Avis du CEPD

Avis du Contrôleur européen de la protection des données
sur la communication de la Commission au Parlement européen et au Conseil
intitulée «Une nouvelle ère de l’aviation. Ouvrir le marché de l’aviation à
l’utilisation civile de systèmes d’aéronefs télépilotés, d’une manière sûre et
durable»
LE CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES,
vu le traité sur le fonctionnement de l’Union européenne, et en particulier son
article 16,
vu la charte des droits fondamentaux de l’Union européenne, et en particulier ses
articles 7 et 8,
vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995
relative à la protection des personnes physiques à l’égard du traitement des données à
caractère personnel et à la libre circulation de ces données1,
vu le règlement (CE) no 45/2001 du Parlement européen et du Conseil du
18 décembre 2000 relatif à la protection des personnes physiques à l’égard du
traitement des données à caractère personnel par les institutions et organes
communautaires et à la libre circulation de ces données, et en particulier son
article 28, paragraphe 22,
vu la décision-cadre 2008/977/JAI du Conseil du 27 novembre 20083 relative à la
protection des données à caractère personnel traitées dans le cadre de la coopération
policière et judiciaire en matière pénale,
A ADOPTÉ LE PRÉSENT AVIS:
1
JO L 281 du 23.11.1995, p. 31.
JO L 8 du 12.1.2001, p. 1.
3
JO L 350 du 30.12.2008, p. 60.
Adresse postale: rue Wiertz 60 – B-1047 Bruxelles
Bureaux: rue Montoyer 30
Courriel: [email protected] – Site Internet: www.edps.europa.eu
Tél.: 02-283 19 00 – Fax: 02-283 19 50
2
I.
INTRODUCTION
I.1 Consultation du Contrôleur européen de la protection des données (CEPD)
1. Le 8 avril 2014, la Commission a adopté une communication au Parlement
européen et au Conseil intitulée «Une nouvelle ère de l’aviation: Ouvrir le marché
de l’aviation à l’utilisation civile de systèmes d’aéronefs télépilotés, d’une manière
sûre et durable» (ci-après la «communication»)4.
2. Les systèmes d’aéronefs télépilotés (RPAS, «Remotely Piloted Aircraft Systems»)
sont des systèmes d’aéronefs pilotés à distance ou, en d’autres termes, des aéronefs
qui peuvent voler sans pilote à leur bord. La plupart du temps, ces appareils ne sont
pas utilisés comme de simples systèmes d’aéronefs et sont équipés de dispositifs,
tels que des caméras, des microphones, des capteurs ou des systèmes GPS, qui
permettent de traiter des données à caractère personnel.
3. Comme cela sera précisé dans le présent avis, les droits à la vie privée et familiale
et à la protection des données, tels que garantis par l’article 8 de la Convention des
droits de l’homme du Conseil de l’Europe et par les articles 7 et 8 de la charte des
droits fondamentaux de l’Union, s’appliquent à cette nouvelle technologie. De
plus, les systèmes d’aéronefs télépilotés doivent être examinés avec beaucoup
d’attention étant donné qu’ils présentent la même capacité de violation grave des
droits à la vie privée et familiale et à la protection des données que les technologies
en ligne examinées par la Cour de justice de l’Union européenne dans les arrêts
Digital Rights Ireland5 et Google Spain/AEPD6.
4. Le CEPD se réjouit d’avoir été consulté par la Commission à propos de cette
communication.
I.2. Contexte et objectifs de la communication
5. L’objectif de cette communication est d’ouvrir le marché de l’aviation à
l’utilisation civile des systèmes d’aéronefs télépilotés (ci-après «RPAS» ou
«drones») par opposition à leur utilisation militaire. Cette communication recense
par conséquent les utilisations civiles potentielles les plus répandues, telles que la
surveillance des infrastructures ou la photographie et même le transport des
marchandises et des personnes, et insiste sur l’importance d’autoriser l’introduction
des RPAS commerciaux sur le marché de l’Union européenne tout en préservant
l’intérêt public.
4
COM(2014) 207 final, 8.4.2014.
Affaires jointes C-293/12 et C-594/12, Digital Rights Ireland Ltd/ Minister for Communications,
Marine and Natural Resources, Minister for Justice, Equality and Law Reform, The Commissioner of
the Garda Síochána, Irlande et the Attorney General, et Kärntner Landesregierung, Michael Seitlinger,
Christof Tschohl e.a., arrêt de la Cour (grande chambre) du 8 avril 2014 [demandes de décision
préjudicielle introduites par la High Court (Irlande) et le Verfassungsgerichtshof (Autriche)]
6
Affaire C-131/12, Google Spain SL et Google Inc./Agencia Española de Protección de Datos
(AEPD), arrêt de la Cour du 13 mai 2014.
5
2
6. Même si la communication souligne les avantages économiques et sociaux de
l’utilisation civile des RPAS dans l’Union européenne, notamment en ce qui
concerne les emplois et la croissance, elle fait également remarquer l’absence de
cadre réglementaire adéquat dans la plupart des États membres. Elle souligne dès
lors la nécessité d’harmoniser les politiques en matière de sécurité aérienne des
États membres en ce qui concerne les RPAS et recense les évolutions
technologiques qui seront requises pour exploiter les RPAS en toute sécurité. Elle
aborde les questions relatives à la responsabilité civile et à l’assurance et détermine
les aspects essentiels dont le respect doit être garanti, c’est-à-dire la vie privée, la
protection des données et la sécurité, pour la propagation des RPAS. De plus, elle
annonce que l’Union apportera son soutien au développement du marché et des
industries européennes.
7. Le CEPD prend note du choix de la Commission d’employer l’expression systèmes
d’aéronefs télépilotés7 (ci-après «RPAS») pour désigner les appareils
communément appelés drones. Nous prenons également note du fait que la
communication met l’accent sur les RPAS qui représentent une sous-catégorie des
systèmes d’aéronefs sans pilote à bord (UAS, «Unmanned Aircraft System»)8 et
n’explique pas clairement pourquoi les UAS ne sont pas couverts.
8. La communication mettant l’accent sur l’ouverture du marché de l’aviation à
l’utilisation civile des RPAS, il convient de souligner que l’adjectif «civil» couvre,
dans ce contexte, tous les domaines non couverts par l’utilisation militaire des
RPAS, c’est-à-dire:

les utilisations par les entreprises, les pouvoirs publics et les professionnels
pour surveiller les grandes infrastructures, telles que les ponts, les usines, les
centrales nucléaires et les voies ferrées; pour appliquer les pesticides sur des
terres agricoles, inspecter des réseaux d’électricité, réaliser la cartographie
aérienne, surveiller une zone de concert, sécuriser une zone, livrer des
commandes de pizzas ou de livres, prendre des photographies de mariage ou
rendre compte d’un événement;

les utilisations par les services chargés de faire appliquer la loi qui peuvent
inclure, par exemple, les opérations de recherche et de sauvetage, la réponse
aux catastrophes, la protection et le contrôle des frontières, la protection civile,
la surveillance aérienne, la surveillance de la circulation, l’observation et la
poursuite d’auteurs présumés d’infractions pénales ou l’observation de troubles
civils;
7
RPAS est le terme utilisé par l’Organisation de l’aviation civile internationale (OACI).
Selon les définitions fournies par l’Organisation de l’aviation civile internationale dans la
circulaire 328/190
(disponible
à
l’adresse
http://www.icao.int/Meetings/UAS/Documents/Circular%20328_en.pdf), un système d’aéronef sans
pilote à bord (UAS, «Unmanned Aircraft System») désigne un aéronef et des éléments connexes qui
sont manœuvrés sans pilote à bord tandis qu’un système d’aéronef télépiloté désigne un aéronef dont le
pilote à la manœuvre ne se trouve pas à bord de l’appareil. Il s’agit d’une sous-catégorie d’aéronefs
sans pilote à bord. Un système d’aéronef télépiloté est un ensemble d’éléments configurables à tout
moment de l’opération de vol comprenant un aéronef télépiloté, une (ou des) station(s) de télépilotage
connexe(s), des liaisons requises de commande et de contrôle et tout autre élément requis relevant du
système.
8
3

les autres utilisations «non militaires» qui peuvent inclure les utilisations par
les agences de renseignement, dont certaines peuvent échapper au champ
d’application du droit de l’Union;

les utilisations privées par des citoyens en tant que passe-temps9 (telles que les
activités d’aéromodélisme, la photographie, la technologie de l’information).
9. Cependant, cette liste ne devrait pas être perçue comme étant exhaustive étant
donné que la nature et la portée des utilisations potentielles de RPAS sont difficiles
à anticiper à ce stade10, comme la communication le suggère.
I.3. Objectif de l’avis du CEPD
10. Le cadre juridique de l’Union européenne relatif à la protection des données
s’applique, en principe, dès que des données à caractère personnel sont traitées par
un RPAS exploité dans l’Union11. Conjointement au respect des autres exigences
(y compris les règles en matière de sécurité aérienne, de
certification/d’homologation, de santé, etc.), le respect des exigences en matière de
protection des données et de droit à la vie privée et familiale contribueront au
développement du marché des RPAS au sein de l’Union dans le respect des droits
fondamentaux des personnes physiques concernées. En réalité, seuls les RPAS qui
prendront en compte la protection des données et le respect de la vie privée dès
leur conception seront bien perçus par la société dans son ensemble, c’est-à-dire
non seulement par les autorités de protection des données et les organisations et les
associations de protection des droits fondamentaux à but non lucratif mais
également par l’ensemble de la population.
11. Le CEPD se réjouit dès lors du fait que la communication non seulement souligne
les avantages économiques et sociaux attendus mais détermine également les
aspects essentiels dont le respect doit être garanti, c’est-à-dire la vie privée, la
protection des données et la sécurité, pour la propagation des RPAS12. Leur valeur
ajoutée pour les activités telles que l’agriculture, le journalisme ou la surveillance
des infrastructures est évidente, mais il est crucial de s’assurer que leur utilisation
est conforme à la législation relative à la protection des données dès lors que celleci suppose le traitement de données à caractère personnel. Comme l’indique la
communication de la Commission, le respect des exigences en matière de
protection des données exclut que leurs capacités13 «représent[ent] une menace
pour la vie privée [...] des citoyens»14.
9
Ces activités peuvent inclure les tournages aériens mais également les expérimentations de
«passionnés de technologies de l’information» dans le cadre desquelles différents types de capteurs
peuvent être fixés aux RPAS.
10
Voir la page 3, partie 1, «Les RPAS peuvent offrir une multitude de services nouveaux», de la
communication.
11
À cet égard, nous signalons que les opérations transnationales menées par les RPAS peuvent
soulever des questions liées au droit applicable. Voir également à ce sujet le point 40.
12
Voir la page 7, partie 3.4 de la communication, sur la protection des droits fondamentaux des
citoyens.
13
Leur mobilité (vitesse et changements d’altitude) et leurs capacités générales (autonomie, vols
silencieux et capteurs mentionnés précédemment).
14
Voir la page 4 de la communication.
4
12. Le présent avis recense plusieurs situations dans le cadre desquelles les RPAS
traitent des données à caractère personnel et au titre desquelles les responsables du
traitement sont par conséquent soumis au cadre applicable existant en matière de
protection des données. Il répond à la demande de consultation soumise au CEPD à
propos de la communication et a pour objectif de veiller à ce que la législation
ultérieure à ce sujet tienne pleinement compte de la protection des données. Il vise
également à sensibiliser le public dans son ensemble (les fabricants, les
responsables du traitement des données et les personnes concernées) à cet égard.
13. Le présent avis n’a pas pour objet d’analyser toutes les exigences en matière de
protection des données qui devraient être respectées en ce qui concerne
l’exploitation des RPAS. Cet aspect pourrait faire l’objet de lignes directrices de la
part des autorités nationales de protection des données, du groupe de travail
«Article 29» ou même du CEPD au titre de son rôle de supervision si des RPAS
étaient utilisés par les institutions et organes de l’Union pour traiter des données à
caractère personnel.
II.
COMMENTAIRES GÉNÉRAUX
II.1. Dans la plupart de leurs utilisations, les RPAS traitent des données à
caractère personnel
14. En tant que tels, les RPAS sont des systèmes d’aéronefs, qui ne traitent pas en soi
de données à caractère personnel. Cependant, comme cela est expliqué dans la
communication15, lorsqu’ils sont associés à d’autres technologies, les RPAS
donnent accès à de nombreuses applications et à des utilisations très variées
d’ordre privé, commercial ou professionnel ou relevant des domaines du
renseignement ou de l’application de la loi.
15. La plupart du temps, ces technologies permettent ou supposent le traitement de
données à caractère personnel et déclenchent l’application du cadre relatif à la
protection des données. Par exemple, de nombreux RPAS qui seront mis sur le
marché seront équipés d’un dispositif de caméra vidéo accompagné d’un logiciel
spécialisé de traitement du flux vidéo. Cette caméra vidéo et son logiciel spécialisé
peuvent être dotés de capacités telles qu’un zoom très puissant, la reconnaissance
faciale, le profilage comportemental, la détection de mouvements ou la
reconnaissance de plaques d’immatriculation16. Les RPAS peuvent également être
équipés de capteurs WiFi, de microphones et de systèmes d’enregistrement audio,
de capteurs de traitement de données biométriques, de systèmes GPS de traitement
de l’emplacement de la personne filmée ou de systèmes de lecture des adresses IP
de tous les dispositifs situés dans un bâtiment que le RPAS survole. Les
technologies embarquées peuvent également donner la possibilité de suivre les
dispositifs équipés de puces d’identification par radiofréquence (RFID) ainsi que
les personnes et les véhicules équipés de ce matériel.
15
Voir la page 1, titre 1.
Plus tard, ces technologies pourraient être complétées par des capteurs thermiques, des systèmes de
vision nocturne, des radars à ouverture synthétique et des systèmes de visualisation à travers les
matériaux (plafonds/parois) et être associées à des algorithmes et ultérieurement à des systèmes
d’intelligence artificielle.
16
5
16. Les technologies embarquées donneront ainsi la possibilité de collecter,
d’enregistrer, d’organiser, de stocker, d’utiliser et de combiner des données qui
permettront aux exploitants d’identifier directement ou indirectement des
personnes physiques17. Cette identification pourra être effectuée par un opérateur
humain, au moyen d’une analyse automatique de l’image capturée dans une base
de données existante à l’aide d’un programme de reconnaissance faciale, par
balayage pour détecter la présence d’un téléphone intelligent et utiliser celui-ci
pour identifier la personne concernée, en utilisant les des puces RFID dans les
passeports, etc. Ainsi, les RPAS peuvent être utilisés pour traiter des données à
caractère personnel, au sens de l’article 2, point a), de la directive 95/46/CE18.
II.2. Les RPAS permettent de traiter plus de données à caractère personnel que
les avions et les systèmes de télévision en circuit fermé (CCTV)
17. Le CEPD estime qu’il convient de distinguer tout d’abord les RPAS des systèmes
d’aéronefs avec pilote, étant donné que les capacités embarquées peuvent révéler
bien plus d’informations que l’œil nu. Les RPAS peuvent être utilisés avec des
technologies qui améliorent la vision humaine et capturent des détails que l’être
humain ne peut pas voir. De plus, leur «mobilité» et leur «discrétion» sont des
caractéristiques qui leur permettent d’être utilisés dans beaucoup plus de situations
que les systèmes d’aéronefs avec pilote.
18. Deuxièmement, les RPAS équipés de caméras vidéo ont évidemment de nombreux
points communs avec les systèmes de télévision en circuit fermé (CCTV). Ils
donnent des possibilités d’enregistrement continu ou de déclenchement
d’enregistrements à l’aide, par exemple, de la détection de mouvements.
Cependant, leur mobilité et leur discrétion offrent davantage d’usages qui sont
également de plus en plus variés. En d’autres termes, les RPAS donnent des ailes
aux caméras les plus sophistiquées. Par exemple, les RPAS permettent de capturer
des images qui ne seraient pas disponibles si la caméra était rattachée à un système
terrestre (propriétés privées équipées de clôtures élevées, terrasses surélevées,
jardins). De plus, contrairement aux caméras qui sont la plupart du temps visibles,
les RPAS ne sont pas toujours visibles depuis le sol. Leur mobilité et leur
discrétion facilitent le suivi des personnes physiques. La nécessité de masquer les
parties des zones filmées pour respecter la vie privée des personnes soulève
davantage de difficultés en raison de leur mobilité constante et des possibilités de
zoom.
19. De plus, lorsqu’ils sont associés à d’autres technologies, les RPAS peuvent devenir
des outils de surveillance extrêmement puissants. Comme ils peuvent être équipés
de nombreux capteurs, être utilisés pour de la surveillance systématique (officielle
et secrète) de personnes physiques ou de groupes (en cas de manifestation par
exemple) et être extrêmement polyvalents (capacité de déplacement presque sans
limites), les RPAS offrent un niveau de surveillance supérieur. Ils peuvent par
exemple survoler des jardins clôturés, suivre des personnes physiques dans la rue
et détecter et comptabiliser le nombre de personnes physiques présentes dans un
17
Voir par exemple http://www.mmu.ac.uk/news/news-items/2211/
Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection
des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre
circulation de ces données.
18
6
bâtiment ou dans une pièce donnée. Ils peuvent être extrêmement intrusifs en
raison de leur capacité de transport technologique et du fait qu’ils peuvent être de
grande taille et visibles ou de petite taille et presque invisibles (opération
clandestine, secrète).
20. Par conséquent, la plupart des différents usages des RPAS décrits au point 15 du
présent avis (tournage vidéo, enregistrement audio, capteurs biométriques, etc.)
constituent une atteinte au droit à la vie privée et familiale garanti par l’article 8 de
la convention des droits de l’homme du Conseil de l’Europe (ci-après la «CEDH»)
et par l’article 7 de la charte des droits fondamentaux de l’Union européenne (ciaprès la «charte»). En outre, étant donné que la plupart de ces usages incluent le
traitement de données à caractère personnel, les conditions relatives à ce traitement
qui sont énoncées dans l’article 8 de la charte doivent également être respectées.
21. Par conséquent, il est crucial que les RPAS soient développés sur le marché de
l’Union, comme cela est souligné par la communication, en respectant pleinement
le droit fondamental à la vie privée et familiale garanti par l’article 8 de la CEDH
et par l’article 7 de la charte ainsi que le droit à la protection des données à
caractère personnel, tel qu’il est garanti par l’article 8 de la charte.
22. La législation relative à la protection des données prévoit plusieurs exigences et
garanties, qui permettent au responsable du traitement de traiter des données à
caractère personnel, sous réserve que les RPAS soient utilisés de manière
transparente et légale. Celui-ci doit par ailleurs informer les personnes concernées
des opérations menées à l’aide des RPAS lorsqu’elles supposent le traitement de
leurs données à caractère personnel. Étant donné que les RPAS sont pilotés à
distance, les responsables du traitement doivent non seulement se concentrer sur le
pilotage mais également souligner les conséquences éventuelles de l’utilisation des
RPAS. L’examen des droits des personnes à une vie privée et à la protection de
leurs données devrait leur faire prendre conscience des conséquences de leurs
actes.
II.3. Conséquence: l’utilisation des RPAS à des fins civiles doit respecter les droits
fondamentaux en matière de protection des données et de vie privée
23. L’utilisation des RPAS à des fins civiles doit respecter les droits fondamentaux en
matière de protection des données et de vie privée. Le CEPD se réjouit par
conséquent de la mention dans la communication du cadre juridique de l’Union
européenne relatif à la protection des données et de l’insertion d’un chapitre 3.4
consacré aux droits fondamentaux. Dans cette partie du présent avis, nous allons
fournir davantage d’explications sur ce cadre et son application aux différentes
situations dans lesquelles les RPAS peuvent être utilisés.
Les droits à la vie privée et à la protection des données sont des droits fondamentaux
conférés aux personnes physiques dans l’Union européenne
24. Comme indiqué ci-dessus, le droit à la vie privée est un droit fondamental consacré
par l’article 8 de la CEDH et l’article 7 de la charte. Toute atteinte à ce droit ne
doit être autorisée qu’aux conditions énoncées à l’article 8, paragraphe 2, de la
CEDH et à l’article 52, paragraphe 1, de la charte.
7
25. En outre, le droit fondamental à la protection des données, consacré par l’article 8
de la charte et l’article 16 du traité sur le fonctionnement de l’Union européenne
(ci-après le «TFUE»), s’applique au traitement des données à caractère personnel.
Les États membres et les institutions de l’Union ont l’obligation positive de
s’assurer que le traitement de données à caractère personnel au moyen de RPAS, à
des fins commerciales ou professionnelles, d’application de la loi ou de
renseignement ou encore à des fins privées, respecte les éléments essentiels visés à
l’article 8 de la charte ainsi que les règles plus précises énoncées dans le droit
européen dérivé.
26. En vertu du droit dérivé, la directive 95/46/CE, la décision-cadre 2008/977/JHA du
Conseil19, le règlement (CE) no 45/2001 et la directive 2002/58/CE20, tels
qu’interprétés par la Cour de justice de l’Union (ci-après la «Cour de justice»),
énoncent de manière détaillée les conditions et les garanties en matière de
traitement licite des données à caractère personnel. La convention 108 du Conseil
de l’Europe pour la protection des personnes à l’égard du traitement automatisé des
données à caractère personnel fournit également des garanties pertinentes.
27. L’articulation de ces droits avec les différentes finalités possibles liées à
l’utilisation des RPAS pour le traitement des données à caractère personnel est
expliquée dans les points suivants.
Attentes relatives à protection de la vie privée et des données à caractère personnel
dans l’espace public de l’Union européenne
28. Dans l’Union européenne, contrairement à d’autres juridictions21, la situation
géographique dans un espace privé ou public n’est pas un critère pertinent pour
déterminer si le droit à la vie privée et le droit à la protection des données
s’appliquent ou non.
29. Comme le rappelle la Cour européenne des droits de l’homme dans son arrêt dans
l’affaire Von Hannover/Allemagne22, «la notion de vie privée comprend des
éléments se rapportant à l’identité d’une personne, tels que son nom, sa photo, son
intégrité physique et morale; la garantie offerte par l’article 8 de la Convention est
principalement destinée à assurer le développement, sans ingérences extérieures,
de la personnalité de chaque individu dans les relations avec ses semblables. Il
existe donc une zone d’interaction entre l’individu et des tiers qui, même dans un
contexte public, peut relever de la vie privée. La publication d’une photo interfère
dès lors avec la vie privée d’une personne, même si cette personne est une
19
Décision-cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à
caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale.
20
Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le
traitement des données à caractère personnel et la protection de la vie privée dans le secteur des
communications électroniques (directive vie privée et communications électroniques).
21
Voir la jurisprudence des États-Unis sur la surveillance aérienne selon laquelle les forces de l’ordre
peuvent valablement survoler un jardin et détecter des éléments constitutifs d’une infraction pénale. Cet
acte ne constitue pas une intrusion dans la vie privée de la personne concernée car «toute personne en
vol dans cet espace aérien qui aurait regardé au sol aurait pu voir ce que ces agents ont observé». Cour
suprême des États-Unis, 1986, Californie c. Ciraolo.
22
Requêtes nos 40660/08 et 60641/08, affaire Von Hannover/Allemagne (no 2), arrêt de la grande
chambre de la Cour européenne des droits de l’homme du 7 février 2012.
8
personne publique»23. La Cour a rappelé que, «dans certaines circonstances, une
personne, même connue du public, peut se prévaloir d’une "espérance légitime" de
protection et de respect de sa vie privée»24.
30. Par conséquent, les personnes physiques dans un espace public, qu’il s’agisse ou
non d’une personnalité publique, peuvent toujours faire valoir, par exemple, leur
droit au respect de leur vie privée et familiale, c’est-à-dire le droit à ne pas être
visées par un objectif à focale variable ou un microphone directionnel ou à être
protégées de la communication au public de l’ensemble de leurs déplacements, du
suivi de leurs déplacements ou de l’enregistrement de leurs conversations.
31. Parallèlement, le traitement des données à caractère personnel déclenche
l’application du cadre européen relatif à la protection des données, quel que soit
l’endroit où cette opération se déroule, que ce soit dans un espace public ou privé,
dès lors que le traitement est effectué dans le cadre des activités d’un établissement
du responsable du traitement dans l’Union européenne ou avec des équipements ou
des moyens localisés dans l’Union25.
32. Même si les progrès technologiques permettront d’accroître considérablement la
surveillance des personnes physiques dans l’espace public ou même dans les
espaces privés (tels que leur domicile, leur balcon ou leur jardin) et le traitement
d’une quantité plus importante de données à caractère personnel, ces droits
resteront valables et leurs garanties ne seront pas affaiblies.
Applicabilité du cadre relatif à la protection des données à l’usage des RPAS pour les
activités privées, en particulier par des amateurs
33. Le droit à la protection des données ne s’applique pas dans le nombre restreint
d’exceptions prévues à l’article 3, paragraphe 2, de la directive 95/46/CE. Parmi
celles-ci, l’exception applicable aux activités domestiques peut être pertinente dans
un faible nombre d’usages des RPAS. Le droit à la protection des données est ainsi
exclu lorsque le traitement des données à caractère personnel est strictement limité
à un traitement effectué par une personne physique pour l’exercice d’activités
exclusivement personnelles ou domestiques. Le considérant 12 fait référence à
l’exercice d’activités exclusivement personnelles ou domestiques qui sont exclues
du champ d’application de la directive, en mentionnant comme exemples la
correspondance et la tenue de répertoires d’adresses.
34. Dans son arrêt dans l’affaire Bodil Lindqvist26, la Cour de justice a clarifié que
l’exception prévue à l’article 3, paragraphe 2, second tiret, de la directive 95/46
concernait «uniquement les activités qui s’insèrent dans le cadre de la vie privée
ou familiale des particuliers, ce qui n’est manifestement pas le cas du traitement de
données à caractère personnel consistant dans leur publication sur Internet de
sorte que ces données sont rendues accessibles à un nombre indéfini de
personnes».
23
Voir le point 95 de l’arrêt précité.
Voir le point 97 de l’arrêt précité.
25
Voir article 4, paragraphe 1, points a) et c), de la directive 95/46/CE.
26
Affaire C-101/01, Bodil Lindqvist, arrêt du 6 novembre 2003, points 46 et 47.
24
9
35. Par conséquent, le traitement de données à caractère personnel au moyen de RPAS
par des utilisateurs privés ne relève pas de l’exception prévue pour les activités
domestiques lorsque les RPAS sont utilisés pour partager ou même publier des
images/captures sonores/vidéos qui en résultent ou des données qui permettent
d’identifier directement ou indirectement des personnes physiques sur Internet et,
par conséquent, qui sont accessibles par un nombre indéfini de personnes (par
exemple par un réseau social).
36. De plus, dans l’annexe à sa déclaration sur les discussions en cours concernant le
train de réformes relatives à la protection des données27, le groupe de travail
«Article 29» a proposé une série de critères pour déterminer si un traitement est
effectué à des fins personnelles ou domestiques28. Lorsque ces critères sont
appliqués aux RPAS, on peut souvent en conclure que l’exception prévue pour les
activités domestiques ne s’applique pas dans la plupart des cas.
37. Comme indiqué dans le document, «aucun de ces critères n’est en lui-même
nécessairement déterminant. Cependant, une combinaison de ces facteurs doit être
utilisée pour déterminer si un traitement particulier relève du champ d’application
prévu pour le traitement personnel ou domestique». Pour ce faire, il faut
déterminer:
 si les données à caractère personnel sont diffusées à un nombre indéfini de
personnes plutôt qu’à un groupe limité d’amis, de membres d’une famille ou de
connaissances;
 si les données à caractère personnel concernent des personnes physiques qui
n’ont pas de relation personnelle ou familiale avec la personne qui les publie,
 si l’ampleur et la fréquence du traitement des données à caractère personnel
suggèrent une activité professionnelle ou à temps plein,
 s’il existe des éléments probants montrant que plusieurs personnes agissent
ensemble de manière collective et organisée,
 s’il existe un préjudice potentiel pour des personnes physiques, y compris une
intrusion dans leur vie privée.
38. Si l’on jauge à l’aune de ces critères l’utilisation des RPAS par des utilisateurs
privés/citoyens à des fins privées ou en tant que passe-temps ainsi que le traitement
des données à caractère personnel qui en résulte, on en conclut que le traitement
effectué par ces RPAS peut remplir plusieurs de ces critères et sans nécessairement
être couvert par le champ d’application de l’exception prévue pour les activités
domestiques. Par exemple, des données à caractère personnel peuvent être
diffusées à un nombre indéfini de personnes plutôt qu’à un groupe limité d’amis,
de membres d’une famille ou de connaissances. Cela a été le cas par exemple
lorsqu’un film d’une ville française qui avait été enregistré à l’aide d’un RPAS a
été publié sur un site web de partage de vidéos. De plus, si des RPAS sont utilisés à
des fins privées dans des espaces publics, il est probable que de nombreuses
personnes physiques qui n’ont aucun lien personnel avec le pilote voient leurs
27
Déclaration du groupe de travail sur les discussions en cours concernant le train de réformes relatives
à la protection des données, 27.2.2013, disponible sur http://ec.europa.eu/justice/data-protection/article29/documentation/other-document/files/2013/20130227_statement_dp_reform_package_en.pdf
28
Annexe 2, propositions de modifications de l’exception prévue pour les activités personnelles ou
familiales, disponible sur http://ec.europa.eu/justice/data-protection/article-29/documentation/otherdocument/files/2013/20130227_statement_dp_annex2_en.pdf.
10
données collectées ou puissent accéder aux données. L’échelle et la fréquence
peuvent varier de manière importante en fonction des amateurs concernés qui
peuvent rejoindre des clubs ou des associations et peuvent parfois, mais pas
nécessairement et systématiquement, agir de manière collective et organisée. Le
dernier critère est encore plus pertinent puisqu’il existe un préjudice potentiel
indéniable pour les personnes physiques, c’est-à-dire une intrusion dans leur vie
privée.
39. On peut conclure de cette analyse que les utilisations des RPAS par des personnes
physiques à des fins privées peuvent être soumises, très fréquemment, aux
exigences de la directive 95/46/CE. En tout état de cause, comme condition
préalable pour les règles en matière de protection des données, le traitement de
données à caractère personnel doit respecter la législation à tous les égards. Cela
signifie que les règles pertinentes dans d’autres domaines, tels que le droit civil ou
pénal, la propriété intellectuelle, le droit de l’aviation ou le droit de
l’environnement, doivent également être respectées.
Applicabilité du cadre relatif à la protection des données à l’utilisation des RPAS à
des fins commerciales ou professionnelles et administratives
40. Le traitement de données à caractère personnel au moyen d’un RPAS à des fins
commerciales ou professionnelles doit respecter la législation nationale transposant
la directive 95/46/CE si le responsable du traitement est établi sur le territoire de
l’Union ou utilise des équipements situés sur le territoire d’un État membre de
l’Union29. Le champ d’application territorial de la directive a été récemment
clarifié par la Cour de justice dans son arrêt Google Spain/AEPD30. Dans cet arrêt,
la Cour a tenu compte de plusieurs éléments, tels que la présence d’un
établissement sur le territoire d’un État membre de l’Union et la relation entre les
activités de cet établissement et le traitement des données en question, pour se
prononcer sur l’applicabilité de la législation européenne relative à la protection
des données à un traitement effectué en ligne par une entreprise dont
l’établissement principal se trouve à l’extérieur de l’Union. L’article 3 de la
proposition de règlement général sur la protection des données31 (ci-après le
«RGPD»), qui est toujours en cours de négociation, pourrait étendre ce champ
d’application au traitement de données à caractère personnel «dans le cadre des
activités d’un établissement d’un responsable du traitement ou sous-traitant situé
sur le territoire de l’Union»32 et au «traitement des données à caractère personnel
29
Conformément à l’article 4, paragraphe 1, de la directive 95/46/CE. Conformément à l’article 4,
paragraphe 1, point c), l’utilisation d’équipements sur le territoire de l’Union à des fins de traitement
des données à caractère personnel doit respecter les règles nationales de protection des données dans
cette juridiction. Cela peut avoir des conséquences pour les drones pilotés dans le cadre d’activités
transnationales, notamment en ce qui concerne la question de savoir si le drone, en tant qu’équipement,
est utilisé pour traiter des données à caractère personnel sur le territoire de l’Union. Pour d’autres
orientations, voir l’avis 8/2010 sur la législation applicable du groupe de travail «Article 29», qui a été
adopté le 16 décembre 2010.
30
Affaire C-131/12, Google Spain SL et Google Inc./Agencia Española de Protección de Datos
(AEPD), arrêt de la Cour du 13 mai 2014.
31
COM(2012) 11 final, proposition de règlement du Parlement européen et du Conseil relatif à la
protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la
libre circulation de ces données (règlement général sur la protection des données), 25.1.2012.
32
Voir l’article 3, paragraphe 1, du RGPD.
11
appartenant à des personnes concernées ayant leur résidence sur le territoire
l’Union, par un responsable du traitement qui n’est pas établi dans l’Union,
lorsque les activités de traitement sont liées: a) à l’offre de biens ou de services à
ces personnes concernées dans l’Union; ou b) à l’observation de leur
comportement»33.
41. Les fabricants et les responsables du traitement de RPAS doivent par conséquent
tenir compte des exigences établies dans la législation applicable en matière de
protection des données ainsi que des bonnes pratiques dérivées du cadre de
protection des données applicable. Ils doivent notamment tenir compte du respect
de la vie privée dès la conception ainsi que par défaut et réalise des analyses
d’impact relatives à la protection des données (ci-après «AIPD») lorsque les
opérations de traitement présentent des risques particuliers pour les droits et les
libertés des personnes concernées du fait de leur nature, de leur portée ou de leurs
finalités. Ces pratiques doivent d’autant plus être prises en compte qu’elles
découlent non seulement des obligations énoncées dans le cadre actuel mais
également en raison du fait qu’elles seront clairement énoncées dans la proposition
de RGPD34 qui remplacera le cadre actuel.
Applicabilité du cadre de protection des données à l’utilisation des RPAS à des fins
journalistiques
42. L’article 935 et le considérant 17 de la directive 95/46/CE abordent le traitement de
données à caractère personnel à des fins de journalisme, en donnant la possibilité
aux États membres de prévoir des exemptions ou des dérogations aux dispositions
de son chapitre II sur la licéité des traitements de données à caractère personnel, de
son chapitre IV sur le transfert de données à caractère personnel vers des pays tiers
et de son chapitre VI sur l’autorité de contrôle et sur le groupe de protection des
personnes à l’égard du traitement des données à caractère personnel, si celles-ci
s’avèrent nécessaires pour concilier le droit à la vie privée avec les règles régissant
la liberté d’expression.
43. Néanmoins, comme cela a été précisé par la Cour de justice dans l’arrêt
Satamedia36, «des activités […] peuvent être qualifiées d’"activités de
journalisme", si elles ont pour finalité la divulgation au public d’informations,
d’opinions ou d’idées, sous quelque moyen de transmission que ce soit». La simple
publication de données sur Internet ou dans un journal, sans une telle finalité, n’est
pas suffisante pour relever de l’exception prévue pour le journalisme.
33
Voir l’article 3, paragraphe 2, du RGPD.
Voir l’article 30, paragraphe 3, du RGPD concernant le respect de la vie privée dès la conception et
par défaut et l’article 33 sur les analyses d’impact relatives à la protection des données.
35
L’article 9 de la directive 95/46/CE prévoit les dispositions suivantes: «Traitements de données à
caractère personnel et liberté d’expression
Les États membres prévoient, pour les traitements de données à caractère personnel effectués aux
seules fins de journalisme ou d’expression artistique ou littéraire, des exemptions et dérogations au
présent chapitre, au chapitre IV et au chapitre VI dans la seule mesure où elles s’avèrent nécessaires
pour concilier le droit à la vie privée avec les règles régissant la liberté d’expression».
36
Voir le point 61 de l’affaire C-73/07, Tietosuojavaltuutettu/Satakunnan Markkinapörssi Oy et
Satamedia Oy, arrêt de la Cour (grande chambre) du 16 décembre 2008.
34
12
44. L’utilisation de RPAS à des fins de journalisme relèvera par conséquent des
mesures nationales de mise en œuvre de cet article. Pour éviter les problèmes
transfrontaliers qui pourraient survenir en raison de lacunes, le CEPD conseille à la
Commission de travailler en étroite collaboration avec le groupe de travail
«Article 29» à propos des directives particulières liées à l’utilisation des RPAS par
des journalistes. Cependant, cette conclusion peut ne pas s’appliquer entièrement si
les mesures nationales ne visent pas le traitement des données à caractère
personnel, à des fins de journalisme ou non, mais l’utilisation même des RPAS en
général.
Applicabilité du cadre de protection des données à l’utilisation des RPAS à des fins
d’application de la loi
45. Les autorités chargées de faire appliquer la loi qui traitent des données à caractère
personnel au moyen de RPAS doivent respecter le droit fondamental à la vie privée
consacré par l’article 8 de la CEDH et l’ingérence dans l’exercice de ce droit doit
être effectuée conformément à l’article 8, paragraphe 2, de la CEDH et à la
jurisprudence correspondante de la Cour européenne des droits de l’homme. Par
conséquent, leurs activités doivent se dérouler conformément à la législation, c’està-dire en fonction d’une loi ou tel que cela est prescrit par la loi, cette loi étant
accessible publiquement pour que les citoyens puissent obtenir des informations
sur les modalités d’ingérence dans l’exercice de leurs droits. Il convient également
que cette loi soit prévisible, ce qui signifie qu’elle devrait être suffisamment claire
et détaillée pour que les citoyens puissent prévoir dans quels cas ils peuvent être
soumis à des mesures supposant l’utilisation de RPAS. Les méthodes et les types
d’utilisations des RPAS par les autorités chargées de faire appliquer la loi ne
doivent pas être tenus secrets. Cette utilisation doit servir l’un des objectifs
légitimes énoncés à l’article 8, paragraphe 2, de la CEDH et être nécessaire dans
une société démocratique, c’est-à-dire répondre à un «besoin social impérieux». La
Cour européenne des droits de l’homme a appliqué ces exigences à l’ingérence
d’autorités chargées de faire appliquer la loi dans l’exercice du droit à la vie privée
dans son arrêt S. et Marper37.
46. Le traitement de données à caractère personnel par des autorités chargées de faire
appliquer la loi relève des articles 7 et 8 de la charte et de l’article 16 TFUE. Ces
instruments énoncent des exigences en matière de protection des droits
fondamentaux à la vie privée et familiale et à la protection des données, qui sont
complétées par des règles plus détaillées dans le droit européen dérivé. Par
exemple, si des RPAS sont utilisés dans le cadre d’une coopération policière et
judiciaire en matière pénale, tout échange entre des États membres de données à
caractère personnel recueillies à l’aide de RPAS devra être conforme aux
exigences énoncées dans la décision-cadre 2008/977/JAI du Conseil du
37
Recours nos 30562/04 et 30566/04, affaire S. et Marper c. Royaume-Uni, arrêt de la grande chambre
de la Cour européenne des droits de l’homme du 4 décembre 2008.
13
27 novembre 2008 relative à la protection des données à caractère personnel
traitées dans le cadre de la coopération policière et judiciaire en matière pénale38.
47. Des règles plus détaillées sont également accessibles dans des instruments
internationaux particuliers auxquels tous les États membres de l’Union sont parties.
En ce qui concerne le traitement des données à caractère personnel, les exigences
énoncées dans la convention 108 du Conseil de l’Europe et dans la
recommandation n° R(87)15 du Comité des ministres aux États membres visant à
réglementer l’utilisation de données à caractère personnel dans le secteur de la
police doivent être respectées par les autorités traitant des données à caractère
personnel à des fins d’application de la loi et de sécurité nationale.
48. Par conséquent, les garanties nécessaires en matière de protection des données
s’appliquent à tout traitement intrusif par des autorités chargées de faire appliquer
la loi, comme cela a été rappelé par la Cour de justice dans son arrêt Digital Rights
Ireland39.
49. Il convient plus particulièrement de veiller à ce que les autorités chargées de faire
appliquer la loi utilisent uniquement les RPAS dans le cadre d’une enquête
particulière lorsque leur utilisation est jugée nécessaire et lorsqu’aucun autre
moyen moins intrusif peut être utilisé aux mêmes fins. Nous attirons également
l’attention sur les restrictions en matière de protection des données applicables aux
décisions automatiquement exécutées.
Applicabilité du cadre à l’utilisation des RPAS à des fins de services de
renseignement
50. Selon l’article 4, paragraphe 2, du traité sur l’Union européenne (ci-après le «traité
UE»), «[l]a sécurité nationale reste de la seule responsabilité de chaque État
membre». La Cour de justice a confirmé que l’utilisation des RPAS à des fins
autres que celles relevant du champ d’application du traité, telles que le
renseignement, doit cependant respecter les principes fondamentaux de nécessité et
de proportionnalité énoncés à l’article 8 de la CEDH tels qu’ils sont interprétés par
la jurisprudence de la Cour européenne des droits de l’homme (voir ci-dessus)40.
De plus, l’exception énoncée à l’article 4, paragraphe 2, doit être interprétée de
manière stricte41 de telle sorte que les activités des agences de renseignement qui
relèvent du champ d’application de la législation européenne (par exemple la
surveillance pour la politique étrangère, l’application de la loi ou à des fins
purement commerciales) soient tenues de respecter ces principes.
38
Voir cependant l’exposé des motifs de la proposition de directive du Parlement européen et du
Conseil relative à la protection des personnes physiques à l’égard du traitement des données à caractère
personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales,
d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation
de ces données/*COM/2012/010 final - 2012/0010 (COD). Voir plus particulièrement la page 2,
paragraphe 2.
39
Arrêt dans les affaires jointes C-293/12 et C-594/12, Digital Rights Ireland et Seitlinger e.a.
40
Arrêt dans les affaires jointes C-465/00 C-138/01 et C-139/01, Rundfunk, points 72 et 91.
41
Arrêt dans l’affaire C-222/84, Marguerite Johnston/Chief Constable of the Royal Ulster
Constabulary.
14
51. Cela a été rappelé par le CEPD dans l’avis sur la communication de la Commission
au Parlement européen et au Conseil relative au «rétablissement de la confiance
dans les flux de données entre l’Union européenne et les États-Unis»42, qui indique
que: «Lors de la mise en œuvre d’une activité de surveillance impliquant un
nouveau traitement, la nécessité d’une autorisation de l’activité par un juge ou
toute autre autorité indépendante réduirait le risque d’abus en garantissant que la
nécessité et la proportionnalité soient déterminées au moment de prendre des
décisions qui affectent la vie privée des citoyens. Cette autorisation devrait
comporter une évaluation de la nécessité et de la proportionnalité de la mesure,
prévoir éventuellement des garanties appropriées et être limitée dans le temps»43.
52. Le groupe de travail «Article 29» a également souligné44 que «[l] es programmes de
surveillance fondés sur la collecte généralisée et non ciblée de données à caractère
personnel ne peuvent en aucun cas satisfaire aux exigences de nécessité et de
proportionnalité fixées dans ces principes de protection des données. Les limites
imposées aux droits fondamentaux doivent être interprétées de manière restrictive,
conformément à la jurisprudence de la Cour européenne des droits de l’homme et de
la Cour de justice de l’Union européenne. En conséquence, toute ingérence doit être
nécessaire et proportionnée par rapport au but à atteindre ».
III. REMARQUES PARTICULIÈRES
53. Le CEPD souhaite adresser ces remarques particulières à la Commission pour
faciliter l’introduction rapide des RPAS sur le territoire de l’Union en veillant à ce
que les futures mesures et décisions relatives à l’élaboration des politiques liées
aux RPAS tiennent compte des exigences relatives au respect de la vie privée et de
la protection des données.
III.1. Champ de l’intervention politique de l’Union européenne relative aux
RPAS
54. Actuellement, la Commission n’est pas compétente pour la réglementation des
RPAS de moins de 150 kg45 et seule l’Agence européenne de la sécurité aérienne
42
Voir l’avis du CEPD du 20 février 2014 sur la communication de la Commission au Parlement
européen et au Conseil relative au «rétablissement de la confiance dans les flux de données entre
l’Union européenne et les États-Unis» et sur la communication de la Commission au Parlement
européen et au Conseil relative au «fonctionnement de la sphère de sécurité du point de vue des
citoyens
de
l’UE
et
des
entreprises
établies
sur
son
territoire»,
https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinion
s/2014/14-02-20_EU_US_rebuliding_trust_FR.pdf .
43
Voir le point 75 de l’avis précité.
44
Voir l’avis 04/2014 sur la surveillance des communications électroniques à des fins de
renseignement et de sécurité nationale, adopté le 10 avril 2014, 819/14/EN WP 215, page 6, disponible
à
l’adresse
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2014/wp215_fr.pdf.
45
Voir en particulier le règlement de l’Union européenne concernant des règles communes dans le
domaine de l’aviation civile qui s’applique uniquement aux RPAS de plus de 150 kg et son annexe II
Aéronefs visés à l’article 4, paragraphe 4 du règlement (CE) n° 216/2008 du Parlement européen et du
Conseil du 20 février 2008 concernant des règles communes dans le domaine de l’aviation civile et
instituant une Agence européenne de la sécurité aérienne, et abrogeant la directive 91/670/CEE du
Conseil, le règlement (CE) n° 1592/2002 et la directive 2004/36/CE, i)«l’article 4, paragraphes 1, 2 et 3
ne s’applique pas aux aéronefs qui entrent dans une ou plusieurs des catégories ci-après: […] les
aéronefs sans pilote dont la masse en ordre d’exploitation n’excède pas 150 kg;».
15
est compétente pour la réglementation des RPAS de plus de 150 kg. Cependant,
comme cela a été mentionné précédemment, les opérations des RPAS, quel que
soit le poids de l’aéronef, sont soumises au cadre européen et de l’Union relatif à la
protection des données et à la législation nationale qui le met en œuvre dans la
mesure où ces opérations supposent le traitement de données à caractère personnel.
À cet égard, l’Union européenne devrait jouer un rôle de premier plan dans la
sensibilisation des fabricants, des utilisateurs et des personnes concernées à propos
du cadre existant relatif à la protection des données, quelle que soit la taille du
RPAS.
55. Compte tenu de la nécessité impérative de veiller au respect de la vie privée, de la
protection des données et des exigences en matière de sécurité concernant cette
nouvelle technologie potentiellement extrêmement intrusive, le CEPD se réjouit du
fait que la communication déclare qu’il conviendrait de «réexaminer» le champ
d’intervention politique actuel de l’Union sur les RPAS46. En effet, les menaces
résultant de la mobilité et de la discrétion abordées aux points 17 à 19 s’appliquent
en particulier aux RPAS plus petits et plus légers dont la prolifération potentielle
appelle à une harmonisation des règles qui s’appliquent à eux. Si la Commission
devait adopter des mesures politiques dans le domaine des RPAS, notamment en ce
qui concerne les RPAS légers, ces mesures devraient tenir compte de la législation
applicable en matière de protection des données et des obligations générales
découlant des articles 7 et 8 de la charte afin d’intégrer les garanties nécessaires et
appropriées.
56. De plus, étant donné que les obligations en matière de protection des données
peuvent être respectées de la meilleure façon qu’il soit en les examinant dès le
début, en appliquant le principe de respect de la vie privée dès la conception plutôt
qu’en reconfigurant ultérieurement le système sous l’aspect de la sécurité, la
Commission devrait également encourager les fabricants de RPAS à s’acquitter de
ces obligations. Le principe du respect de la vie privée dès la conception fera partie
des principales obligations qui seront introduites par le règlement général sur la
protection des données comme cela a été mentionné ci-dessus47. Le CEPD
préconise d’encourager les fabricants à respecter les obligations afin de veiller à ce
que les RPAS soient conçus en tenant compte de manière appropriée des exigences
en matière de protection des données (voir les autres remarques dans la partie III.2
ci-dessous).
III.2. Susciter un débat public en sensibilisant à propos des répercussions sur la
vie privée de l’utilisation des RPAS
57. Le CEPD se réjouit des initiatives et des projets de sensibilisation qui devraient
accompagner l’introduction des RPAS sur le marché civil de l’Union. Il est
essentiel de sensibiliser le public à propos des répercussions de l’utilisation des
RPAS sur la vie privée et la protection des données et à propos des obligations
dont les fabricants, les responsables du traitement des données, les sous-traitants et
les utilisateurs doivent s’acquitter.
46
47
Voir page 5, partie 3.1.
Voir le point 41.
16
58. À cet égard, nous soulignons les efforts qui ont déjà été accomplis par certaines
autorités nationales de protection des données à propos des répercussions de
l’utilisation des RPAS sur le droit au respect de la vie privée et la protection des
données48.
59. De plus, le CEPD et le groupe de travail «Article 29» ont été associés dès le début
à la réflexion menée par la Commission sur les RPAS. Le CEPD voudrait
poursuivre cette coopération étroite avec la Commission dans le cadre du groupe
de travail «Article 29» afin de s’assurer, de manière harmonisée, que les RPAS
sont utilisés conformément aux exigences applicables en matière de protection des
données.
III.3. Appuyer la prise en compte du principe de respect de la vie privée dès la
conception par les fabricants de RPAS
60. Les RPAS qui seront exploités sur le territoire de l’Union devront intégrer, sur le
plan pratique, les principes de protection des données et de respect de la vie privée
dès la phase de conception. Cela doit être fait en tenant compte des spécificités des
RPAS: en effet, ces dispositifs comprennent un véhicule aérien, le transporteur, et
une charge utile qui peut être un système de traitement de données et les deux
parties peuvent être produites par des fabricants complètement différents, qui
peuvent même ne pas être conscients de l’association de ces parties et de leurs
capacités. À cet égard, la Commission devrait encourager les fabricants à tenir
compte du respect de la vie privée dès la conception dès lors que le produit conçu
possède un usage potentiellement intrusif qui est connu, par exemple, par les
fabricants de systèmes complets de surveillance et par les fabricants de systèmes de
montage par écrous. Cette démarche est d’autant plus judicieuse puisque le respect
de la vie privée dès la conception va devenir une exigence juridique spécifique en
vertu du RGPD49. Par la suite, si l’association des parties effectuée par l’utilisateur
et les modalités d’utilisation du RPAS entraînent des actes d’intrusion dans la vie
privée, la responsabilité finale incombera à l’utilisateur.
61. Les fabricants de RPAS devraient être invités à analyser au plus tôt au cours de la
phase de développement la façon dont leur dispositif peut porter atteinte à la vie
privée des personnes physiques pour qu’ils puissent alors fabriquer ces dispositifs50
de façon à réduire ces atteintes à ce qui est strictement nécessaire et proportionné
au regard de la finalité licite poursuivie. Dans le cas des RPAS, la Commission
devrait recommander aux fabricants de RPAS de:
 proposer différentes catégories de capteurs en fonction des objectifs métier des
acheteurs du secteur privé, pour que ces derniers puissent choisir le modèle
portant le moins atteinte à la vie privée (par exemple, les RPAS qui sont
48
La CNIL a publié un document de recherche sur les drones à la fin de l’année 2013 à propos de cette
problématique, le commissaire britannique à l’information mène actuellement une consultation pour
mettre à jour son code de bonne pratique relatif aux systèmes de télévision en circuit fermé (CCTV) qui
inclut désormais une section consacrée aux drones et l’autorité belge chargée de la protection des
données a publié des questions fréquemment posées à propos de cette même problématique en
avril 2014.
49
Voir l’article 30, paragraphe 3, du RGPD.
50
L’analyse des problèmes potentiels liés au respect de la vie privée est essentielle pour le
développement et l’utilisation des RPAS et devrait orienter les processus métier et les choix
technologiques;
17




utilisés pour élaborer des cartes routières précises n’ont pas besoin d’une
caméra haute résolution qui soit capable de discerner les plaques
minéralogiques des véhicules);
définir les principes de conservation des données dès la conception, c’est-à-dire
la possibilité de programmer la suppression automatique et régulière des
données traitées;
fournir des outils avec des fonctionnalités conviviales de protection des
données, telles que la possibilité d’activer ou de désactiver les capteurs en vol
(de telle sorte que l’enregistrement ne soit pas continu mais déclenché
uniquement lorsque cela est nécessaire et proportionné au regard de la finalité
poursuivie), le masquage automatique des espaces privés, la détection et la
pixélisation automatiques des visages qui sont accidentellement capturés dans
des images et des vidéos51;
configurer par défaut les fonctionnalités des dispositifs de telle sorte que les
réglages soient les moins préjudiciables pour la vie privée;
fournir des informations claires à l’utilisateur à propos des problèmes liés au
respect de la vie privée qui peuvent survenir lors de l’utilisation du dispositif,
en les énonçant éventuellement dans une déclaration de confidentialité
accompagnant tous les RPAS vendus dans le territoire de l’Union.
III.4. Aider les responsables du traitement à veiller à la conformité
62. Concernant la vente de RPAS à des utilisateurs finaux privés ou professionnels, le
CEPD recommande que les futures mesures politiques à l’échelle de l’Union
européenne visant à faciliter ces ventes (telles que les règlements en matière
d’homologation) imposent l’inclusion de «déclarations de confidentialité» dans les
emballages des RPAS de petite taille. Ces déclarations de confidentialité
rappelleront les exigences applicables en matière de protection des données/de vie
privée pour le traitement de données à caractère personnel effectué au moyen d’un
RPAS exploité au sein de l’Union. Elles fourniront également des explications
relatives aux conséquences pratiques telles que, le cas échéant, l’obligation de
réaliser une analyse d’impact relative à la protection des données, l’obligation
d’informer les personnes physiques à propos du traitement de leurs données à
caractère personnel, l’obligation potentielle d’aviser l’autorité compétente de
protection des données et la nécessité d’identifier facilement la personne pilotant le
RPAS.
63. En tout état de cause, le CEPD souligne avec force le fait que les utilisateurs de
RPAS (les citoyens, les entreprises, les administrations, les professionnels, les
services chargés de faire appliquer la loi, les services de renseignement, etc.)
devraient être conscients des répercussions de leurs actes sur la vie privée, analyser
leurs besoins et mettre en œuvre les processus d’utilisation de RPAS les moins
préjudiciables pour la vie privée52. Cela nécessiterait normalement qu’ils procèdent
à une analyse d’impact relative à la protection des données. Pour que les exigences
51
Voir «The Regulation of the Impact of Civilian Drones on Behavioural Privacy» [la réglementation
de l’impact des drones civils sur la confidentialité du comportement], 3 mars 2014, Computer Law &
Security Review 30, 3 juin 2014, Roger Clarke.
52
L’analyse des problèmes potentiels liés au respect de la vie privée est essentielle pour le
développement et l’utilisation des RPAS et devrait orienter les processus métier et les choix
technologiques;
18
relatives au respect de la vie privée dès la conception auxquelles les fabricants sont
astreints trouvent une équivalence, les utilisateurs devraient au minimum:




définir une finalité pour leur utilisation afin de prévenir les risques de
détournement de fonction et de collecter uniquement les données strictement
nécessaires pour cette finalité, conformément au principe de minimisation des
données. Des limites devraient être définies en ce qui concerne le suivi constant
potentiel au moyen de RPAS. Les personnes concernées devraient être
informées de manière appropriée de l’utilisation des RPAS et des modalités
d’exercice de leurs droits;
choisir le dispositif approprié pour l’opération concernée, par exemple en ne
choisissant pas un RPAS qui est surchargé de capteurs haute résolution si ces
capteurs ne sont pas nécessaires pour répondre aux objectifs de l’utilisateur;
configurer leur dispositif en adoptant l’approche la moins préjudiciable pour la
vie privée, c’est-à-dire en configurant les paramètres les plus stricts des
fonctionnalités favorables au respect de la vie privée intégrées dans la
conception du dispositif pour répondre aux besoins de l’utilisateur et porter
atteinte le moins possible à la vie privée (par exemple en définissant des
périodes courtes de conservation des données, en masquant les espaces privés,
en pixélisant les visages accidentellement capturés dans des images et des
vidéos, en activant les capteurs uniquement lorsque cela est nécessaire);
gérer la sécurité des données collectées de manière appropriée.
64. D’autres interventions seront également nécessaires pour soutenir l’adoption de
mesures facilitant l’identification du responsable du traitement d’un RPAS.
IV. CONCLUSIONS
65. Le CEPD se réjouit du fait que la Commission le consulte à propos de cette
communication et souligne que les utilisations civiles des RPAS couvrent tous les
domaines non couverts par les utilisations militaires et ne se limitent pas aux
utilisations commerciales. Il salue également le fait que la Communication non
seulement souligne les avantages économiques et sociaux des utilisations civiles
des RPAS mais détermine également les aspects essentiels dont le respect doit être
garanti, c’est-à-dire la vie privée, la protection des données et la sécurité, pour leur
propagation.
66. Il convient d’établir une distinction entre les RPAS et les avions et les systèmes de
télévision en circuit fermé (CCTV) car leur «mobilité» et leur «discrétion» leur
permettent d’être utilisés dans bien plus de circonstances. De plus, ils peuvent être
associés à d’autres technologies, telles que des caméras, des capteurs WiFi, des
microphones, des capteurs biométriques, des systèmes GPS, des systèmes de
lecture des adresses IP et des systèmes de suivi par technologie RFID, qui offrent
toutes la possibilité de traiter des données à caractère personnel et de concevoir des
outils de surveillance potentiellement puissants.
67. Le CEPD souligne par conséquent que les utilisations des RPAS supposant le
traitement de données à caractère personnel constituent dans la plupart des cas une
atteinte au droit à la vie privée et familiale garanti par l’article 8 de la convention
des droits de l’homme du Conseil de l’Europe et par l’article 7 de la charte des
19
droits fondamentaux de l’Union européenne étant donné que ces utilisations vont à
l’encontre du droit à la vie privée et à l’intimité garanti à toutes les personnes
physiques dans l’Union européenne et peuvent être autorisées uniquement sous
réserve du respect de conditions et de garanties particulières. En tout état de cause,
le droit à la protection des données à caractère personnel consacré par l’article 8 de
la charte s’applique et le cadre juridique de l’Union relatif à la protection des
données doit être respecté à partir du moment où des données à caractère personnel
sont traitées par des RPAS exploités dans l’Union.
68. En pratique, par conséquent, les utilisations de RPAS par des particuliers pour des
activités privées seront normalement soumises aux exigences de la
directive 95/46/CE et seront uniquement couvertes dans de rares cas par
l’exception prévue pour les activités domestiques. En tout état de cause, comme
condition préalable pour les règles en matière de protection des données, le
traitement de données à caractère personnel doit respecter la législation à tous les
égards. Cela signifie que les règles pertinentes dans d’autres domaines, tels que le
droit civil ou pénal, la propriété intellectuelle, le droit de l’aviation ou le droit de
l’environnement, doivent également être respectées.
69. Le traitement de données à caractère personnel au moyen d’un RPAS à des fins
commerciales ou professionnelles doit respecter la législation nationale mettant en
œuvre la directive 95/46/EC.
70. De plus, le CEPD rappelle que la simple publication de données sur l’internet ou
dans un journal, sans objectif de communication d’informations, d’opinions ou
d’idées au public, n’est pas suffisante pour qu’elle relève de l’exception prévue
pour le journalisme par l’article 9 de la directive 95/46/CE.
71. Les utilisations de RPAS à des fins d’application de la loi doivent également
respecter le droit fondamental à la vie privée et, par conséquent, ces activités
devraient être fondées sur une législation claire et accessible, servir un objectif
légitime et être nécessaires dans une société démocratique et proportionnées au
regard de la finalité poursuivie. Les garanties en matière de protection des données
énoncées à l’échelle de l’Union et du Conseil de l’Europe s’appliquent à ces
activités lorsqu’elles entraînent le traitement de données à caractère personnel.
72. L’utilisation de RPAS à des fins de renseignement doit respecter les principes de
nécessité et de proportionnalité.
73. Compte tenu de la nécessité impérative de veiller au respect de la vie privée, de la
protection des données et des exigences en matière de sécurité concernant cette
nouvelle technologie potentiellement extrêmement intrusive, le CEPD soutient
également que la Commission doit réexaminer sa décision selon laquelle elle n’est
pas compétente en matière de réglementation des RPAS de moins de 150 kilos.
74. Le CEPD se réjouit également des initiatives et des projets de sensibilisation qui
devraient accompagner l’introduction des RPAS sur le marché civil de l’Union
européenne.
20
75. Le CEPD recommande à la Commission d’encourager les fabricants de RPAS à
tenir compte du respect de la vie privée dès la conception ainsi que par défaut et les
responsables du traitement des données à réaliser des analyses d’impact relatives à
la protection des données lorsque les opérations de traitement présentent des
risques particuliers pour les droits et les libertés des personnes concernées du fait
de leur nature, de leur portée ou de leurs finalités.
76. D’autres interventions seront également nécessaires pour soutenir l’adoption de
mesures facilitant l’identification du responsable du traitement d’un RPAS.
Fait à Bruxelles, le 26 novembre 2014
(signé)
Giovanni BUTTARELLI
Contrôleur européen adjoint de la protection des données
21