La lettre juridique n°827 du 11 juin 2020 : Covid-19

[Questions à...] Pourquoi le contrôle du déconfinement à Paris ne pouvait passer par les drones - Questions * à Cyrille Dounot, Professeur à l’Université Clermont Auvergne

Réf. : CE référé, 18 mai 2020, n° 440442 et n° 440445 (N° Lexbase : A64093LX)

Lecture: 13 min

N3602BY3

Citer l'article

Créer un lien vers ce contenu

[Questions à...] Pourquoi le contrôle du déconfinement à Paris ne pouvait passer par les drones - Questions * à Cyrille Dounot, Professeur à l’Université Clermont Auvergne. Lire en ligne : https://www.lexbase.fr/article-juridique/58451021-documentelastique
Copier

le 10 Juin 2020

Par une ordonnance de référé rendue le 18 mai 2020, le Conseil d’Etat a enjoint à l’Etat de cesser, sans délai, de procéder aux mesures de surveillance par drone, du respect, à Paris, des règles de sécurité sanitaire applicables à la période de déconfinement. La Haute juridiction a estimé que le niveau de contrôle ainsi appliqué aux citoyens surpassait les bénéfices escomptés par une surveillance accrue visant à assurer le strict respect des désormais célèbres « gestes barrière ». A l’heure où un déconfinement progressif est déjà largement entamé et alors que le ministère de l’Intérieur attend la livraison prochaine de plusieurs centaines de drones et développe plusieurs instruments de la « police du futur » (capteurs sonores, police prédictive), Lexbase Hebdo – édition publique a rencontré Cyrille Dounot, Professeur à l’Université Clermont Auvergne pour faire le point sur cette problématique.

Lexbase : Pouvez-vous nous présenter la réglementation concernant l’usage des drones en France par les autorités ?

Cyrille Dounot : La règlementation des drones est assez complexe. Les drones sont, au sens du Code des transports, des « aéronefs circulant sans personne à bord et opérés par un télépilote » (C. trans., art. L. 6111-1 N° Lexbase : L7700LAG). Les règles relatives à leur circulation sont codifiées depuis la loi n° 2016-1428 du 24 octobre 2016, relative au renforcement de la sécurité de l’usage des drones civils (N° Lexbase : L7610LA4), au titre de l’aviation civile, aux articles L. 6214-1 (N° Lexbase : L7691LA4) à L. 6214-4 du même code, et les sanctions pénales en cas de non-respect des règles de circulation sont prévues aux articles L. 6232-2 (N° Lexbase : L6292IND) et L. 6232-3 (N° Lexbase : L6291INC). Le Code pénal contient en outre, aux articles 226-1 (N° Lexbase : L2092AMG) à 226-7, tout une série de dispositions visant à sanctionner l’atteinte à la vie privée qui serait opérée (ou tentée) par le moyen des drones, telles la captation, la fixation et la diffusion d’images non consentie, ou la violation de l’intimité cachée à la vue des tiers. Le Code de l’aviation civile instaure un régime de police spéciale en matière de circulation des drones, pour l’essentiel aux mains du ministre compétent (C. av. civ., art. L. 131-3 N° Lexbase : L3358DE4 et R. 131-4 N° Lexbase : L2931HZL). Le maire, au titre de ses pouvoirs de police, ne peut agir qu’à des titres restreints : règlementation sur le bruit ou maintien du bon ordre dans des événements sportifs ou culturels (CGCT, art. L. 2212-2 N° Lexbase : L0892I78), police de la voirie, sous réserve des compétences préfectorales.

Il faut aussi compter sur plusieurs textes de nature règlementaire qui viennent préciser ou compléter ces règles : l’arrêté du 17 décembre 2015, relatif à l’utilisation de l’espace aérien par les drones (N° Lexbase : L9136KUW), l’arrêté du 27 octobre 2017, fixant la liste des zones interdites à la prise de vue aérienne (N° Lexbase : L2076LHD), le décret n° 2018-882 du 11 octobre 2018, relatif à l’enregistrement des aéronefs civils circulant sans personne à bord (N° Lexbase : L4841LMA), l’arrêté du 12 octobre 2018, relatif à la formation exigée des télépilotes qui utilisent des aéronefs civils circulant sans personne à bord à des fins de loisir (N° Lexbase : L6112LMC), le décret n° 2019-348 du 19 avril 2019, relatif à la notice d’information relative à l’usage des aéronefs circulant sans personne à bord (N° Lexbase : L0166LQ9), l’arrêté du 19 avril 2019, relatif au contenu de la notice d’information fournie avec les emballages des aéronefs civils circulant sans personne à bord et de leurs pièces détachées (N° Lexbase : L0191LQ7).

Les dernières précisions règlementaires, qui entreront en vigueur le 29 juin 2020, ont été apportées par le décret n° 2019-1114 du 30 octobre 2019, pris pour l'application de l'article L. 34-9-2 du Code des postes et des communications électroniques (N° Lexbase : L3313LTU), et l’arrêté du 27 décembre 2019, définissant les caractéristiques techniques des dispositifs de signalement électronique et lumineux des aéronefs circulant sans personne à bord (N° Lexbase : L2203LU7). Il s’agit d’intégrer aux drones de plus de 800 grammes un signalement électronique ou numérique ayant pour objectif de détecter leur vol et de permettre la lecture de leur numéro d’identifiant.

En ce qui concerne l’usage de drones par les autorités, il convient de distinguer entre trois acteurs. L’Etat, tout d’abord, disposant d’un régime juridique dérogatoire (article 10 de l’arrêté du 17 décembre 2015, relatif à l’utilisation de l’espace aérien par les drones), concernant par exemple la circulation de nuit, l’altitude maximale d’évolution ; l’armée, ensuite, dont les drones sont soumis aux règles de la circulation aérienne militaire et du droit international (en cas d’utilisation lors d’OPEX) ; les collectivités locales et autres personnes publiques, enfin, soumises pour l’essentiel au régime commun. Pourtant, les exemples d’usages par les collectivités abondent, notamment en matière de maintenance des réseaux : inspection des lignes à très haute tension ou de l’état des chemins de fer, surveillance des départs de feu de forêt ou de l’isolation thermique des bâtiments, diagnostics géothermiques, etc. Pour autant, elles doivent se plier aux règles générales : conformité de fabrication et d’équipement du drone, déclaration préalable des opérations envisagées auprès de l’aviation civile, respect du droit des tiers. Ce dernier point est essentiel puisque la Commission nationale de l’informatique et des libertés (CNIL) peut, à l’issue d’un contrôle ou d’une plainte, infliger une sanction pécuniaire s’élevant jusqu’à vingt millions d’euros à une personne publique irrespectueuse des données personnelles.

Lexbase : Dans cette ordonnance, le Conseil d’Etat insiste fortement sur les notions de données à caractère personnel et le traitement de données à caractère personnel. Pouvez-vous nous rappeler leurs contours exacts ?

Cyrille Dounot : Le cadre de référence de la protection des données à caractère personnel est la loi n° 78-17 du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés (N° Lexbase : L8794AGS), instituant la CNIL. Elle est à compléter par le Règlement (UE) 2016/679 du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (N° Lexbase : L0189K8I) (le fameux RGPD), et par la Directive (UE) 2016/680 du même jour, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données (N° Lexbase : L9729K7H).

Cette Directive définit les données à caractère personnel comme étant « toute information se rapportant à une personne physique identifiée ou identifiable » en précisant qu’est réputée être une « ‘personne physique identifiable’ une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale » (article 3, point 1). De la même manière, ce texte définit amplement le traitement des données comme toute opération de collecte, d’enregistrement, d’organisation mais aussi de modification, de consultation ou d’utilisation desdites données (article 3, point 2). En sorte que toute manipulation d’une information personnelle tombe sous le coup de cette directive (sauf celle qui émane des institutions, organes et organismes de l’Union Européenne, article 2, point 3 b)).

En l’espèce, les drones utilisés, bien que volant à une hauteur de 80 à 100 mètres et filmant en utilisant un grand angle sans activation du zoom, sont aptes à prendre des images précises permettant l’identification des personnes. Ils sont ainsi susceptibles de collecter des données identifiantes et ne comportent aucun dispositif technique de nature à éviter « que les informations collectées puissent conduire, au bénéfice d’un autre usage que celui actuellement pratiqué, à rendre les personnes auxquelles elles se rapportent identifiables » (considérant n° 16). La simple absence de carte mémoire dans ces appareils, empêchant tout enregistrement des données, n’est pas de nature à les exclure du champ d’application de la Directive de 2016. La collecte des données par la captation d’images par drone, transmises « dans certains cas, au centre de commandement de la préfecture de police pour un visionnage en temps réel » conduisant à leur utilisation « pour la réalisation de missions de police administrative » (considérant n° 17) suffit à caractériser le traitement des données personnelles.

C’est ici que le droit interne précise ce que le droit européen encadre : tout traitement de données personnelles « mis en œuvre pour le compte de l’Etat » doit être préalablement autorisé (article 31, I, de la loi du 6 janvier 1978). De plus, cela ne peut intervenir (par voie d’arrêté ou de décret) qu’après avis motivé et publié de la CNIL.

Lexbase : Résulte-t-il de cette décision que toute captation d’images par drones soit désormais illicite ?

Cyrille Dounot : Non, aucunement. D’abord, c’est une décision rendue par le juge des référés, qui ordonne seulement les « mesures nécessaires à la sauvegarde d’une liberté fondamentale » atteinte par l’action des pouvoirs publics (CJA, art. L. 521-2 N° Lexbase : L3058ALT). En l’espèce, la requête se limitait à demander de « cesser d’utiliser le dispositif visant à capter des images par drones, les enregistrer, les transmettre et les exploiter aux fins de faire respecter les mesures de confinement en vigueur à Paris pendant la période d’état d’urgence sanitaire » (cons. 7). Dans cette affaire, l’action précipitée de la Préfecture de police de Paris sans intervention préalable d’un texte réglementaire autorisant et cadrant l’usage de données personnelles « caractérise une atteinte grave et manifestement illégale au droit au respect de la vie privée » (cons. 18).

Ensuite, le Conseil d’Etat indique tout simplement la marche à suivre pour permettre une captation d’images par drones qui soit licite : respecter l’article 31 de la loi « informatique et libertés ». Il s’agit de remédier à l’atteinte caractérisée au droit au respect à la vie privée « soit par l’intervention d’un texte réglementaire, pris après avis de la CNIL, autorisant, dans le respect des dispositions de la loi du 6 janvier 1978, applicables aux traitements relevant du champ d’application de la directive du 27 avril 2016, la création d’un traitement de données à caractère personnel, soit en dotant les appareils utilisés par la préfecture de police de dispositifs techniques de nature à rendre impossible, quels que puissent en être les usages retenus, l’identification des personnes filmées » (considérant n° 19).

Pour qu’une telle captation soit licite, il suffira donc de l’encadrer correctement et d’en présenter les contours à la CNIL. L’article 5, point 1, c) du RGPD, énumérant les « principes relatifs au traitement des données à caractère personnel », souligne que ces données doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Ce « principe de minimisation » est toutefois suffisamment malléable pour permettre à l’Etat de continuer d’employer des moyens de « technopolice », dont la captation et l’enregistrement d’images. D’autant que la CNIL, admettant sans sourciller que « les données ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens moins intrusifs », observe néanmoins un « silence coupable » sur ces questions de multiplication et normalisation de « surveillance algorithmique », selon un des requérants, La Quadrature du Net.

Lexbase : Cette décision vous paraît-elle justifiée ?

Cyrille Dounot : Oui, cette décision est tout à fait justifiée, bien qu’elle soit paradoxalement assez timorée. Comme le rappelle le juge des référés, les « mesures, qui peuvent limiter l’exercice des droits et libertés fondamentaux doivent, dans cette mesure, être nécessaires, adaptées et proportionnées à l’objectif de sauvegarde de la santé publique qu’elles poursuivent » (considérant n° 4), ce qui, en l’occurrence, n’était pas le cas. L’usage répété (deux à trois heures par jour) des drones par la Préfecture de police de Paris, et le nombre de personnes susceptibles de faire l’objet d’une telle mesure de surveillance, ont convaincu le juge de l’urgence de la situation. En conséquence de quoi, il « enjoint à l’Etat de cesser, sans délai, de procéder aux mesures de surveillance par drone, du respect, à Paris, des règles de sécurité sanitaire applicables à la période de déconfinement » (article 2).

Le Conseil d’Etat a raison d’annuler l’ordonnance du 5 mai 2020 du tribunal administratif de Paris (TA Paris, 5 mai 2020, n° 2006861 N° Lexbase : A23533LQ), qui sous-estimait la protection des données à caractère personnel. Bien que la finalité poursuivie par le dispositif litigieux ne soit pas « de constater les infractions ou d’identifier leur auteur mais d’informer l’état-major de la préfecture de police » afin de décider des mesures à prendre contre « le trouble à l’ordre public que constitue la méconnaissance des règles de sécurité sanitaire » (considérant n° 11), sa dangerosité potentielle au regard des libertés publiques est dûment attestée. La non-anonymisation de ces données rend les individus potentiellement identifiables (même si, dans ce cas, les images n’ont pas servi à l’identification de particuliers), et constitue un « traitement de données à caractère personnel » devant être autorisé et encadré.

Cependant, comme nous venons de le voir, les juges du Palais-Royal n’opposent pas une fin de non-recevoir à l’usage des drones de surveillance, ce qui serait une affirmation de leur caractère liberticide en tant que tel. Ils estiment même au contraire que ce dispositif d’utilisation des drones était, « dans les circonstances actuelles, nécessaire pour la sécurité publique » et par là même « légitime » (considérant n° 13). Ils ne font que censurer un usage illicite et arbitraire. S’il faut certes se réjouir de l’ordonnance rendue le 18 mai 2020 (et aussi de celles, rendues le même jour, qui rappellent le caractère fondamental de la liberté de culte, contre l’interdiction générale et absolue des offices religieux décrétée par le Premier ministre, CE référé, 18 mai 2020, n° 440366 N° Lexbase : A73243LT, n° 440361 N° Lexbase : A73233LS, n° 440512 N° Lexbase : A73253LU et n° 440519 N° Lexbase : A73263LW), il faut redouter un futur encadrement de tels procédés. Car des deux options laissées à la puissance publique, se conformer au formalisme de l’Etat de droit ou doter les drones de dispositifs techniques de nature à rendre impossible l’identification des personnes filmées, nous pouvons subodorer que ce sera la première qui l’emportera, au détriment des libertés réelles des Français.

* Propos recueillis par Yann Le Foll, Rédacteur en chef de Lexbase Hebdo - édition publique

newsid:473602