Quels sont les contours exacts des notions de données à caractère personnel et de traitement de données à caractère personnel ?

• Loi n° 78-17, 06-01-1978, relative à l'informatique, aux fichiers et aux libertés
  Règlement (UE) n° 2016/679 du Parlement européen et du Conseil, 27-04-2016

  
  Directive (UE) n° 2016/680 du Parlement européen et du Conseil, 27-04-2016

  Afficher plus (1)
  Le cadre de référence de la protection des données à caractère personnel est la loi n° 78-17 du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés, instituant la CNIL. Elle est à compléter par le Règlement (UE) 2016/679 du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (le fameux RGPD), et par la Directive (UE) 2016/680 du même jour, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données.

   

   

   

  Cette Directive définit les données à caractère personnel comme étant « toute information se rapportant à une personne physique identifiée ou identifiable » en précisant qu’est réputée être une « ‘personne physique identifiable’ une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale » (article 3, point 1). De la même manière, ce texte définit amplement le traitement des données comme toute opération de collecte, d’enregistrement, d’organisation mais aussi de modification, de consultation ou d’utilisation desdites données (article 3, point 2). En sorte que toute manipulation d’une information personnelle tombe sous le coup de cette directive (sauf celle qui émane des institutions, organes et organismes de l’Union Européenne, article 2, point 3 b)).

   

  En l’espèce, les drones utilisés, bien que volant à une hauteur de 80 à 100 mètres et filmant en utilisant un grand angle sans activation du zoom, sont aptes à prendre des images précises permettant l’identification des personnes. Ils sont ainsi susceptibles de collecter des données identifiantes et ne comportent aucun dispositif technique de nature à éviter « que les informations collectées puissent conduire, au bénéfice d’un autre usage que celui actuellement pratiqué, à rendre les personnes auxquelles elles se rapportent identifiables » (considérant n° 16). La simple absence de carte mémoire dans ces appareils, empêchant tout enregistrement des données, n’est pas de nature à les exclure du champ d’application de la Directive de 2016. La collecte des données par la captation d’images par drone, transmises « dans certains cas, au centre de commandement de la préfecture de police pour un visionnage en temps réel » conduisant à leur utilisation « pour la réalisation de missions de police administrative » (considérant n° 17) suffit à caractériser le traitement des données personnelles.

   

  C’est ici que le droit interne précise ce que le droit européen encadre : tout traitement de données personnelles « mis en œuvre pour le compte de l’Etat » doit être préalablement autorisé (article 31, I, de la loi du 6 janvier 1978). De plus, cela ne peut intervenir (par voie d’arrêté ou de décret) qu’après avis motivé et publié de la CNIL.