Réf. : CNIL, délibération n° SAN-2021-003, 12 janvier 2021 (N° Lexbase : X4644CMX)
Lecture: 6 min
N6085BYZ
Citer l'article
Créer un lien vers ce contenu
par Marie-Lou Hardouin-Ayrinhac
le 14 Janvier 2021
► À l’issue d’une procédure de contrôle initiée en mai 2020, la formation restreinte de la CNIL a rappelé à l’ordre le ministère de l'Intérieur pour avoir procédé à des vols de drones équipés de caméras en dehors de tout cadre légal ;
La formation restreinte a également enjoint au ministère de se mettre en conformité avec la loi n° 78-17 du 6 janvier 1978, relative à l'informatique, aux fichiers et aux libertés (N° Lexbase : L8794AGS), en cessant tout vol de drone jusqu’à ce qu’un cadre normatif autorise un tel traitement de données personnelles ou jusqu’à ce qu’un système technique empêchant toute identification des personnes soit mis en œuvre ;
Cette sanction et l’injonction qui l’accompagne concernent l’utilisation des drones par l’ensemble des forces de l’ordre dès lors qu’elles agissent sous l’autorité du ministère, qu’il s’agisse de services de police ou de gendarmerie, sur l’ensemble du territoire, et quelles que soient les finalités poursuivies.
Les contrôles de la CNIL. Dès mars 2020, plusieurs articles de presse ont révélé l’utilisation, par les forces de police et de gendarmerie, de drones équipés de caméras afin de veiller au respect des mesures de confinement. L’utilisation de tels drones lui paraissant susceptible d’impliquer le traitement de données personnelles, la présidente de la CNIL a adressé un courrier au ministère de l'Intérieur le 23 avril 2020 afin d’obtenir des précisions sur ces dispositifs et leurs caractéristiques.
La présidente de la CNIL a décidé le 7 mai 2020 de faire procéder à des contrôles concernant l’usage des drones. Dans un premier temps, des questionnaires ont été adressés au ministère de l'Intérieur, à la préfecture de police de Paris ainsi qu’à un commissariat et un groupement de gendarmerie. En réponse, le ministère a indiqué utiliser des drones équipés de caméras, notamment pour vérifier le respect des mesures de confinement, pour la surveillance de manifestations, pour des missions de police judiciaire (telles que la reconnaissance d’un lieu avant une interpellation ou la surveillance d’un trafic de stupéfiants), ou encore pour la surveillance de rodéos urbains.
En juillet 2020, la CNIL s’est rendue dans les locaux de la préfecture de police de Paris et a fait procéder à un vol d’essai d’un des drones utilisés pour les finalités précitées. À cette occasion, elle a constaté que les personnes filmées par ce type de dispositif étaient susceptibles d’être identifiées.
Estimant que ce traitement de données personnelles ne reposait sur aucune base légale, la présidente de la CNIL a décidé d’engager une procédure de sanction à l’encontre du ministère.
Les manquements commis par le ministère de l'Intérieur. À l’issue de cette procédure, la formation restreinte a considéré que le ministère avait manqué à plusieurs obligations de la loi Informatique et Libertés.
La loi Informatique et Libertés prévoit que les traitements mis en œuvre par l’État, notamment pour prévenir ou détecter les infractions pénales, mener des enquêtes ou se prémunir contre des atteintes à la sécurité publique, doivent être prévus par un texte (législatif ou réglementaire). En outre, une analyse d’impact doit être réalisée lorsque ces traitements présentent un risque élevé pour les droits et libertés des personnes.
Or, à ce jour, aucun texte n’autorise le ministère de l'Intérieur à recourir à des drones équipés de caméras captant des images sur lesquelles les personnes sont identifiables. De même, alors qu’elle est obligatoire, aucune analyse d’impact n’a été communiquée à la CNIL concernant l’utilisation de ces drones. Le public n’était pas non plus informé de l’utilisation des drones comme il aurait dû l’être.
Par ailleurs, si le ministère de l'Intérieur indique avoir développé un mécanisme floutant l’image des personnes, ce mécanisme n’est intervenu qu’au mois d’août, alors que de nombreux vols avaient été réalisés préalablement. De plus, ce mécanisme ne peut pas être exécuté directement par le drone. Des images contenant des données personnelles sont donc collectées, transmises et traitées par le ministère de l'Intérieur avant que ce système de floutage ne soit appliqué. Enfin, ce mécanisme n’empêche pas nécessairement l’identification des personnes dès lors que les services du ministère de l'Intérieur sont en mesure de désactiver le floutage.
La sanction prononcée par la formation restreinte. La formation restreinte a prononcé à l’encontre du ministère de l'Intérieur un rappel à l’ordre. La CNIL ne peut pas prononcer d’amendes à l’encontre de l’État.
En complément de cette sanction, la formation restreinte a également enjoint au ministère de cesser, sans délai, toute utilisation de drone jusqu’à ce qu’un cadre normatif autorise un tel traitement de données personnelles ou jusqu’à ce qu’un système technique empêchant toute identification des personnes soit mis en œuvre. La formation restreinte a décidé de rendre publique sa décision.
La portée de la sanction. La sanction prononcée par la formation restreinte s’inscrit dans le prolongement de deux décisions rendues récemment, en référé, par le Conseil d'État sur le même sujet (CE référé, 18 mai 2020, n° 440442 et n° 440445 N° Lexbase : A64093LX ; lire N° Lexbase : N3374BYM – CE 9° et 10° ch.-r., 22 décembre 2020, n° 446155, mentionné aux tables du recueil Lebon N° Lexbase : A97924AW ; lire N° Lexbase : N5845BY7). Elle a néanmoins un périmètre plus large.
En effet, les décisions rendues par le Conseil d'État étaient des décisions particulières, rendues en procédure d’urgence et dans des délais légaux particulièrement courts, portant sur des décisions d’engager des moyens aériens dans des situations et des lieux précis : la première était relative à la surveillance des mesures de confinement à Paris ; et la seconde concernait la surveillance des manifestations à Paris.
La procédure initiée par la CNIL est, quant à elle, générale et vise toutes les utilisations de drones par les services du ministère de l’Intérieur (services de police et de gendarmerie, sur l’ensemble du territoire national) pour les traitements visant à prévenir ou détecter les infractions pénales, à mener des enquêtes et à poursuivre leurs auteurs, ou ayant pour but la protection contre les menaces pour la sécurité publique.
© Reproduction interdite, sauf autorisation écrite préalable
newsid:476085
Utilisation des cookies sur Lexbase
Notre site utilise des cookies à des fins statistiques, communicatives et commerciales. Vous pouvez paramétrer chaque cookie de façon individuelle, accepter l'ensemble des cookies ou n'accepter que les cookies fonctionnels.
Parcours utilisateur
Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.
Données analytiques
Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.