Covid : l’État sommé par la CNIL de renoncer aux drones
Publié le 19/01/2021 par Etienne Wery
La CNIL a sanctionné le ministère de l’Intérieur pour avoir utilisé de manière illicite des drones équipés de caméras, notamment pour surveiller le respect des mesures de confinement. Elle enjoint au ministère de cesser tout vol de drone jusqu’à ce qu’un cadre normatif l’autorise.
Sale temps pour les drones dont l’utilisation afin de surveiller les mesures anti-Covid est de plus en plus contestée … :
En mai 2020, le Conseil d’État, statuant en référé, relève que les drones permettent de collecter des données identifiantes et ne sont dotés d’aucun dispositif technique permettant de s’assurer que les informations collectées ne puissent conduire à identifier des personnes filmées, et ce, pour un autre usage que l’identification de rassemblements publics. Il ordonne à l’État d’arrêter. Voir notre analyse.
Rebelote en décembre 2020 puisque la préfecture de police semblait violer l’injonction rendue en référé. Le Conseil d’État insiste : flouter les visages ne suffit pas puisque l’opération est réversible et engendre, au stade de la collecte, un traitement de données personnelles (« Dès lors que les images collectées par les appareils sont susceptibles de comporter des données identifiantes, la circonstance que seules les données traitées par le logiciel de floutage parviennent au centre de commandement n’est pas de nature à modifier la nature des données faisant l’objet du traitement, qui doivent être regardées comme des données à caractère personnel. » ). Voir la décision.
Début janvier 2021, en Belgique cette fois, l’organe de contrôle de la police s’inquiète et enjoint les services de police de procéder dans les quatre mois à une analyse d’impact qui doit notamment permettre de mieux encadrer l’usage des drones, notamment pour éviter de filmer des lieux ou personnes privés. Voir notre analyse.
Ce 12 janvier 2021, la CNIL s’en même aussi : elle rappelle à l’ordre le ministère de l’Intérieur et lui enjoint au ministère de se mettre en conformité avec la loi Informatique et Libertés. Elle demande ainsi au ministère de cesser tout vol de drone jusqu’à ce qu’un cadre normatif autorise un tel traitement de données personnelles.
Les contrôles de la CNIL
Dès mars 2020, après lecture d’articles de presse révélant l’utilisation, par les forces de police et de gendarmerie, de drones équipés de caméras afin de veiller au respect des mesures de confinement, la présidente de la CNIL décide de faire procéder à des contrôles (questionnaires tout d’abord, puis vol d’essai).
Le ministère confirme : il utilise des drones équipés de caméras, notamment pour vérifier le respect des mesures de confinement, pour la surveillance de manifestations, pour des missions de police judiciaire (telles que la reconnaissance d’un lieu avant une interpellation ou la surveillance d’un trafic de stupéfiants), ou encore pour la surveillance de rodéos urbains.
Estimant que ce traitement de données personnelles ne reposait sur aucune base légale, la présidente de la CNIL a décidé d’engager une procédure de sanction à l’encontre du ministère.
Les manquements
La loi Informatique et Libertés prévoit que les traitements mis en œuvre par l’État, notamment pour prévenir ou détecter les infractions pénales, mener des enquêtes ou se prémunir contre des atteintes à la sécurité publique, doivent être prévus par un texte (législatif ou réglementaire). En outre, une analyse d’impact doit être réalisée lorsque ces traitements présentent un risque élevé pour les droits et libertés des personnes.
Or, à ce jour, aucun texte n’autorise le ministère de l’Intérieur à recourir à des drones équipés de caméras captant des images sur lesquelles les personnes sont identifiables. De même, alors qu’elle est obligatoire, aucune analyse d’impact n’a été communiquée à la CNIL concernant l’utilisation de ces drones. Le public n’était pas non plus informé de l’utilisation des drones comme il aurait dû l’être.
Par ailleurs, si le ministère de l’Intérieur indique avoir développé un mécanisme floutant l’image des personnes, ce mécanisme n’est intervenu qu’au mois d’août, alors que de nombreux vols avaient été réalisés préalablement. De plus, ce mécanisme ne peut pas être exécuté directement par le drone. Des images contenant des données personnelles sont donc collectées, transmises et traitées par le ministère de l’Intérieur avant que ce système de floutage ne soit appliqué. Enfin, ce mécanisme n’empêche pas nécessairement l’identification des personnes dès lors que les services du ministère de l’Intérieur sont en mesure de désactiver le floutage.
La sanction
La formation restreinte a prononcé à l’encontre du ministère de l’Intérieur un rappel à l’ordre.
Il n’y a pas d’amende car la CNIL ne peut pas prononcer d’amendes à l’encontre de l’État. (Notons qu’en Belgique, où une question similaire se pose, la Cour constitutionnelle vient de valider cette exonération. Elle le justifie au nom de l’intérêt public et au terme d’un raisonnement curieux : « Dès lors que, par la disposition attaquée, le législateur entend assurer la continuité du service public et ne pas mettre en péril l’exercice d’une mission d’intérêt général, l’exonération d’amendes administratives prévue à l’égard des autorités publiques visées par la disposition attaquée n’entraîne pas des effets disproportionnés, puisqu’elle permet d’éviter de faire peser sur le citoyen et sur la qualité du service public les conséquences financières d’une telle sanction, tout en laissant la possibilité d’infliger des mesures alternatives et dissuasives en cas de non-respect des obligations qui découlent du RGPD ; voir décision).
En complément de cette sanction, la formation restreinte a également enjoint au ministère de cesser, sans délai, toute utilisation de drone jusqu’à ce qu’un cadre normatif autorise un tel traitement de données personnelles. La formation restreinte a décidé de rendre publique sa décision.
Plus d’infos
La décision de la CNIL est disponible en annexe.