Par ordonnance du 18 mai 2020, le Conseil d’Etat enjoint à l’Etat de cesser de procéder aux mesures de surveillance par drones du respect à Paris des règles de sécurité sanitaire.
La Quadrature du Net et la Ligue des Droits de l’Homme avaient sans succès déposé devant le tribunal administratif de Paris un référé pour faire cesser la surveillance par drones violant le droit à la vie privée et la règlementation relative aux données personnelles. Cette surveillance en temps réel de très larges zones dont des jardins privés ou l’intérieur des habitations est de fait bien plus liberticide que celle des caméras fixes de vidéosurveillance qui doivent être paramétrées pour de ne pas capter d’images relatives aux espaces privés. Or, les drones par nature mobile captent des images relatives à des espaces privés, ce qui constitue une atteinte à la vie privée et aux règles de protection des données personnelles en matière de videosurveillance.
Le Conseil d’Etat constate que la finalité de ces mesures de surveillance est certes seulement de détecter sur des secteurs déterminés exclusivement situés sur la voie ou dans des espaces publics, les rassemblements de public contraires aux mesures de restriction en vigueur pendant la période de déconfinement. La finalité poursuivie n’est donc pas de constater les infractions ou d’identifier leur auteur mais d’informer la préfecture de police afin que puisse être décidé le déploiement d’une unité d’intervention sur place chargée de procéder à la dispersion du rassemblement afin de faire cesser ou de prévenir le trouble à l’ordre public que constitue la méconnaissance des règles de sécurité sanitaire. Mais si l’usage en temps réel qui est fait de ces appareils ne conduit pas à l’identification et à la conservation d’images, les drones sont néanmoins susceptibles de collecter des données identifiantes et ne comportent aucun dispositif technique de nature à éviter que les informations collectées puissent conduire, au bénéfice d’un autre usage que celui actuellement pratiqué, à rendre les personnes auxquelles elles se rapportent identifiables. Dans ces conditions, le dispositif litigieux constitue un traitement de données à caractère personne qui implique une autorisation par arrêté des ministres compétents ou par décret pris après avis motivé et publié de la CNIL. Compte tenu des risques d’un usage contraire aux règles de protection des données personnelles qu’elle comporte, la mise en œuvre, pour le compte de l’Etat, de ce traitement de données à caractère personnel sans l’intervention préalable d’un texte réglementaire en autorisant la création et en fixant les modalités d’utilisation devant obligatoirement être respectées ainsi que les garanties dont il doit être entouré caractérise une atteinte grave et manifestement illégale au droit au respect de la vie privée.