Le drone est juridiquement un « objet connecté », et donc l’utilisateur du drone doit s’assurer que dès sa conception, celui-ci met en œuvre la « privacy by design » afin de gérer au mieux le risque lié à l’usage des données collectées et/ou mises en œuvre par le drone.
Le drone est juridiquement un « objet connecté », et donc l’utilisateur du drone doit s’assurer que dès sa conception, celui-ci met en œuvre la « privacy by design » afin de gérer au mieux le risque lié à l’usage des données collectées et/ou mises en œuvre par le drone.
Le sujet est important et la CNIL a récemment publié une note sur cette problématique sous la plume de Saba-Rebecca Brausse (vous pouvez télécharger la note sur le site de la CNIL sous la rubrique « la lettre innovation et prospective n 6 de décembre 2013 » intitulée « drones innovation vie privée et liberté individuelle »).
En effet, le drone est un ensemble complexe de différents capteurs (caméras – microphones – capteurs thermiques et infrarouges etc.), et tous ces éléments collectent des « données » mais en utilisent également pour leur fonctionnement.
Les éléments complexes du drone doivent intégrer de plus en plus la protection des données nominatives s’il en collecte, et intégrer aussi un système de protection pour lui-même, ce par application du principe juridique de la « privacy by design ».
Le drone rentre dans la catégorie juridique des objets connectés :
Tout concepteur et utilisateur d’un objet connecté, ici un drone, mais ce peut être aussi un robot au sens large, c’est-à-dire toute application qui met en œuvre des éléments d’intelligence artificielle doit vérifier si son « objet connecté » est soumis à la loi informatique et liberté, ce qui alors implique le respect de la « privacy by design ».
Pour déterminer si la loi informatique et liberté s’applique, il faut donc vérifier si se trouve concernée par l’activité du drone la collecte de données ayant un caractère personnel.
L’article 2 alinéa 2 de la loi informatique et liberté définit la notion de données à caractère personnel, il s’agit de :
« Toute information relative à une personne identifiée ou qui peut être identifiée, directement ou indirectement par référence à un numéro d’identification un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auquel peut avoir accès le responsable de traitement ou toute autre personne ».
La définition a un spectre d’application très large, car elle englobe toutes les informations qui permettent d’identifier directement ou indirectement un individu personne physique, étant précisé que les personnes morales sont exclues de l’application de l’article 2 alinéa 2 ; si les données collectées les concernent.
Ensuite, l’article 2 alinéa 3 de la loi informatique et liberté dispose que :
Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé.
Donc, spécifiquement pour le drone il est plus que recommandé de s’assurer que l’appareil, notamment s’il enregistre des photos ou des vidéos :
Qu’il soit équipé de système de protection de données personnelles dans l’analytique des vidéos, que ce système ne permette pas d’identifier les personnes physiques par exemple en segmentant l’image dans différentes couches ou par l’utilisation de tout autre procédé d’anonymisation.
De même, il conviendra de vérifier que les systèmes d’équipement du drone minimisent les données collectées pour ne garder que celles nécessaires à la finalité de l’utilisation.
La conformité des éléments d’équipement du drone au regard de la « privacy by design » doit être aussi pensée du fait du fonctionnement correct du drone, pour faire face aux risques comme par exemple :
Oui ou non le drone est-il équipé de systèmes qui auront pour objet d’éviter sa chute.
Oui ou non le drone sera-t-il équipé de systèmes lui permettant de détecter les objets qu’il peut rencontrer sur son passage afin de les éviter.
Oui ou non est-il équipé d’un système de détection de couloirs de vols pré-programmés pour éviter, le cas échéant, en fonction de la météo les couloirs de vent, le brouillard et le cas échéant, recalculer en temps réel le choix d’un trajet de vol adapté.
Enfin, un drone peut toujours être intercepté pendant son vol, donc oui ou non est-il équipé d’un système préventif sécurisé pour réduire justement : les risques d’interception, ainsi que d’ailleurs les risques d’interception des données collectées d’une part pendant la collecte et d’autre part pendant la récupération de ces données par son opérateur réel.
La « privacy by design » est un principe de prévention à la charge des opérateurs
Concernant les drones, on rappellera que, la nouvelle loi du 24 octobre 2016 sur les drones civils a modifié :
D’abord l’article L.6214-5 du Code des Transports pour les aéronefs circulant sans personne à bord en leur imposant en fonction de leur poids un dispositif de signalement sonore qui se déclenche en cas de perte de contrôle des évolutions de l’appareil ou de perte de maîtrise de la trajectoire de l’appareil par son télé-pilote.
L’intégration de systèmes de protection de l’appareil va bien au-delà du système de signalement sonore et doit inclure le respect de la « privacy by design » dans tous ses éléments d’équipement pour que de fait, par son utilisation, le drone ne soit pas un objet qui puisse soumettre autrui à un risque sauf à engager la responsabilité pénale etc… du propriétaire et/ou de l’utilisateur.
« Le fait d’exposer directement autrui à un risque immédiat de mort ou de blessures de nature à entrainer une mutilation ou une infirmité permanente par la violation manifestement délibérée d’une obligation particulière de sécurité ou de prudence prévue par la loi ou le règlement ».
Pour constituer ce délit, il faudra prouver que le manquement aura été la cause directe et immédiate d’un risque de mort ou de blessures et que le lien de causalité soit caractérisé.
Ainsi, les principes évoqués de la « privacy by design » pour la protection des données informatiques au sens très large participeront de plus en plus à déterminer les responsabilités pénales ou civiles.
On rappellera que civilement peut s’appliquer aussi comme conséquence de l’utilisation du drone :
la responsabilité du fait des choses,
la responsabilité d’autrui,
la responsabilité des produits défectueux.
Et l’utilisation du drone peut aussi sur ces manquements entraîner la responsabilité du client ou du donneur d’ordre.
Et au regard des utilisations multiples des drones pour :
inspecter les chantiers,
inspecter la surveillance de bâtiments,
inspecter des cultures etc…
En cas d’incidents en ce compris les difficultés liées à l’utilisation des données personnelles, par le « drone-robot », ou tout dysfonctionnement des éléments d’intelligence artificiels, se trouve donc ouvert un spectre très large de recherche des garanties de toutes les personnes qui ont participé au vol aussi bien : Directement le propriétaire du matériel que le commanditaire de l’opération ainsi qu’en matière de traitement de données personnelles, les deux entités qui doivent intervenir à titre principal à savoir : Le responsable du traitement et le sous-traitant.
Donc, dans la chaîne de recherche de toutes ces responsabilités devra être garantie une utilisation loyale du drone dans le respect de l’intégralité des obligations qui s’y appliquent dont fait partie la « privacy by design ».
Pour le contrôle de vos contrats concernant l’utilisation d’un drone, la commande d’une mission, l’utilisation, la mise à disposition, la revente des données collectées, tous ces actes importants sont fédérateurs de blocs de responsabilité qu’il convient de connaître.
Pour analyser vos projets, vous protéger, vous défendre et vous aider dans vos démarches, prises de décision et rédactions de contrats, consulter le cabinet de Maître Rondeau Abouly, Avocat en Droit des Drones à Marseille.