalité la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté.
De manière générale, la Commission prend acte des précisions apportées par le ministère selon lesquelles, contrairement à l’utilisation des caméras individuelles par les sapeurs-pompiers, l’usage des caméras installées sur des aéronefs circulant sans personne à bord n’a pas pour objet de prévenir les incidents de nature à mettre en péril l’intégrité physique des acteurs de la sécurité civile, eu égard aux circonstances de l’intervention ou au comportement des personnes concernées. Les finalités sont ainsi strictement rattachées aux seules missions prévues à l’article L. 1424-2 du code général des collectivités territoriales (CGCT) s’agissant des services d’incendie et de secours.
En l’état des précisions précitées relatives à la fonction de renseignement et au regard des finalités mentionnées au projet d’article R. 242-1 du CSI, la Commission relève que les traitements projetés relèvent du régime juridique du RGPD.
Dans ces conditions, la Commission estime que les finalités projetées sont déterminées, explicites et légitimes conformément à l’article 4-2° de la loi du 6 janvier 1978 modifiée.
Sur les données collectées
Le projet d’article R. 242-2 du CSI liste les données à caractère personnel et informations qui peuvent être enregistrées dans les traitements.
En premier lieu, la Commission prend acte de ce que les données relatives à » l’identification des agents responsables de l’aéronef lors de l’enregistrement des données » comprennent le nom, le prénom, le numéro d’attestation d’aptitude aux fonctions de télépilote délivré par la Direction générale de l’aviation civile (DGAC) et le numéro d’exploitant de l’entité. Au regard de ces éléments, elle considère que cette catégorie de données, formulée de manière générale, pourrait être précisée et prend acte de l’engagement du ministère de compléter le projet de décret sur ce point.
S’agissant des données relatives au » lieu où ont été collectées les données « , la Commission prend acte de ce que ces lieux sont renseignés manuellement à l’issue des opérations de secours et que ce renseignement ne pourra pas faire apparaître l’identité des propriétaires.
En deuxième lieu, le projet d’article R. 242-2 du CSI prévoit que des données sensibles au sens du I de l’article 6 de la loi du 6 janvier 1978 modifiée pourront être collectées.
La Commission rappelle sa doctrine selon laquelle le seul fait de photographier ou de filmer une image sur laquelle il est possible que certains éléments puissent permettre de déduire des données à caractère personnel constituant des données sensibles ne constitue pas en soi un traitement automatisé de données sensibles au sens des articles 9 du RGPD et 6 de la loi « informatique et libertés ». Ce n’est que si ces images sont traitées afin d’en extraire, d’interpréter ou d’utiliser lesdites données sensibles que le traitement sera regardé comme relevant du régime des traitements de données sensibles. En l’espèce, la Commission s’interroge sur les conditions et circonstances dans lesquelles le ministère estime qu’il y aura traitement automatisé de données sensibles ou appelées à figurer dans un fichier, et regrette de ne pas avoir eu davantage de précisions sur ce point. A cet égard, elle prend acte de ce que le ministère confirme qu’il n’y aura pas de traitement automatisé de données sensibles eu égard à la doctrine de la CNIL. Elle relève que des garanties sont prévues au projet d’article R. 242-2 du CSI, à savoir qu’est exclue la collecte de données génétiques et biométriques et qu’il est interdit de sélectionner dans les traitements une catégorie particulière de personnes à partir de ces seules données « sensibles ».
En troisième lieu, le projet d’article R. 242-2 du CSI prévoit que les images captées peuvent être transmises en temps réel au poste de commandement du service chargé de la conduite et de l’exécution des opérations.
La Commission prend acte de ce qu’une telle transmission des images en temps réel répond à un besoin opérationnel et dépendra généralement de la cinétique de l’évènement et de l’urgence de la prise de décision. Le ministère a indiqué qu’il élaborera une doctrine d’emploi précisant les critères commandant la transmission en temps réel des images captées.
La Commission accueille favorablement l’élaboration de cette doctrine d’emploi, et invite le ministère à définir des critères objectifs encadrant une telle transmission.
Les autres catégories de données n’appellent pas d’observation de la part de la Commission.
Sous ces réserves, la Commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard des finalités poursuivies.
Sur les accédants et les destinataires
Le projet d’article R. 242-3 du CSI détaille la liste des accédants et des destinataires des traitements.
La Commission relève, à titre liminaire, que le projet de décret indique que les « accédants » sont les personnes qui » peuvent accéder, à raison de leurs attributions et dans la limite du besoin d’en connaître, à tout ou partie des données et informations « visualisées ou enregistrées par les aéronefs. Cette formulation du projet de décret peut, pour le traitement en cause, prêter à confusion dès lors que les » accédants » sont appelés à enregistrer des données dans le traitement ou seulement à les consulter.
La Commission estime en effet que le terme « accédant », que n’utilise ni le RGPD, ni la loi « Informatique et libertés » mais qui a été créé par la doctrine, désigne, s’agissant en l’espèce d’un traitement automatisé de données mis en œuvre par une administration et encadré par un acte réglementaire, les personnes qui, au sein du responsable de traitement, seront appelées à effectuer les diverses opérations de traitement et, à ce titre, à accéder au système informatique en cause. Les habilitations des différents accédants peuvent être définies par l’acte réglementaire, et ne se limitent généralement pas à la seule consultation des données mais incluent aussi l’enregistrement, la correction ou l’effacement des données. Par ailleurs, au sens de la réglementation, et notamment du RGPD, les « destinataires » sont les personnes à qui le responsable de traitement peut être amené à communiquer les données et sur lesquelles il doit fournir une information aux personnes concernées. En pratique, cette communication peut prendre plusieurs formes, qu’il s’agisse d’une transmission d’un extrait des données ou d’une simple faculté de consultation par un accès sécurisé au système informatique.
En l’espèce, la Commission comprend du projet de décret que les personnes mentionnées comme « accédants » ne seront pas seulement chargées d’accéder aux images mais de décider de l’utilisation des aéronefs et de déclencher l’enregistrement. La Commission invite dès lors le ministère à préciser le projet de décret sur ce point pour éviter toute ambiguïté ainsi qu’à indiquer que ces « accédants » seront autorisés à enregistrer les données prévues par le projet d’article R. 242-2 du CSI et à les consulter.
S’agissant de la catégorie des » agents chargés de la formation des personnels « , le ministère a indiqué que le choix de ces agents relève de la responsabilité du directeur du service d’incendie et de secours (SIS), du commandant des formations militaires et du président de l’association ou de leur représentant désigné.
La Commission considère que le projet de décret pourrait être complété afin de préciser qui sera chargé de désigner les agents chargés de la formation des personnels et prend acte de ce que cette disposition sera complétée afin d’indiquer qu’ils sont » désignés par le responsable du service, de l’unité ou de l’association mentionné à l’article L. 242-6 ou de leur représentant désigné « .
Sur les durées de conservation
Le projet d’article R. 242-4 du CSI prévoit que les données et informations sont conservées pendant une durée de trente jours à compter de leur enregistrement. Il est précisé que lorsque les données, dans le délai de trente jours, ont été extraites ou transmises pour les besoins d’une procédure judiciaire, administrative ou disciplinaire, elles sont conservées selon les règles propres à chacune de ces procédures par l’autorité qui en a la charge.
La Commission prend acte des précisions apportées par le ministère selon lesquelles dans le cas où elles ont été extraites ou transmises pour les besoins d’une procédure judiciaire, administrative ou disciplinaire, les données seront supprimées à l’issue du délai de trente jours dans les présents traitements.
Dans ces conditions, la Commission considère que les données sont conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées, conformément à l’article 4-5° de la loi du 6 janvier 1978 modifiée.
Sur les droits des personnes concernées
En premier lieu, s’agissant des modalités d’information du public sur l’emploi des caméras installées sur des aéronefs circulant sans personne à bord et opérés par un télépilote ou sur des aéronefs captifs, la Commission relève que l’article L. 242-3 du CSI prévoit une information individuelle du public par tout moyen approprié de la mise en œuvre de dispositifs aéroportés de captation d’images et de l’autorité responsable, sauf lorsque les circonstances l’interdisent. Cette disposition indique également qu’une information générale du public sur l’emploi de dispositifs aéroportés de captation d’images doit être organisée par le ministre de l’intérieur. A cet égard, elle observe que des moyens appropriés d’information individuelle du public sont cités dans l’AIPD, tels que des dispositifs sonores ou visuels permettant d’avertir le public qu’une action est en cours et qu’il est susceptible d’être filmé ou un dispositif physique de zonage. Elle prend également acte de ce qu’il est prévu que cette information est délivrée sur le site web du service, de l’unité ou de l’association autorisé à recourir à ces caméras ou, à défaut, par voie d’affichage dans leurs locaux, sauf si les circonstances l’interdisent.
La Commission prend acte de ce que cette information pourra être limitée, voire impossible, en raison de l’urgence de la situation et prend acte qu’il n’est plus prévu d’y déroger dans l’hypothèse où cette information » entrerait en contradiction avec les objectifs poursuivis » conformément à l’article L. 242-3 du CSI, le ministère ayant retiré cette mention dans le projet de décret.
Elle relève que la rédaction retenue » sauf si les circonstances l’interdisent » telle que mentionnée au I de l’article R. 242-6 du CSI est particulièrement large. Sans remettre en cause la nécessité de limiter l’information des personnes en cas d’urgence et si la Commission prend acte des précisions apportées par le ministère selon lesquelles la liste des moyens appropriés n’est pas exhaustive, elle considère néanmoins que le ministère devrait déterminer des critères objectifs permettant d’apprécier les circonstances visées dans le projet de décret et qui pourraient être précisés dans une doctrine d’emploi.
En second lieu, le projet d’article R. 242-6 du CSI prévoit que le droit d’opposition ne s’applique pas aux traitements projetés. Elle prend acte de ce que le ministère entend mobiliser, au titre de l’article 23 du RGPD, la sécurité publique. Elle prend acte de ce que l’AIPD sera complétée sur ce point et considère que le projet de décret pourrait également préciser l’exception mobilisée au titre du 1) de l’article 23 du RGPD.
Les autres modalités d’exercice des droits n’appellent pas d’observations particulières.
Sur la qualité d’acte réglementaire unique du projet de décret
La Commission relève que, selon la saisine, le projet de décret qui lui est soumis pour avis constitue un » acte réglementaire unique « , au sens du IV de l’article 31 de la loi du 6 janvier 1978 modifiée, permettant aux services d’incendie et de secours, aux services de l’Etat et militaires des unités investis à titre permanent des missions de sécurité civile et aux associations agréées de sécurité civile au sens de l’article L. 725-1 du CSI de mettre en œuvre en tous lieux des traitements de données à caractère personnel provenant de caméras installées sur des aéronefs circulant sans personne à bord. Elle observe qu’une seule et même AIPD portant sur un ensemble d’opérations de traitement similaires lui a été transmise conformément à l’article 35-10 du RGPD. Elle relève qu’il est prévu par le projet de décret que chaque responsable de traitement devra, lors de l’envoi de l’engagement de conformité à la Commission, lui adresser, le cas échéant, les éléments nécessités par les circonstances locales de mise en œuvre du traitement, complémentaires à l’AIPD « cadre ».
Elle rappelle que ce régime de l’acte réglementaire unique ne concerne, ainsi qu’en dispose l’article 31 de la loi du 6 janvier 1978 modifiée, que les traitements projetés, d’une part, mis en œuvre » pour le compte de l’Etat » et, d’autre part, qui intéressent » la sûreté de l’Etat, la défense ou la sécurité publique « ou qui ont » pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté « . En l’espèce, la Commission relève que le Gouvernement estime que la sécurité civile relève de la notion de « sécurité publique » au sens de cet article.
Par ailleurs, la Commission observe qu’il résulte des dispositions de l’article L. 1424-2 du code général des collectivités territoriales (CGCT) que les services d’incendie et de secours et les militaires des unités investis à titre permanent de missions de sécurité civile ont pour missions la prévention, la protection et la lutte contre les risques de sécurité civile, la protection des personnes et des biens et le secours d’urgence. Elle relève également, que ces services appartiennent au génie militaire ou sont placés, pour emploi, sous l’autorité du maire ou du préfet agissant dans le cadre de leurs pouvoirs de police. A ce titre, ils exercent bien des missions » pour le compte de l’Etat » dans le cadre des traitements projetés.
Elle observe que les personnels des services de l’Etat au sein du groupement d’intervention du déminage (GID) relèvent du ministre chargé de la sécurité civile, sur les terrains civils et du ministre de la défense en cas de découverte d’objets pyrotechniques isolés sur des terrains relevant de sa responsabilité. La condition apparait donc également remplie pour ces personnels.
Toutefois, s’agissant des associations agréées de sécurité civile au sens de l’article L. 725-1 du CSI, la Commission relève que le Gouvernement estime que ces traitements projetés seront mis en œuvre » pour le compte de l’Etat » : elle ne le remet pas en cause mais considère, en tout état de cause, qu’il reviendra au Conseil d’Etat d’apprécier ce point. Elle prend acte des précisions apportées par le ministère selon lesquelles, en l’espèce, l’article L. 725-3 du CSI rattache les missions des associations agréées aux prérogatives des autorités de police, que ces associations apportent leur concours aux services d’incendie et de secours au sens de l’article R. 725-3 du CSI et que leur participation à une opération de secours doit être décidée soit par convention avec l’Etat, la commune, ou le service d’incendie et de secours, soit par réquisition de l’autorité de police.
Sur les mesures de sécurité
En premier lieu, la Commission relève que, s’agissant des aspects liés à la sécurité, le ministère indique que chaque responsable de traitement devra démontrer qu’il respecte les mesures de sécurité décrites, notamment par une homologation de sécurité des systèmes d’information (SSI).
En deuxième lieu, la Commission prend acte de ce que, à ce jour, les aéronefs qui seront utilisés dans le cadre de la mise en œuvre du décret sont des « drones grand public » et qu’il n’existe pas de mesures visant à ne pas permettre à l’industriel fabriquant des aéronefs d’avoir accès à des données relatives au vol opéré, telles que la durée, la géolocalisation, etc.
La Commission souligne que l’accès à ces données par l’industriel prestataire constitue une transmission de données au sens du RGPD, voire un transfert si cette transmission intervient en dehors de l’Union européenne, et qu’il convient que ce dernier soit encadré et s’effectue avec toutes les précautions nécessaires. Il conviendrait ainsi de vérifier et formaliser ces points auprès de chaque industriel choisi, voire d’inciter les futurs responsables de traitement à utiliser des produits limitant fortement ce risque, notamment en passant par le biais d’un marché dédié.
En troisième lieu, la Commission relève que les données, notamment les images captées, sont stockées en clair sur chaque aéronef, sans aucune mesure de chiffrement. Toute personne tierce ayant physiquement accès à un aéronef (par perte ou vol de celui-ci, ou accès à son lieu de stockage) est ainsi en mesure d’accéder aux données qu’il contient. Par ailleurs, lorsque les aéronefs en cours d’intervention transmettent par ondes hertziennes des flux vidéo (notamment afin d’opérer les aéronefs non-captifs), toute personne suffisamment proche de la zone d’intervention est en mesure de capter ces flux, et en conséquence d’accéder aux images, si ces derniers ne sont pas chiffrés.
La Commission invite le ministère à mettre en place une obligation de prendre des mesures visant à réduire ce risque, que ce soit dans sa gravité, par exemple en préconisant le recours à des aéronefs chiffrant les données transmises et stockées par exemple, ou dans sa probabilité d’occurrence, en obligeant, par exemple, les services opérant ces aéronefs à intégrer des traceurs GPS externes et autonomes limitant le risque de perte. De même, la Commission incite le ministère à mettre en place une obligation de protection des flux vidéo, par exemple en imposant le chiffrement de ces derniers.
En outre, la Commission insiste sur le fait qu’il ne devrait techniquement pas être possible d’extraire les données enregistrées sur l’aéronef sans contrôle et qu’il serait fortement souhaitable, comme cela est réalisé pour les systèmes de caméras individuelles d’agents, que cette opération ne soit possible que sur un dock dédié et reconnu. Ceci limiterait le risque d’extraction suite à la perte d’un aéronef, mais aussi le risque de détournement des images par un opérateur.
En quatrième lieu, la Commission relève ensuite que les données extraites après une intervention sont conservées sur un serveur sécurisé. Elle prend acte de ce qu’il n’est pas prévu que les données soient chiffrées et que cette possibilité est laissée à l’appréciation des responsables de traitement.
La Commission estime qu’il serait souhaitable que le ministère incite lesdits responsables de traitement à procéder de la sorte afin d’augmenter le niveau de sécurité général et d’harmoniser, au niveau national, les pratiques de chaque futur responsable de traitement. Elle prend acte de ce que le projet d’article R. 242-4 du code de la sécurité intérieure sera complété afin de préciser que les données et informations mentionnées à l’article R. 242-2 sont conservées sur » un support informatique sécurisé » et que le ministère incitera, dans une doctrine d’emploi, les responsables de traitement à chiffrer les données et informations conservées.
En cinquième lieu, la Commission prend acte de ce que les vidéos captées par l’aéronef seront pseudonymisées dans le cas où ces dernières sont utilisées à des fins de formation. Si la Commission accueille favorablement cette pseudonymisation, elle s’interroge tout de même sur la possibilité de flouter, a posteriori, une certaine partie des images captées, notamment dans le cas où, lors d’une opération, des parties privatives jouxtant la zone d’intervention seraient enregistrées. La Commission invite le ministère à mener une réflexion plus générale sur ce point.
En sixième lieu, la Commission relève qu’une grande partie des mesures, tant techniques qu’organisationnelles relatives à la sécurité du traitement, telles que le chiffrement précité, mais également le cloisonnement des données, les mesures de sécurité physique, la sécurité des accès logiques, la gestion des incidents et violations, etc. sont laissés, comme indiqué en point 1, à l’appréciation du futur responsable de traitement, qui devra réaliser une AIPD.
La Commission estime nécessaire que le ministère incite les responsables de traitement à mettre en œuvre certaines mesures de sécurité qui seraient décrites dans l’AIPD qu’il a transmise, afin de limiter fortement les risques et d’harmoniser les pratiques. Sur ce point, elle prend acte de ce que le ministère s’engage à lui transmettre l’AIPD complétée en ce sens ultérieurement.
En septième lieu, la Commission souligne que l’article R. 242-5 du projet de décret prévoit un dispositif de journalisation concernant les opérations de collecte, de modification, de consultation, de communication et d’effacement des données à caractère personnel. Cette journalisation contient l’identifiant de l’auteur, la date, l’heure, le motif de l’opération et, le cas échéant, les destinataires des données.
La Commission prend acte des précisions apportées par le ministère selon lesquelles cette durée de conservation initialement prévue pour trois (3) ans est réduite à six (6) mois, la durée de conservation des données du traitement étant de trente (30) jours.
La Commission accueille favorablement cette modification et rappelle que, lorsque cela est possible, la mise en place d’un outil proactif et automatique d’analyse de ces journaux est fortement conseillée.
La Présidente
Marie-Laure DENIS
