L’utilisation des drones s’est généralisée au sein des forces de l’ordre (notamment à Paris), ces dernières les utilisant pour contrôler le respect des règles de confinement.

Le 12 janvier 2021, la formation restreinte de la CNIL a sanctionné le ministère de l’Intérieur pour avoir utilisé de manière illicite des drones équipés de caméras.

Faisons un bref rappel chronologique.

Ce n’est pas la première fois que cela arrive, en mai 2020, le Conseil d’État avait enjoint la Préfecture de Police de Paris de cesser d’utiliser ces aéronefs. En effet, les caméras embarquées engageaient autant de traitement de données à caractère personnel (visages, plaques d’immatriculation), alors qu’aucun texte ne vient les encadrer, comme l’exige pourtant la loi de 1978 modifiée.

En décembre dernier, le Conseil d’État avait été saisi par la quadrature du net, afin d’évoquer cette fois les drones utilisés pour surveiller les populations en dehors du confinement, notamment lors des manifestations.

Pour en revenir à la CNIL, en juillet 2020, cette dernière s’était rendue dans les locaux de la préfecture de police de Paris et a fait procéder à un vol d’essai d’un des drones utilisés pour les finalités précitées. À cette occasion, elle avait constaté que les personnes filmées par ce type de dispositif étaient susceptibles d’être identifiées. Estimant que ce traitement de données personnelles ne reposait sur aucune base légale, la présidente de la CNIL a décidé d’engager une procédure de sanction à l’encontre du ministère.

À l’issue de cette procédure, la formation restreinte a considéré que le ministère avait manqué à plusieurs obligations de la loi Informatique et Libertés :

Tout d’abord un manquement à l’article 4. 1 du RGPD qui est un article fondamental, définissant une donnée à caractère personnelle comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Le drone qui circule afin de surveiller les personnes va alors prendre des images de celles-ci de manière totalement identifiable.

En outre, d’après l’article 35 du RGPD et une analyse d’impact doit être réalisée lorsque ces traitements présentent un risque élevé pour les droits et libertés des personnes. Or, alors qu’elle est obligatoire, aucune analyse d’impact n’a été communiquée à la CNIL concernant l’utilisation de ces drones. Le public n’était pas non plus informé de l’utilisation des drones comme il aurait dû l’être.

Le ministère de l’Intérieur avait indiqué avoir développé un mécanisme floutant l’image des personnes. Mais ce mécanisme n’est intervenu qu’au mois d’août 2020, alors que de nombreux vols avaient été réalisés préalablement. De plus, ce mécanisme ne peut pas être exécuté directement par le drone. Ce qui veut dire que le ministère de l’intérieur a la possibilité de collecter, transmettre et traiter ces données avant que ce système de floutage ne soit appliqué. Les personnes restent donc identifiables malgré cette disposition.

Mais surtout, l’atteinte la plus évidente est liée à l’autorisation elle-même. La loi Informatique et Libertés prévoit que les traitements mis en œuvre par l’État, notamment pour prévenir ou détecter les infractions pénales, mener des enquêtes ou se prémunir contre des atteintes à la sécurité publique, doivent être prévus par un texte. Or, à ce jour, aucun texte n’autorise le ministère de l’Intérieur à recourir à des drones équipés de caméras captant des images sur lesquelles les personnes sont identifiables…

La sanction de la CNIL prend la forme d’un rappel à l’ordre, puisqu’elle ne peut pas prononcer d’amende à l’encontre de l’État. Ce rappel à l’ordre a été complété par une injonction de cesser, sans délai, toute utilisation de drone jusqu’à ce qu’un cadre normatif autorise un tel traitement de données personnelles.