Le Conseil d’État ouvre l’espace aux drones (CE, ord., 18 mai 2020, Association « La Quadrature du Net » et Ligue des Droits de l’Homme, n°440442, n°440445)
Dans une ordonnance rendue le 18 mai 2020, le juge des référés du Conseil d’État donne injonction au préfet de police de Paris de cesser de procéder aux mesures de surveillance par drone pour faire respecter, à Paris, les règles de sécurité sanitaire applicables à la période de déconfinement. Ce faisant, le juge des référés rappelle le cadre réglementaire nécessaire pour un tel déploiement de drones de surveillance et précise la notion de traitement de données dans le cas d’un dispositif de captation vidéo.
Par Bastien Le Querrec, doctorant en droit public à l’Université Grenoble-Alpes[1]
1. L’usage de drones, du fait des progrès technologiques, est aujourd’hui devenu économiquement accessible aux administrations et aux forces de police. Déjà utilisés épisodiquement depuis quelques années[1], c’est à l’occasion des manifestations de « gilets jaunes » en 2019 que leur déploiement fut plus systématique[2]. Ce procédé venait en appui des mesures plus classiques de surveillance comme l’utilisation de caméras aux abords ou au sein des manifestations (code de la sécurité intérieure, art. L. 252-6).
2. Lorsque le décret n° 2020-293 du 23 mars 2020 prescrivant les mesures générales nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire a été publié au journal officiel, la préfecture de police de Paris, déjà équipée de drones depuis 2016, a décidé d’utiliser de manière inédite ses appareils pour faire respecter les interdictions de sortie du domicile — imitant ainsi d’autres villes (Ajaccio, Amiens, Granville, Lille, Limoges, Marseille, Metz, Montpellier, Nantes, Nice, Rennes, Saint-Malo, etc.) et pays (Espagne, Portugal, Royaume-Uni, etc.). Un article de presse paru le 25 avril 2020[3] a levé une partie du flou jusqu’alors entretenu par la préfecture de police sur les caractéristiques techniques de ses appareils. Également, le service de communication de la préfecture de police y indiquait qu’il n’existait pas de cadre juridique spécifique, en particulier que le déploiement des drones ne relevait pas des articles du code de la sécurité intérieure relatifs à la vidéoprotection, mais plus généralement des articles 9 du code civil et 226-1 du code pénal qui, respectivement, garantissent le droit à la vie privée et sanctionnent ses atteintes. La préfecture de police indiquait également qu’elle utilisait les drones à la fois dans le cadre de missions de police administrative, pour repérer les personnes qui ne respecteraient l’obligation de confinement et diffuser des messages invitant à rester chez soi, et dans le cadre de missions de police judiciaire, pour identifier des personnes en situation infractionnelle.
3. Les associations La Quadrature du Net et la Ligue des Droits de l’Homme, sur la base des informations de cet article, ont demandé au Tribunal administratif de Paris, par un référé liberté introduit début mai, d’enjoindre à la préfecture de police de cesser immédiatement l’usage de drones à Paris, sous astreinte. Pour cela, les requérantes faisaient valoir un certain nombre de moyens tirés de la méconnaissance à la fois des règles européennes relatives à la protection des données à caractère personnel (directive n° 2016/680, dite directive « police-justice », et règlement n° 2016/679, dit « règlement général sur la protection des données » ou « RGPD ») et de l’inconventionnalité du dispositif de drones qui violait, selon elles, l’article 8 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales (CESDH) relatif au droit à la vie privée et familiale.
4. En premier ressort, le juge des référés du Tribunal administratif de Paris a rejeté leur recours au motif que, lorsque les drones sont utilisés en matière de police administrative, aucune identification des individus ne serait opérée, de sorte que les moyens tirés de la présence d’un traitement de données à caractère personnel ne pouvaient être que rejetés. Le tribunal administratif ne répondait pas expressément aux moyens tirés de la violation du droit à la vie privée.
5. C’est donc en appel de cette ordonnance n° 2006861 du 5 mai 2020 que le juge des référés du Conseil d’État a, le 18 mai 2020, alors que le confinement général s’était achevé, fait droit à la demande des requérantes. Notons d’abord, premier apport jurisprudentiel de cette décision, que le Conseil d’État admet pour la première fois que le droit à la protection des données à caractère personnel, lié au droit à la vie privée, est une liberté fondamentale au sens de l’article L. 521-2 du code de justice administrative (référé liberté). Ce point, bien que nouveau[4], ne posait pas de difficulté particulière, le Conseil constitutionnel protégeant déjà ce droit au même titre que le droit à la vie privée[5]. La notion de droit à la protection des données à caractère personnel, bien que distincte dans la Charte des droits fondamentaux de l’Union européenne, est construite dans la Convention 108+ du Conseil de l’Europe comme une extension du droit à la vie privée et familiale de l’article 8 de la CESDH.
6. Au-delà de ce progrès dans la garantie procédurale ou formelle, ce qui, du point de vue de la protection des libertés, nous paraît non moins fondamental dans cette ordonnance est que le Conseil d’État accepte, tout en l’encadrant, le principe d’un déploiement de drones. Comme ont pu le relever les premiers commentateurs[6], en particulier Paul Cassia[7], il ne faut pas se tromper d’interprétation à la lecture de cette ordonnance : le Conseil d’État valide bien le principe d’un usage de drones pour des missions de police administrative si leur usage est encadré. L’illégalité manifeste du déploiement des drones parisiens est, en l’espèce, constatée parce que la mesure n’a pas respecté le cadre légal régissant le droit de la protection des données à caractère personnel. En réalité, l’ordonnance permet deux types d’encadrement alternatifs — bien qu’insatisfaisants — de l’usage légal des drones à des fins de prévention : un encadrement technique pour échapper à la qualification de traitement de données à caractère personnel (I), ou bien un encadrement réglementaire si le dispositif est qualifié de traitement de données (II).
I. Un encadrement technique (insuffisant) des possibilités d’identification : le drone comme traitement de données à caractère personnel
7. Pour déterminer si l’usage de drones viole ou non le droit à la protection des données à caractère personnel, encore faut-il parvenir à démontrer la présence d’un tel traitement de données. Cette question, tant devant le Tribunal administratif de Paris que devant le Conseil d’État, a été cruciale pendant les débats et la requête fut rejetée en première instance parce qu’il n’y avait pas la preuve d’une identification des personnes lorsque les drones étaient utilisés pour surveiller le respect du confinement général de la population.
8. Contrairement au premier juge, le juge des référés du Conseil d’État reconnaît que tel était bien le cas. Pour cela, il développe une grille de lecture en deux temps. Pour qualifier de traitement de données les drones en tant que dispositif de captation d’images vidéo, il cherche premièrement à savoir si les seules caractéristiques techniques, indépendamment du cadre juridique, permettent d’identifier les personnes (A), relevant au passage que l’absence d’enregistrement n’est pas un critère suffisant pour écarter cette qualification (B). Deuxièmement, s’il y a bien des critères techniques permettant une telle identification, le juge des référés vérifie qu’il n’existe pas de dispositif correctif (C).
A. Les caractéristiques techniques comme seules déterminantes de la présence d’un traitement de données
9. Afin d’identifier un traitement de données à caractère personnel, le juge des référés du Conseil d’État recherche si le dispositif de drone permet d’identifier les personnes à l’aide de ses seules caractéristiques techniques. En effet, tant la directive « police-justice » que le RGPD affirment qu’une donnée à caractère personnel est relative à une « personne physique identifiée ou identifiable » (RGPD, art. 4 ; directive « police-justice », art. 3). Le Conseil d’État cherche donc à savoir si tel était bien le cas du dispositif litigieux embarqué dans les drones de la préfecture de police.
10. En première instance, le juge des référés du tribunal administratif avait balayé d’un revers de main l’existence d’un traitement de données sur la base d’un raisonnement ubuesque. Selon la juridiction, dans la mesure où l’usage dans un cadre de police administrative n’autorise pas à identifier des individus mais seulement à prévenir des troubles à l’ordre public, la présence d’un traitement de données aurait été en soi écartée. En appel, le Conseil d’État admet, au contraire, la présence d’un traitement de données à caractère personnel en ne se restreignant pas au seul cadre juridique mais en intégrant aussi, comme on l’a dit, les aspects techniques (objet de longs échanges à l’audience et d’une note technique produite par la préfecture de police de Paris à l’audience et datée de la veille).
11. L’ordonnance revient longuement sur les caractéristiques techniques des drones déployés. Il y est par exemple relevé le nom du fabricant ainsi que le modèle des drones utilisés, le fait que ce modèle embarque une caméra haute-résolution et un zoom optique, que les images sont retransmises en temps réel au pilote du drone ainsi que, une fois le drone sur place, à la salle de commandement (point 10). L’ordonnance reprend également les éléments de la note technique adressée le jour de l’audience par la préfecture de police pour relever que, si cette dernière s’engage désormais à ne faire voler ses drones qu’à une certaine altitude et à ne pas chercher à identifier les personnes filmées (point 11), ainsi qu’à limiter les finalités à la seule recherche d’attroupements (point 12)[8], les possibilités techniques des drones vont au-delà et permettent bien une collecte et un enregistrement de données à caractère personnel. Ainsi le juge des référés relève-t-il que, bien que la préfecture de police assure ne jamais vouloir identifier les individus, les drones déployés « sont susceptibles de collecter des données identifiantes » (point 16).
12. Ce faisant, le Conseil d’État s’approprie les règles européennes relatives à la protection des données à caractère personnel qui demandent à n’utiliser que des « facteurs objectifs » pour qualifier un dispositif de traitement de données, tout en précisant les contours de cette notion. En effet, les considérants 21 de la directive et 26 du RGPD précisent que, pour déterminer si une personne est effectivement identifiée ou identifiable, il convient de s’intéresser à « l’ensemble des facteurs objectifs ». La solution retenue par le Conseil d’État s’inspire également les lignes directrices[9] du Contrôleur européen des données (CEPD, ou European Data Protection Board, EDPB) qui soulignent que la collecte et l’enregistrement d’informations visuelles comprenant des éléments distinctifs d’une personne relatifs à son apparence constituent un traitement de données à caractère personnel. Là aussi, le seul critère utilisé dans ces lignes directrices est la caractéristique technique du dispositif. L’ordonnance est également en total accord avec la jurisprudence de l’Union en la matière[10].
13. En ne donnant aucune portée à la note technique de la préfecture de police qui s’engageait à limiter l’utilisation des drones, le juge des référés se limite donc à la seule prise en compte des « facteurs objectifs » : les engagements d’un responsable de traitement sont par nature subjectifs et ne peuvent dès lors servir de critères de qualification d’un dispositif en traitement de données. Surtout, en contredisant le tribunal administratif qui intégrait le contexte juridique de police administrative dans ce processus de qualification, le Conseil d’État, au moins implicitement, exclut ce contexte juridique des « facteurs objectifs ».
14. Ne pas centrer le raisonnement sur le seul cadre juridique formel permet de retirer toute importance à la relative confusion du cadre juridique de déploiement des drones. Dans ses réponses à la presse, la préfecture de police indiquait qu’ils étaient déployés pour des missions de police administrative mais pouvaient également servir à identifier les personnes en cas de « flagrance », soit en mission de police judiciaire. À l’audience, la préfecture s’engageait à ne plus agir dans le cadre de missions de police judiciaire, mais le nouveau « Schéma national de maintien de l’ordre » réaffirme la volonté d’utiliser les drones pour identifier les auteurs d’infractions[11]. L’absence de contour clair des missions dans lesquelles sont déployés les drones fait que, en pratique, l’administration risque d’être seule à décider si elle agit dans le cadre d’une mission de police administrative ou de police judiciaire[12].
15. Également, alors que la préfecture de police soutenait le contraire, le juge des référés, bien qu’implicitement dans cette ordonnance, ne considère pas que le critère de l’absence d’enregistrement permette d’écarter la présence d’un dispositif permettant d’identifier les personnes.
B. L’absence d’enregistrement n’écartant pas la possibilité d’identification
16. L’ordonnance relève que la préfecture de police soutenait qu’« en l’absence de toute conservation d’images, le visionnage en temps réel des personnes filmées fait en tout état de cause obstacle à ce qu’elles puissent être identifiées » (point 16). Ce critère d’exclusion de qualification de traitement de données, qui ne reçoit pas de réponse explicite du Conseil d’État, aurait, s’il avait été retenu, été une surinterprétation des jurisprudences de la CEDH et de la CJUE. Certes, ces deux juridictions européennes admettent l’existence d’une ingérence dans le droit à la vie privée (pour la CEDH) ou le droit à la protection des données à caractère personnel (pour la CJUE) lorsque des données à caractère personnel sont conservées pour être exploitées a posteriori[13],[14]. Il est également vrai que la seule surveillance des actes d’un individu, sans conservation des images, n’est pas en soi constitutive d’une ingérence dans le droit à la vie privée[15]. Toutefois, si la Cour de Strasbourg fait de la conservation des données un critère parmi d’autres dans la détermination d’une ingérence dans le droit à la vie privée, elle n’en fait pas une condition nécessaire[16]. Il aurait ainsi été utile, conformément au travail didactique opéré par le juge des référés dans cette ordonnance, que le Conseil d’État rejette explicitement ce point.
17. En outre, l’affirmation selon laquelle il ne peut y avoir identification des personnes par le seul visionnage en temps réel est assez surprenante. En effet, cela revenait à faire une distinction purement temporelle du moment de visionnage pour n’admettre, a contrario, la présence d’un traitement de données que si ce visionnage est possible en différé. Si l’on pousse ce raisonnement, une même image, selon qu’elle peut être visionnée en temps réel ou en différé, serait dans le second cas une donnée à caractère personnel mais pas dans le premier.
18. Il a fallu attendre une ordonnance postérieure pour que le Conseil d’État écarte explicitement ce raisonnement. À propos d’un recours dirigé contre l’usage de caméras thermiques par une mairie (CE, ord., 26 juin 2020, Ligue des Droits de l’Homme, n° 441065), et dont la qualification de traitement de données à caractère personnel était ici aussi déterminante pour l’issue du litige, le Conseil d’État a relevé, pour écarter la qualification de traitement de données à caractère personnel, que les données collectées n’étaient ni enregistrées, ni communiquées à une personne tierce (Ibid., point 12). Cette décision a mis fin à un doute qui planait dans celle sur les drones, puisque le critère d’absence d’enregistrement n’est plus suffisant et se cumule avec l’absence de communication au responsable du traitement. Or, dans son point 16 de l’ordonnance du 18 mai 2020, le Conseil d’État affirme certes que les drones de la préfecture de police de Paris peuvent collecter des informations identifiantes, mais ne dit pas que l’absence de conservation de ces images n’est pas suffisante pour écarter la présence d’un traitement de données. Les images filmées par les drones étaient de toute façon, même dans l’hypothèse d’une absence d’enregistrement, toujours communiquées au responsable du traitement, donc à des personnes autres que celles filmées.
19. Quoi qu’il en soi, après avoir admis que les caractéristiques techniques des drones permettent bien une identification des personnes filmées, le juge des référés du Conseil d’État recherche la présence d’un dispositif correctif.
C. La possibilité d’échapper à la qualification de traitement par la présence d’un dispositif correctif
20. Le Conseil d’État offre une échappatoire à la qualification de traitement de données : celle d’imposer une restriction technique des capacités technologiques par un dispositif correctif.
21. L’ordonnance retient que l’absence de « dispositif technique de nature à éviter, dans tous les cas, que les informations collectées puissent conduire, au bénéfice d’un autre usage que celui actuellement pratiqué, à rendre les personnes auxquelles elles se rapportent identifiables » (point 16) conduit à qualifier les drones déployés de traitements de données à caractère personnel. Autrement dit, même si l’usage des drones annoncé par la préfecture de police (vol en haute altitude, pas d’enregistrement et pas d’utilisation du zoom optique) ne permet pas de capter de données à caractère personnel, rien en pratique ne permet de s’assurer que les drones ne seront utilisés que dans un tel usage. A contrario, la présence d’un tel dispositif correctif aurait pu conduire à écarter la qualification de traitement de données, malgré la présence d’une caméra haute définition et d’un zoom optique.
22. Ce deuxième temps dans le raisonnement procède d’un pragmatisme qui veut concilier les évolutions technologiques et des usages légitimes de la technologie. Ainsi, en l’espèce, le Conseil d’État n’exige pas qu’un drone, pour ne pas être qualifié de traitement de données, ne soit pas équipé d’une caméra haute définition ni d’un zoom optique. En revanche, un dispositif de captation vidéo comme les drones peut échapper à la qualification de traitement de données s’il est prévu dans ses caractéristiques une barrière technique qui empêche toute collecte et enregistrement d’images en dehors des cas où ce qui est filmé ne permet pas d’identifier les personnes. On peut penser qu’une modification du logiciel embarqué dans les drones qui désactiverait l’usage du zoom optique et qui empêcherait la retransmission des images en dessous d’une certaine altitude serait suffisante pour écarter la qualification des drones de la préfecture de police de traitement de données, à la condition que l’administration ne puisse pas elle-même modifier ce logiciel (cette caractéristique logicielle pourrait par exemple figurer dans le cahier des clauses techniques particulières d’un marché public).
23. Dans une ordonnance de référés n° 2017540/3/5 du 4 novembre 2020, rendue dans le cadre d’un référé suspension initié ici aussi par l’association La Quadrature du Net, le Tribunal administratif de Paris a considéré qu’un dispositif de floutage par intelligence artificielle effectué après la collecte d’images captées par drones, et malgré l’accès possible aux images non-floutées, permettait de retirer aux drones leur qualification de traitement de données à caractère personnel. Dans cette affaire, la même association requérante qu’en mai dernier constatait que la préfecture de police de Paris persistait à utiliser ses drones, cette fois-ci pour surveiller les manifestations. En défense, la préfecture de police produisait des documents internes montrant l’usage d’un dispositif de floutage postérieurement à la captation des images par les drones, à l’aide d’une technologie de reconnaissance des silhouettes, des fenêtres et des plaques d’immatriculation. Le juge des référés n’a pas fait droit à la prétention de la requérante qui était de dire qu’il s’agissait ici d’une chaîne de traitements de données personnelles (de la captation, au transfert vers la salle de commandement, en passant par un dispositif externe de floutage et une retransmission non-floutée à la télécommande du télépilote) et que ce dispositif de floutage, étant a fortiori lui-même un traitement de données, n’était pas conforme à ce qu’exigeait le Conseil d’État. La portée de cette ordonnance est toutefois très incertaines étant donné que sa motivation est très sommaire et qu’un pourvoi a été déposé. Ce pourvoi a dors et déjà passé la phase d’admission, le Conseil d’État se prononcera donc dans les mois qui viennent. Surtout, cette ordonnance du Tribunal administratif de Paris nous semble mal interpréter ce qu’entendait le Conseil d’État dans sa recherche d’un dispositif correctif : le juge des référés du Conseil d’État cherchait à savoir si les capacités techniques de captation de données identifiantes étaient neutralisées dans les situations où, si captation d’images il y avait, cela reviendrait à capter des données personnelles. L’ordonnance du tribunal administratif admet, au contraire, qu’une telle captation est possible et et qu’il est possible de faire disparaître la qualification de traitement de données.
24. On voit ici l’impasse de la comparaison des drones au dispositif correctif en matière de vidéoprotection (successeur sémantique de la vidéosurveillance) de l’article L. 251-3 du code de la sécurité intérieure. Cet article oblige, lorsqu’une caméra filme un espace privé, à masquer celui-ci : malgré le fait qu’une captation vidéo d’un lieu privé soit opérée, l’usage d’une telle caméra de surveillance est admis si les lieux privés sont masqués après la captation des images mais avant leur exploitation. Ces dispositions du code de la sécurité intérieure ont d’ailleurs été validées par le Conseil constitutionnel[17]. Mais, en matière de captation par drones, il n’y a premièrement aucun encadrement légal et un tel masquage a posteriori ne devrait pas empêcher la qualification en traitement de données[18], et deuxièmement un tel floutage après captation — l’exemple de ce qu’il se passe à Paris est flagrant — ne pourra être qu’imparfait et à l’aide d’un autre traitement de données, dont de données sensibles pour identifier les personnes à masquer.
25. Dans son ordonnance de mai 2020, le Conseil d’État offre en tout cas une porte de sortie pour qu’un dispositif ne soit plus considéré comme un traitement de données à caractère personnel et ne relève donc plus de la directive « police-justice » ou du RGPD, même si son application concrète reste incertaine. Il s’agit d’opposer à l’administration une barrière qu’elle ne maîtrise pas, une assurance technique que son usage ne pourra pas être détourné. Toutefois, cette exigence, en pratique, est difficile à remplir, dans la mesure où l’administration dépend entièrement d’une offre de drones dont les caractéristiques ne sont pas personnalisables et d’un logiciel embarqué dans les drones développé par le fabricant selon l’offre qu’il veut proposer, et non selon les besoins particulier d’une administration. L’encadrement réglementaire, autre solution admise par le Conseil d’État, est plus réaliste.
II. Un défaut d’encadrement réglementaire des drones
25. Le Conseil d’État estime en l’espèce que les drones constituent un traitement de données mis en œuvre pour le compte de l’État. Dès lors, en rattachant ce traitement à la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (dite « Informatique et Libertés ») et son article 31 qui impose un encadrement réglementaire, il constate immédiatement l’absence de celui-ci (A). Surtout, par son contrôle de proportionnalité de la mesure de police administrative, il balise ce que devra être ce futur cadre réglementaire (B).
A. Le drone comme traitement de données mis en œuvre pour le compte de l’État
27. L’ordonnance s’intéresse de près à la pratique de l’administration en se basant sur la note technique produite, comme cela a été relevé, le jour de l’audience. Le juge des référés souligne ainsi que la préfecture de police, en recherchant les attroupements non autorisés dans le cadre du confinement et l’amorce de sa sortie, poursuit une mission de police administrative et ne cherche pas à identifier les personnes présentes sur la voie publique. Il rattache la finalité « de faire cesser ou de prévenir le trouble à l’ordre public » (point 11) à un objectif entrant dès lors dans le champ de la directive « police-justice ». Il constate également que cette finalité relève de l’article 31 de la loi « Informatique et Libertés ».
28. Cet article, issu de la l’adaptation du droit français au RGPD et de la transposition de la directive « police-justice » par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel[19], est relatif aux traitements de données mis en œuvre pour le compte de l’État et encadre les traitements dont la finalité concerne « la sûreté de l’Etat, la défense ou la sécurité publique », ou « qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté ». Il exige que de tels traitements soient autorisés par un acte réglementaire pris après avis de la Commission nationale Informatique et Libertés (CNIL).
29. En soumettant ce traitement de données à l’article 31 de la loi Informatique et Libertés, donc en n’exigeant pas un encadrement législatif mais en se contentant d’un encadrement réglementaire, le Conseil d’État écarte le parallèle qui avait été fait par les requérantes entre les drones et le régime relatif à la vidéosurveillance de la loi de 1995 dont les garanties avaient été validée par le Conseil constitutionnel[20]. Une des requérantes faisait valoir, en s’appuyant sur la jurisprudence de la CEDH[21], que seule une loi pouvait autoriser un tel dispositif. À l’audience, le juge des référés a indiqué que la décision du Conseil constitutionnel de 1995, rendue avant l’entrée en vigueur du RGPD et de la directive « police-justice », n’était plus opérante. L’ordonnance opère une économie de moyens en se contentant de rattacher la pratique de l’administration à la loi Informatique et Libertés, qui n’exige qu’un acte réglementaire, pour faire droit au demandes des requérantes, appliquant sans le dire la jurisprudence établie de la CEDH admettant que des actes infralégislatifs puissent être qualifiés de « loi » au sens de l’article 8 §2 de la CESDH[22].
30. Toutefois, un récent avis de la section de l’intérieur du Conseil d’État[23] estime que ce seul rattachement à l’article 31 de la loi « Informatique et Libertés » n’est pas suffisant. Si cet avis ne contredit pas la lettre de l’ordonnance de mai de la section du contentieux, et y fait d’ailleurs référence, il précise que l’article 31 de la loi « Informatique et Libertés » « ne peut fournir une base légale suffisante » (point 4) en raison de la gravité de l’atteinte au droit à la vie privée et au droit à la liberté d’expression, et estime que seule une loi permettrait de fournir une telle base légale. Une telle affirmation va ainsi à l’encontre de ce qu’annonçait à l’audience de mai le juge des référés du Conseil d’État sur la décision du Conseil constitutionnel relative à la vidéosurveillance.
31. L’ordonnance de mai du Conseil d’État — et cet avis de la section de l’intérieur s’inscrit dans sa continuité — anticipe également fortement un contrôle du futur cadre réglementaire.
B. Un contrôle anticipé du futur cadre réglementaire
32. Si l’ordonnance estime que le déploiement de drones se rattache à l’article 31 de la loi Informatique et Libertés, elle opère en outre un contrôle de proportionnalité de la mesure de police administrative critiquée. Ce contrôle de proportionnalité est surprenant dans la mesure où son absence n’aurait pas modifié le raisonnement du Conseil d’État. En effet, après avoir qualifié le dispositif litigieux de traitement de données et constaté l’absence de cadre réglementaire en application de l’article 31 de la loi Informatique et Libertés, l’ordonnance aurait pu s’arrêter ici pour faire droit aux demandes des requérantes.
33. À travers le contrôle de proportionnalité de l’espèce, qualifié de superfétatoire par Paul Cassia[24], on peut esquisser une éventuelle future décision du Conseil d’État sur les mesures réglementaires qui autoriseraient l’usage de drones dans le cadre de missions de police administratives. Le contrôle du juge administratif des référés reste toutefois très classique en la matière et suit les principes relatifs aux traitements des données à caractère personnel posés par le RGPD[25] et la directive « police-justice »[26], dans la ligne directe de la décision APIM de 2011[27] et son triple test, elle aussi prise en matière de protection des données à caractère personnelle[28].
34. Premièrement, le Conseil d’État valide assez facilement le critère de nécessité : il estime que la finalité du déploiement des drones est en l’espèce nécessaire puisque le dispositif est qualifié de, « dans les circonstances actuelles, nécessaire pour la sécurité publique » et la finalité « légitime » (point 13), ce dernier terme étant propre au contrôle de proportionnalité en matière de protection des données à caractère personnel[29]. Ce critère de nécessité reste toutefois étrange et sa justification lacunaire : le juge des référés ne cherche pas réellement à savoir si d’autres mesures moins attentatoires au droit à la protection des données à caractère personnel aurait pu être utilisées en l’espèce. En réalité, se cache derrière un apparent triple test un contrôle de proportionnalité très restreint.
35. Il ne s’agit pas néanmoins d’une validation du critère de nécessité pour toutes les situations de prévention de troubles à l’ordre public, puisque l’ordonnance précise que le déploiement peut être nécessaire « dans les circonstances actuelles », soit une situation de crise sanitaire nationale liée à l’épidémie de covid-19. L’ordonnance de référé ne parle pourtant pas de salubrité mais bien de sécurité publique, quand bien même le contexte sanitaire est rappelé au tout début de la décision (points 2 et 3). Il ne fait pas de doute que la présence de la catastrophe épidémique participe à l’admission du critère de nécessité en l’espèce. Toutefois, il est fort probable, à lire la décision, que ce critère sera également admis au-delà d’un contexte de crise sanitaire. On relèvera notamment que les « circonstances actuelles » invoquées concernent la fin du confinement (l’interdiction de circulation était étendue à 100 kilomètres autour du domicile au jour de la décision), soit un contexte plus souple qu’un principe d’interdiction de circulation. L’avis de la section de l’intérieur du Conseil d’État estime par ailleurs — sans préciser les raisons qui conduisent à affirmer cela — que « sur le plan opérationnel et au regard de l’intérêt public qui s’attache aux finalités poursuivies, notamment la sécurité publique ainsi que la prévention, la recherche, la constatation ou la poursuite d’infractions, l’utilité du recours à ces technologies [de dispositifs aéroportés de captation d’images, dont les drones] n’est pas contestable ».
36. Deuxièmement, l’ordonnance estime que le déploiement des drones tel qu’annoncé (en altitude et sans utiliser le zoom optique embarqué) n’est pas, par nature, une « atteinte grave et manifestement illégale aux libertés fondamentales invoquées ». Le Conseil d’État préfigure ici la validation d’un encadrement réglementaire qui n’autoriserait les vols que dans des situations qui ne permettent pas l’identification des personnes. Il donne ainsi des pistes quant au critère de proportionnalité stricto sensu du triple test.
37. Ce contrôle de proportionnalité du Conseil d’État est également surprenant dans la mesure où il est potentiellement incomplet. L’ordonnance ne revient pas sur d’éventuelles circonstances locales particulières. Cela pourrait être annonciateur d’un contrôle restreint en la matière, même s’il est certes vrai que les requérantes ne soulevaient pas ce point.
38. Le Conseil d’État balise donc l’éventuel encadrement réglementaire. Il fait un effort — qui interpelle d’autant plus qu’il s’agit d’un référé liberté — pour montrer la voie et rassure ainsi l’administration sur le fait que sa pratique aurait pu être validée si elle avait été encadrée par un acte réglementaire ou une loi. Une récente proposition de loi[30] vise à légaliser l’usage de drones en matière de police administrative et à des fins d’identification des auteurs d’infractions, et ne corrige que l’illégalité externe de ce genre de déploiement de drones, liée à l’absence d’acte administratif en l’état actuel de la réglementation. Cette ordonnance, en traitant en partie de la proportionnalité d’un tel dispositif, pourrait influencer, si cette proposition de loi était adoptée en l’état, un éventuel contrôle de la loi par le Conseil constitutionnel ou de son décret d’application par le Conseil d’État.
[1] La préfecture de police de Paris a passé dès 2016 le marché public qui l’équipe aujourd’hui en drones : https://www.boamp.fr/avis/detail/16-43218/0.
[2] Philippe E., conférence de presse, 18 mars 2019 : « Pour obtenir l’efficacité sur le terrain que nous n’avons pas obtenue samedi, j’ai demandé à ce que le maintien de l’ordre soit réorganisé […] en recourant à des moyens nouveaux : drones, produits marquants, utilisation des moyens vidéo à des fins de manœuvre et de judiciarisation. », URL : https://www.gouvernement.fr/partage/10948-conference-de-presse-du-premier-ministre
[3] Le Foll C., Pouré C., « Avec le confinement, les drones s’immiscent dans l’espace public », Mediapart, 25 avril 2020.
[4] Lantero C., « Les libertés fondamentales au sens de l’article L. 521-2 du code de justice administrative », Blog droit administratif, 3 septembre 2018. URL : http://blogdroitadministratif.net/2018/09/03/les-libertes-fondamentales
[5] Cons. const., 29 juillet 2004, Loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, n° 2004-499 DC ; Cons. const., 12 août 2004, Loi relative à l’assurance maladie, n° 2004-504 DC ; de façon plus explicite depuis Cons. const., 22 mars 2012, Loi relative à la protection de l’identité, n° 2012-652 DC.
[6] Dupont P., Poissonnier G., État d’urgence sanitaire (déconfinement) : illicéité de la surveillance par drone, D. 2020, p. 1111 ; Crichton C., Surveillance policière par drones : encadrement nécessaire, Dalloz actualité, 22 mai 2020 ; de Montecler M.-C., Ô drone, suspends ton vol !, AJDA, 2020, p. 1031.
[7] Cassia P., « Demain les drones », Mediapart, 20 mai 2020, URL : https://blogs.mediapart.fr/paul-cassia/blog/190520/demain-les-drones
[8] L’absence de finalité précise était contestée par les requérantes, notamment parce que le service de communication de préfecture de police avait publié une série de vidéos montrant Paris vu par les drones pendant le confinement, ce qui ne relève manifestement pas des missions de police administrative.
[9] EDPB, Guidelines 3/2019 on processing of personal data through video devices, version 2.0, 29 janvier 2020.
[10] CJUE, 11 décembre 2014, Ryneš, n° C-212/13, point 22 ; V., également, le point 26 des conclusions de l’avocat général Niilo Jääskinen dans cette affaire : « le champ d’application d’un instrument du droit de l’Union ne saurait pas dépendre de la finalité subjective […] du responsable du traitement, dans la mesure où une finalité n’est ni objectivement vérifiable sur la base de facteurs externes ni pertinente par rapport aux personnes concernées dont les droits et intérêts sont affectés par l’activité en question ».
[11] « Schéma national de maintien de l’ordre », publié le 17 septembre 2020, point 3.4.2 : « La maîtrise de la 3 dimension est essentielle dans le maintien de l’ordre moderne. L’engagement de moyens aériens (hélicoptères, drones) devra être renforcé et développé, en faisant effort sur les capteurs optiques et les capacités de retransmission, mises en œuvre dans un cadre juridique adapté. Ces moyens sont utiles tant dans la conduite des opérations que dans la capacité d’identification des fauteurs de troubles. », URL : https://www.interieur.gouv.fr/Le-ministre/Actualites/Schema-national-du-maintien-de-l-ordre
[12] La question de la frontière entre police administrative et police judiciaire n’est pas nouvelle et ce contentieux n’est qu’un exemple parmi d’autres. V., par ex., Herran T., « L’impact de la loi relative à la sécurité publique sur la distinction entre la police judiciaire et la police administrative », AJ Pénal, 2017, p. 472.
[13] V., par ex. pour la CEDH, CEDH, 6 septembre 1978, Klass c/ Allemagne, n° 5029/71 ; CEDH, 16 février 2000, Amann c/ Suisse, n° 27798/95 ; CEDH, 5 mai 2000, Rotaru c/ Roumanie, n° 28341/95
[14] V., par ex. pour la CJUE, 11 décembre 2014, František Ryneš contre Úřad pro ochranu osobních údajů, aff. C‑212/13, point 25 ; CJUE, 11 décembre 2019, TK contre Asociaţia de Proprietari bloc M5A-ScaraA, aff. C‑708/18, point 34.
[15] Comm. EDH, 14 janvier 1998, Herbecq et Association « Ligue des droits de l’homme » c/ Belgique, nos 32200/96 et 32201/96 ; CEDH, 28 janvier 2004, Peck c/ Royaume-Uni, n° 44647/98.
[16] V., notamment, Sudre F., Convention européenne des droits de l’Homme. – Droits garantis. – Droit au respect de la vie privée et familiale. – Principes directeurs. – Protection de la vie privée, JurisClasseur Europe Traité, Fasc. 6524, § 52.
[17] Cons. const., 18 janvier 1995, Loi d’orientation et de programmation relative à la sécurité, n° 94-352 DC, cons. 5 et 7.
[18] Les caméras de vidéosurveillance sont déjà considérées comme étant des traitements de données à caractère personnel (directive « police-justice », cons. 26) et cette qualification est a fortiori valable pour des drones pouvant capter des données identifiantes.
[19] Pastor J.-M., « La loi Informatique et libertés est réécrite », AJDA, 2018, p. 2468
[20] Cons. const., 18 janvier 1995, Loi d’orientation et de programmation relative à la sécurité, préc.
[21] CEDH, 25 mars 1983, Silver et autres c. Royaume-Uni, n° 5947/72, §§ 85-88.
[22] CEDH, 18 juin 1971, De Wilde, Ooms et Versyp c. Belgique, nos 2832/66, 2835/66 et 2899/66 ; CEDH, 24 avril 1990, Kruslin c. France, n° 11801/85.
[23] CE, avis, 20 octobre 2020, Avis relatif à l’usage de dispositifs aéroportés de captation d’images par les autorités publiques, n° 401214.
[24] Cassia P., « Demain les drones », Mediapart, 20 mai 2020, URL : https://blogs.mediapart.fr/paul-cassia/blog/190520/demain-les-drones
[25] RGPD, art. 5.
[26] Directive « police-justice », art. 4.
[27] CE, ass., 26 oct. 2011, n° 317827, Association pour la promotion de l’image (APIM), Lebon p. 505, concl. J. Boucher
[28] V. not. Roulhac C., « La mutation du contrôle des mesures de police administrative – Retour sur l’appropriation du “triple test de proportionnalité” par le juge administratif », RFDA, 2018, p. 343.
[29] RGPD, art. 5, b) ; directive « police-justice », art. 4, b).
[30] L’article 22 de la proposition de loi n° 3452 relative à la sécurité globale, votée en première lecture à l’Assemblée nationale le 24 novembre 2020, autorise l’usage de dispositifs « [pouvant] procéder au traitement d’images au moyen de caméras installées sur des aéronefs ».
[1] Bastien Le Querrec est doctorant en droit public à l’Université Grenoble-Alpes, sous la direction du Professeur Serge Slama, ainsi que membre de l’association La Quadrature du Net. En tant que membre de cette dernière, il a rédigé les écritures de l’association qui, aux côtés de la Ligue des Droits de l’Homme, était requérante dans cette affaire.
8 commentaires