Les drones civils connectés : le G29 se prononce !
K.Pratique | Chroniques juridiques du cabinet KGA Avocats - Matthieu Bourgeois, 7/09/2015
Utilisés comme moyen d’acquisition de données (notamment topographiques), pour des applications multiples (surveillance/maintenance d’infrastructures, prises de vue…) et par des utilisateurs variés (aussi bien des professionnels que le grand public), les drones dits « civils » – par opposition aux drones « militaires » – constituent un marché en pleine expansion. Pour poursuivre ce mouvement, les fabricants, les exploitants ainsi que les utilisateurs de drones ont besoin de certitudes juridiques, en particulier concernant les aspects liés au respect de la vie privée que les drones connectés (munis de caméras ou autres types de capteurs) peuvent menacer. L’avis émis le 16 juin 2015, par le groupement européen des différentes autorités nationales de protection des données à caractère personnel (« G29 »), devrait y contribuer fortement.
1) LES TEXTES EXISTENT DEJA
Contrairement à une idée reçue, il existe déjà de nombreux textes applicables aux drones, en particulier issus du code de l’aviation civile qui est complété par deux arrêtés ministériels du 11 avril 2012 (réf. : DEVA1206042A et DEVA1207595A). Ces textes prévoient une série d’obligations concernant notamment les caractéristiques techniques des drones mis en circulation, les types de vols possibles (altitude, zone…) ainsi que les modalités de prise de vue aérienne.
Ces textes spécifiques, issus du droit administratif, ne traitent pas de la problématique du respect de la vie privée, raison pour laquelle certains ont pu considérer qu’il existait un « vide juridique » à ce sujet. Or il n’en est rien, car les textes existants, protégeant la vie privée, s’appliquent parfaitement aux drones connectés. Un éclairage pratique sur leur mise en application était néanmoins attendu et a été utilement apporté par le G29.
Ces textes spécifiques, issus du droit administratif, ne traitent pas de la problématique du respect de la vie privée, raison pour laquelle certains ont pu considérer qu’il existait un « vide juridique » à ce sujet. Or il n’en est rien, car les textes existants, protégeant la vie privée, s’appliquent parfaitement aux drones connectés. Un éclairage pratique sur leur mise en application était néanmoins attendu et a été utilement apporté par le G29.
2) DRONES CONNECTES ET RESPECT DE LA VIE PRIVEE : L’AVIS DU G29
L’utilisation des drones équipés de capteurs entraîne, bien souvent, une collecte de données à caractère personnel lorsque les personnes sont reconnaissables sur les clichés/vidéo ou enregistrements sonores. Dans son avis du 16 juin 2015, le G29 émet une série de recommandations sur l’utilisation de ce type de drones, dont voici une synthèse des principales d’entre elles:
- le principe de minimisation de la collecte doit conduire les utilisateurs de drones à adopter des mesures techniques protégeant, par défaut, la vie privée (« privacy by default ») ; ainsi, les drones doivent être équipés de dispositifs d’anonymisation lorsque la collecte de données personnelles n’est pas nécessaire : par exemple, les drones équipés de caméras doivent, par défaut, utiliser des procédés permettant de flouter les personnes apparaissant sur les enregistrements vidéo ; ou encore, un drone ayant pour mission de survoler une zone précise pour y collecter des données, ne devrait pas activer ses dispositifs vidéo avant d’avoir atteint ladite zone ;
- l’information des personnes doit être menée selon une approche multicanal, par la combinaison de plusieurs facteurs comme l’utilisation de drones facilement visibles, la mise en place de panneaux de signalisation/d’information aux abords des zones survolées/filmées par les drones, ainsi que l’utilisation de sites web faisant apparaître les zones géographiques concernées par les vols des drones ;
- la sécurité des données collectées via des drones doit répondre aux exigences classiques en la matière, à savoir notamment : nombre limité de personnes habilitées à accéder aux données, journalisation des accès …
Les entreprises fabriquant, distribuant ou utilisant des drones connectés, seraient bien inspirées de travailler, dès la conception de leurs projets, à la mise en conformité de leurs drones : l’avis du 29 peut leur servir de référentiel, et devra être complété par le recours à un expert de la règlementation sur les données personnelles. Les entreprises minimiseront ainsi les risques de condamnation et de perte d’image/réputation, pouvant même faire de cette conformité un étendard pour communiquer et se démarquer de leurs concurrents. Elles transformeront ainsi ces contraintes réglementaires en un levier de compétitivité sur ce marché plein d’avenir.
numéro 57 des « vendredis de l’IT – le rendez-vous des professionnels de l’IT », daté du 4 septembre 2015
- le principe de minimisation de la collecte doit conduire les utilisateurs de drones à adopter des mesures techniques protégeant, par défaut, la vie privée (« privacy by default ») ; ainsi, les drones doivent être équipés de dispositifs d’anonymisation lorsque la collecte de données personnelles n’est pas nécessaire : par exemple, les drones équipés de caméras doivent, par défaut, utiliser des procédés permettant de flouter les personnes apparaissant sur les enregistrements vidéo ; ou encore, un drone ayant pour mission de survoler une zone précise pour y collecter des données, ne devrait pas activer ses dispositifs vidéo avant d’avoir atteint ladite zone ;
- l’information des personnes doit être menée selon une approche multicanal, par la combinaison de plusieurs facteurs comme l’utilisation de drones facilement visibles, la mise en place de panneaux de signalisation/d’information aux abords des zones survolées/filmées par les drones, ainsi que l’utilisation de sites web faisant apparaître les zones géographiques concernées par les vols des drones ;
- la sécurité des données collectées via des drones doit répondre aux exigences classiques en la matière, à savoir notamment : nombre limité de personnes habilitées à accéder aux données, journalisation des accès …
Les entreprises fabriquant, distribuant ou utilisant des drones connectés, seraient bien inspirées de travailler, dès la conception de leurs projets, à la mise en conformité de leurs drones : l’avis du 29 peut leur servir de référentiel, et devra être complété par le recours à un expert de la règlementation sur les données personnelles. Les entreprises minimiseront ainsi les risques de condamnation et de perte d’image/réputation, pouvant même faire de cette conformité un étendard pour communiquer et se démarquer de leurs concurrents. Elles transformeront ainsi ces contraintes réglementaires en un levier de compétitivité sur ce marché plein d’avenir.
numéro 57 des « vendredis de l’IT – le rendez-vous des professionnels de l’IT », daté du 4 septembre 2015