Le 14 janvier, la CNIL a annoncé avoir sanctionné le ministère de l’Intérieur pour avoir utilisé de manière illicite des drones équipés de caméras. Ces appareils auraient été mis en œuvre pour surveiller le respect des mesures de confinement.

Après avoir infligé des amendes record à Google et Facebook à la fin de l’année 2020, la Commission Nationale de l’Informatique et des Libertés épingle désormais l’État français.

En mars 2020, alors que la France est en plein confinement, plusieurs articles de presse révèle l’utilisation de drones équipés de caméras par les forces de l’ordre et la gendarmerie. L’utilisation de ces appareils étant susceptibles d’impliquer le traitement de données personnelles, la CNIL adresse donc un courrier en avril 2020 au ministère de l’Intérieur afin d’obtenir des informations sur ces drones. Un mois plus tard, des contrôles concernant l’usage des drones sont menés par la CNIL. Plusieurs questionnaires sont adressés au ministère de l’Intérieur ainsi qu’à la préfecture de police de Paris, à un commissariat et à un groupement de gendarmerie.

Surveillance de manifestations

En réponse à ces questionnaires, le ministère a indiqué utiliser les drones pour vérifier le respect des mesures de confinement, pour la surveillance de manifestation, pour des missions de police judiciaire ainsi que pour la surveillance de rodéos urbains.

Un vol d’essai dans les locaux de la préfecture de police de Paris a ensuite été effectué par la CNIL. L’organisme a ainsi constaté que les personnes filmées par les drones étaient susceptibles d’être identifiées.

Manquement à la loi Informatiques et Libertés

Pour la CNIL, cette identification des personnes sur les images tournées par les drones pose problème. En effet, l’organisme estime que le traitement de ces données personnelles ne repose sur aucune base légale. Ainsi, Marie-Laure Denis, présidente de la CNIL, a décidé d’engager une procédure de sanction à l’encontre du ministère.

C’est la formation restreinte de la CNIL, un organe chargé de prononcer les sanctions, qui a rendu la délibération publique le 12 janvier. Elle considère que le ministère avait manqué à plusieurs obligations de la loi Informatique et Libertés. À ce jour, aucun texte n’autorise le ministère de l’intérieur à recourir à des drones équipés de caméras captant des images sur lesquelles les personnes sont identifiables. La loi Informatique et Liberté prévoit pourtant que les traitements mis en œuvre par l’État, notamment pour prévenir ou détecter les infractions pénales, mener des enquêtes ou se prémunir contre des atteintes à la sécurité publique, doivent être prévus par un texte.

Un rappel à l’ordre a été prononcé à l’encontre du ministère de l’Intérieur. La CNIL ne pouvant pas prononcer d’amende à l’encontre de l’État.

La CNIL a demandé au ministère de cesser, sans délai, toute utilisation de drone jusqu’à ce qu’un cadre normatif autorise un tel traitement de données personnelles ou jusqu’à ce qu’un système empêchant l’identification des personnes soit mis en œuvre.

De son côté, le ministère de l’Intérieur a indiqué avoir développé un mécanisme floutant l’image de personnes, mais celui-ci n’est intervenu qu’au mois d’août 2020, alors que de nombreux vols de drones avaient déjà été réalisés. De plus, ce mécanisme ne peut être exécuté directement par le drone. Les images contenant des données personnelles sont donc collectées et traitées par le ministère avant que ce système de floutage ne soit appliqué. Ce qui révèle bien d’un manquement à la loi.