Annuaire Pro Drone

Rechercher un Pro

A propos de la surveillance policière par drone

Le 18 mai 2020, le juge des référés du Conseil d’Etat a enjoint de cesser l’utilisation de drones à Paris pour contrôler le respect des règles sanitaires, en période de Covid-19. Laurent Archambault (Selene Avocats), avocat spécialisé en droit aérien et membre du Conseil pour les Drones Civils, commente, ici, cette ordonnance.

 

“L’article est classé dans la catégorie “débat et opinion”, il reflète donc le point de vue de l’auteur. Il n’engage pas la rédaction d’Aerobuzz. Si vous souhaitez, réagir n’hésitez pas à le faire via les commentaires au bas de la page.”

 

Depuis le 18 mars 2020, un drone était utilisé deux à trois heures par jour par la Préfecture de police aux fins de faire respecter les mesures de confinement pendant la période d’état d’urgence sanitaire. Ces drones étaient utilisés de la manière suivante : une première équipe, comportant notamment un télépilote, parcourait Paris et guidait l’appareil sur les sites qu’une deuxième équipe, placée au centre de commandement, entendait inspecter. Les images captées par le drone étaient retransmises au centre de commandement, qui décidait, en cas de rassemblement de personnes par exemple de la conduite à tenir : diffuser un message audio ou faire intervenir une équipe sur le site.

Deux associations, La Quadrature du Net et la Ligue des droits de l’homme, ont saisi le juge des référés le 2 mai 2020 pour demander qu’il soit enjoint au préfet de police de cesser de capter des images par drones et de mettre un terme à leur enregistrement, transmission et exploitation.

Le juge des référés du tribunal administratif de Paris a d’abord rejeté la requête des associations au motif « qu’aucune atteinte grave et manifestement illégale n’était portée aux libertés fondamentales invoquées » par une ordonnance du 5 mai 2020.

Les associations ont alors relevé appel, en demandant au Conseil d’État d’annuler cette ordonnance et de faire droit à leurs demandes de première instance.

Le juge des référés du Conseil d’État a annulé l’ordonnance du juge des référés du tribunal administratif du 5 mai 2020 et a ordonné la cessation des mesures de surveillance par drone à Paris qui visaient à faire respecter les règles de sécurité sanitaire, par une ordonnance du 18 mai 2020.

Les deux associations ont contesté ces pratiques par le biais d’un référé-liberté. Rejetées en première instance leurs demandes ont donc été accueillies en appel. Le référé-liberté est une procédure prévue à l’article L. 512-2 du Code de justice administrative. Il est accueilli par le juge en présence d’une atteinte grave et manifestement illégale aux libertés fondamentales et lui permet d’ordonner à l’administration de prendre toutes mesures de nature à mettre fin à cette atteinte. C’est une procédure qui ne tranche pas le fond du droit et qui suppose, pour que soit justifiée le manquement à la séparation des pouvoirs qu’elle constitue, que soit établies cumulativement des conditions exigeantes : urgence, gravité de l’atteinte et illégalité manifeste.

L’intérêt de cette décision vient de ce que le référé-liberté, mesure exceptionnelle, ait été suivi d’effet, alors qu’il n’y avait ni identification effective des personnes, ni utilisation des drones pour constater des infractions pénales.

Cette sévérité apparente de la décision se comprend à partir de deux éléments  principaux, que nous allons approfondir successivement. En premier lieu il s’agit de l’utilisation qui pourrait être faite des données pour déterminer leur caractère personnel ou non. En second lieu, il s’agit de la possibilité de retenir une atteinte grave au droit au respect de la vie privée, même en l’absence d’identification effective des personnes.

 L’illégalité du traitement de données au regard de leur utilisation possible

Nul ne contestant que cette procédure n’avait pas été suivie en l’espèce, demeurait à déterminer si elle aurait dû l’être. Pour cela, il fallait déterminer si les pratiques incriminées constituaient un « traitement de données à caractère personnel », critère d’application du texte. C’est le premier élément clef de la démonstration du Conseil d’Etat. En effet, la finalité de l’opération visait ici à obtenir une physionomie générale de l’affluence sur le territoire parisien et non pas de constater les infractions ou d’identifier leurs auteurs.

Selon la directive Police-Justice (transposée dans la LIL), qui reprend à l’identique les termes du Règlement Général sur la Protection des Données à caractère personnel (RGPD), constitue une DCP « toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement ». Selon les représentants de l’Etat, dont le raisonnement avait été repris par le juge de première instance, les images captées par le drone ne pouvaient, dans les circonstances d’utilisation prévues par la Préfecture de police, donner lieu à identification, puisque les fonctionnalités de zoom n’étaient pas activées, que l’appareil demeurait à une hauteur minimale trop importante (80 à 100 mètres) pour permettre l’identification, et que les images n’étaient pas stockées. Pour le juge de première instance, rien ne permettait d’établir que les conditions d’utilisation permettent l’identification. Il ne s’agissait donc pour lui pas de DCP et l’article 31 de la loi de 1978 n’avait pas à être appliqué.

Or le Conseil d’Etat n’est pas de cet avis. Il relève que l’absence d’identification des personnes ne tient pas à des « dispositifs techniques » la rendant impossible dans tous les cas, mais qu’elle est conjoncturelle. Dès lors, les images recueillies sont des DCP, puisque les personnes sont « susceptibles » d’être identifiées dans certaines circonstances, quand bien même ces circonstances seraient différentes de celles prévues.

Quand le juge de première instance exigeait la preuve de la possibilité d’identifier, la Conseil d’Etat exige à l’inverse la preuve de l’impossibilité d’identifier.

Le Conseil d’Etat a donc une compréhension plus large de la notion de « DCP », qui nous semble plus conforme au droit des DCP. En effet, celui-ci n’a pas pour but qu’une protection de droit des DCP, telle qu’elle résulterait de la décision de première instance : l’« identifiabilité » en l’espèce n’est pas techniquement impossible, mais illégale. Le droit des DCP vise une protection de fait des DCP. Celles-ci doivent donc être protégées, même en cas de détournement des procédures. Ainsi, les principes de protection par défaut, de protection dès la conception, de stockage limité dans le temps, d’anonymisation de principe (c’est-à-dire sauf si l’identifiabilité est nécessaire)… ont pour but de protéger les DCP, même en cas d’illégalité (comme dans le cas d’un piratage). Dès lors que la protection des DCP et l’anonymisation doivent être des principes, et non des exceptions, il convient de retenir la qualification de DCP dès que l’identification n’est pas matériellement impossible. En l’espèce, l’identification était techniquement possible, si les règles prescrites n’étaient pas respectées. Les images devaient donc bien être qualifiées de DCP.

Une fois établi que les images en question constituaient des DCP, il fallait, pour qu’elles soient soumises à la loi Informatique et Liberté qu’elles fassent l’objet d’un traitement, c’est-à-dire de toute opération ou tout ensemble d’opérations, automatisé ou non, dont une liste non limitative est donnée par la loi (RGPD, Directive Police Justice…): collecte, enregistrement, consultation, communisation par transmission

En l’espèce, il n’y a aucune difficulté à retenir que la collecte des images, leur transmission et leur visionnage constituent des opérations portant sur des DCP (Données à Caractère Personnel) et constituent donc des traitements.

Dès lors qu’il y avait un traitement de DCP par un organisme public, la loi de 1978, qui impose une autorisation par un texte réglementaire et un avis de la CNIL, aurait dû être respectée. Or, il était évident en l’espèce que cette procédure n’avait pas été suivie. Dès lors qu’il était établi qu’il y avait traitement de DCP, celui-ci était manifestement illégal.

Une atteinte manifeste aux libertés fondamentales

Ensuite,  le juge devait également retenir une atteinte grave aux libertés fondamentales. En l’espèce, les requérants et le Conseil d’Etat ont retenu l’atteinte au droit au respect de la vie privée, qui comporte notamment le droit à la protection des DCP. Or, à première vue, une telle atteinte n’a rien d’évident en l’espèce, dès lors que les images n’ont pas servi à l’identification de particuliers. Nous avons vu qu’il y collecte de DCP dès lors que l’identification des personnes filmées est possible, même si elle n’est pas réalisée en pratique. Mais en est-il de même pour l’atteinte à une liberté fondamentale ? La condition d’atteinte grave ne semble pas satisfaite par la seule susceptibilité d’une atteinte. Autrement, les conditions d’illégalité manifeste et d’atteinte se confondraient.

Il n’y aurait plus deux conditions cumulatives mais une seule condition. Ce paradoxe apparent doit selon nous être résolu par la distinction entre le droit au respect de la vie privée et le droit à la protection des DCP.

Le droit au respect de la vie privée, entendu strictement, suppose une abstention. Il est respecté dès lors que l’administration s’abstient d’identifier effectivement les personnes, alors même qu’elle en aurait la possibilité. En revanche, le droit à la protection des DCP exige, non pas une simple abstention, mais un acte positif. La personne tenue de protéger des DCP doit par exemple mettre en place des procédures limitant l’accès aux DCP, mettre régulièrement à niveau ses techniques de protection, effacer les données non nécessaires, etc. C’est notamment le but de l’article 31 de la LIL, évoqué précédemment : le texte réglementaire autorisant le traitement d’une part, et l’avis de la CNIL d’autre part doivent permettre de définir les mesures qui permettront une protection effective des DCP.

Si, de manière générale, la condition d’illégalité manifeste et celle d’atteinte grave sont donc distinctes, la particularité du droit à la protection des DCP, qui suppose non une abstention, mais une action, a pour conséquence qu’en l’espèce, en ne respectant pas la loi, l’administration a failli à son obligation de mettre en place une protection effective des DCP. Elle a donc porté une atteinte grave à la protection des DCP.

Enfin, la condition d’urgence est remplie selon le Conseil d’Etat par les « effets, la fréquence et le caractère répété » des mesures litigieuses, ainsi que le nombre de personne concernées.

Dès lors, les conditions d’urgence, d’illégalité manifeste et d’atteinte grave à une liberté fondamentale étaient remplies. Pour mettre fin à cette atteinte aux libertés fondamentales, le juge ordonne la cessation des utilisations de drone, soit définitivement, soit jusqu’à ce que l’identification ait été rendue techniquement impossible, soit jusqu’à ce que les autorités se soient conformées avec les dispositions de la LIL. En effet, lorsque la LIL aura été respectée, il y aura toujours un traitement de DCP, celui-ci se fera sans doute dans des circonstances identiques à celles d’utilisation actuelle (puisque le juge a retenu que les circonstances d’utilisation prévues étaient en elles-mêmes non attentatoires à une liberté fondamentale), mais les personnes concernées auront des garanties contre un éventuel détournement de ces données.

Dans quelle mesure les professionnels utilisant des drones sont-elles concernées  ?

 

Cette décision du Conseil d’Etat n’a pas de conséquence directe pour les professionnels qui utilisent des drones. Cependant, cette ordonnance nous rappelle à quel point la protection de la vie privée et celle des données à caractère personnel en particulier est primordiale.

Les télépilotes professionnels se doivent de respecter le RGPD et donc la LIL modifiée. En effet, le RGPD a vocation à s’appliquer aux télépilotes dès qu’ils collectent des données personnelles par le biais de leurs drones.

Seules les données strictement nécessaires à l’exercice de la mission doivent être collectées, il est nécessaire de s’abstenir de collecter des données inutiles. Le concept de privacy by design impose aux entreprises de mettre en œuvre des mesures de protection de la vie privée dès la conception de l’engin : cela permet donc de limiter, voire de supprimer, la captation de données personnelles par drone et ainsi modérer les atteintes à la vie privée (floutage des caméras des drones par exemple).

Laurent Archambault

 

D’après aerobuzz.fr