Elle explique avoir "sanctionné le ministère de l'Intérieur pour avoir utilisé de manière illicite des drones équipés de caméras, notamment pour surveiller le respect des mesures de confinement."
Assez curieusement, le minarm, pourtant lui aussi gros utilisateur de drones n'est pas concerné par cet écrit. Le minarm utilise ses drones pour des vols d'entraînement mais reconnaît régulièrement qu'ils sont aussi utilisés sur le territoire national. Quand les préfets le demandent, mais aussi dans d'autres cas. Qui on l'a compris, pour l'instant n'intéressent pas la CNIL.
Pour l'instant, quand on lit bien entre les lignes de la CNIL qu'il est important de toutes lire : "À l’issue d’une procédure de contrôle initiée en mai 2020, la formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a rappelé à l’ordre le ministère de l'Intérieur pour avoir procédé à des vols de drones équipés de caméras en dehors de tout cadre légal.
En complément de cette sanction, qu’elle a souhaité rendre publique, la formation restreinte a également enjoint au ministère de se mettre en conformité avec la loi Informatique et Libertés. Elle demande ainsi au ministère de cesser tout vol de drone jusqu’à ce qu’un cadre normatif autorise un tel traitement de données personnelles ou jusqu’à ce qu’un système technique empêchant toute identification des personnes soit mis en œuvre".
Sur ce motif, on comprend que les drones du minarm ne vont pas forcément voler très longtemps puisque tous ses drones sont capables de telles réalités : dès lors, un survol, même dans un camp d'entraînement peut s'avérer problématique, au regard de la CNIL.
Surtout si, en plus, les militaires s'y entraînent à toutes les phases d'une opération réelle : détection d'activité puis identification, y compris d'une cible.
La CNIL poursuit : "cette sanction et l’injonction qui l’accompagne concernent l’utilisation des drones par l’ensemble des forces de l’ordre dès lors qu’elles agissent sous l’autorité du ministère, qu’il s’agisse de services de police ou de gendarmerie, sur l’ensemble du territoire, et quelles que soient les finalités poursuivies".
La demi-phrase qui précède illustre bien l'esprit de la CNIL, il faut bien comprendre entraînement compris. Mais aussi lutte anti-terroriste comprise.
La CNIL poursuit son historique : "dès mars 2020, plusieurs articles de presse ont révélé l’utilisation, par les forces de police et de gendarmerie, de drones équipés de caméras afin de veiller au respect des mesures de confinement. L’utilisation de tels drones lui paraissant susceptible d’impliquer le traitement de données personnelles, la présidente de la CNIL a adressé un courrier au ministère de l'Intérieur le 23 avril 2020 afin d’obtenir des précisions sur ces dispositifs et leurs caractéristiques.
La présidente de la CNIL a décidé le 7 mai 2020 de faire procéder à des contrôles concernant l’usage des drones. Dans un premier temps, des questionnaires ont été adressés au ministère de l'Intérieur, à la préfecture de police de Paris ainsi qu’à un commissariat et un groupement de gendarmerie. En réponse, le ministère a indiqué utiliser des drones équipés de caméras, notamment pour vérifier le respect des mesures de confinement, pour la surveillance de manifestations, pour des missions de police judiciaire (telles que la reconnaissance d’un lieu avant une interpellation ou la surveillance d’un trafic de stupéfiants), ou encore pour la surveillance de rodéos urbains.
En juillet 2020, la CNIL s’est rendue dans les locaux de la préfecture de police de Paris et a fait procéder à un vol d’essai d’un des drones utilisés pour les finalités précitées. À cette occasion, elle a constaté que les personnes filmées par ce type de dispositif étaient susceptibles d’être identifiées. Estimant que ce traitement de données personnelles ne reposait sur aucune base légale, la présidente de la CNIL a décidé d’engager une procédure de sanction à l’encontre du ministère.
À l’issue de cette procédure, la formation restreinte a considéré que le ministère avait manqué à plusieurs obligations de la loi Informatique et Libertés.
Les manquements commis par le ministère de l'Intérieur
La loi Informatique et Libertés prévoit que les traitements mis en œuvre par l’État, notamment pour prévenir ou détecter les infractions pénales, mener des enquêtes ou se prémunir contre des atteintes à la sécurité publique, doivent être prévus par un texte (législatif ou réglementaire). En outre, une analyse d’impact doit être réalisée lorsque ces traitements présentent un risque élevé pour les droits et libertés des personnes.
Or, à ce jour, aucun texte n’autorise le ministère de l'Intérieur à recourir à des drones équipés de caméras captant des images sur lesquelles les personnes sont identifiables.
De même, alors qu’elle est obligatoire, aucune analyse d’impact n’a été communiquée à la CNIL concernant l’utilisation de ces drones. Le public n’était pas non plus informé de l’utilisation des drones comme il aurait dû l’être.
Par ailleurs, si le ministère de l'Intérieur indique avoir développé un mécanisme floutant l’image des personnes, ce mécanisme n’est intervenu qu’au mois d’août, alors que de nombreux vols avaient été réalisés préalablement. De plus, ce mécanisme ne peut pas être exécuté directement par le drone. Des images contenant des données personnelles sont donc collectées, transmises et traitées par le ministère de l'Intérieur avant que ce système de floutage ne soit appliqué. Enfin, ce mécanisme n’empêche pas nécessairement l’identification des personnes dès lors que les services du ministère de l'Intérieur sont en mesure de désactiver le floutage.
La sanction prononcée par la formation restreinte
La formation restreinte a prononcé à l’encontre du ministère de l'Intérieur un rappel à l’ordre. La CNIL ne peut pas prononcer d’amendes à l’encontre de l’État.
En complément de cette sanction, la formation restreinte a également enjoint au ministère de cesser, sans délai, toute utilisation de drone jusqu’à ce qu’un cadre normatif autorise un tel traitement de données personnelles ou jusqu’à ce qu’un système technique empêchant toute identification des personnes soit mis en œuvre. La formation restreinte a décidé de rendre publique sa décision.
La sanction prononcée par la formation restreinte s’inscrit dans le prolongement de deux décisions rendues récemment, en référé, par le Conseil d'État sur le même sujet (18 mai 2020 et 22 décembre 2020). Elle a néanmoins un périmètre plus large. En effet, les décisions rendues par le Conseil d'État étaient des décisions particulières, rendues en procédure d’urgence et dans des délais légaux particulièrement courts, portant sur des décisions d’engager des moyens aériens dans des situations et des lieux précis : la première était relative à la surveillance des mesures de confinement à Paris, et la seconde concernait la surveillance des manifestations à Paris. La procédure initiée par la CNIL est, quant à elle, générale et vise toutes les utilisations de drones par les services du ministère de l’Intérieur (services de police et de gendarmerie, sur l’ensemble du territoire national) pour les traitements visant à prévenir ou détecter les infractions pénales, à mener des enquêtes et à poursuivre leurs auteurs, ou ayant pour but la protection contre les menaces pour la sécurité publique."
On le comprend, aucune exception n'est prévue, pas même dans les services à la pointe du contre-terrorisme (RAID, GIGN, BRI), ce qui peut, pour le coup, tout de même interroger.
L'approche de la CNIL peut s'avérer aussi destructrice pour tout un pan d'unités spécialisées dans la surveillance et le renseignement aérien, et évidemment, les missions qu'elles conduisent. Puisqu'il faut le rappeler, les mêmes aéronefs de recherche (et drones) peuvent voir passer dans leur tourelle des gilets jaunes, madame Michu, des black blocks, Iyad Ag Ghali, et Pedro Sanchez, un des marins du ferry qui relie Santander à la Grande-Bretagne.
Mes infops et photos sur le twitter @defense137.