Par une décision du 18 mai 2020, le Conseil d’Etat a enjoint l’Etat « de cesser de procéder aux mesures de surveillance par drone, du respect, à Paris, des règles de sécurité sanitaire applicables à la période de déconfinement tant qu’il n’aura pas été remédié à l’atteinte caractérisée au point précédent, soit par l’intervention d’un texte réglementaire, pris après avis de la Cnil, autorisant, dans le respect des dispositions de la loi du 6 janvier 1978 applicables aux traitements relevant du champ d’application de la directive du 27 avril 2016, la création d’un traitement de données à caractère personnel, soit en dotant les appareils utilisés par la préfecture de police de dispositifs techniques de nature à rendre impossible, quels que puissent en être les usages retenus, l’identification des personnes filmées. ». Il a ainsi infirmé l’ordonnance de référé du 5 mai dernier en affirmant que « les données susceptibles d’être collectées par le traitement litigieux doivent être regardées comme revêtant un caractère personnel. ».
La Quadrature du Net et la Ligue des droits de l’homme avaient demandé au juge des référés de suspendre la décision du préfet de police ayant institué depuis le 18 mars 2020 un dispositif visant à capturer des images par drone et à les exploiter afin de faire respecter les mesures de confinement. En effet, depuis le 18 mars 2020, un drone de la flotte de quinze appareils que compte la préfecture de police a ainsi été utilisé quotidiennement pour effectuer cette mission de police administrative. L’ensemble des vols étaient réalisés à partir des quatre appareils équipés d’un zoom optique X 3 et d’un haut-parleur. Un seul drone était utilisé à la fois. La finalité poursuivie n’était pas de constater les infractions ou d’identifier leur auteur mais d’informer l’état-major de la préfecture de police afin que puisse être décidé le déploiement d’une unité d’intervention sur place chargée de procéder à la dispersion du rassemblement en cause ou à l’évacuation de lieux fermés au public afin de faire cesser ou de prévenir le trouble à l’ordre public que constitue la méconnaissance des règles de sécurité sanitaire.
Le Conseil d’Etat commence par affirmer que cette finalité est légitime et l’utilisation de ce dispositif dans de telles conditions n’est pas de nature à porter, par lui-même, une atteinte grave et manifestement illégale aux libertés fondamentales invoquées. Mais les données collectées sont des données personnelles qui exigent des garanties et le respect du cadre réglementaire. En effet, « il résulte de l’instruction que les appareils en cause qui sont dotés d’un zoom optique et qui peuvent voler à une distance inférieure à celle fixée par la note du 14 mai 2020 sont susceptibles de collecter des données identifiantes et ne comportent aucun dispositif technique de nature à éviter, dans tous les cas, que les informations collectées puissent conduire, au bénéfice d’un autre usage que celui actuellement pratiqué, à rendre les personnes auxquelles elles se rapportent identifiables. ». Par ailleurs, le Conseil d’Etat constate que le fait qui « consiste à collecter des données, grâce à la captation d’images par drone, à les transmettre, dans certains cas, au centre de commandement de la préfecture de police pour un visionnage en temps réel et à les utiliser pour la réalisation de missions de police administrative constitue un traitement au sens de cette directive », du 27 avril 2016.
Dans son ordonnance de référé, le tribunal administratif de Paris avait estimé que si les drones étaient capables d’identifier les individus, il n’était pas établi ni soutenu que les appareils auraient été utilisés par les services de la préfecture de police dans des conditions permettant d’identifier les individus au sol, depuis le début du confinement. Dans ces conditions, le tribunal administratif de Paris avait jugé que « même si la préfecture de police a, par ce dispositif, procédé à la collecte, à l’enregistrement provisoire et à la transmission d’images, elle ne peut être regardée comme ayant procédé à un traitement de données à caractère personnel, au sens des dispositions précitées du règlement (UE) 2016/679, de la directive (UE) 2016/680 et de la loi du 6 janvier 1978. Il n’apparaît pas, dès lors, qu’elle aurait porté une atteinte illégale aux libertés fondamentales que sont le droit à la vie privée et le droit à la protection des données personnelles, faute notamment que les traitements en cause aient été autorisés et organisés par un texte de droit interne ».