Journal de l'économie

Envoyer à un ami
Version imprimable

Traitement des données personnelles : Le Conseil d’État cloue de nouveau au sol les drones





Le 4 Janvier 2021, par Frederic Rose-Dulcina

Par une décision en date du 22 décembre 2020, le Conseil d’État a considéré que le dispositif de surveillance par drone transmettant, après floutage, des images au centre de commandement de la préfecture de police pour un visionnage en temps réel, continue à constituer un traitement de données à caractère personnel (CE, 22 décembre 2020, n° 446155). L’État est ainsi de nouveau rappelé à l’ordre par le juge administratif.


Image pxhere
Image pxhere
Dans un précédent article du 25 mai 2020 paru dans ces mêmes colonnes, nous avions fait état d’une ordonnance du 18 mai 2020 du juge des référés du Conseil d’État qui avait jugé qu’un dispositif de surveillance des Parisiens par drones met en œuvre un traitement de données personnelles qui doit être autorisé par un texte après avis de la Commission Nationale de l’Informatique et des Libertés (CNIL). Ce dispositif alors mis en place par l’État visait à capturer des images par drones et à les exploiter afin de faire respecter les mesures du premier confinement de l’année 2020 (CE, 18 mai 2020, n° 440442, 440445).

Dans le prolongement de cette ordonnance du Conseil d’État du 18 mai 2020, l’Association « La Quadrature du Net » a, par une série de pièces produites à l’appui de sa demande, fait valoir que la préfecture de police continuait à recourir à des drones pour la surveillance de manifestations publiques à Paris, en méconnaissance de cette ordonnance.

Cette association a donc demandé au juge des référés du Tribunal administratif (TA) de Paris de suspendre la décision implicite du préfet de police de poursuivre l’utilisation d’un tel dispositif et de lui enjoindre de cesser toute captation d’image par ce procédé. Le TA de Paris avait rejeté sa demande par une décision en date du 4 novembre 2020 (TA Paris, 4 novembre 2020, n° 2017540).

Saisie à leur tour, les juges du Palais-Royal soulignent « que, postérieurement à l’intervention de l’ordonnance du 18 mai 2020 […], la préfecture de police de Paris a mis en place, aux fins de surveiller les événements de grande ampleur se déroulant sur la voie publique, un dispositif technique reposant sur l’adjonction à l’outil de captation sans enregistrement des images par drone d’un logiciel de floutage automatique et en temps réel des données à caractère personnel dans les flux vidéo transmis à la salle de commandement de la direction de l’ordre public et de la circulation (DOPC) de la préfecture de police ». Or, le Conseil d’État considère qu’il résulte de l’article 3 de la directive (UE) 2016/680 du 27 avril 2016 « que le dispositif de surveillance litigieux, qui consiste à collecter des données, grâce à la captation d’images par drone, afin de les transmettre, après application d’un procédé de floutage, au centre de commandement de la préfecture de police pour un visionnage en temps réel, constitue un traitement au sens de la directive du 27 avril 2016 ».

Selon la Haute Assemblée, si ce dispositif permet de ne renvoyer à la direction opérationnelle que des images ayant fait l’objet d’un floutage, il ne constitue que l’une des opérations d’un traitement d’ensemble des données, qui va de la collecte des images par le drone à leur envoi vers la salle de commandement, après transmission des flux vers le serveur de floutage, décomposition de ces flux image par image aux fins d’identifier celles qui correspondent à des données à caractère personnel pour procéder à l’opération de floutage, puis à la recomposition du flux vidéo comportant les éléments floutés. Ainsi, les images collectées par les appareils sont susceptibles de comporter des données identifiantes, la circonstance que seules les données traitées par le logiciel de floutage parviennent au centre de commandement n’est pas de nature à modifier la nature des données faisant l’objet du traitement, qui doivent être regardé comme des données à caractère personnel. En conséquence, selon le Conseil d’État, « en jugeant que la décision attaquée n’avait pas pour effet d’autoriser un traitement de données à caractère personnel, au motif que seul le flux flouté des images captées par des drones arriverait en salle de commandement et en écartant pour ce motif le moyen tiré de ce que ce traitement aurait dû faire l’objet d’un texte l’autorisant, le juge des référés du tribunal administratif de Paris a entaché son ordonnance d’erreur de droit. L’association est, dès lors, fondée à demander son annulation ».

Par ailleurs, la mise en œuvre, pour le compte de l’État, de ce traitement de données à caractère personnel sans l’intervention préalable d’un texte en autorisant la création et en fixant les modalités d’utilisation est propre à créer un doute sérieux quant à la légalité de la décision attaquée par l’association requérante. Le Conseil d’État a donc suspendu l’exécution de la décision du Préfet de police de poursuivre l’utilisation de drones à des fins de police administrative dans le cadre de manifestations ou de rassemblements sur la voie publique et a enjoint au Préfet de police de cesser, à compter de la notification de son ordonnance, de procéder aux mesures de surveillance par drone de ces manifestations ou rassemblements, tant que n’aura pas été pris un texte autorisant la création, à cette fin, d’un traitement de données à caractère personnel.

Cette récente décision de justice doit être saluée et permet de constater (s’il en était besoin) que la question du traitement des données à caractère personnel ne concerne pas seulement les GAFAM (Google, Amazon, Facebook, Apple, Microsoft) mais aussi nos autorités publiques.

Frédéric ROSE-DULCINA
LEX SQUARED AVOCATS
 


France | International | Entreprises | Management | Lifestyle | Blogs de la rédaction | Divers | Native Advertising | Juris | Art & Marché | Prospective | Industrie immobilière | Intelligence et sécurité économique - "Les carnets de Vauban"













Rss
Twitter
Facebook