Cnil, 12 janvier 2021, SAN-2021-003.
En l’absence de dispositions légales autorisant et encadrant l’emploi, par les forces de l’ordre, de drones équipés de caméras permettant la collecte et l’exploitation de données à caractère personnel, la Cnil décide, à l’encontre du ministère de l’intérieur, de mesures emportant rappel à l’ordre et injonction de se mettre en conformité avec les obligations en vigueur.
Le ministère de l’intérieur ayant décidé de l’emploi, par les forces police et de gendarmerie, de drones équipés de caméras, notamment pour veiller au respect des règles de confinement, mais également pour assurer la surveillance de manifestations ou encore dans le cadre d’opérations de police judiciaire, la Commission nationale de l’informatique et des libertés (Cnil), dans l’exercice de la mission de contrôle qui est la sienne, a engagé, à son encontre, une procédure destinée à s’assurer du respect des dispositions du droit européen (règlement général sur la protection des données du 27 avril 2016, dit RGPD) et de la loi française (du 6 janvier 1978, dite Informatique et Libertés) en matière de protection des données à caractère personnel. De cette affaire, il convient de relever les manquements reprochés au ministère de l’intérieur et les mesures qui lui ont été ordonnées pour y remédier.
Manquements reprochés
Constatant que les drones qui ont été utilisés par les forces de l’ordre étaient équipés de caméras qui permettaient la captation d’images permettant l’identification des personnes filmées, la Cnil a considéré que les opérations ainsi effectuées étaient constitutives de traitements de données à caractère personnel et que s’appliquaient donc à eux les dispositions des articles 87 et suivants de la loi du 6 janvier 1978 (modifiée).
Aux termes de l’article 87 de ladite loi, les dispositions visées s’appliquent « aux traitements de données à caractère personnel mis en œuvre », par l’autorité publique, « à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ». Il y est posé que « ces traitements ne sont licites que si et dans la mesure où ils sont nécessaires à l’exécution d’une mission effectuée, pour l’une des finalités énoncées […] par une autorité compétente […] et où sont respectées les dispositions des articles 89 et 90 ».
Selon l’article 89, « si le traitement est mis en œuvre pour le compte de l’État pour au moins l’une des finalités énoncées » par l’article 87, il doit être « prévu par une disposition législative ou réglementaire ».
L’article 90 ajoute que, « si le traitement est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes, notamment parce qu’il porte sur des données mentionnées au I de l’article 6 (révélant notamment « la prétendue origine raciale ou l’origine ethnique, les opinions politiques […] ou l’appartenance syndicale d’une personne »), le responsable du traitement effectue une analyse d’impact relative à la protection des données à caractère personnel ».
En l’espèce, la Cnil a relevé : qu’« aucun cadre législatif ou réglementaire ne vient autoriser et encadrer les traitements de données à caractère personnel nés de l’utilisation, par le ministère de l’intérieur, de drones équipés d’une caméra » ; que cela comporte « un risque élevé pour les droits et libertés des personnes concernées », que cela a été fait à leur insu et qu’aucune « analyse d’impact relative à la protection des données à caractère personnel » n’a été réalisée.
Pour la Cnil, « il ressort de l’ensemble de ces éléments que les conditions de licéité des traitements mis en œuvre ne sont pas remplies ». En conséquence, elle a été amenée à décider de « mesures correctrices ».
Mesures ordonnées
Faisant usage des pouvoirs que l’article 20 de la loi de janvier 1978 lui accorde à l’égard des traitements de données « mis en œuvre par l’État », la Cnil a adressé au ministre de l’intérieur : un « rappel à l’ordre » et une injonction de mettre le traitement en conformité avec les obligations légales. Elle y ajoute une décision de publication de la décision.
Pour la Cnil, compte tenu des « risques importants pour les droits et les libertés de personnes », les manquements constatés « justifient que soit prononcé un rappel à l’ordre à l’encontre du ministère de l’intérieur ».
Estimant que « le perfectionnement des technologies telles que la reconnaissance faciale pourrait entraîner, à l’avenir, des risques encore plus importants pour les droits et libertés individuelles si elles étaient couplées à l’utilisation de drones », la Cnil considère que « leur déploiement en dehors de tout cadre légal doit être sévèrement sanctionné ».
Relevant que le ministère a indiqué qu’il « n’entendait pas renoncer, y compris temporairement, à l’usage de drones équipés d’une caméra », la Cnil arrive à la conclusion que « le prononcé d’une injonction constitue la mesure appropriée pour l’amener à n’utiliser des drones à cet effet que lorsqu’un cadre légal l’y autorisant aura été adopté ».
La Cnil estime enfin qu’il est « nécessaire que sa décision soit rendue publique ». De cette décision, il convient de comprendre que l’emploi, par les forces de l’ordre, de drones munis de caméras n’est pas, par principe, interdit, mais que, au nom du droit des individus à la protection des données à caractère personnel, il doit être autorisé et encadré, à cette fin, par la loi.