L’essentiel : Le Conseil d’Etat a ordonné à l’État de cesser l’utilisation de drones pour surveiller le respect des règles sanitaires à Paris, en raison de préoccupations concernant la protection des données personnelles. Bien que la finalité de cette surveillance soit jugée légitime, la captation d’images constitue un traitement de données personnelles non encadré par la loi. Les drones, équipés de zooms optiques, peuvent identifier des individus, ce qui soulève des questions sur le respect de la vie privée. L’État doit désormais établir un cadre réglementaire pour garantir la conformité avec les dispositions légales sur la protection des données.

Le Conseil d’Etat a tranché: l’Etat est enjoint de cesser de procéder aux mesures de surveillance par drone, du respect (à Paris) des règles de sécurité sanitaire applicables à la période de déconfinement tant qu’il n’aura pas apporté de garanties supplémentaires sur le volet de la protection des données personnelles. L’Etat devra soit, adopter un texte réglementaire, pris après avis de la CNIL, autorisant, dans le respect des dispositions de la loi du 6 janvier 1978 la création d’un traitement de données dédié, soit doter les appareils utilisés par la préfecture de police de dispositifs techniques de nature à rendre impossible, quels que puissent en être les usages retenus, l’identification des personnes filmées.

Contexte de l’affaire

L’unité des moyens aériens de la préfecture de police avait été engagée afin de procéder à une surveillance du respect des mesures de confinement mises en place à compter du 17 mars 2020. Depuis le 18 mars 2020, un drone de la flotte de quinze appareils que compte la préfecture de police a ainsi été utilisé quotidiennement pour effectuer cette mission de police administrative. La préfecture de police continue de recourir à ces mesures de surveillance et de contrôle dans le cadre du plan de déconfinement mis en oeuvre à compter du 11 mai 2020.

Atteinte grave et manifestement illégale aux libertés fondamentales

Le Conseil d’Etat a conclu à une atteinte grave et manifestement illégale aux libertés fondamentales. L’ensemble des vols sont réalisés à partir des quatre drones équipés d’un zoom optique et d’un haut-parleur. Lorsque le drone survole le site désigné, le télépilote procède à la retransmission, en temps réel, des images au centre de commandement afin que l’opérateur qui s’y trouve puisse, le cas échéant, décider de la conduite à tenir. Il peut également être décidé de faire usage du haut-parleur dont est doté l’appareil afin de diffuser des messages à destination des personnes présentes sur le site.

La finalité poursuivie par le dispositif litigieux a été jugée légitime (finalité qui n’est pas de constater les infractions ou d’identifier leur auteur mais d’informer l’état-major de la préfecture de police afin de prévenir le trouble à l’ordre public que constitue la méconnaissance des règles de sécurité sanitaire). Un usage du dispositif de surveillance par drone n’est pas de nature à porter, par lui-même, une atteinte grave et manifestement illégale aux libertés fondamentales invoquées. Toutefois, la captation des images en cause constitue bien un traitement de données personnelles et aucun texte n’a prévu la création de ce traitement public.

Traitement de données personnelles hors cadre légal

Au sens de l’article 3 de la directive du 27 avril 2016 est une donnée à caractère personnel  » toute information se rapportant à une personne physique identifiée ou identifiable ». Est réputée être une « personne physique identifiable  » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale « .

Les appareils en cause qui sont dotés d’un zoom optique et qui peuvent voler à une distance proche du public sont susceptibles de collecter des données identifiantes et ne comportent aucun dispositif technique de nature à éviter, dans tous les cas, que les informations collectées puissent conduire, au bénéfice d’un autre usage que celui actuellement pratiqué, à rendre les personnes auxquelles elles se rapportent identifiables. Dans ces conditions, les données susceptibles d’être collectées par le traitement litigieux doivent être regardées comme revêtant un caractère personnel.

Le dispositif de surveillance qui consiste à collecter des données, grâce à la captation d’images par drone, à les transmettre, dans certains cas, au centre de commandement de la préfecture de police pour un visionnage en temps réel et à les utiliser pour la réalisation de missions de police administrative constitue bien un traitement au sens de la directive, à savoir «toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction».

Ce traitement, qui a été mis en oeuvre pour le compte de l’Etat, nécessitait une autorisation par arrêté du ou des ministres compétents ou par décret, selon les cas, pris après avis motivé et publié de la CNIL. Compte tenu des risques d’un usage contraire aux règles de protection des données personnelles qu’elle comporte, la mise en oeuvre, pour le compte de l’Etat, de ce traitement de données à caractère personnel sans l’intervention préalable d’un texte réglementaire en autorisant la création et en fixant les modalités d’utilisation devant obligatoirement être respectées ainsi que les garanties dont il doit être entouré caractérise une atteinte grave et manifestement illégale au droit au respect de la vie privée. Télécharger la décision

Q/R juridiques soulevées :

Quel est le rôle du Conseil d’Etat dans cette affaire ?

Le Conseil d’Etat a joué un rôle crucial en examinant la légalité des mesures de surveillance par drone mises en place par l’Etat, en particulier à Paris. Il a conclu que ces mesures constituaient une atteinte grave et manifestement illégale aux libertés fondamentales, notamment en ce qui concerne la protection des données personnelles.

Cette décision a été motivée par le fait que l’utilisation des drones pour surveiller le respect des règles de sécurité sanitaire, bien que légitime dans son intention, n’était pas encadrée par un texte réglementaire approprié.

Ainsi, le Conseil d’Etat a enjoint l’Etat à cesser ces mesures tant qu’il n’aura pas mis en place des garanties suffisantes pour protéger les données personnelles des individus filmés.

Quelles étaient les finalités de l’utilisation des drones par la préfecture de police ?

La préfecture de police a utilisé des drones pour surveiller le respect des mesures de confinement instaurées en réponse à la pandémie de COVID-19. L’objectif principal de cette surveillance était de prévenir les troubles à l’ordre public liés à la méconnaissance des règles de sécurité sanitaire.

Il est important de noter que la finalité de cette surveillance n’était pas d’identifier les infractions ou leurs auteurs, mais plutôt d’informer l’état-major de la préfecture de police.

Cela a été jugé légitime par le Conseil d’Etat, qui a reconnu que l’usage des drones, en soi, ne portait pas atteinte aux libertés fondamentales, tant que les données collectées étaient traitées dans le respect des lois en vigueur.

Pourquoi le traitement des données personnelles a-t-il été jugé illégal ?

Le traitement des données personnelles a été jugé illégal car il n’était pas encadré par un texte réglementaire approprié. Selon la directive du 27 avril 2016, toute information permettant d’identifier une personne physique est considérée comme une donnée à caractère personnel.

Les drones utilisés par la préfecture de police, équipés de zoom optique, étaient capables de collecter des données identifiantes sans disposer de dispositifs techniques pour empêcher cette identification.

Ainsi, le Conseil d’Etat a souligné que la captation d’images par drone constituait un traitement de données personnelles, qui nécessitait une autorisation préalable, ce qui n’avait pas été respecté dans ce cas.

Quelles sont les implications de cette décision pour l’Etat ?

Cette décision impose à l’Etat de cesser immédiatement l’utilisation des drones pour la surveillance tant qu’il n’aura pas mis en place des garanties adéquates concernant la protection des données personnelles.

L’Etat doit soit adopter un texte réglementaire, après consultation de la CNIL, pour autoriser la création d’un traitement de données dédié, soit modifier les drones pour empêcher l’identification des personnes filmées.

Cela signifie que l’Etat doit agir rapidement pour se conformer aux exigences légales et protéger les droits des citoyens, tout en continuant à assurer la sécurité publique dans le cadre des mesures sanitaires.

Quels sont les risques associés à l’utilisation de drones pour la surveillance ?

L’utilisation de drones pour la surveillance présente plusieurs risques, notamment en matière de protection des données personnelles. Les drones, équipés de caméras et de dispositifs de transmission, peuvent collecter des informations sensibles sur les individus sans leur consentement.

Ces données peuvent être utilisées à des fins autres que celles initialement prévues, ce qui soulève des préoccupations quant à la vie privée et à la sécurité des données.

De plus, l’absence de cadre légal clair pour régir l’utilisation de ces technologies peut conduire à des abus et à une surveillance excessive, ce qui constitue une atteinte aux libertés fondamentales.

Ainsi, il est essentiel que des réglementations strictes soient mises en place pour encadrer l’utilisation des drones dans un contexte de surveillance.