Le 15 décembre dernier, le Conseil d’État a une nouvelle fois asséné une gifle au ministère de l’Intérieur sur l’usage des drones équipés de caméras. L’usage d’un floutage sur les flux vidéo n’a pas été jugé suffisant. Une victoire pour la Quadrature du Net, jusqu’au vote de la loi Sécurité globale.
En mai 2020, le Conseil d’État épinglait la Préfecture de Police de Paris pour l’usage de drones destinés à épauler les forces de l’ordre dans le contrôle des mesures de confinement. En jeu, nulle sombre règlementation sur le droit aérien, mais la législation sur les traitements de données personnelles.
Des drones équipés de caméras un peu trop performantes pour surveiller les populations ? Voilà autant de traitements de données identifiantes pour les individus passant dans son spectre.
Le juge administratif constata sans mal que ces drones policiers ne disposaient d’« aucun dispositif technique de nature à éviter (…) que les informations collectées puissent conduire, au bénéfice d’un autre usage que celui actuellement pratiqué, à rendre les personnes auxquelles elles se rapportent identifiables ».
En clair, des visages filmés, des images stockées ou transmises à un centre de commandement, sans qu’on ait la moindre idée de leur destin ou de leur encadrement (durée et lieu de stockage, traitements ultérieurs, dispositifs de sécurité, etc.)
Or, si l’article 31 de la loi CNIL autorise ce genre de traitements mis en œuvre pour le compte de l'État, lorsqu’ils ont « pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté », c’est à l’impérieuse condition qu’un texte les encadre préalablement.
La Quadrature du Net, qui avait obtenu cette première victoire accompagnée par la Ligue des Droits de l’Homme, a remis le couvert devant les juridictions administratives. Et pour cause, la Préfecture de Police, toujours sans texte, a continué à utiliser ces flottes après la phase de confinement, comme l’ont révélé plusieurs témoignages durant les manifestations, à l’appui de photos et vidéos diffusés par la presse et des particuliers sur les réseaux sociaux.
Le flou du spectacle
Devant le juge des référés du tribunal administratif de Paris, choux-blanc. Le 4 novembre dernier, le « TA » rejetait la demande de l’association. La Préfecture de police de Paris fit utilement reluire son nouveau système présenté dans cette note. Elle a imaginé et ajouté en effet dans ses serveurs un dispositif de floutage automatique et en temps réel des données à caractère personnel transmises par les caméras. Prix de la prestation, 24 000 euros.
Argument de poids : avec ces visages et ces plaques d’immatriculation désormais floutées, les flux vidéo envoyés à la salle de commandement de la direction de l'ordre public et de la circulation (DOPC) ne drainent plus de données personnelles. CQFD.
Sauf que devant le Conseil d’État, cette présentation n’a pas été jugée suffisante, et pas seulement parce que la Préfecture est maitresse de cette technologie.
Déjà dans la note précitée, elle relève que « le dispositif de floutage étant totalement maîtrisé par la Direction opérationnelle des services techniques et logistiques, il [sera] possible de faire évoluer le dispositif pour répondre, si le cadre juridique évolue et le permet, à de futures demandes de la DOPC (floutage réversible, dénombrement, LAPI, ….) » (lecture automatique des plaques d’immatriculation).
Des traitements de données à caractère personnel, malgré tout
Les juges ont surtout relevé que « le dispositif de surveillance litigieux, qui consiste à collecter des données, grâce à la captation d'images par drone, afin de les transmettre, après application d'un procédé de floutage, au centre de commandement de la préfecture de police pour un visionnage en temps réel, constitue un traitement ».
Or, en décomposant chaque phase, le système procède encore et toujours à un traitement de données personnelles. Ainsi, « la circonstance que seules les données traitées par le logiciel de floutage parviennent au centre de commandement n'est pas de nature à modifier la nature des données faisant l'objet du traitement, qui doivent être regardées comme des données à caractère personnel ». Rien qu’en amont, il y a bien une captation (traitement) de données personnelles (visages et autres plaques d’immatriculation).
Code en main, le juge des référés a donc estimé remplies les différentes conditions de cette procédure d’urgence : d’un côté, un nombre important de personnes susceptibles de faire l'objet des mesures de surveillance, outre de possibles atteintes à la liberté de manifestation, et de l’autre l’incapacité pour le ministère de l’Intérieur de démontrer que « l'objectif de garantie de la sécurité publique (…) ne pourrait être atteint pleinement, dans les circonstances actuelles, en l'absence de recours à des drones ». Ambiance.
Il a donc enjoint au Préfet de cesser de surveiller les rassemblements de personnes sur la voie publique, « tant que n'aura pas été pris un texte autorisant la création, à cette fin, d'un traitement de données à caractère personnel ».
« La CNIL doit passer à l’action et sanctionner les forces de police nationale et de gendarmerie qui continuent d’utiliser des drones ou des hélicoptères pour surveiller les manifestations ou faire appliquer les règles sanitaires. Nous lui avons mâché le travail, à elle de prendre le relais » réagit la Quadrature du Net.
Une victoire...en attendant la proposition de loi sur la Sécurité globale
Ces drones équipés de caméras possiblement ultraperformantes ne resteront pas longtemps au sol au regard de l’actualité parlementaire. L’article 22 de la proposition de loi sur la Sécurité globale, actuellement au Sénat et déjà adoptée par les députés, va autoriser l’usage d’aéronefs équipés de caméras pour un grand nombre de finalités.
Parmi elles, il s’agira de faciliter le constat des infractions et la poursuite de leurs auteurs par la collecte de preuves, ou encore assurer la sécurité des rassemblements de personnes sur la voie publique ou dans des lieux ouverts au public.
