La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet d'arrêté portant création d'un traitement de données à caractère personnel relatif à l'identification des aéronefs circulant sans personne à bord, dénommé « Infodrones » ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 89-I ;
Après avoir entendu le rapport de Mme Marie-Laure DENIS, présidente, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés (ci-après « la Commission ») a été saisie par le ministère de l'intérieur d'un projet d'arrêté portant création d'un traitement de données à caractère personnel relatif à l'identification des aéronefs circulant sans personne à bord, dénommé « Infodrones ».
Ce traitement fait partie du projet global de détection du signalement électronique dénommé « Système d'Information étatique (SIE) ». Dans le prolongement de la loi n° 2016-1428 du 24 octobre 2016 relative au renforcement de la sécurité de l'usage des drones civils, ce projet comprend deux entités :
- le traitement « Infodrones », sous la responsabilité du ministère de l'intérieur et mis en œuvre au niveau national, qui est mis en relation avec les systèmes de signalement de drones (SSD) et avec le traitement dénommé « AlphaTango » de la direction générale de l'aviation civile (DGAC) du ministère de la transition écologique. Ce dernier traitement est un portail web mis à la disposition des utilisateurs d'aéronefs télépilotés, qui leur permet notamment d'enregistrer des aéronefs dont ils sont propriétaires conformément à la loi du 24 octobre 2016 précitée. Si la Commission relève que toutes les données collectées dans « Infodrones » ne permettent pas d'identifier directement le propriétaire de l'aéronef, certaines données permettent d'identifier indirectement des personnes physiques et constituent donc des données à caractère personnel, comme le rappelle le considérant 21 de la directive 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, qui prévoit que « pour déterminer si une personne physique est identifiable, il convient de prendre en considération l'ensemble des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement » ;
- les systèmes de signalement de drones (SSD), qui sont des systèmes de détection locaux sans lien direct avec le traitement de la DGAC dont la Commission a également été saisie. Ils permettent d'avoir accès aux données de vol d'un aéronef circulant sans personne à bord détecté dans une zone géographique déterminée et à son numéro d'identifiant unique. La responsabilité de ces traitements relève de chaque ministère les mettant en œuvre pour les sites particulièrement sensibles et placés sous leur responsabilité.
La Commission relève que, au niveau européen, deux actes ont été adoptés par la Commission européenne :
- le règlement d'exécution (UE) 2019/947 de la Commission du 24 mai 2019 concernant les règles et procédures applicables à l'exploitation d'aéronefs sans équipage à bord ;
- le règlement délégué (UE) 2019/945 de la Commission du 12 mars 2019 relatif aux systèmes d'aéronefs sans équipage à bord et aux exploitants, issus de pays tiers, de systèmes d'aéronefs sans équipage à bord.
Dans l'attente de l'harmonisation et de l'application des textes européens relatifs au signalement électronique des aéronefs, a ainsi été développé par le ministère un projet destiné à mettre en place une solution de maîtrise de risque.
Sur les conditions générales de mise en œuvre du dispositif :
S'agissant du périmètre du dispositif projeté, la Commission relève qu'il ressort de l'analyse d'impact relative à la protection des données (AIPD) transmise que le projet SIE a vocation à s'appliquer :
- dans les zones qui font l'objet d'une restriction ou d'une interdiction de survol prévues par les articles L. 6211-4 et L. 6211-5 du code des transports, les articles L. 131-3 et R. 131-4 du code de l'aviation civile et l'article 4 de l'arrêté du 3 décembre 2020 relatif à l'utilisation de l'espace aérien par les aéronefs sans équipage à bord ;
- dans les zones interdites de prise de vue aérienne, qui sont prévues par l'article D. 133-10 du code de l'aviation civile ;
- les zones dont le survol est susceptible de porter atteinte à la sécurité publique.
La Commission prend acte de ce que les « zones dont le survol est susceptible de porter atteinte à la sécurité publique » désignent des zones qui ne sont pas couvertes par les dispositions précitées alors que le survol de ces zones peut présenter un risque pour la sécurité publique et pour la sécurité des personnes. Elle prend également acte de ce que ces zones ne peuvent être listées de manière exhaustive dans les textes dans la mesure où ces évènements peuvent concerner des lieux divers et avoir lieu de manière ponctuelle comme récurrente et ne sont pas nécessairement prévisibles (par exemple, des rassemblements de personnes, le lieu d'une catastrophe ferroviaire ou encore les itinéraires de convois sensibles). Dans ces derniers cas, la Commission attire l'attention du ministère sur la nécessité d'un fondement légal pour mener les missions d'interception ou de constatation d'infractions envisagées dans ces zones.
Sur les finalités et le régime juridique applicable :
L'article 1er du projet d'arrêté précise que le traitement « Infodrones » a pour finalité de prévenir les atteintes à la sécurité publique susceptibles de résulter de l'usage d'aéronefs circulant sans personne à bord, en centralisant les données de signalement de ces aéronefs et en identifiant leurs statut, propriétaire et utilisateur.
Ce traitement s'inscrit dans un dispositif visant à détecter les aéronefs circulant sans personne à bord dont l'usage caractériserait une infraction et/ou « non-coopératifs ». En effet, le fait pour un télépilote de faire survoler, par maladresse ou négligence, par un aéronef circulant sans personne à bord, une zone du territoire français en violation d'une interdiction prononcée pour des raisons d'ordre militaire ou de sécurité publique (premier alinéa de l'article L. 6211-4 du code des transports) est puni de six mois d'emprisonnement et de quinze mille euros d'amende. En outre, est puni d'un an d'emprisonnement et de quarante-cinq mille euros d'amende le fait pour un télépilote d'engager ou de maintenir un aéronef circulant sans personne à bord au-dessus de cette même zone et de ne pas se conformer aux prescriptions de l'article L. 6211-5 du même code (par exemple, l'aéronef qui s'engage d'une zone interdite est tenu d'atterrir sur l'aérodrome le plus rapproché en dehors de la zone interdite).
Dans la mesure où le traitement « Infodrones » est mis en œuvre à des fins de prévention des atteintes à la sécurité publique et de détection des infractions et que le ministère de l'intérieur constitue une « autorité compétente » au sens de la directive (UE) 2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales (ci-après « la directive »), la Commission considère qu'il relève du champ d'application de cette directive et doit être examiné au regard des dispositions des articles 87 et suivants de la loi du 6 janvier 1978 modifiée.
Au regard de ces éléments, la Commission estime que les finalités projetées sont déterminées, explicites et légitimes conformément à l'article 4-2° de la loi du 6 janvier 1978 modifiée.
Sur les mises en relation projetées :
En premier lieu, la Commission relève que le traitement « Infodrones » est interconnecté avec les traitements locaux « SSD ». Ainsi, chaque traitement local SSD transmettra à « Infodrones » la position et l'identifiant de l'aéronef circulant sans personne à bord et « Infodrones » répondra au traitement SSD concerné en lui transmettant le statut de l'aéronef en cause.
Elle relève également que le traitement « Infodrones » sera alimenté par une extraction partielle d'un autre traitement dénommé « AlphaTango » de la DGAC mais que « Infodrones » n'alimentera pas en retour cette base de données.
En second lieu, le projet d'arrêté précise que ce traitement peut être mis en relation par rapprochement avec les traitements suivants :
- les logiciels de rédaction des procédures de la police et de la gendarmerie nationale (dénommés « LRPPN » et « LRPGN ») dans les cas où les survols sont constitutifs d'une infraction pénale, afin que l'enquêteur puisse enrichir la procédure judiciaire des éléments permettant d'établir la matérialité des faits ;
- les traitements « Gestion de l'information et prévention des atteintes à la sécurité publique » (GIPASP) ou « Prévention des atteintes à la sécurité publique » (PASP) lorsqu'un survol susceptible de porter atteinte à la sécurité publique a été constaté ou présente des caractéristiques justifiant la rédaction d'une note permettant la diffusion d'un renseignement ;
- le « Fichier des objets et des véhicules signalés » (FOVeS) pour qu'un drone, identifié comme présentant une menace potentielle pour la sécurité publique, puisse être inscrit en tant que véhicule signalé dans ce traitement.
La Commission prend acte de ce que ces rapprochements se caractériseront uniquement par un flux à sens unique, manuel et non automatisé. Elle prend également acte des précisions apportées par le ministère selon lesquelles, pour les mises en relation avec les traitements LRPGN, LRPPN, GIPASP et PASP, toutes les données mentionnées dans le projet d'arrêté seront susceptibles d'être concernées par cette mise en relation. En revanche, pour ce qui est de la mise en relation avec le traitement FOVeS, seules les données relatives à l'identité des personnes et aux aéronefs seront susceptibles d'être intégrées.
Sans remettre en cause les mises en relation projetées, la Commission rappelle que seules les données dont la collecte est prévue et encadrée par les textes encadrant les traitements précités pourront être transmises.
A défaut de faire figurer les mises en relation projetées dans l'acte réglementaire, elle prend acte de ce que les AIPD relatives à chacun de ces traitements devront être mises à jour et invite le ministère, par souci de transparence, à le mentionner dans l'information qu'il fournit sur ces traitements sur son site internet.
Sur les données collectées :
L'article 2 du projet d'arrêté prévoit les catégories de données à caractère personnel et informations qui peuvent être enregistrées dans le traitement.
S'agissant de l'enregistrement de « données relatives aux aéronefs circulant sans personne à bord », la Commission prend acte de ce que, conformément aux dispositions de l'arrêté du 27 décembre 2019 définissant les caractéristiques techniques des dispositifs de signalement électronique et lumineux de ces aéronefs, le numéro d'identifiant est enregistré. Il peut être constitué :
- soit d'un identifiant unique codé sur 30 octets et composé de trois champs (le trigramme du constructeur, le modèle de l'aéronef ou le modèle du dispositif de signalement et le numéro de série de l'aéronef) ;
- soit d'un identifiant unique conforme à la norme ANSI/CTA/2063 (numéro de série physique).
La Commission relève ainsi que le numéro d'identifiant de l'aéronef ne contiendra pas de données à caractère personnel relatives au propriétaire de l'aéronef circulant sans personne à bord.
S'agissant des données relatives au télépilote, à l'exploitant ou au propriétaire de l'aéronef, du représentant légal du télépilote le cas échéant, de du représentant de la personne morale exploitant l'aéronef, la Commission relève qu'il s'agit des données d'identification présentes dans le traitement « AlphaTango » et nécessaire à l'identification des personnes concernées.
Les autres catégories de données n'appellent pas d'observation de la part de la Commission.
Dans ces conditions, la Commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard des finalités poursuivies.
Sur les accédants et les destinataires :
La liste des accédants et des destinataires est mentionnée à l'article 4 du projet d'arrêté.
S'agissant des catégories d'accédants relatives aux agents de la gendarmerie nationale et aux agents de la police nationale, la Commission prend acte de ce qu'elles comprennent le « responsable fonctionnel du traitement » qui est un officier de la gendarmerie des transports aériens ainsi que les « inspections générales de la police nationale et de la gendarmerie nationale ». Par ailleurs, si l'ensemble des agents de police et de gendarmerie nationales sont susceptibles d'être accédants et destinataires, la Commission prend acte de ce que l'accès reste soumis à une habilitation individuelle motivée et au besoin d'en connaitre. Dans ces conditions, elle estime l'encadrement suffisant.
Sur les durées de conservation :
L'article 3 du projet d'arrêté prévoit que les données à caractère personnel sont conservées un an à compter de leur enregistrement.
La Commission observe qu'il ressort de l'AIPD que « les données de vol et l'identifiant associé sont conservés dans l'attente d'une exploitation en cas de besoin pendant un an ». Le ministère indique que cette durée de conservation est rendue nécessaire pour les besoins des enquêtes judiciaires ou pour la mise en évidence des risques pour la sécurité publique (par exemple, pour déterminer si la personne mise en cause a déjà pu commettre des faits similaires ou, dans le cadre de la prévention des menaces pour la sécurité publique, afin de recouper les informations et de consolider le renseignement).
La Commission souligne que les données poursuivent avant tout une finalité opérationnelle immédiate, pour prévenir une possible atteinte à la sécurité publique liée au survol d'un drone : la durée de conservation des données nécessaire à cette fin semble très inférieure à une année. Si la conservation ultérieure des données pour une enquête approfondie ou d'éventuelles procédures judiciaires est légitime, la Commission regrette de ne pas avoir eu davantage de précisions lui permettant d'apprécier la durée de conservation retenue. Si elle prend acte de ce que la prévention des atteintes à la sécurité publique peut aussi être réalisée par la mise en perspective de différents survols pour déterminer une menace potentielle sur d'autres sites, elle s'interroge toutefois sur la conservation de toutes les données en base active alors même qu'elles ne seraient plus nécessaires pour la finalité poursuivie par le traitement ; si des données pourraient s'avérer nécessaires pour constituer par exemple des éléments de preuve, elles peuvent être conservées en archivage intermédiaire, ce qu'elle invite le ministère à faire. Dans ce cas, il reviendrait alors au ministère de mener une analyse au cas par cas afin de déterminer les données qui devraient nécessairement être archivées et leurs durées de conservation.
Sur les droits des personnes concernées :
L'article 6 du projet d'arrêté prévoit les modalités d'exercice des droits des personnes.
En premier lieu, s'agissant de l'information des personnes concernées, la Commission considère que la rédaction du projet d'arrêté relative au droit à l'information est ambigüe et mériterait d'être précisée dans la mesure où, conformément à l'article 104-I de la loi du 6 janvier 1978 modifiée, il incombe au responsable de traitement de mettre à la disposition de la personne concernée les informations listées et non à la personne de demander communication de ces informations.
En deuxième lieu, s'agissant des modalités d'exercice du droit d'accès, le projet d'arrêté prévoit que les personnes concernées ne pourront l'exercer que par voie postale, la réponse étant fournie par le même canal. La Commission considère que ces droits devraient également pouvoir être exercés par voie électronique, sur le site internet du ministère par exemple, afin de faciliter l'exercice des droits des personnes concernées.
En troisième lieu, la Commission relève que le projet d'arrêté prévoit que les droits d'accès, de rectification, d'effacement et à la limitation des données peuvent faire l'objet de restrictions en application des 2° et 3° du II et du III de l'article 107 de la loi du 6 janvier 1978 modifiée et que le droit d'opposition prévu à l'article 110 de la loi précitée ne s'applique pas, ce qui n'appelle pas d'observation.
Sur les mesures de sécurité :
La Commission relève que l'accès aux traitements s'effectue par le biais du SSO Proxyma (GN) ou Cheops NG (PN) pour les agents habilités, correspondant donc à une authentification forte et n'a pas d'observation à formuler sur ce point.
La Commission observe que l'accès à « Infodrones » est également possible en mobilité pour les utilisateurs de la gendarmerie et de la police nationales. Cet accès s'effectue par le biais d'une authentification classique par identifiant et mot de passe. L'accès au « terminal mobile de consultation » est quant à lui soumis à la saisie d'un code PIN. La Commission invite le ministère à tenir le plus grand compte de la recommandation de la Commission sur le sujet, afin de définir un niveau de sécurité conforme aux exigences légales.
La Commission prend acte de ce que les accès au système ainsi que les échanges entre les systèmes SSD locaux et « Infodrones », tout comme les échanges entre le traitement de la DGAC précité et « Infodrones », s'effectuent par le biais de canaux chiffrés et n'a pas d'observation à formuler sur ce point.
La Commission souligne que le traitement met en œuvre un dispositif de journalisation, pour une durée de trois ans. Cette journalisation concerne les identifiants des utilisateurs, les informations « groupe date-heure » (date, heure, fuseau horaire), les actions réalisées (collecte, consultation, interconnexion et suppression), les motifs de consultation et de communication et, le cas échéant, les destinataires des données.
Lors des échanges avec la Commission, il a été confirmé que « les données de traçabilité comprennent logiquement l'identifiant des drones, afin d'être en mesure d'identifier les agents ayant effectué une recherche sur cet aéronef ».
La Commission s'interroge toutefois sur le choix d'une durée de conservation aussi longue (trois ans) sachant que les données collectées au sein du traitement « Infodrones » ne sont conservées qu'un an.