Avis du CEPD
Transcription
Avis du CEPD
Avis du Contrôleur européen de la protection des données sur la communication de la Commission au Parlement européen et au Conseil intitulée «Une nouvelle ère de l’aviation. Ouvrir le marché de l’aviation à l’utilisation civile de systèmes d’aéronefs télépilotés, d’une manière sûre et durable» LE CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES, vu le traité sur le fonctionnement de l’Union européenne, et en particulier son article 16, vu la charte des droits fondamentaux de l’Union européenne, et en particulier ses articles 7 et 8, vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données1, vu le règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données, et en particulier son article 28, paragraphe 22, vu la décision-cadre 2008/977/JAI du Conseil du 27 novembre 20083 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale, A ADOPTÉ LE PRÉSENT AVIS: 1 JO L 281 du 23.11.1995, p. 31. JO L 8 du 12.1.2001, p. 1. 3 JO L 350 du 30.12.2008, p. 60. Adresse postale: rue Wiertz 60 – B-1047 Bruxelles Bureaux: rue Montoyer 30 Courriel: [email protected] – Site Internet: www.edps.europa.eu Tél.: 02-283 19 00 – Fax: 02-283 19 50 2 I. INTRODUCTION I.1 Consultation du Contrôleur européen de la protection des données (CEPD) 1. Le 8 avril 2014, la Commission a adopté une communication au Parlement européen et au Conseil intitulée «Une nouvelle ère de l’aviation: Ouvrir le marché de l’aviation à l’utilisation civile de systèmes d’aéronefs télépilotés, d’une manière sûre et durable» (ci-après la «communication»)4. 2. Les systèmes d’aéronefs télépilotés (RPAS, «Remotely Piloted Aircraft Systems») sont des systèmes d’aéronefs pilotés à distance ou, en d’autres termes, des aéronefs qui peuvent voler sans pilote à leur bord. La plupart du temps, ces appareils ne sont pas utilisés comme de simples systèmes d’aéronefs et sont équipés de dispositifs, tels que des caméras, des microphones, des capteurs ou des systèmes GPS, qui permettent de traiter des données à caractère personnel. 3. Comme cela sera précisé dans le présent avis, les droits à la vie privée et familiale et à la protection des données, tels que garantis par l’article 8 de la Convention des droits de l’homme du Conseil de l’Europe et par les articles 7 et 8 de la charte des droits fondamentaux de l’Union, s’appliquent à cette nouvelle technologie. De plus, les systèmes d’aéronefs télépilotés doivent être examinés avec beaucoup d’attention étant donné qu’ils présentent la même capacité de violation grave des droits à la vie privée et familiale et à la protection des données que les technologies en ligne examinées par la Cour de justice de l’Union européenne dans les arrêts Digital Rights Ireland5 et Google Spain/AEPD6. 4. Le CEPD se réjouit d’avoir été consulté par la Commission à propos de cette communication. I.2. Contexte et objectifs de la communication 5. L’objectif de cette communication est d’ouvrir le marché de l’aviation à l’utilisation civile des systèmes d’aéronefs télépilotés (ci-après «RPAS» ou «drones») par opposition à leur utilisation militaire. Cette communication recense par conséquent les utilisations civiles potentielles les plus répandues, telles que la surveillance des infrastructures ou la photographie et même le transport des marchandises et des personnes, et insiste sur l’importance d’autoriser l’introduction des RPAS commerciaux sur le marché de l’Union européenne tout en préservant l’intérêt public. 4 COM(2014) 207 final, 8.4.2014. Affaires jointes C-293/12 et C-594/12, Digital Rights Ireland Ltd/ Minister for Communications, Marine and Natural Resources, Minister for Justice, Equality and Law Reform, The Commissioner of the Garda Síochána, Irlande et the Attorney General, et Kärntner Landesregierung, Michael Seitlinger, Christof Tschohl e.a., arrêt de la Cour (grande chambre) du 8 avril 2014 [demandes de décision préjudicielle introduites par la High Court (Irlande) et le Verfassungsgerichtshof (Autriche)] 6 Affaire C-131/12, Google Spain SL et Google Inc./Agencia Española de Protección de Datos (AEPD), arrêt de la Cour du 13 mai 2014. 5 2 6. Même si la communication souligne les avantages économiques et sociaux de l’utilisation civile des RPAS dans l’Union européenne, notamment en ce qui concerne les emplois et la croissance, elle fait également remarquer l’absence de cadre réglementaire adéquat dans la plupart des États membres. Elle souligne dès lors la nécessité d’harmoniser les politiques en matière de sécurité aérienne des États membres en ce qui concerne les RPAS et recense les évolutions technologiques qui seront requises pour exploiter les RPAS en toute sécurité. Elle aborde les questions relatives à la responsabilité civile et à l’assurance et détermine les aspects essentiels dont le respect doit être garanti, c’est-à-dire la vie privée, la protection des données et la sécurité, pour la propagation des RPAS. De plus, elle annonce que l’Union apportera son soutien au développement du marché et des industries européennes. 7. Le CEPD prend note du choix de la Commission d’employer l’expression systèmes d’aéronefs télépilotés7 (ci-après «RPAS») pour désigner les appareils communément appelés drones. Nous prenons également note du fait que la communication met l’accent sur les RPAS qui représentent une sous-catégorie des systèmes d’aéronefs sans pilote à bord (UAS, «Unmanned Aircraft System»)8 et n’explique pas clairement pourquoi les UAS ne sont pas couverts. 8. La communication mettant l’accent sur l’ouverture du marché de l’aviation à l’utilisation civile des RPAS, il convient de souligner que l’adjectif «civil» couvre, dans ce contexte, tous les domaines non couverts par l’utilisation militaire des RPAS, c’est-à-dire: les utilisations par les entreprises, les pouvoirs publics et les professionnels pour surveiller les grandes infrastructures, telles que les ponts, les usines, les centrales nucléaires et les voies ferrées; pour appliquer les pesticides sur des terres agricoles, inspecter des réseaux d’électricité, réaliser la cartographie aérienne, surveiller une zone de concert, sécuriser une zone, livrer des commandes de pizzas ou de livres, prendre des photographies de mariage ou rendre compte d’un événement; les utilisations par les services chargés de faire appliquer la loi qui peuvent inclure, par exemple, les opérations de recherche et de sauvetage, la réponse aux catastrophes, la protection et le contrôle des frontières, la protection civile, la surveillance aérienne, la surveillance de la circulation, l’observation et la poursuite d’auteurs présumés d’infractions pénales ou l’observation de troubles civils; 7 RPAS est le terme utilisé par l’Organisation de l’aviation civile internationale (OACI). Selon les définitions fournies par l’Organisation de l’aviation civile internationale dans la circulaire 328/190 (disponible à l’adresse http://www.icao.int/Meetings/UAS/Documents/Circular%20328_en.pdf), un système d’aéronef sans pilote à bord (UAS, «Unmanned Aircraft System») désigne un aéronef et des éléments connexes qui sont manœuvrés sans pilote à bord tandis qu’un système d’aéronef télépiloté désigne un aéronef dont le pilote à la manœuvre ne se trouve pas à bord de l’appareil. Il s’agit d’une sous-catégorie d’aéronefs sans pilote à bord. Un système d’aéronef télépiloté est un ensemble d’éléments configurables à tout moment de l’opération de vol comprenant un aéronef télépiloté, une (ou des) station(s) de télépilotage connexe(s), des liaisons requises de commande et de contrôle et tout autre élément requis relevant du système. 8 3 les autres utilisations «non militaires» qui peuvent inclure les utilisations par les agences de renseignement, dont certaines peuvent échapper au champ d’application du droit de l’Union; les utilisations privées par des citoyens en tant que passe-temps9 (telles que les activités d’aéromodélisme, la photographie, la technologie de l’information). 9. Cependant, cette liste ne devrait pas être perçue comme étant exhaustive étant donné que la nature et la portée des utilisations potentielles de RPAS sont difficiles à anticiper à ce stade10, comme la communication le suggère. I.3. Objectif de l’avis du CEPD 10. Le cadre juridique de l’Union européenne relatif à la protection des données s’applique, en principe, dès que des données à caractère personnel sont traitées par un RPAS exploité dans l’Union11. Conjointement au respect des autres exigences (y compris les règles en matière de sécurité aérienne, de certification/d’homologation, de santé, etc.), le respect des exigences en matière de protection des données et de droit à la vie privée et familiale contribueront au développement du marché des RPAS au sein de l’Union dans le respect des droits fondamentaux des personnes physiques concernées. En réalité, seuls les RPAS qui prendront en compte la protection des données et le respect de la vie privée dès leur conception seront bien perçus par la société dans son ensemble, c’est-à-dire non seulement par les autorités de protection des données et les organisations et les associations de protection des droits fondamentaux à but non lucratif mais également par l’ensemble de la population. 11. Le CEPD se réjouit dès lors du fait que la communication non seulement souligne les avantages économiques et sociaux attendus mais détermine également les aspects essentiels dont le respect doit être garanti, c’est-à-dire la vie privée, la protection des données et la sécurité, pour la propagation des RPAS12. Leur valeur ajoutée pour les activités telles que l’agriculture, le journalisme ou la surveillance des infrastructures est évidente, mais il est crucial de s’assurer que leur utilisation est conforme à la législation relative à la protection des données dès lors que celleci suppose le traitement de données à caractère personnel. Comme l’indique la communication de la Commission, le respect des exigences en matière de protection des données exclut que leurs capacités13 «représent[ent] une menace pour la vie privée [...] des citoyens»14. 9 Ces activités peuvent inclure les tournages aériens mais également les expérimentations de «passionnés de technologies de l’information» dans le cadre desquelles différents types de capteurs peuvent être fixés aux RPAS. 10 Voir la page 3, partie 1, «Les RPAS peuvent offrir une multitude de services nouveaux», de la communication. 11 À cet égard, nous signalons que les opérations transnationales menées par les RPAS peuvent soulever des questions liées au droit applicable. Voir également à ce sujet le point 40. 12 Voir la page 7, partie 3.4 de la communication, sur la protection des droits fondamentaux des citoyens. 13 Leur mobilité (vitesse et changements d’altitude) et leurs capacités générales (autonomie, vols silencieux et capteurs mentionnés précédemment). 14 Voir la page 4 de la communication. 4 12. Le présent avis recense plusieurs situations dans le cadre desquelles les RPAS traitent des données à caractère personnel et au titre desquelles les responsables du traitement sont par conséquent soumis au cadre applicable existant en matière de protection des données. Il répond à la demande de consultation soumise au CEPD à propos de la communication et a pour objectif de veiller à ce que la législation ultérieure à ce sujet tienne pleinement compte de la protection des données. Il vise également à sensibiliser le public dans son ensemble (les fabricants, les responsables du traitement des données et les personnes concernées) à cet égard. 13. Le présent avis n’a pas pour objet d’analyser toutes les exigences en matière de protection des données qui devraient être respectées en ce qui concerne l’exploitation des RPAS. Cet aspect pourrait faire l’objet de lignes directrices de la part des autorités nationales de protection des données, du groupe de travail «Article 29» ou même du CEPD au titre de son rôle de supervision si des RPAS étaient utilisés par les institutions et organes de l’Union pour traiter des données à caractère personnel. II. COMMENTAIRES GÉNÉRAUX II.1. Dans la plupart de leurs utilisations, les RPAS traitent des données à caractère personnel 14. En tant que tels, les RPAS sont des systèmes d’aéronefs, qui ne traitent pas en soi de données à caractère personnel. Cependant, comme cela est expliqué dans la communication15, lorsqu’ils sont associés à d’autres technologies, les RPAS donnent accès à de nombreuses applications et à des utilisations très variées d’ordre privé, commercial ou professionnel ou relevant des domaines du renseignement ou de l’application de la loi. 15. La plupart du temps, ces technologies permettent ou supposent le traitement de données à caractère personnel et déclenchent l’application du cadre relatif à la protection des données. Par exemple, de nombreux RPAS qui seront mis sur le marché seront équipés d’un dispositif de caméra vidéo accompagné d’un logiciel spécialisé de traitement du flux vidéo. Cette caméra vidéo et son logiciel spécialisé peuvent être dotés de capacités telles qu’un zoom très puissant, la reconnaissance faciale, le profilage comportemental, la détection de mouvements ou la reconnaissance de plaques d’immatriculation16. Les RPAS peuvent également être équipés de capteurs WiFi, de microphones et de systèmes d’enregistrement audio, de capteurs de traitement de données biométriques, de systèmes GPS de traitement de l’emplacement de la personne filmée ou de systèmes de lecture des adresses IP de tous les dispositifs situés dans un bâtiment que le RPAS survole. Les technologies embarquées peuvent également donner la possibilité de suivre les dispositifs équipés de puces d’identification par radiofréquence (RFID) ainsi que les personnes et les véhicules équipés de ce matériel. 15 Voir la page 1, titre 1. Plus tard, ces technologies pourraient être complétées par des capteurs thermiques, des systèmes de vision nocturne, des radars à ouverture synthétique et des systèmes de visualisation à travers les matériaux (plafonds/parois) et être associées à des algorithmes et ultérieurement à des systèmes d’intelligence artificielle. 16 5 16. Les technologies embarquées donneront ainsi la possibilité de collecter, d’enregistrer, d’organiser, de stocker, d’utiliser et de combiner des données qui permettront aux exploitants d’identifier directement ou indirectement des personnes physiques17. Cette identification pourra être effectuée par un opérateur humain, au moyen d’une analyse automatique de l’image capturée dans une base de données existante à l’aide d’un programme de reconnaissance faciale, par balayage pour détecter la présence d’un téléphone intelligent et utiliser celui-ci pour identifier la personne concernée, en utilisant les des puces RFID dans les passeports, etc. Ainsi, les RPAS peuvent être utilisés pour traiter des données à caractère personnel, au sens de l’article 2, point a), de la directive 95/46/CE18. II.2. Les RPAS permettent de traiter plus de données à caractère personnel que les avions et les systèmes de télévision en circuit fermé (CCTV) 17. Le CEPD estime qu’il convient de distinguer tout d’abord les RPAS des systèmes d’aéronefs avec pilote, étant donné que les capacités embarquées peuvent révéler bien plus d’informations que l’œil nu. Les RPAS peuvent être utilisés avec des technologies qui améliorent la vision humaine et capturent des détails que l’être humain ne peut pas voir. De plus, leur «mobilité» et leur «discrétion» sont des caractéristiques qui leur permettent d’être utilisés dans beaucoup plus de situations que les systèmes d’aéronefs avec pilote. 18. Deuxièmement, les RPAS équipés de caméras vidéo ont évidemment de nombreux points communs avec les systèmes de télévision en circuit fermé (CCTV). Ils donnent des possibilités d’enregistrement continu ou de déclenchement d’enregistrements à l’aide, par exemple, de la détection de mouvements. Cependant, leur mobilité et leur discrétion offrent davantage d’usages qui sont également de plus en plus variés. En d’autres termes, les RPAS donnent des ailes aux caméras les plus sophistiquées. Par exemple, les RPAS permettent de capturer des images qui ne seraient pas disponibles si la caméra était rattachée à un système terrestre (propriétés privées équipées de clôtures élevées, terrasses surélevées, jardins). De plus, contrairement aux caméras qui sont la plupart du temps visibles, les RPAS ne sont pas toujours visibles depuis le sol. Leur mobilité et leur discrétion facilitent le suivi des personnes physiques. La nécessité de masquer les parties des zones filmées pour respecter la vie privée des personnes soulève davantage de difficultés en raison de leur mobilité constante et des possibilités de zoom. 19. De plus, lorsqu’ils sont associés à d’autres technologies, les RPAS peuvent devenir des outils de surveillance extrêmement puissants. Comme ils peuvent être équipés de nombreux capteurs, être utilisés pour de la surveillance systématique (officielle et secrète) de personnes physiques ou de groupes (en cas de manifestation par exemple) et être extrêmement polyvalents (capacité de déplacement presque sans limites), les RPAS offrent un niveau de surveillance supérieur. Ils peuvent par exemple survoler des jardins clôturés, suivre des personnes physiques dans la rue et détecter et comptabiliser le nombre de personnes physiques présentes dans un 17 Voir par exemple http://www.mmu.ac.uk/news/news-items/2211/ Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. 18 6 bâtiment ou dans une pièce donnée. Ils peuvent être extrêmement intrusifs en raison de leur capacité de transport technologique et du fait qu’ils peuvent être de grande taille et visibles ou de petite taille et presque invisibles (opération clandestine, secrète). 20. Par conséquent, la plupart des différents usages des RPAS décrits au point 15 du présent avis (tournage vidéo, enregistrement audio, capteurs biométriques, etc.) constituent une atteinte au droit à la vie privée et familiale garanti par l’article 8 de la convention des droits de l’homme du Conseil de l’Europe (ci-après la «CEDH») et par l’article 7 de la charte des droits fondamentaux de l’Union européenne (ciaprès la «charte»). En outre, étant donné que la plupart de ces usages incluent le traitement de données à caractère personnel, les conditions relatives à ce traitement qui sont énoncées dans l’article 8 de la charte doivent également être respectées. 21. Par conséquent, il est crucial que les RPAS soient développés sur le marché de l’Union, comme cela est souligné par la communication, en respectant pleinement le droit fondamental à la vie privée et familiale garanti par l’article 8 de la CEDH et par l’article 7 de la charte ainsi que le droit à la protection des données à caractère personnel, tel qu’il est garanti par l’article 8 de la charte. 22. La législation relative à la protection des données prévoit plusieurs exigences et garanties, qui permettent au responsable du traitement de traiter des données à caractère personnel, sous réserve que les RPAS soient utilisés de manière transparente et légale. Celui-ci doit par ailleurs informer les personnes concernées des opérations menées à l’aide des RPAS lorsqu’elles supposent le traitement de leurs données à caractère personnel. Étant donné que les RPAS sont pilotés à distance, les responsables du traitement doivent non seulement se concentrer sur le pilotage mais également souligner les conséquences éventuelles de l’utilisation des RPAS. L’examen des droits des personnes à une vie privée et à la protection de leurs données devrait leur faire prendre conscience des conséquences de leurs actes. II.3. Conséquence: l’utilisation des RPAS à des fins civiles doit respecter les droits fondamentaux en matière de protection des données et de vie privée 23. L’utilisation des RPAS à des fins civiles doit respecter les droits fondamentaux en matière de protection des données et de vie privée. Le CEPD se réjouit par conséquent de la mention dans la communication du cadre juridique de l’Union européenne relatif à la protection des données et de l’insertion d’un chapitre 3.4 consacré aux droits fondamentaux. Dans cette partie du présent avis, nous allons fournir davantage d’explications sur ce cadre et son application aux différentes situations dans lesquelles les RPAS peuvent être utilisés. Les droits à la vie privée et à la protection des données sont des droits fondamentaux conférés aux personnes physiques dans l’Union européenne 24. Comme indiqué ci-dessus, le droit à la vie privée est un droit fondamental consacré par l’article 8 de la CEDH et l’article 7 de la charte. Toute atteinte à ce droit ne doit être autorisée qu’aux conditions énoncées à l’article 8, paragraphe 2, de la CEDH et à l’article 52, paragraphe 1, de la charte. 7 25. En outre, le droit fondamental à la protection des données, consacré par l’article 8 de la charte et l’article 16 du traité sur le fonctionnement de l’Union européenne (ci-après le «TFUE»), s’applique au traitement des données à caractère personnel. Les États membres et les institutions de l’Union ont l’obligation positive de s’assurer que le traitement de données à caractère personnel au moyen de RPAS, à des fins commerciales ou professionnelles, d’application de la loi ou de renseignement ou encore à des fins privées, respecte les éléments essentiels visés à l’article 8 de la charte ainsi que les règles plus précises énoncées dans le droit européen dérivé. 26. En vertu du droit dérivé, la directive 95/46/CE, la décision-cadre 2008/977/JHA du Conseil19, le règlement (CE) no 45/2001 et la directive 2002/58/CE20, tels qu’interprétés par la Cour de justice de l’Union (ci-après la «Cour de justice»), énoncent de manière détaillée les conditions et les garanties en matière de traitement licite des données à caractère personnel. La convention 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel fournit également des garanties pertinentes. 27. L’articulation de ces droits avec les différentes finalités possibles liées à l’utilisation des RPAS pour le traitement des données à caractère personnel est expliquée dans les points suivants. Attentes relatives à protection de la vie privée et des données à caractère personnel dans l’espace public de l’Union européenne 28. Dans l’Union européenne, contrairement à d’autres juridictions21, la situation géographique dans un espace privé ou public n’est pas un critère pertinent pour déterminer si le droit à la vie privée et le droit à la protection des données s’appliquent ou non. 29. Comme le rappelle la Cour européenne des droits de l’homme dans son arrêt dans l’affaire Von Hannover/Allemagne22, «la notion de vie privée comprend des éléments se rapportant à l’identité d’une personne, tels que son nom, sa photo, son intégrité physique et morale; la garantie offerte par l’article 8 de la Convention est principalement destinée à assurer le développement, sans ingérences extérieures, de la personnalité de chaque individu dans les relations avec ses semblables. Il existe donc une zone d’interaction entre l’individu et des tiers qui, même dans un contexte public, peut relever de la vie privée. La publication d’une photo interfère dès lors avec la vie privée d’une personne, même si cette personne est une 19 Décision-cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale. 20 Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques). 21 Voir la jurisprudence des États-Unis sur la surveillance aérienne selon laquelle les forces de l’ordre peuvent valablement survoler un jardin et détecter des éléments constitutifs d’une infraction pénale. Cet acte ne constitue pas une intrusion dans la vie privée de la personne concernée car «toute personne en vol dans cet espace aérien qui aurait regardé au sol aurait pu voir ce que ces agents ont observé». Cour suprême des États-Unis, 1986, Californie c. Ciraolo. 22 Requêtes nos 40660/08 et 60641/08, affaire Von Hannover/Allemagne (no 2), arrêt de la grande chambre de la Cour européenne des droits de l’homme du 7 février 2012. 8 personne publique»23. La Cour a rappelé que, «dans certaines circonstances, une personne, même connue du public, peut se prévaloir d’une "espérance légitime" de protection et de respect de sa vie privée»24. 30. Par conséquent, les personnes physiques dans un espace public, qu’il s’agisse ou non d’une personnalité publique, peuvent toujours faire valoir, par exemple, leur droit au respect de leur vie privée et familiale, c’est-à-dire le droit à ne pas être visées par un objectif à focale variable ou un microphone directionnel ou à être protégées de la communication au public de l’ensemble de leurs déplacements, du suivi de leurs déplacements ou de l’enregistrement de leurs conversations. 31. Parallèlement, le traitement des données à caractère personnel déclenche l’application du cadre européen relatif à la protection des données, quel que soit l’endroit où cette opération se déroule, que ce soit dans un espace public ou privé, dès lors que le traitement est effectué dans le cadre des activités d’un établissement du responsable du traitement dans l’Union européenne ou avec des équipements ou des moyens localisés dans l’Union25. 32. Même si les progrès technologiques permettront d’accroître considérablement la surveillance des personnes physiques dans l’espace public ou même dans les espaces privés (tels que leur domicile, leur balcon ou leur jardin) et le traitement d’une quantité plus importante de données à caractère personnel, ces droits resteront valables et leurs garanties ne seront pas affaiblies. Applicabilité du cadre relatif à la protection des données à l’usage des RPAS pour les activités privées, en particulier par des amateurs 33. Le droit à la protection des données ne s’applique pas dans le nombre restreint d’exceptions prévues à l’article 3, paragraphe 2, de la directive 95/46/CE. Parmi celles-ci, l’exception applicable aux activités domestiques peut être pertinente dans un faible nombre d’usages des RPAS. Le droit à la protection des données est ainsi exclu lorsque le traitement des données à caractère personnel est strictement limité à un traitement effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques. Le considérant 12 fait référence à l’exercice d’activités exclusivement personnelles ou domestiques qui sont exclues du champ d’application de la directive, en mentionnant comme exemples la correspondance et la tenue de répertoires d’adresses. 34. Dans son arrêt dans l’affaire Bodil Lindqvist26, la Cour de justice a clarifié que l’exception prévue à l’article 3, paragraphe 2, second tiret, de la directive 95/46 concernait «uniquement les activités qui s’insèrent dans le cadre de la vie privée ou familiale des particuliers, ce qui n’est manifestement pas le cas du traitement de données à caractère personnel consistant dans leur publication sur Internet de sorte que ces données sont rendues accessibles à un nombre indéfini de personnes». 23 Voir le point 95 de l’arrêt précité. Voir le point 97 de l’arrêt précité. 25 Voir article 4, paragraphe 1, points a) et c), de la directive 95/46/CE. 26 Affaire C-101/01, Bodil Lindqvist, arrêt du 6 novembre 2003, points 46 et 47. 24 9 35. Par conséquent, le traitement de données à caractère personnel au moyen de RPAS par des utilisateurs privés ne relève pas de l’exception prévue pour les activités domestiques lorsque les RPAS sont utilisés pour partager ou même publier des images/captures sonores/vidéos qui en résultent ou des données qui permettent d’identifier directement ou indirectement des personnes physiques sur Internet et, par conséquent, qui sont accessibles par un nombre indéfini de personnes (par exemple par un réseau social). 36. De plus, dans l’annexe à sa déclaration sur les discussions en cours concernant le train de réformes relatives à la protection des données27, le groupe de travail «Article 29» a proposé une série de critères pour déterminer si un traitement est effectué à des fins personnelles ou domestiques28. Lorsque ces critères sont appliqués aux RPAS, on peut souvent en conclure que l’exception prévue pour les activités domestiques ne s’applique pas dans la plupart des cas. 37. Comme indiqué dans le document, «aucun de ces critères n’est en lui-même nécessairement déterminant. Cependant, une combinaison de ces facteurs doit être utilisée pour déterminer si un traitement particulier relève du champ d’application prévu pour le traitement personnel ou domestique». Pour ce faire, il faut déterminer: si les données à caractère personnel sont diffusées à un nombre indéfini de personnes plutôt qu’à un groupe limité d’amis, de membres d’une famille ou de connaissances; si les données à caractère personnel concernent des personnes physiques qui n’ont pas de relation personnelle ou familiale avec la personne qui les publie, si l’ampleur et la fréquence du traitement des données à caractère personnel suggèrent une activité professionnelle ou à temps plein, s’il existe des éléments probants montrant que plusieurs personnes agissent ensemble de manière collective et organisée, s’il existe un préjudice potentiel pour des personnes physiques, y compris une intrusion dans leur vie privée. 38. Si l’on jauge à l’aune de ces critères l’utilisation des RPAS par des utilisateurs privés/citoyens à des fins privées ou en tant que passe-temps ainsi que le traitement des données à caractère personnel qui en résulte, on en conclut que le traitement effectué par ces RPAS peut remplir plusieurs de ces critères et sans nécessairement être couvert par le champ d’application de l’exception prévue pour les activités domestiques. Par exemple, des données à caractère personnel peuvent être diffusées à un nombre indéfini de personnes plutôt qu’à un groupe limité d’amis, de membres d’une famille ou de connaissances. Cela a été le cas par exemple lorsqu’un film d’une ville française qui avait été enregistré à l’aide d’un RPAS a été publié sur un site web de partage de vidéos. De plus, si des RPAS sont utilisés à des fins privées dans des espaces publics, il est probable que de nombreuses personnes physiques qui n’ont aucun lien personnel avec le pilote voient leurs 27 Déclaration du groupe de travail sur les discussions en cours concernant le train de réformes relatives à la protection des données, 27.2.2013, disponible sur http://ec.europa.eu/justice/data-protection/article29/documentation/other-document/files/2013/20130227_statement_dp_reform_package_en.pdf 28 Annexe 2, propositions de modifications de l’exception prévue pour les activités personnelles ou familiales, disponible sur http://ec.europa.eu/justice/data-protection/article-29/documentation/otherdocument/files/2013/20130227_statement_dp_annex2_en.pdf. 10 données collectées ou puissent accéder aux données. L’échelle et la fréquence peuvent varier de manière importante en fonction des amateurs concernés qui peuvent rejoindre des clubs ou des associations et peuvent parfois, mais pas nécessairement et systématiquement, agir de manière collective et organisée. Le dernier critère est encore plus pertinent puisqu’il existe un préjudice potentiel indéniable pour les personnes physiques, c’est-à-dire une intrusion dans leur vie privée. 39. On peut conclure de cette analyse que les utilisations des RPAS par des personnes physiques à des fins privées peuvent être soumises, très fréquemment, aux exigences de la directive 95/46/CE. En tout état de cause, comme condition préalable pour les règles en matière de protection des données, le traitement de données à caractère personnel doit respecter la législation à tous les égards. Cela signifie que les règles pertinentes dans d’autres domaines, tels que le droit civil ou pénal, la propriété intellectuelle, le droit de l’aviation ou le droit de l’environnement, doivent également être respectées. Applicabilité du cadre relatif à la protection des données à l’utilisation des RPAS à des fins commerciales ou professionnelles et administratives 40. Le traitement de données à caractère personnel au moyen d’un RPAS à des fins commerciales ou professionnelles doit respecter la législation nationale transposant la directive 95/46/CE si le responsable du traitement est établi sur le territoire de l’Union ou utilise des équipements situés sur le territoire d’un État membre de l’Union29. Le champ d’application territorial de la directive a été récemment clarifié par la Cour de justice dans son arrêt Google Spain/AEPD30. Dans cet arrêt, la Cour a tenu compte de plusieurs éléments, tels que la présence d’un établissement sur le territoire d’un État membre de l’Union et la relation entre les activités de cet établissement et le traitement des données en question, pour se prononcer sur l’applicabilité de la législation européenne relative à la protection des données à un traitement effectué en ligne par une entreprise dont l’établissement principal se trouve à l’extérieur de l’Union. L’article 3 de la proposition de règlement général sur la protection des données31 (ci-après le «RGPD»), qui est toujours en cours de négociation, pourrait étendre ce champ d’application au traitement de données à caractère personnel «dans le cadre des activités d’un établissement d’un responsable du traitement ou sous-traitant situé sur le territoire de l’Union»32 et au «traitement des données à caractère personnel 29 Conformément à l’article 4, paragraphe 1, de la directive 95/46/CE. Conformément à l’article 4, paragraphe 1, point c), l’utilisation d’équipements sur le territoire de l’Union à des fins de traitement des données à caractère personnel doit respecter les règles nationales de protection des données dans cette juridiction. Cela peut avoir des conséquences pour les drones pilotés dans le cadre d’activités transnationales, notamment en ce qui concerne la question de savoir si le drone, en tant qu’équipement, est utilisé pour traiter des données à caractère personnel sur le territoire de l’Union. Pour d’autres orientations, voir l’avis 8/2010 sur la législation applicable du groupe de travail «Article 29», qui a été adopté le 16 décembre 2010. 30 Affaire C-131/12, Google Spain SL et Google Inc./Agencia Española de Protección de Datos (AEPD), arrêt de la Cour du 13 mai 2014. 31 COM(2012) 11 final, proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données), 25.1.2012. 32 Voir l’article 3, paragraphe 1, du RGPD. 11 appartenant à des personnes concernées ayant leur résidence sur le territoire l’Union, par un responsable du traitement qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées: a) à l’offre de biens ou de services à ces personnes concernées dans l’Union; ou b) à l’observation de leur comportement»33. 41. Les fabricants et les responsables du traitement de RPAS doivent par conséquent tenir compte des exigences établies dans la législation applicable en matière de protection des données ainsi que des bonnes pratiques dérivées du cadre de protection des données applicable. Ils doivent notamment tenir compte du respect de la vie privée dès la conception ainsi que par défaut et réalise des analyses d’impact relatives à la protection des données (ci-après «AIPD») lorsque les opérations de traitement présentent des risques particuliers pour les droits et les libertés des personnes concernées du fait de leur nature, de leur portée ou de leurs finalités. Ces pratiques doivent d’autant plus être prises en compte qu’elles découlent non seulement des obligations énoncées dans le cadre actuel mais également en raison du fait qu’elles seront clairement énoncées dans la proposition de RGPD34 qui remplacera le cadre actuel. Applicabilité du cadre de protection des données à l’utilisation des RPAS à des fins journalistiques 42. L’article 935 et le considérant 17 de la directive 95/46/CE abordent le traitement de données à caractère personnel à des fins de journalisme, en donnant la possibilité aux États membres de prévoir des exemptions ou des dérogations aux dispositions de son chapitre II sur la licéité des traitements de données à caractère personnel, de son chapitre IV sur le transfert de données à caractère personnel vers des pays tiers et de son chapitre VI sur l’autorité de contrôle et sur le groupe de protection des personnes à l’égard du traitement des données à caractère personnel, si celles-ci s’avèrent nécessaires pour concilier le droit à la vie privée avec les règles régissant la liberté d’expression. 43. Néanmoins, comme cela a été précisé par la Cour de justice dans l’arrêt Satamedia36, «des activités […] peuvent être qualifiées d’"activités de journalisme", si elles ont pour finalité la divulgation au public d’informations, d’opinions ou d’idées, sous quelque moyen de transmission que ce soit». La simple publication de données sur Internet ou dans un journal, sans une telle finalité, n’est pas suffisante pour relever de l’exception prévue pour le journalisme. 33 Voir l’article 3, paragraphe 2, du RGPD. Voir l’article 30, paragraphe 3, du RGPD concernant le respect de la vie privée dès la conception et par défaut et l’article 33 sur les analyses d’impact relatives à la protection des données. 35 L’article 9 de la directive 95/46/CE prévoit les dispositions suivantes: «Traitements de données à caractère personnel et liberté d’expression Les États membres prévoient, pour les traitements de données à caractère personnel effectués aux seules fins de journalisme ou d’expression artistique ou littéraire, des exemptions et dérogations au présent chapitre, au chapitre IV et au chapitre VI dans la seule mesure où elles s’avèrent nécessaires pour concilier le droit à la vie privée avec les règles régissant la liberté d’expression». 36 Voir le point 61 de l’affaire C-73/07, Tietosuojavaltuutettu/Satakunnan Markkinapörssi Oy et Satamedia Oy, arrêt de la Cour (grande chambre) du 16 décembre 2008. 34 12 44. L’utilisation de RPAS à des fins de journalisme relèvera par conséquent des mesures nationales de mise en œuvre de cet article. Pour éviter les problèmes transfrontaliers qui pourraient survenir en raison de lacunes, le CEPD conseille à la Commission de travailler en étroite collaboration avec le groupe de travail «Article 29» à propos des directives particulières liées à l’utilisation des RPAS par des journalistes. Cependant, cette conclusion peut ne pas s’appliquer entièrement si les mesures nationales ne visent pas le traitement des données à caractère personnel, à des fins de journalisme ou non, mais l’utilisation même des RPAS en général. Applicabilité du cadre de protection des données à l’utilisation des RPAS à des fins d’application de la loi 45. Les autorités chargées de faire appliquer la loi qui traitent des données à caractère personnel au moyen de RPAS doivent respecter le droit fondamental à la vie privée consacré par l’article 8 de la CEDH et l’ingérence dans l’exercice de ce droit doit être effectuée conformément à l’article 8, paragraphe 2, de la CEDH et à la jurisprudence correspondante de la Cour européenne des droits de l’homme. Par conséquent, leurs activités doivent se dérouler conformément à la législation, c’està-dire en fonction d’une loi ou tel que cela est prescrit par la loi, cette loi étant accessible publiquement pour que les citoyens puissent obtenir des informations sur les modalités d’ingérence dans l’exercice de leurs droits. Il convient également que cette loi soit prévisible, ce qui signifie qu’elle devrait être suffisamment claire et détaillée pour que les citoyens puissent prévoir dans quels cas ils peuvent être soumis à des mesures supposant l’utilisation de RPAS. Les méthodes et les types d’utilisations des RPAS par les autorités chargées de faire appliquer la loi ne doivent pas être tenus secrets. Cette utilisation doit servir l’un des objectifs légitimes énoncés à l’article 8, paragraphe 2, de la CEDH et être nécessaire dans une société démocratique, c’est-à-dire répondre à un «besoin social impérieux». La Cour européenne des droits de l’homme a appliqué ces exigences à l’ingérence d’autorités chargées de faire appliquer la loi dans l’exercice du droit à la vie privée dans son arrêt S. et Marper37. 46. Le traitement de données à caractère personnel par des autorités chargées de faire appliquer la loi relève des articles 7 et 8 de la charte et de l’article 16 TFUE. Ces instruments énoncent des exigences en matière de protection des droits fondamentaux à la vie privée et familiale et à la protection des données, qui sont complétées par des règles plus détaillées dans le droit européen dérivé. Par exemple, si des RPAS sont utilisés dans le cadre d’une coopération policière et judiciaire en matière pénale, tout échange entre des États membres de données à caractère personnel recueillies à l’aide de RPAS devra être conforme aux exigences énoncées dans la décision-cadre 2008/977/JAI du Conseil du 37 Recours nos 30562/04 et 30566/04, affaire S. et Marper c. Royaume-Uni, arrêt de la grande chambre de la Cour européenne des droits de l’homme du 4 décembre 2008. 13 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale38. 47. Des règles plus détaillées sont également accessibles dans des instruments internationaux particuliers auxquels tous les États membres de l’Union sont parties. En ce qui concerne le traitement des données à caractère personnel, les exigences énoncées dans la convention 108 du Conseil de l’Europe et dans la recommandation n° R(87)15 du Comité des ministres aux États membres visant à réglementer l’utilisation de données à caractère personnel dans le secteur de la police doivent être respectées par les autorités traitant des données à caractère personnel à des fins d’application de la loi et de sécurité nationale. 48. Par conséquent, les garanties nécessaires en matière de protection des données s’appliquent à tout traitement intrusif par des autorités chargées de faire appliquer la loi, comme cela a été rappelé par la Cour de justice dans son arrêt Digital Rights Ireland39. 49. Il convient plus particulièrement de veiller à ce que les autorités chargées de faire appliquer la loi utilisent uniquement les RPAS dans le cadre d’une enquête particulière lorsque leur utilisation est jugée nécessaire et lorsqu’aucun autre moyen moins intrusif peut être utilisé aux mêmes fins. Nous attirons également l’attention sur les restrictions en matière de protection des données applicables aux décisions automatiquement exécutées. Applicabilité du cadre à l’utilisation des RPAS à des fins de services de renseignement 50. Selon l’article 4, paragraphe 2, du traité sur l’Union européenne (ci-après le «traité UE»), «[l]a sécurité nationale reste de la seule responsabilité de chaque État membre». La Cour de justice a confirmé que l’utilisation des RPAS à des fins autres que celles relevant du champ d’application du traité, telles que le renseignement, doit cependant respecter les principes fondamentaux de nécessité et de proportionnalité énoncés à l’article 8 de la CEDH tels qu’ils sont interprétés par la jurisprudence de la Cour européenne des droits de l’homme (voir ci-dessus)40. De plus, l’exception énoncée à l’article 4, paragraphe 2, doit être interprétée de manière stricte41 de telle sorte que les activités des agences de renseignement qui relèvent du champ d’application de la législation européenne (par exemple la surveillance pour la politique étrangère, l’application de la loi ou à des fins purement commerciales) soient tenues de respecter ces principes. 38 Voir cependant l’exposé des motifs de la proposition de directive du Parlement européen et du Conseil relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données/*COM/2012/010 final - 2012/0010 (COD). Voir plus particulièrement la page 2, paragraphe 2. 39 Arrêt dans les affaires jointes C-293/12 et C-594/12, Digital Rights Ireland et Seitlinger e.a. 40 Arrêt dans les affaires jointes C-465/00 C-138/01 et C-139/01, Rundfunk, points 72 et 91. 41 Arrêt dans l’affaire C-222/84, Marguerite Johnston/Chief Constable of the Royal Ulster Constabulary. 14 51. Cela a été rappelé par le CEPD dans l’avis sur la communication de la Commission au Parlement européen et au Conseil relative au «rétablissement de la confiance dans les flux de données entre l’Union européenne et les États-Unis»42, qui indique que: «Lors de la mise en œuvre d’une activité de surveillance impliquant un nouveau traitement, la nécessité d’une autorisation de l’activité par un juge ou toute autre autorité indépendante réduirait le risque d’abus en garantissant que la nécessité et la proportionnalité soient déterminées au moment de prendre des décisions qui affectent la vie privée des citoyens. Cette autorisation devrait comporter une évaluation de la nécessité et de la proportionnalité de la mesure, prévoir éventuellement des garanties appropriées et être limitée dans le temps»43. 52. Le groupe de travail «Article 29» a également souligné44 que «[l] es programmes de surveillance fondés sur la collecte généralisée et non ciblée de données à caractère personnel ne peuvent en aucun cas satisfaire aux exigences de nécessité et de proportionnalité fixées dans ces principes de protection des données. Les limites imposées aux droits fondamentaux doivent être interprétées de manière restrictive, conformément à la jurisprudence de la Cour européenne des droits de l’homme et de la Cour de justice de l’Union européenne. En conséquence, toute ingérence doit être nécessaire et proportionnée par rapport au but à atteindre ». III. REMARQUES PARTICULIÈRES 53. Le CEPD souhaite adresser ces remarques particulières à la Commission pour faciliter l’introduction rapide des RPAS sur le territoire de l’Union en veillant à ce que les futures mesures et décisions relatives à l’élaboration des politiques liées aux RPAS tiennent compte des exigences relatives au respect de la vie privée et de la protection des données. III.1. Champ de l’intervention politique de l’Union européenne relative aux RPAS 54. Actuellement, la Commission n’est pas compétente pour la réglementation des RPAS de moins de 150 kg45 et seule l’Agence européenne de la sécurité aérienne 42 Voir l’avis du CEPD du 20 février 2014 sur la communication de la Commission au Parlement européen et au Conseil relative au «rétablissement de la confiance dans les flux de données entre l’Union européenne et les États-Unis» et sur la communication de la Commission au Parlement européen et au Conseil relative au «fonctionnement de la sphère de sécurité du point de vue des citoyens de l’UE et des entreprises établies sur son territoire», https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinion s/2014/14-02-20_EU_US_rebuliding_trust_FR.pdf . 43 Voir le point 75 de l’avis précité. 44 Voir l’avis 04/2014 sur la surveillance des communications électroniques à des fins de renseignement et de sécurité nationale, adopté le 10 avril 2014, 819/14/EN WP 215, page 6, disponible à l’adresse http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2014/wp215_fr.pdf. 45 Voir en particulier le règlement de l’Union européenne concernant des règles communes dans le domaine de l’aviation civile qui s’applique uniquement aux RPAS de plus de 150 kg et son annexe II Aéronefs visés à l’article 4, paragraphe 4 du règlement (CE) n° 216/2008 du Parlement européen et du Conseil du 20 février 2008 concernant des règles communes dans le domaine de l’aviation civile et instituant une Agence européenne de la sécurité aérienne, et abrogeant la directive 91/670/CEE du Conseil, le règlement (CE) n° 1592/2002 et la directive 2004/36/CE, i)«l’article 4, paragraphes 1, 2 et 3 ne s’applique pas aux aéronefs qui entrent dans une ou plusieurs des catégories ci-après: […] les aéronefs sans pilote dont la masse en ordre d’exploitation n’excède pas 150 kg;». 15 est compétente pour la réglementation des RPAS de plus de 150 kg. Cependant, comme cela a été mentionné précédemment, les opérations des RPAS, quel que soit le poids de l’aéronef, sont soumises au cadre européen et de l’Union relatif à la protection des données et à la législation nationale qui le met en œuvre dans la mesure où ces opérations supposent le traitement de données à caractère personnel. À cet égard, l’Union européenne devrait jouer un rôle de premier plan dans la sensibilisation des fabricants, des utilisateurs et des personnes concernées à propos du cadre existant relatif à la protection des données, quelle que soit la taille du RPAS. 55. Compte tenu de la nécessité impérative de veiller au respect de la vie privée, de la protection des données et des exigences en matière de sécurité concernant cette nouvelle technologie potentiellement extrêmement intrusive, le CEPD se réjouit du fait que la communication déclare qu’il conviendrait de «réexaminer» le champ d’intervention politique actuel de l’Union sur les RPAS46. En effet, les menaces résultant de la mobilité et de la discrétion abordées aux points 17 à 19 s’appliquent en particulier aux RPAS plus petits et plus légers dont la prolifération potentielle appelle à une harmonisation des règles qui s’appliquent à eux. Si la Commission devait adopter des mesures politiques dans le domaine des RPAS, notamment en ce qui concerne les RPAS légers, ces mesures devraient tenir compte de la législation applicable en matière de protection des données et des obligations générales découlant des articles 7 et 8 de la charte afin d’intégrer les garanties nécessaires et appropriées. 56. De plus, étant donné que les obligations en matière de protection des données peuvent être respectées de la meilleure façon qu’il soit en les examinant dès le début, en appliquant le principe de respect de la vie privée dès la conception plutôt qu’en reconfigurant ultérieurement le système sous l’aspect de la sécurité, la Commission devrait également encourager les fabricants de RPAS à s’acquitter de ces obligations. Le principe du respect de la vie privée dès la conception fera partie des principales obligations qui seront introduites par le règlement général sur la protection des données comme cela a été mentionné ci-dessus47. Le CEPD préconise d’encourager les fabricants à respecter les obligations afin de veiller à ce que les RPAS soient conçus en tenant compte de manière appropriée des exigences en matière de protection des données (voir les autres remarques dans la partie III.2 ci-dessous). III.2. Susciter un débat public en sensibilisant à propos des répercussions sur la vie privée de l’utilisation des RPAS 57. Le CEPD se réjouit des initiatives et des projets de sensibilisation qui devraient accompagner l’introduction des RPAS sur le marché civil de l’Union. Il est essentiel de sensibiliser le public à propos des répercussions de l’utilisation des RPAS sur la vie privée et la protection des données et à propos des obligations dont les fabricants, les responsables du traitement des données, les sous-traitants et les utilisateurs doivent s’acquitter. 46 47 Voir page 5, partie 3.1. Voir le point 41. 16 58. À cet égard, nous soulignons les efforts qui ont déjà été accomplis par certaines autorités nationales de protection des données à propos des répercussions de l’utilisation des RPAS sur le droit au respect de la vie privée et la protection des données48. 59. De plus, le CEPD et le groupe de travail «Article 29» ont été associés dès le début à la réflexion menée par la Commission sur les RPAS. Le CEPD voudrait poursuivre cette coopération étroite avec la Commission dans le cadre du groupe de travail «Article 29» afin de s’assurer, de manière harmonisée, que les RPAS sont utilisés conformément aux exigences applicables en matière de protection des données. III.3. Appuyer la prise en compte du principe de respect de la vie privée dès la conception par les fabricants de RPAS 60. Les RPAS qui seront exploités sur le territoire de l’Union devront intégrer, sur le plan pratique, les principes de protection des données et de respect de la vie privée dès la phase de conception. Cela doit être fait en tenant compte des spécificités des RPAS: en effet, ces dispositifs comprennent un véhicule aérien, le transporteur, et une charge utile qui peut être un système de traitement de données et les deux parties peuvent être produites par des fabricants complètement différents, qui peuvent même ne pas être conscients de l’association de ces parties et de leurs capacités. À cet égard, la Commission devrait encourager les fabricants à tenir compte du respect de la vie privée dès la conception dès lors que le produit conçu possède un usage potentiellement intrusif qui est connu, par exemple, par les fabricants de systèmes complets de surveillance et par les fabricants de systèmes de montage par écrous. Cette démarche est d’autant plus judicieuse puisque le respect de la vie privée dès la conception va devenir une exigence juridique spécifique en vertu du RGPD49. Par la suite, si l’association des parties effectuée par l’utilisateur et les modalités d’utilisation du RPAS entraînent des actes d’intrusion dans la vie privée, la responsabilité finale incombera à l’utilisateur. 61. Les fabricants de RPAS devraient être invités à analyser au plus tôt au cours de la phase de développement la façon dont leur dispositif peut porter atteinte à la vie privée des personnes physiques pour qu’ils puissent alors fabriquer ces dispositifs50 de façon à réduire ces atteintes à ce qui est strictement nécessaire et proportionné au regard de la finalité licite poursuivie. Dans le cas des RPAS, la Commission devrait recommander aux fabricants de RPAS de: proposer différentes catégories de capteurs en fonction des objectifs métier des acheteurs du secteur privé, pour que ces derniers puissent choisir le modèle portant le moins atteinte à la vie privée (par exemple, les RPAS qui sont 48 La CNIL a publié un document de recherche sur les drones à la fin de l’année 2013 à propos de cette problématique, le commissaire britannique à l’information mène actuellement une consultation pour mettre à jour son code de bonne pratique relatif aux systèmes de télévision en circuit fermé (CCTV) qui inclut désormais une section consacrée aux drones et l’autorité belge chargée de la protection des données a publié des questions fréquemment posées à propos de cette même problématique en avril 2014. 49 Voir l’article 30, paragraphe 3, du RGPD. 50 L’analyse des problèmes potentiels liés au respect de la vie privée est essentielle pour le développement et l’utilisation des RPAS et devrait orienter les processus métier et les choix technologiques; 17 utilisés pour élaborer des cartes routières précises n’ont pas besoin d’une caméra haute résolution qui soit capable de discerner les plaques minéralogiques des véhicules); définir les principes de conservation des données dès la conception, c’est-à-dire la possibilité de programmer la suppression automatique et régulière des données traitées; fournir des outils avec des fonctionnalités conviviales de protection des données, telles que la possibilité d’activer ou de désactiver les capteurs en vol (de telle sorte que l’enregistrement ne soit pas continu mais déclenché uniquement lorsque cela est nécessaire et proportionné au regard de la finalité poursuivie), le masquage automatique des espaces privés, la détection et la pixélisation automatiques des visages qui sont accidentellement capturés dans des images et des vidéos51; configurer par défaut les fonctionnalités des dispositifs de telle sorte que les réglages soient les moins préjudiciables pour la vie privée; fournir des informations claires à l’utilisateur à propos des problèmes liés au respect de la vie privée qui peuvent survenir lors de l’utilisation du dispositif, en les énonçant éventuellement dans une déclaration de confidentialité accompagnant tous les RPAS vendus dans le territoire de l’Union. III.4. Aider les responsables du traitement à veiller à la conformité 62. Concernant la vente de RPAS à des utilisateurs finaux privés ou professionnels, le CEPD recommande que les futures mesures politiques à l’échelle de l’Union européenne visant à faciliter ces ventes (telles que les règlements en matière d’homologation) imposent l’inclusion de «déclarations de confidentialité» dans les emballages des RPAS de petite taille. Ces déclarations de confidentialité rappelleront les exigences applicables en matière de protection des données/de vie privée pour le traitement de données à caractère personnel effectué au moyen d’un RPAS exploité au sein de l’Union. Elles fourniront également des explications relatives aux conséquences pratiques telles que, le cas échéant, l’obligation de réaliser une analyse d’impact relative à la protection des données, l’obligation d’informer les personnes physiques à propos du traitement de leurs données à caractère personnel, l’obligation potentielle d’aviser l’autorité compétente de protection des données et la nécessité d’identifier facilement la personne pilotant le RPAS. 63. En tout état de cause, le CEPD souligne avec force le fait que les utilisateurs de RPAS (les citoyens, les entreprises, les administrations, les professionnels, les services chargés de faire appliquer la loi, les services de renseignement, etc.) devraient être conscients des répercussions de leurs actes sur la vie privée, analyser leurs besoins et mettre en œuvre les processus d’utilisation de RPAS les moins préjudiciables pour la vie privée52. Cela nécessiterait normalement qu’ils procèdent à une analyse d’impact relative à la protection des données. Pour que les exigences 51 Voir «The Regulation of the Impact of Civilian Drones on Behavioural Privacy» [la réglementation de l’impact des drones civils sur la confidentialité du comportement], 3 mars 2014, Computer Law & Security Review 30, 3 juin 2014, Roger Clarke. 52 L’analyse des problèmes potentiels liés au respect de la vie privée est essentielle pour le développement et l’utilisation des RPAS et devrait orienter les processus métier et les choix technologiques; 18 relatives au respect de la vie privée dès la conception auxquelles les fabricants sont astreints trouvent une équivalence, les utilisateurs devraient au minimum: définir une finalité pour leur utilisation afin de prévenir les risques de détournement de fonction et de collecter uniquement les données strictement nécessaires pour cette finalité, conformément au principe de minimisation des données. Des limites devraient être définies en ce qui concerne le suivi constant potentiel au moyen de RPAS. Les personnes concernées devraient être informées de manière appropriée de l’utilisation des RPAS et des modalités d’exercice de leurs droits; choisir le dispositif approprié pour l’opération concernée, par exemple en ne choisissant pas un RPAS qui est surchargé de capteurs haute résolution si ces capteurs ne sont pas nécessaires pour répondre aux objectifs de l’utilisateur; configurer leur dispositif en adoptant l’approche la moins préjudiciable pour la vie privée, c’est-à-dire en configurant les paramètres les plus stricts des fonctionnalités favorables au respect de la vie privée intégrées dans la conception du dispositif pour répondre aux besoins de l’utilisateur et porter atteinte le moins possible à la vie privée (par exemple en définissant des périodes courtes de conservation des données, en masquant les espaces privés, en pixélisant les visages accidentellement capturés dans des images et des vidéos, en activant les capteurs uniquement lorsque cela est nécessaire); gérer la sécurité des données collectées de manière appropriée. 64. D’autres interventions seront également nécessaires pour soutenir l’adoption de mesures facilitant l’identification du responsable du traitement d’un RPAS. IV. CONCLUSIONS 65. Le CEPD se réjouit du fait que la Commission le consulte à propos de cette communication et souligne que les utilisations civiles des RPAS couvrent tous les domaines non couverts par les utilisations militaires et ne se limitent pas aux utilisations commerciales. Il salue également le fait que la Communication non seulement souligne les avantages économiques et sociaux des utilisations civiles des RPAS mais détermine également les aspects essentiels dont le respect doit être garanti, c’est-à-dire la vie privée, la protection des données et la sécurité, pour leur propagation. 66. Il convient d’établir une distinction entre les RPAS et les avions et les systèmes de télévision en circuit fermé (CCTV) car leur «mobilité» et leur «discrétion» leur permettent d’être utilisés dans bien plus de circonstances. De plus, ils peuvent être associés à d’autres technologies, telles que des caméras, des capteurs WiFi, des microphones, des capteurs biométriques, des systèmes GPS, des systèmes de lecture des adresses IP et des systèmes de suivi par technologie RFID, qui offrent toutes la possibilité de traiter des données à caractère personnel et de concevoir des outils de surveillance potentiellement puissants. 67. Le CEPD souligne par conséquent que les utilisations des RPAS supposant le traitement de données à caractère personnel constituent dans la plupart des cas une atteinte au droit à la vie privée et familiale garanti par l’article 8 de la convention des droits de l’homme du Conseil de l’Europe et par l’article 7 de la charte des 19 droits fondamentaux de l’Union européenne étant donné que ces utilisations vont à l’encontre du droit à la vie privée et à l’intimité garanti à toutes les personnes physiques dans l’Union européenne et peuvent être autorisées uniquement sous réserve du respect de conditions et de garanties particulières. En tout état de cause, le droit à la protection des données à caractère personnel consacré par l’article 8 de la charte s’applique et le cadre juridique de l’Union relatif à la protection des données doit être respecté à partir du moment où des données à caractère personnel sont traitées par des RPAS exploités dans l’Union. 68. En pratique, par conséquent, les utilisations de RPAS par des particuliers pour des activités privées seront normalement soumises aux exigences de la directive 95/46/CE et seront uniquement couvertes dans de rares cas par l’exception prévue pour les activités domestiques. En tout état de cause, comme condition préalable pour les règles en matière de protection des données, le traitement de données à caractère personnel doit respecter la législation à tous les égards. Cela signifie que les règles pertinentes dans d’autres domaines, tels que le droit civil ou pénal, la propriété intellectuelle, le droit de l’aviation ou le droit de l’environnement, doivent également être respectées. 69. Le traitement de données à caractère personnel au moyen d’un RPAS à des fins commerciales ou professionnelles doit respecter la législation nationale mettant en œuvre la directive 95/46/EC. 70. De plus, le CEPD rappelle que la simple publication de données sur l’internet ou dans un journal, sans objectif de communication d’informations, d’opinions ou d’idées au public, n’est pas suffisante pour qu’elle relève de l’exception prévue pour le journalisme par l’article 9 de la directive 95/46/CE. 71. Les utilisations de RPAS à des fins d’application de la loi doivent également respecter le droit fondamental à la vie privée et, par conséquent, ces activités devraient être fondées sur une législation claire et accessible, servir un objectif légitime et être nécessaires dans une société démocratique et proportionnées au regard de la finalité poursuivie. Les garanties en matière de protection des données énoncées à l’échelle de l’Union et du Conseil de l’Europe s’appliquent à ces activités lorsqu’elles entraînent le traitement de données à caractère personnel. 72. L’utilisation de RPAS à des fins de renseignement doit respecter les principes de nécessité et de proportionnalité. 73. Compte tenu de la nécessité impérative de veiller au respect de la vie privée, de la protection des données et des exigences en matière de sécurité concernant cette nouvelle technologie potentiellement extrêmement intrusive, le CEPD soutient également que la Commission doit réexaminer sa décision selon laquelle elle n’est pas compétente en matière de réglementation des RPAS de moins de 150 kilos. 74. Le CEPD se réjouit également des initiatives et des projets de sensibilisation qui devraient accompagner l’introduction des RPAS sur le marché civil de l’Union européenne. 20 75. Le CEPD recommande à la Commission d’encourager les fabricants de RPAS à tenir compte du respect de la vie privée dès la conception ainsi que par défaut et les responsables du traitement des données à réaliser des analyses d’impact relatives à la protection des données lorsque les opérations de traitement présentent des risques particuliers pour les droits et les libertés des personnes concernées du fait de leur nature, de leur portée ou de leurs finalités. 76. D’autres interventions seront également nécessaires pour soutenir l’adoption de mesures facilitant l’identification du responsable du traitement d’un RPAS. Fait à Bruxelles, le 26 novembre 2014 (signé) Giovanni BUTTARELLI Contrôleur européen adjoint de la protection des données 21