Les drones du ministère de l’intérieur causent décidément bien du souci. La formule du président Chirac « les emm…volent toujours en escadrille » est particulièrement adaptée à la situation.

Les drones du ministère de l’intérieur après les drones du préfet de police

Dans un premier temps, la préfecture de police a essuyé, successivement, deux décisions du Conseil d’Etat, particulièrement sévères, lui enjoignant de cesser d’utiliser ses drones.

Le Conseil d’Etat a en effet considéré que le traitement des images était constitutif d’un traitement illicite de données personnelles.

Les drones du ministère épinglés par la CNIL

droneDésormais, c’est la CNIL qui entre dans la danse. Elle a pris le 12 janvier 2021 une rare délibération pour « rappeler à l’ordre » (un comble), le ministère de l’intérieur.

La formation restreinte de la CNIL, après en avoir délibéré, décide de :

· prononcer à l’encontre du ministère de l’intérieur un rappel à l’ordre pour les manquements aux articles 89, 90 et 104 de la loi Informatique et Libertés ;

· prononcer à l’encontre du ministère de l’intérieur une injonction de mettre en conformité les traitements visés avec les obligations résultant de l’article 87 de la loi Informatique et Libertés, et en particulier :

o pour les finalités relevant du titre III de la loi Informatique et Libertés, ne recourir à la captation de données à caractère personnel à partir de drones qu’après l’adoption d’un cadre normatif autorisant la mise en œuvre de traitements de telles données ;

· rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément le ministère à l’expiration d’un délai de deux ans à compter de sa publication.

Une procédure exceptionnelle engagée depuis le mois d’avril.

La délibération fournit des renseignements édifiants sur la procédure suivie.

La CNIL ayant eu vent de l’utilisation, par les forces de police (notamment le commissariat de Cergy-Pontoise) et de gendarmerie (notamment le groupement de gendarmerie départementale de Haute-Garonne), de drones équipés d’une caméra, elle a demandé, au cours du mois d’avril 2020, au ministère de l’intérieur, des précisions quant aux traitements réalisés dans ce cadre, sans succès.

Par décision no 2020-076C du 7 mai 2020, la CNIl a donc initié une procédure de contrôle à l’encontre du ministère. Le 9 juillet 2020, dans le cadre de cette procédure, une délégation de la CNIL s’est rendue dans les locaux de la préfecture de police de Paris afin de procéder à un contrôle sur place. Ce contrôle a notamment permis à la délégation de contrôle de faire procéder à un vol d’essai d’un drone utilisé par la préfecture de police de Paris.

 

Les drones du ministère de l’intérieur sont utilisés pour de multiples missions

La délibération révèle que les drones n’ont pas été utilisés seulement afin de vérifier le respect des mesures de confinement. En réalité, la préfecture de police de Paris a également utilisé les drones pour des missions de police judiciaire (reconnaissance d’un lieu avant une interpellation, surveillance d’un trafic de stupéfiants), des opérations de maintien de l’ordre (surveillance de manifestations) ou de gestion de crise et aussi des contrôles routiers (surveillance de rodéos urbains). En bref, l’usage des drones est devenu banal et s’est répandu avec une grande rapidité, avec une parfaite indifférence pour les règles applicables au traitement des données captées.

 

Les propos flous mais les images en clair

On apprend au passage que le dispositif de floutage mis en place par la préfecture de police, et présenté au juge des référés du Conseil d’Etat, connaît quelques ratés.

En effet,contrairement aux déclarations faites par le ministère de l’intérieur, les flux floutés peuvent être consultés en clair par les agents de la préfecture de police : Le dispositif de floutage étant maîtrisé par la DILT (direction de l’innovation, de la logistique et des technologies), il est impossible à la DOPC (direction de l’ordre public et de la circulation) d’accéder aux flux non floutés.L’accès aux flux non floutés nécessiterait une modification de la configuration actuellement en œuvre ; seul un ingénieur ayant les droits sur l’ensemble du dispositif peut faire ce travail laborieux. Les ingénieurs ayant ces droits sont placés sous un commandement différent de celui du DOPC.

L’accès à des flux non floutés demeure donc possible.

Dès lors, le traitement doit être qualifié de traitement de données à caractère personnel.

Des manquements multiples

L’utilisation de drones équipés d’une caméra fait naître un risque élevé pour les droits et les libertés des personnes physiques et que, dès lors, il appartenait au ministère de l’intérieur de réaliser une analyse d’impact relative à la protection des données à caractère personnel, ce qui n’a pas été le cas. Les conditions de licéité des traitements mis en œuvre ne sont pas remplies.

Le groupement de gendarmerie départementale de Haute-Garonne et le commissariat de Cergy-Pontoise ont indiqué, dans leur réponse au questionnaire envoyé, que les personnes étaient informées de la présence du drone par un message vocal les invitant à se disperser. La préfecture de police de Paris a indiqué qu’aucun dispositif spécifique d’information n’avait été mis en place. Dans les deux cas, la CNIL constate que l’information des personnes concernées n’est pas fournie.