La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet d'arrêté portant création d'un traitement de données à caractère personnel relatif à l'identification des aéronefs circulant sans personne à bord, dénommé « Système de signalement de drones » (SSD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 31-IV et 89-I ;
Après avoir entendu le rapport de Mme Marie-Laure DENIS, présidente, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés (ci-après « la Commission » ou la « CNIL ») a été saisie par le ministère de l'intérieur d'un projet d'arrêté portant création de traitements de données à caractère personnel relatifs au signalement et à la surveillance des aéronefs circulant sans personne à bord, dénommé « Système de signalement de drones » (SSD).
La Commission relève que ce traitement fait partie du projet global de détection du signalement électronique dénommé « Système d'Information étatique (SIE) ». Dans le prolongement de la loi n° 2016-1428 du 24 octobre 2016 relative au renforcement de la sécurité de l'usage des drones civils, ce projet comprend deux entités :

- le traitement « Infodrones », sous la responsabilité du ministère de l'intérieur et mis en œuvre au niveau national, dont la Commission a également été saisie, qui est mis en relation avec les SSD et le traitement dénommé « AlphaTango » de la direction de l'aviation civile (DGAC) relatif à l'enregistrement des aéronefs circulant sans personne à bord. Ce dernier traitement est un portail web mis à la disposition des utilisateurs d'aéronefs télépilotés qui permet notamment d'enregistrer des aéronefs dont ils sont propriétaires conformément à la loi du 24 octobre 2016 précitée ;
- les SSD, qui sont des systèmes de détection locaux sans lien direct avec le traitement de la DGAC. Ils permettent d'avoir accès aux données de vol d'un aéronef circulant sans personne à bord détecté dans une zone géographique déterminée et à son numéro d'identifiant unique. La responsabilité de ces traitements relève de chaque ministère les mettant en œuvre pour les sites particulièrement sensibles et placés sous leur responsabilité (ministères de la transition écologique, de l'économie, des finances et de la relance, des armées, de l'intérieur, des outre-mer et de la justice). Si la Commission relève que toutes les données collectées dans « Infodrones » ne permettent pas d'identifier directement le propriétaire de l'aéronef, certaines données permettent d'identifier indirectement des personnes physiques et constituent donc des données à caractère personnel, comme le rappelle le considérant 21 de la directive 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, qui prévoit que « pour déterminer si une personne physique est identifiable, il convient de prendre en considération l'ensemble des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement ».

La Commission relève que, au niveau européen, deux actes ont été adoptés par la Commission européenne :

- le règlement d'exécution (UE) 2019/947 de la Commission du 24 mai 2019 concernant les règles et procédures applicables à l'exploitation d'aéronefs sans équipage à bord ;
- le règlement délégué (UE) 2019/945 de la Commission du 12 mars 2019 relatif aux systèmes d'aéronefs sans équipage à bord et aux exploitants, issus de pays tiers, de systèmes d'aéronefs sans équipage à bord.

Dans l'attente de l'harmonisation et de l'application des textes européens relatifs au signalement électronique des aéronefs, a ainsi été développé par le ministère un projet destiné à mettre en place une solution de maîtrise de risque.
Sur les conditions générales de mise en œuvre du dispositif :
En premier lieu, la Commission relève que les traitements SSD seront autorisés par un acte réglementaire unique en application du IV de l'article 31 de loi du 6 janvier 1978 modifiée.
Elle prend acte des précisions apportées par le ministère selon lesquelles le recours à un acte réglementaire unique aurait pour objectif de garantir une uniformité de chacun des SSD en imposant à chaque responsable de traitement (dans le cas présent, les ministères concernés) de se conformer aux dispositions juridiques ainsi visées. Cette uniformité est rendue nécessaire par le fonctionnement du dispositif général du SIE qui nécessite l'interconnexion des traitements SSD avec le traitement « Infodrones ».
La Commission prend également acte de ce que l'analyse d'impact relative à la protection des données (AIPD) transmise vise les traitements SSD mis en œuvre par le ministère de l'intérieur. Elle relève que les AIPD des autres ministères seront transmises avec la transmission de l'engagement de conformité à la Commission conformément au IV de l'article 31 de la loi du 6 janvier 1978 modifiée.
La CNIL rappelle que, conformément à l'alinéa 2 de l'article 90 de la loi du 6 janvier 1978 modifiée, « si le traitement est mis en œuvre pour le compte de l'Etat, [l']analyse d'impact est adressée à la Commission nationale de l'informatique et des libertés avec la demande d'avis prévue à l'article 33 ». La transmission obligatoire de l'AIPD à la CNIL dès le stade de la demande d'avis sur l'acte réglementaire autorisant le traitement constitue une garantie, pour les traitements relevant du titre III de la loi « informatique et libertés », de nature à permettre un examen complet par la Commission des règles encadrant le traitement et de ses conditions de mise en œuvre. Lorsque la Commission est saisie d'une demande d'avis portant sur un « acte réglementaire unique » qui, en application du IV de l'article 31 de la loi du 6 janvier 1978 modifiée, n'autorise pas un traitement particulier mais la mise en œuvre de traitements qui « répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires », l'AIPD ne doit pas porter sur un ou plusieurs traitements particuliers envisagés au moment de la saisine mais évaluer les risques et déterminer les catégories de mesures de nature à les maîtriser pour l'ensemble des traitements autorisés par le projet et susceptibles d'être mis en œuvre après son entrée en vigueur, chaque traitement ne faisant ensuite l'objet que de l'envoi d'un « engagement de conformité » à la Commission. Cette AIPD d'ensemble ou « cadre » (cf. CE, sect. de l'int., 8 janvier 2019, n° 396340) peut, le cas échéant, être complétée des AIPD relatives à des traitements spécifiques qui auraient été réalisées à la date de la saisine.
En l'espèce, la Commission relève que le ministère a fourni une AIPD correspondant au traitement envisagé spécifiquement pour le ministère de l'intérieur, mais n'a pas fourni d'AIPD « cadre ». Cependant, elle relève que l'ensemble des traitements qui sont susceptibles d'être mis en œuvre sur le fondement du projet d'acte réglementaire unique présenteront nécessairement une grande uniformité, dès lors que le fonctionnement du dispositif général du système d'information étatique (SIE), tel que prévu par le projet de décret, nécessite l'interconnexion des traitements SSD avec le traitement « Infodrones ». En l'espèce, l'AIPD fournie par le ministère décrit donc suffisamment les caractéristiques communes à tous les traitements, les risques qu'ils présentent et les mesures permettant de les maîtriser. La Commission estime donc, en l'espèce, que cette AIPD peut tenir lieu d'AIPD cadre, à condition que les futurs traitements mis en œuvre dans les autres ministères s'inscrivent dans la continuité de l'AIPD fournie. Elle invite les ministères concernés à lui transmettre leurs AIPD lors de la transmission de l'engagement de conformité prévu par le IV de l'article 31. Pour ces raisons spécifiques, la Commission estime que la condition de licéité relative à la transmission de l'AIPD prévue par l'article 90 de la loi du 6 janvier 1978 modifiée est, au cas d'espèce, remplie.
En deuxième lieu, s'agissant du périmètre du dispositif projeté, la Commission relève qu'il ressort de l'AIPD transmise que le projet SIE a vocation à s'appliquer :

- dans les zones qui font l'objet d'une restriction ou d'une interdiction de survol prévues par les articles L. 6211-4 et L. 6211-5 du code des transports, les articles L. 131-3 et R. 131-4 du code de l'aviation civile et l'article 4 de l'arrêté du 3 décembre 2020 relatif à l'utilisation de l'espace aérien par les aéronefs sans équipage à bord ;
- dans les zones interdites de prise de vue aérienne, qui sont prévues par l'article D. 133-10 du code de l'aviation civile ;
- les zones dont le survol est susceptible de porter atteinte à la sécurité publique.

La Commission prend acte de ce que les « zones dont le survol est susceptible de porter atteinte à la sécurité publique » désignent des zones qui ne sont pas couvertes par les dispositions précitées alors que le survol de ces zones peut présenter un risque pour la sécurité publique et pour la sécurité des personnes. Elle prend également acte de ce que ces zones ne peuvent être listées de manière exhaustive dans les textes dans la mesure où ces évènements peuvent concerner des lieux divers et avoir lieu de manière ponctuelle et imprévisible (par exemple, des rassemblements de personnes, le lieu d'une catastrophe ferroviaire ou encore les itinéraires de convois sensibles).
En troisième lieu, la Commission relève que le traitement « Infodrones » est interconnecté avec les traitements locaux « SSD ». Ainsi, chaque traitement local SSD transmettra à « Infodrones » la position et l'identifiant de l'aéronef circulant sans personne à bord et « Infodrones » répondra au traitement SSD concerné en lui transmettant le statut de l'aéronef en cause.
Sur les finalités et le régime juridique applicable :
L'article 1er du projet d'arrêté prévoit que les traitements SSD ont pour finalités :

- d'assurer la surveillance des aéronefs circulant sans personne à bord dans les zones qui font l'objet d'une restriction ou d'une interdiction ;
- de permettre, par l'exploitation du signalement des aéronefs circulant sans personne à bord, l'identification de leur statut, propriétaire et utilisateur, afin de s'assurer que ces aéronefs ne sont pas susceptibles de porter atteinte à la sécurité publique.

La Commission prend acte des précisions apportées par le ministère selon lesquelles les finalités des traitements « SSD » s'inscrivent dans le dispositif global du SIE et sont exclusivement liées à la surveillance de zones dont le survol est interdit ou restreint (et constitue donc une infraction pénale) ou dont le survol pourrait porter atteinte à la sécurité publique. En effet, est puni de six mois d'emprisonnement et de quinze mille d'euros d'amende le fait pour un télépilote de faire survoler, par maladresse ou négligence, par un aéronef circulant sans personne à bord, une zone du territoire français en violation d'une interdiction prononcée pour des raisons d'ordre militaire ou de sécurité publique (premier alinéa de l'article L. 6211-4 du code des transports). En outre, est puni d'un an d'emprisonnement et de quarante-cinq mille euros d'amende, le fait pour un télépilote d'engager ou de maintenir un aéronef circulant sans personne à bord au-dessus d'une zone définie par l'article L. 6211-4 précité et de ne pas se conformer aux prescriptions de l'article L. 6211-5 du même code (par exemple, l'aéronef qui s'engage d'une zone interdite est tenu d'atterrir sur l'aérodrome le plus rapproché en dehors de la zone interdite).
S'agissant du critère d'autorité compétente au sens de l'article 87 de la loi du 6 janvier 1978 modifiée, la Commission relève que ce critère apparaît rempli s'agissant des ministères de l'intérieur, de la transition écologique, des armées et de la justice. Elle relève que, pour ces ministères, le régime juridique est celui de la directive (UE) 2016/680 précitée. En revanche, elle regrette de ne pas avoir eu davantage de précisions sur l'appréciation de ce critère s'agissant du ministère de l'économie, des finances et de la relance et invite le responsable de traitement à documenter sa qualité d'autorité compétente dans le cadre de sa mise en conformité. La Commission rappelle que cette qualité implique l'exercice de prérogatives de puissance publique dans le cadre du traitement des données ou des actions pour lesquelles il est conduit. Dans l'éventualité où la qualité d'autorité compétente ne pourrait pas être démontrée pour le ministère de l'économie, des finances et de relance, les traitements que celui-ci entend mettre en œuvre ne pourraient pas être encadrés par le présent acte réglementaire unique car ils relèveraient du régime juridique du règlement général sur la protection des données (RGPD), et il conviendra de modifier le projet d'arrêté en ce sens.
Sur les données collectées :
L'article 2 du projet d'arrêté prévoit les catégories de données à caractère personnel et informations qui peuvent être enregistrées dans le traitement.
En premier lieu, le ministère indique, s'agissant des catégories de données relatives au statut de l'aéronef circulant sans personne à bord et au statut de la zone survolée, que les données liées à l'aéronef circulant sans personne à bord sont « nécessaires pour apprécier l'attitude de l'aéronef en fonction de la position et de la route suivie (dangerosité, hostilité, …) et prendre les mesures de prévention et d'alerte adaptées ».
La Commission prend acte de ce que l'attitude dangereuse d'un aéronef circulant sans personne à bord est déterminée par l'agent à partir des éléments à sa disposition dans le traitement SSD auquel il accède (par exemple, le statut du drone, sa position, sa trajectoire, ou le statut de la zone concernée). Elle prend également acte de ce qu'aucun autre traitement automatisé n'est mis en œuvre pour qualifier l'attitude de l'aéronef. Elle considère que le ministère devrait préciser si les données utilisées à cette fin constituent ou non des données à caractère personnel. Sur ce point, elle prend acte de ce que le ministère estime que toutes les données visées ne constituent pas des données à caractère personnel, en particulier celles utilisées pour déterminer l'attitude du drone mais qu'il a été fait le choix de les inscrire dans le projet d'arrêté par souci de transparence.
En second lieu, s'agissant de l'enregistrement de « données relatives aux aéronefs circulant sans personne à bord » la Commission prend acte de ce que, conformément aux dispositions de l'arrêté du 27 décembre 2019 définissant les caractéristiques techniques des dispositifs de signalement électronique et lumineux de ces aéronefs, le numéro d'identifiant est enregistré. Il peut être constitué :

- soit d'un identifiant unique codé sur 30 octets et composé de trois champs (le trigramme du constructeur, le modèle de l'aéronef ou le modèle du dispositif de signalement et le numéro de série de l'aéronef) ;
- soit d'un identifiant unique conforme à la norme ANSI/CTA/2063 (numéro de série physique).

La Commission relève ainsi que le numéro d'identifiant de l'aéronef ne contiendra pas de données à caractère personnel relatives au propriétaire de l'aéronef circulant sans personne à bord.
Les autres catégories de données n'appellent pas d'observation de la part de la Commission.
Dans ces conditions, la Commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard des finalités poursuivies.
Sur les accédants et les destinataires :
La liste des accédants et des destinataires est indiquée à l'article 4 du projet d'arrêté.
S'agissant de la catégorie d'accédants relative aux agents relevant des ministres mentionnés à l'article 1er et chargés de la sécurité des zones mentionnées au 1° du même article, individuellement désignés, la Commission prend acte de ce que cette catégorie comprend le « responsable fonctionnel du traitement » qui est un officier de la gendarmerie des transports aériens. Par ailleurs, si l'ensemble des agents de police et de gendarmerie nationales sont susceptibles d'être accédants et destinataires, la Commission prend acte de ce que l'accès reste soumis à une habilitation individuelle motivée et au besoin d'en connaitre. Dans ces conditions, elle estime l'encadrement suffisant.
Sur les durées de conservation :
L'article 3 du projet d'arrêté prévoit que les données et informations enregistrées dans les traitements SSD sont conservées une heure à compter de leur enregistrement, ce qui n'appelle pas d'observation de sa part.
Sur les droits des personnes concernées :
En premier lieu, s'agissant de l'information des personnes concernées, la Commission considère que la rédaction du projet d'arrêté relative au droit à l'information est ambigüe et mériterait d'être précisée dans la mesure où, en vertu de l'article 104-I de la loi du 6 janvier 1978 modifiée, il incombe au responsable de traitement de mettre à la disposition de la personne concernée les informations listées et non à la personne de demander communication de ces informations. Elle prend acte de l'engagement du ministère de modifier le projet d'arrêté sur ce point.
Le ministère indique qu'il est matériellement impossible de mettre en œuvre un affichage des mentions d'information à l'endroit où les personnes concernées se trouvent (c'est-à-dire dans un rayon pouvant s'étendre à plus de 5 km du site). Quant à l'hypothèse d'un panneau au niveau du site lui-même, le ministère estime qu'elle ne présente aucune utilité car il ne serait pas lisible du télépilote (via son drone) avant d'être déjà au niveau de la zone interdite et donc identifié comme menace potentielle.
La Commission estime toutefois qu'un tel affichage pourrait être utile en complément de la cartographie disponible en ligne (www.geoportail.gouv.fr), pour les zones dont l'implantation est fixe (par exemple, les centrales nucléaires de production électrique ou les sites militaires sensibles) et pour lesquelles la lecture se ferait certes à proximité de la zone, mais non dans celle-ci. La circonstance selon laquelle l'aéronef serait déjà identifié comme menace est sans incidence dans la mesure où, d'une part, la position de tous les aéronefs en vol est connue en permanence et, d'autre part, ceux présents à proximité d'une zone interdite ne sont, par définition, pas entrés dans cette zone.
En second lieu, la Commission relève que le projet d'arrêté prévoit que les droits d'accès, de rectification, d'effacement et à la limitation des données peuvent faire l'objet de restriction en application des 2° et 3° du II et du III de l'article 107 de la loi du 6 janvier 1978 modifiée et que le droit d'opposition prévu à l'article 110 de la loi précitée ne s'applique pas, ce qui n'appelle pas d'observation.
Sur les mesures de sécurité :
La Commission observe que l'accès aux traitements s'effectue par le biais du SSO Proxyma (GN) ou Cheops NG (PN) pour les agents habilités, correspondant donc à une authentification forte et n'a pas d'observation à formuler sur ce point.
La Commission comprend des éléments transmis que le dispositif global fonctionne de la façon suivante : les aéronefs circulant sans personne à bord émettent un signal donc les caractéristiques sont définies par la Commission européenne, soit une trame Wi-fi non chiffrée sur la bande 2400 - 2483,5 MHz, afin de pouvoir « être captées directement par des appareils mobiles existants situés dans la zone de radiodiffusion ». Dès lors que l'aéronef se trouve dans un rayon d'un kilomètre d'une borne, cette dernière capte le signal, le transmet au SSD local qui le transfère au système « Infodrones ».
La Commission relève que de l'antenne au traitement SSD, puis du traitement SSD au traitement « Infodrones », les flux sont chiffrés et n'a pas d'observation à formuler sur ce point.
La Commission souligne cependant, bien que le ministère n'ait pas la maîtrise de ces éléments dans la mesure où les spécifications sont issues de la Commission européenne, que de l'aéronef à l'antenne, le flux circule en clair, exposant par conséquent les données.
La Commission relève que les traitements mettent en œuvre un dispositif de journalisation, pour une durée de trois ans. Cette journalisation concerne les identifiants des utilisateurs, les informations « groupe date-heure » (date, heure, fuseau horaire), les actions réalisées (collecte, consultation, interconnexion et suppression), les motifs de consultation et de communication et, le cas échéant, les destinataires des données.
Lors des échanges avec la Commission, il a été confirmé que « les données de traçabilité comprennent logiquement l'identifiant des drones, afin d'être en mesure d'identifier les agents ayant effectué une recherche sur cet aéronef ».
Si la Commission prend acte de ce que le nombre de personnes ayant accès à ces traces est limité au personnel des inspections générales en charges de l'usage des fichiers, ce qui correspond par exemple à trois personnels de l'inspection générale de la gendarmerie nationale, elle s'interroge toutefois d'une durée de conservation aussi longue sachant que les données collectées au sein des traitements SSD ne sont conservées qu'une heure. La Commission encourage le ministère à réduire drastiquement cette durée et prend acte de son engagement à réduire à un an la conservation de ces données.