Le constat d’huissier par drone – Article publié dans EXPERTISES MARS 2022

Retrouvez notre article sur l’approche renouvelée du constat d’huissier par drones.

Il est aujourd’hui possible de demander à un huissier d’effectuer un constat par drone. Très utile notamment quand il faut se constituer un moyen de preuve dans un endroit difficile d’accès (toiture, façade, etc…).

L’huissier intervient en direct – s’il est titulaire du brevet de télépilote – ou aux côtés d’un télépilote d’une société spécialisée, en gardant la maîtrise du constat.

Un tel protocole a été validé par la Chambre nationale des commissaires de justice.

En pratique, le constat d’huissier s’il constitue une révolution, n’en est pas moins bien encadré par la loi et la jurisprudence.

#DGAC #EASA #Ministere de la transition écologique – des transports #Conseil pour les drones civils #ENAC #SUPAERO #IFURTA #LLMinInternationalAviationLaw

Brève “sécurité et aéronautique” : Retour sur les salons MILIPOL (Paris Villepinte) et UAV SHOW (Bordeaux) d’octobre 2021

Retrouvez notre brève relative aux salons MILIPOL et UAV SHOW auxquels SELENE Avocats a eu le plaisir de participer.

Objet : Brève « sécurité et aéronautique » : Retour sur les salons MILIPOL (Paris Villepinte) et UAV SHOW (Bordeaux) d’octobre 2021

Le Cabinet SELENE Avocats a eu le plaisir d’assister au salon MILIPOL Paris 2021 magnifiquement organisé à Villepinte, sous l’égide du Ministère français de l’Intérieur en partenariat avec plusieurs institutions gouvernementales.

Avec plus de 30.000 visiteurs et près de 800 exposants pour son édition 2021, le salon MILIPOL est l’événement mondial de la sûreté et de la sécurité intérieure des États. Plus de 100 délégations officielles de plus de 60 pays s’y sont retrouvées avec 31% de nouveaux exposants.

Comme l’expliquait le PDG de Civipol, également préfet et président du salon MILIPOL, Yann Jounot, “C’est aussi un moment particulier en période de sortie de pandémie. C’est l’un des tout premiers salons qui se tient sur la place de Paris dans un contexte de forte reprise de l’activité. Cette 22ᵉ édition de Milipol Paris est clairement le salon de la relance pour un secteur économique qui a comme tous les secteurs souffert de là chute de l’activité au plan mondial, même si le secteur de la sécurité a été légèrement moins impacté que le reste de l’économie et que d’ailleurs certains secteurs, par exemple la sécurité des systèmes d’information a continué à croître très fortement en 2020.”

Le salon MILIPOL s’inscrit dans une dynamique de croissance face à un marché mondial de la sécurité en proie à de nouvelles difficultés liées notamment aux menaces terroristes et au trafic de stupéfiants. La crise sanitaire constitue une difficulté supplémentaire et on doit souligner à cet égard, le rôle majeur des drones qui permettent, dans de nombreux cas, de gérer une situation complexe sans exposer directement les êtres humains.

Plusieurs secteurs de la sécurité, privée et publique, étaient couverts par ce salon de marque  (eg la sécurité des lieux publics, la protection des données, l’intelligence économique, la sécurité portuaire et aéroportuaire ou encore la sécurité civile).

On doit rendre ici hommage au professionnalisme du Ministère de l’Intérieur, de la police nationale, de la gendarmerie nationale, de la sécurité civile et à celui des armées, dûment représentées au salon.

Au cours de ce salon, il a été possible d’assister à plusieurs conférences de grande qualité mettant en exergue les difficultés rencontrées dans la mise en place des politiques de sécurité.

L’une d’entre elles concernait les enjeux de la coopération entre les différentes entités étatiques, non étatiques et européennes dans la gestion des crises. Celles-ci doivent tendre vers une stratégie commune afin de piloter des projets divers.

Cette conférence réunissait plusieurs personnes renommées dont Stéphane ROMATET, Directeur de centre de crise et de soutien du Quai d’Orsay, Gilles de KERCHOVE, Coordinateur européen de la lutte contre le terrorisme de 2007 à 2021 ou encore Madame Sophie HATT, Directrice de la coopération internationale.

Il ressort de cette conférence qu’il existe une typologie de coopération :

  • coopération structurelle avec l’État et son organisation (pour augmenter l’efficacité des opérations) subdivisée entre la coopération institutionnelle (ie réformer un cadre normatif et l’adapter) et technique (ie formation des personnels, partage du savoir-faire, socialisation commune)
  • coopération opérationnelle de sécurité

La coopération entre l’ensemble des organismes devient une véritable nécessité pour coordonner les opérations et le traitement des crimes transfrontaliers commis la plupart du temps par des criminels qui, eux, ne connaissent pas de frontières.

Il s’agit d’une exigence mondiale et d’un impératif professionnel dans la mise en place des politiques de sécurité.

Par ailleurs, les professionnels de la sécurité présents au salon font face à des menaces toujours plus nombreuses et plus innovantes nécessitant ainsi de s’adapter à chaque situation. Le marché de la sécurité privée est alors en plein essor.

Actuellement, les innovations technologiques intervenues dans les domaines de la cyber sécurité et des dispositifs légaux de surveillance sont nombreuses.

L’usage de drones de plus en plus sophistiqués a explosé avec notamment la possibilité de flouter des visages. Mais leur utilisation se heurte à des problématiques juridiques diverses. À titre d’exemple, l’utilisation de drone par la préfecture de police de Paris pour vérifier que les consignes de sécurité sanitaires sont bien respectées a été jugée illicite au regard du droit des données personnelles par le Conseil d’État après deux recours par La Quadrature du Net et la Ligue des droits de l’homme devant le juge des référés (Voir en ce sens l’article “Le Conseil d’État ordonne à l’État de cesser immédiatement la surveillance par drone du respect des règles sanitaires” Co rédigé par Cassandra ROTILY et Laurent ARCHAMBAULT).

Se pose également la question de la cohabitation des pilotes de drones avec les propriétaires des terrains survolés[1].

Par ailleurs, l’utilisation des caméras de vidéo protection explose elle-aussi, et celle-ci est aussi de nature à contrevenir à certains droits dont le droit à l’image.

En effet, les innovations font face à une réglementation interne et européenne stricte notamment au regard du droit des données à caractère personnel relevant du Règlement Européen sur la protection des données ou encore du droit à l’image, dont la violation est réprimée par l’article 226-1 du code pénal, du droit au respect de la vie privée consacré à l’article 9 du code civil et plus largement des libertés publiques.  Le secteur de la sécurité se doit également de respecter les dispositions du code de la sécurité intérieure tant en matière de sécurité publique que de sécurité privée.

Sur un autre plan, la cyber sécurité a été au cœur d’une conférence montrant la nécessité d’innover avec des moyens plus importants. Avec le développement de la crise sanitaire, les menaces du monde réel se sont transposées dans le monde numérique. En France, la cyber délinquance coûte près de 1.000 milliards sur le plan international. Il semble par conséquent important de coopérer au niveau européen.

Le cabinet SELENE Avocats a eu l’occasion, à plusieurs reprises, d’intervenir sur différentes problématiques juridiques liées à l’utilisation des nouvelles technologies dans la mise en place des politiques de sécurité comme dans le cadre, par exemple, du  développement des Smart cities, de l’utilisation du drone tant en milieu militaire qu’en milieu privé ou encore des robots.[2]

Le salon MILIPOL a ainsi été l’occasion de rencontrer des professionnels et d’actualiser les connaissances des membres du cabinet sur les dernières innovations technologiques mises au service de la sécurité tant publique que privée.

En parallèle, le cabinet SELENE Avocats a pu assister à la 6ème édition du premier salon européen du drone Professionnel à Bordeaux superbement organisé par Bordeaux Technowest et le Congrès et Expositions de Bordeaux. Pour son 10ème anniversaire, le salon de Bordeaux a ainsi pu accueillir une centaine d’exposants de 10 pays (eg Thalès, Scalian, Onera et Safe Cluster) et plus de 2500 visiteurs professionnels, nationaux et internationaux avec le Japon comme invité d’honneur.

Lieu d’échanges et de rencontres, ce salon a été l’occasion de rencontrer des décisionnaires européens et acteurs majeurs du monde du drone dans différents secteurs (eg sûreté et sécurité, média et communication, immobilier, inspection des réseaux linéaires ou encore le BTP). En effet, le budget mondial des dépenses liées aux drones devrait presque doubler dans les prochaines années. Il apparaît clairement que le marché des drones est en pleine croissance et que le marché européen en est le leader.

Cette 10ème édition a été l’occasion de revenir sur l’engagement de l’armée de terre d’utiliser des drones aériens avec l’intervention du Lieutenant-Colonnel Pierre-Yves et du Chef d’escadron Jean-Baptise.

Le cabinet SELENE Avocats a ainsi pu découvrir comment le drone de demain sera utilisé et dans quel domaine (eg auprès des sapeurs-pompiers avec l’intervention de François Gors, chef à la Direction Générale de la Sécurité Civile et des garde-côtes, pour les opérations industrielles ou encore des transports) ; tout en actualisant ses connaissances en matière de réglementation européenne lors d’un séminaire présenté par Karim BENMEZIANE, Directeur technique BNAE et de Jean-Pierre LENTZ de la Commission Européenne.

Lors du salon, l’accent a notamment été mis sur l’utilisation du drone au sein de l’espace aérien, alors même que les voitures autonomes se développent. Lors de la conférence sur « le drone aérien, laboratoire de la mobilité du futur », présenté notamment par Fabrice CUZIEUX, nouveau directeur drone à l’ONERA et Emmanuel GUYONNET, Directeur drone chez THALES, a été introduit l’urban mobility des drones, dans le cadre du projet eVTOL, avant la mise en place des taxis urbains.

La sécurité et les technologies jouent ainsi un rôle central dans le développement des drones. Le drone est un outil numérique et fortement automatisé, l’unmanned traffic management (UTM) pour la gestion du trafic aérien du futur et visant à utiliser l’automatisation au maximum et l’U-SPACE, vision européenne de l’UTM avec la publication du premier cadre européen en avril 2021, vont cohabiter dans le futur et permettre de préparer la mobilité urbaine aérienne de demain.

Il existe toujours des challenges pour l’électrification des drones et pour le financement d’aéronef pouvant être mis en vol avec des personnes à bord, piloté dans un premier temps, compte tenu de la « résistance sociétale » et du fait qu’en l’état, les règles de certification sont très exigeantes et constituent autant de challenges pour les fabricants de drones taxis.

En dernier lieu, SELENE Avocats a assisté à une conférence passionnante sur “Le Défi Mermoz” : c’est le nom du projet associant l’Isae-Supaero et la PME toulousaine Delair. Leur ambition commune ? Concevoir un drone alimenté par de l’hydrogène liquide afin de traverser l’Atlantique sans escale, comme Jean Mermoz en 1930. Seulement, le duo doit trouver sept millions d’euros pour mener à bien ce projet et il compte ainsi sur les géants de l’aéronautique. En cas de succès de la mission, des briques technologiques pourraient être utiles dans l’optique d’un avion à zéro émission en 2035. Comme quoi, n’en déplaise à certaisn grincheux (notamment le Marie de Poitiers), l’éaronautique sait se remettre en question y compris au plan écologique !

Plus précisément, le défi Mermoz consiste en la conception et la fabrication d’un drone qui traversera l’océan Atlantique, ce qui représente 3.500 kilomètres à parcourir sur 30 heures de vol, sans escale”, explique Bastien Mancini, le COO de Delair aussi à la tête de la division drones de la PME. “C’est une ambition à forte raisonnance médiatique en cas de succès et d’une grande portée symbolique”, ajoute Jean-Marc Moschetta, professeur d’aérodynamique et responsable du projet au sein de l’Isae-Supaero.

Ainsi, ce salon a marqué l’occasion de découvrir le potentiel considérables des drones tant en matière civil que militaire. Il s’agit à présent de garder à l’esprit que cette technologie ne va cesser de se développer et que la réglementation deviendra de plus en plus abondante.

 

[1] Drone et droit de propriété, AJDI actualité juridique Laurent Archambault, Cassandra Rotily

[2]Le drone, nouvel outil révolutionnaire pour l’huissier, Laurent Archambault et Jennifer Melo https://www.selene-avocats.fr/publications-activites/2348-revolution-constat-dhuissier-realise-moyen-dun-drone/

Smart cities : the tools of a controlled legal revolution, Laurent Archambault, Cassandra Rotily : https://www.selene-avocats.fr/publications-activites/2764-smart-cities-the-tools-of-a-controlled-legal-revolution/

Surveillance illicite par drone : les enseignements des décisions de la CNIL de janvier 2021, Laurent Archambault, Agathe Mauperin : https://www.selene-avocats.fr/publications-activites/2618-surveillance-illicite-drones-enseignements-decisions-de-cnil-de-janvier-2021/

Les drones et les robots au service de la sécurité privée, une filière prometteuse mais juridiquement très encadrée : https://www.selene-avocats.fr/publications-activites/2035-drones-robots-service-de-securite-privee-filiere-prometteuse-juridiquement-tres-encadree/

L’encadrement juridique des drones militaires, Laurent Archambault : https://www.selene-avocats.fr/publications-activites/1965-laurent-archambault-associe-fondateur-de-selene-avocats-evoque-lencadrement-juridique-drones-militaires-drones-actu/

Vers une intelligence artificielle “éthique” : objectifs et enjeux de la stratégie européenne en préparation, Laurent Archambault, https://www.selene-avocats.fr/publications-activites/2726-vers-une-intelligence-artificielle-ethique-objectifs-et-enjeux-de-la-strategie-europeenne-en-preparation/

 

Smart cities : the tools of a controlled legal revolution

Read our article on the smart city, also published in DALLOZ IP/IT in French.

This “smart city” is equipped with a set of sensors that will collect a multitude of data to improve the quality of life of city dwellers. Developing a smart city requires finding the perfect balance between public and private actors on the one hand, and between protection and innovation on the other, with the overriding issue of privacy protection. The emergence of these smart cities is upsetting the existing legal framework. Big data, the purpose of which is the undifferentiated collection of a large amount of information for purposes that are not known in advance, undermines the GDPR and in particular the principle of purpose. Moreover, the legal fragmentation of cyberspace leads to individuals being subject to different risks and degrees of protection. The creation of a “secure e-zone” is therefore necessary to avoid these disparities within cyberspace, which has no physical borders. Finally, let us not forget the contribution of air transport with the added value of drones (aircraft without a pilot on board), which will play a key role in supporting (in a manner adapted to periods of health crises) numerous urban applications such as the delivery of health products, goods, police missions, or even fire-fighting; moreover, for several months now, an experimental vertiport erected on the Pontoise airfield (95) has been used to test drone-taxis and all the components of this service: parking areas, equipment in terms of energy, maintenance, and even the route of future passengers.

 

Smart cities _ the tools of a controlled legal revolution

 

#SmartCity #Personnaldata #GDPR #CNIL #Privacy #Bigdata #Opendata #Drones #aerien #Conseilspourlesdronescivils #federation #EASA #DGAC #IATA #IFURTA #Llmdroitaerientoulouse #EBAA #3AF #SFDAS #FAA

Smart cities : les outils d’une révolution juridique maîtrisée

Retrouver sur DALLOZ IP/IT notre article sur la smart city.

Cette «  ville intelligente » est dotée d’un ensemble de capteurs qui vont recueillir une multitude de données afin d’améliorer la qualité de vie des citadins. Développer une smart city requiert de trouver l’équilibre parfait entre les acteurs publics et privés, d’une part, et entre la protection et l’innovation d’autre part, avec l’enjeu primordial de la protection de la vie privée. L’émergence de ces villes intelligentes bouleverse le cadre juridique existant. Le big data dont l’objet est la collecte indifférenciée d’un grand nombre d’informations pour des finalités non connues à l’avance, met à mal le RGPD et en particulier le principe de finalité. En outre, la fragmentation juridique du cyberespace conduit à soumettre les personnes à des risques et des degrés de protection différents. La création d’une « e-zone sécurisée » s’impose alors pour éviter ces disparités au sein du cyberespace, dénué de frontières physiques. N’oublions pas enfin l’apport du transport aérien avec la valeur ajoutée des drones (aéronefs sans pilote à bord) qui joueront un rôle clef en soutenant (de façon adaptée en période de crise sanitaire) de nombreuses applications urbaines telles que la livraison de produits de santé, de marchandises, les missions de police, ou encore la lutte contre les incendies ; par ailleurs, depuis quelques mois, un vertiport expérimental érigé sur l’aérodrome de Pontoise (95) est utilisé pour tester les drones-taxis et l’ensemble des composantes de ce service : zones de stationnement, équipements en termes d’énergie, de maintenance, et même le parcours des futurs passagers.

#SmartCity #Donneesacaracterepersonnel #RGPD #CNIL #Vieprivee #Bigdata #Opendata #Drones #aerien #Conseilspourlesdronescivils #federation #EASA #DGAC #IATA #IFURTA #Llmdroitaerientoulouse #EBAA #3AF #SFDAS

« Certificat vert numérique » : la santé publique au prix de nos données ?

Après que le Parlement ait voté la mise en place du “certificat vert numérique”, ou pass sanitaire, il était temps de s’interroger sur les conséquences de l’instauration d’un tel dispositif inédit et sur l’émergence d’un cadre juridique au traitement des données personnelles de santé.

À lire en intégralité dans le numéro de juin 2021 de la revue EXPERTISES, droit, technologies et perspectives : https://www.expertises.info/

 

JUSTICE FILMEE : POUR OU CONTRE ?

 

« Le fil rouge de cette réforme, c’est rétablir la confiance du citoyen. », c’est ce qu’a déclaré le Ministre de la Justice et Garde des Sceaux, Eric Dupond-Moretti le 3 mars 2021 sur France Inter au sujet de son projet de loi « pour la confiance dans l’institution judiciaire ».

Parmi les grandes propositions du texte, une mesure retient l’attention du grand public, celle qui consiste à filmer et diffuser tous types d’audiences une fois que les affaires seront définitivement jugées, et avec l’accord des parties dans le cadre d’audiences privées.

Ce projet de loi entend rétablir la confiance entre les citoyens et l’institution judiciaire en leur permettant de mieux connaître la Justice et son fonctionnement.

Actuellement, seuls les procès à portée historique sont filmés : Procès de Klaus Barbie, Paul Touvier, Maurice Papon, procès du sang contaminé, de l’explosion d’AZF, procès autour du génocide des Tutsis du Rwanda, et ce sera le cas pour le procès des Attentats du 13 novembre 2015 (prévu du 8 septembre 2021 à fin mars 2022).

Le Ministre de la Justice souhaite inscrire son projet de loi dans un but pédagogique avec comme motif celui de l’intérêt général. Certes, ce projet de loi permettrait une justice plus proche des citoyens, mais qu’en est-il de l’impact sur les droits fondamentaux ?

Le fait de filmer et de diffuser des audiences filmées pourrait-il constituer un frein dans la société française ?

Afin d’aborder ces problématiques, le 8 juin 2021, un intéressant « e-débat » s’est tenu sur le site internet du Conseil National des Barreaux (CNB), débat auquel SELENE AVOCATS a assisté.

Lors de ce débat, plusieurs personnes sont intervenues : Cécile Danré, Grand Reporter à BFMTV, en charge de la Chronique Judiciaire, François Landesman, rédacteur en chef-producteur, Arnaud de Saint-Rémy, Vice-président de la commission Libertés et droits de l’Homme du CNB, et enfin Evelyne Hanau, membre de la commission Communication institutionnelle du CNB, modératrice du débat.

Plusieurs points en rapport avec la problématique des audiences filmées ont été abordés. Il s’agissait de répondre à plusieurs interrogations sous jacentes du projet de loi, tant sur le fond que sur la forme :

  • les droits fondamentaux tels que le droit à l’oubli ou la protection des personnes vulnérables seront-ils garantis lors des audiences filmées et à la suite de leur diffusion?
  • pour un réalisateur, filmer c’est aussi donner son point de vue, comment ainsi garantir l’impartialité de la retranscription des audiences ?
  • comment le réalisateur positionnera sa caméra ?
  • lorsqu’une personne s’exprimera, la caméra sera-t-elle braquée uniquement sur cette personne, ou un plan large de l’audience sera exclusivement réalisé ?
  • enfin le comportement des personnes physiques face à la caméra peut-il changer ?

A l’aide de ces questionnements, les intervenants tentent de s’affirmer favorables ou non au projet de loi du Ministre de la Justice.

Les arguments favorables aux audiences filmées concernent l’encadrement de cette pratique pour garantir les principes énoncés antérieurement, et également est évoqué le principe du droit à l’information, légitime au public, qui permet aux citoyens de mieux comprendre et d’appréhender la Justice.

Mais les détracteurs se font aussi entendre : Cécile Danré, Grand Reporter chez BFMTV, se dit contre cette pratique ; d’après elle, il est de meilleure qualité d’assister physiquement aux audiences et en direct. De plus, le fait que les procès filmés soient accessibles à tous peut créer des réactions du public « dangereuses et viscérales ». Sans compter les conséquences sur les autres grands principes fondamentaux comme la question du sort réservé au droit à l’image des personnes filmées, la publicité des débats, et enfin, en plus des principes du respect de la vie privée et du droit à l’oubli, il y a l’enjeu de la présomption d’innocence, du droit de la défense et de la sécurité des personnes.

Ensuite, la question de l’utilisation des caméras a été évoquée. Le projet de loi du Ministre de la Justice étant imprécis sur ce point, les intervenants se sont interrogés sur la manière de filmer.

Puisque les audiences seront diffusées à la suite des décisions finales rendues, les réalisateurs vont-ils « segmenter » l’audience ? Selon quels critères ? Y aura-t-il une charte ou une sorte de contrat qui précisera ce que doit filmer le réalisateur ? Pendant combien de temps sera-t-il possible de visionner les procès filmés, et quel sera leur avenir à la suite de leur diffusion ? Seront-ils archivés ou diffusés sur les réseaux sociaux ? Ce moyen pourrait-il provoquer des dérives par les réactions diverses du public ?

Enfin, les intervenants se sont interrogés sur une question plus générale portant sur l’intérêt de filmer et diffuser tous types de procès, que ce soit dans le domaine pénal ou civil. Ainsi il pourrait y avoir un risque d’atteinte à la vie privée des parties par l’accès au public de certaines informations personnelles (en violation du RGPD ?). Ou si certaines informations ne sont pas divulguées au public, y aura-t-il réellement un intérêt de filmer et diffuser certains procès ?

A l’issu de ce débat la majeure partie des interrogations est laissée sans réponse.

Les intervenants sont globalement assez mitigés concernant ce projet de loi, ce qui confirme, au demeurant, à quel point la présence de caméras dans les prétoires est une question qui n’est pas simple et qui ne sera pas réglée à court-terme…

Vers une intelligence artificielle « éthique » : objectifs et enjeux de la stratégie européenne en préparation

Alors que la Commission européenne évoque depuis plusieurs années son souhait de règlementer l’intelligence artificielle afin que celle-ci soit « digne de confiance », la publication officielle de son projet le 21 avril 2021 concrétise cela. Dans la continuité du règlement général sur la protection des données, les conséquences de ce texte encadrant l’intelligence artificielle pourraient freiner le développement des grandes entreprises du numérique, tant américaines que chinoises, au sein du continent européen, celles-ci n’échappant pas aux obligations de conformité.

Retrouvez un état des lieux sur la question dans notre article rédigé par Me Laurent ARCHAMBAULT et Daphné MURRAY, publié dans la Gazette du Palais du 8 juin 2021.

A lire en intégralité ici: https://www.gazette-du-palais.fr/article/GPL422k7/

 

L’usage d’Alicem validé par le Conseil d’État – Laurent Archambault – Cassandra Rotily

L’usage d’Alicem validé par le Conseil d’ÉtatObservations sous Conseil d’État, 4 novembre 2020, n° 432656 – Qualification de l’arrêt : important
Laurent Archambault, Avocat associé au barreau de Paris (SELENE Avocats), membre du Conseil pour les drones civils (émanation de la Direction générale de l’aviation civile)Cassandra Rotily >, Docteur en droit, responsable du pôle nouvelles technologies chez Air Space Drone
 

L’essentiel
Pour le Conseil d’État, « il ne ressort pas des pièces du dossier que, pour la création d’identifiants électroniques, il existait à la date du décret attaqué d’autres moyens d’authentifier l’identité de l’usager de manière entièrement dématérialisée en présentant le même niveau de garantie que le système de reconnaissance faciale ». Ainsi, « le recours au traitement de données biométriques autorisé par le décret attaqué doit être regardé comme exigé par la finalité de ce traitement ».

En outre, « il ressort des pièces du dossier que les téléservices accessibles via l’application ”Alicem” l’étaient également, à la date du décret attaqué, à travers le dispositif FranceConnect, dont l’utilisation ne présuppose pas le consentement à un traitement de reconnaissance faciale. Dès lors que les usagers qui ne consentiraient pas au traitement prévu dans le cadre de la création d’un compte Alicem peuvent accéder en ligne, grâce à un identifiant unique, à l’ensemble des téléservices proposés, ils ne sauraient être regardés comme subissant un préjudice au sens du règlement général sur la protection des données ». Dans ces conditions, « l’association requérante n’est pas fondée à soutenir que le consentement des utilisateurs de l’application Alicem ne serait pas librement recueilli ni, par suite, que le décret attaqué méconnaîtrait pour ce motif les dispositions du règlement général sur la protection des données et de la loi du 6 janvier 1978 ».

Ce qu’il faut retenir
L’application Alicem, solution d’identité numérique régalienne sécurisée, utilise une technologie de reconnaissance faciale à des fins d’authentification auprès de certains services publics et de leurs partenaires. L’association La Quadrature du Net a formé un recours devant le Conseil d’État, qui visait à l’annulation du décret du 13 mai 2019 autorisant la création d’Alicem comme moyen d’identification électronique. Le juge administratif suprême a estimé que le dispositif était conforme aux dispositions prévues par le règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD) et la loi n° 78-17 du 6 janvier 1978, [dite] « Informatique et libertés ». En effet, le recours au traitement de données biométriques est nécessaire au regard de la finalité de ce traitement. De plus, le consentement des utilisateurs doit être considéré comme librement recueilli, puisqu’il existe une alternative permettant l’accès à l’ensemble des téléservices proposés sans recourir à un mécanisme de reconnaissance faciale.

Alicem pour « Authentification en ligne certifiée sur mobile » est une solution d’identité numérique régalienne sécurisée, développée par le ministère de l’Intérieur et de l’Agence nationale des titres sécurisés (ANTS). Cette application permet aux individus, via leur smartphone, de prouver leur identité. Ainsi, les titulaires d’un passeport ou d’une carte de séjour biométrique peuvent s’identifier en ligne auprès d’organismes publics ou privés partenaires et accéder à leurs téléservices. Pour créer un compte Alicem, l’usager doit consentir à un traitement de données biométriques collectées à travers le système de reconnaissance faciale. Si l’individu y consent, il est invité à enregistrer une courte vidéo à partir de laquelle un algorithme de reconnaissance faciale vérifie qu’il est le titulaire légitime du titre biométrique sur lequel l’identité numérique est fondée, tandis qu’un algorithme de reconnaissance du vivant analyse les actions effectuées sur la vidéo pour détecter toute tentative d’attaque informatique ou de tromperie. Une fois l’identité de l’usager authentifiée, il pourra finaliser son inscription et des identifiants électroniques seront associés à son compte. Ceux-ci lui permettront de se connecter sur l’application et d’effectuer des démarches sur les téléservices partenaires.

Cette solution d’identité numérique régalienne sécurisée a soulevé de vives polémiques dans la mesure où elle dispose d’un système de reconnaissance faciale. En parallèle, personne ne s’est offusqué de la même manière du développement d’identités numériques privées élaborées par les géants du numérique, à l’instar des GAFAMI (Google, Apple, Facebook, Amazon, Microsoft, IBM) et des BATX (Baidu, Alibaba, Tencent, Xiaomi), à partir de l’exploitation des données personnelles des internautes par l’intelligence artificielle (B. Bévière-Boyer, L’identité civile numérique nationale, une priorité en matière de souveraineté et de protection des citoyens, 23 sept. 2020, Actu-juridique.fr). La reconnaissance faciale est déjà bien ancrée dans notre quotidien, à tel point que les utilisateurs ne s’en rendent plus vraiment compte, à l’instar du déverrouillage de leurs smartphones ou encore de l’identification automatique des photographies postées sur Facebook. Plus grave encore, Microsoft a élaboré une base de données de visages, sans solliciter l’autorisation des personnes concernées (P. Van Nuffel, Microsoft met discrètement hors ligne une base de données contenant dix millions de visages, 8 juin 2019, DataNews) !

La technologie de reconnaissance faciale repose sur la computer vision (vision par ordinateur), domaine de l’intelligence artificielle qui permet aux ordinateurs de « voir » et d’analyser les images de façon automatique. La reconnaissance faciale permet, à partir de la photographie d’un individu, à un algorithme d’extraire un gabarit (soit une signature propre à chaque visage) qui va être comparé :

– soit à l’ensemble des gabarits enregistrés dans une base de données (identification faciale – comparaison « 1/n ») afin de déterminer l’identité à laquelle il correspond ;

– soit à un autre gabarit présenté (authentification faciale – comparaison « 1/1 ») ; on cherche alors à vérifier si le gabarit en question correspond bien à celui de la personne que l’individu prétend être. Ce gabarit sera donc comparé à celui de cette personne.

Dans le cas d’Alicem, l’identification faciale n’est pas utilisée, mais uniquement l’authentification faciale : l’utilisateur doit démontrer qu’il est bien celui qu’il prétend être. Pour la Commission nationale de l’informatique et des libertés (CNIL), « d’un point de vue strictement mathématique, les dispositifs reposant sur l’authentification des personnes sont nécessairement plus fiables que ceux visant à identifier les personnes : une comparaison 1/1 est toujours plus aisée et fiable qu’une comparaison 1/n » (Ass. nat., rapport d’information sur l’identité numérique, n° 3190, 8 juill. 2020, p. 55).

La CNIL a été saisie par le ministre de l’Intérieur d’une demande d’avis concernant le projet de décret autorisant la création d’un traitement automatisé permettant de délivrer une identité numérique dénommé « Application de lecture de l’identité d’un citoyen en mobilité » (Alicem). Dans sa délibération n° 2018-342 du 18 octobre 2018 portant avis sur un projet de décret autorisant la création d’un traitement automatisé permettant d’authentifier une identité numérique par voie électronique, la CNIL indique que, compte tenu de ses finalités, le traitement relève du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) et des dispositions nationales prévues par la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (le droit national pouvant introduire des conditions supplémentaires en ce qui concerne le traitement de données biométriques). La CNIL se montre très critique à l’égard d’Alicem et estime que « la mise en oeuvre du traitement projeté doit être subordonnée au développement de solutions alternatives au recours à la biométrie, telle qu’utilisée pour vérifier l’exactitude de l’identité alléguée par la personne créant son compte, et ainsi s’assurer de la liberté effective du consentement des personnes concernées au traitement de leurs données biométriques au moment de l’activation de leur compte Alicem ». Selon la CNIL, le ministère ne propose pas d’alternative à la reconnaissance faciale pour créer une identité numérique de niveau élevé. De plus, pour la Commission, le consentement au traitement de données biométriques ne peut être regardé comme libre.

Cependant, contrairement à l’avis de la CNIL, le décret n° 2019-452 du 13 mai 2019 autorisant la création d’un moyen d’identification électronique dénommé « Authentification en ligne certifié sur mobile » a tout de même été pris en Conseil d’État pour autoriser ce traitement (en vertu de l’article 32 de la loi Informatique et libertés, qui dispose que « sont autorisés par décret en Conseil d’État, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, les traitements de données à caractère personnel mis en oeuvre pour le compte de l’État, agissant dans l’exercice de ses prérogatives de puissance publique, qui portent sur des données génétiques ou sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes »). Ainsi, seul un dispositif de reconnaissance faciale permet l’activation du compte Alicem.

Fort de ce constat, l’association La Quadrature du Net demande alors au Conseil d’État l’annulation du décret n° 2019-452 du 13 mai 2019 précité dans le cadre d’une requête adressée le 15 juillet 2019 (A. Fitzjean O Cobhthaigh pour La Quadrature du net, requête introductive d’instance). Selon l’association, la création d’un moyen d’identification électronique nécessitant au moment de l’activation du compte un traitement de données biométriques de l’utilisateur « sans que celui-ci […] n’ait le choix d’un autre dispositif » affecterait directement l’exercice des droits fondamentaux dans l’environnement numérique. Le décret violerait certaines dispositions du RGPD et de la loi Informatique et libertés, mettant « particulièrement en danger le droit des personnes concernées au respect de leur vie privée ».

Dès lors, le dispositif Alicem permet-il aux individus de consentir librement au traitement de leurs données biométriques ? Le recours à la biométrie est-il nécessaire au regard de la finalité du traitement ?

I – La liberté de choix de l’individu

Pour le Conseil d’État, le consentement de l’individu au traitement de ses données biométriques est donné librement, dans la mesure où il n’est pas obligé d’y recourir, pouvant utiliser une alternative, à travers le dispositif FranceConnect et ce, sans mécanisme de reconnaissance faciale.

A – Le consentement libre de l’individu
Afin de pouvoir créer un compte Alicem, l’usager doit consentir à un traitement de ses données biométriques collectées à travers un système de reconnaissance faciale. Il convient de rappeler que les données biométriques sont des données sensibles et font l’objet d’une protection spécifique. L’article 6 de la loi Informatique et libertés (art. 8 au moment de sa rédaction applicable au litige) interdit les traitements utilisant des données biométriques aux fins d’identification d’une personne physique de manière unique. Cependant, à ce principe figurent des exceptions que l’on retrouve à l’article 9 du RGPD ; parmi lesquelles se trouvent l’obtention du consentement explicite de la personne concernée ainsi que l’intérêt public. Ce consentement doit résulter d’une manifestation de volonté « libre, spécifique, éclairée et univoque » pour être valable, au sens de l’article 4, § 11, du RGPD.

Il doit être mis en exergue que si l’utilisateur refuse de procéder à la reconnaissance faciale au stade de la procédure de création du compte Alicem, cela empêche la création de l’identité numérique Alicem. Or, la personne concernée doit disposer d’un contrôle et d’un choix réels concernant l’acceptation ou le refus des conditions proposées. De plus, la personne concernée doit pouvoir refuser sans subir de préjudice. En effet, le RGPD indique en son considérant 42 que « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ».

Pour l’association La Quadrature du Net, la base légale du consentement choisie par le décret ne tiendrait pas, considérant « qu’il ne résulte en aucun cas d’une manifestation de volonté, libre, spécifique, éclairée et univoque ». Selon elle, il n’existe aucun autre moyen pour l’utilisateur d’Alicem d’activer son compte sans passer par un dispositif de reconnaissance faciale. L’utilisateur serait donc contraint de consentir au traitement de ses données biométriques pour utiliser Alicem.

Dès lors, le consentement de l’individu est-il toujours libre sachant qu’il doit consentir à ce traitement de données biométriques pour pouvoir utiliser Alicem ? L’usager dispose-t-il d’une véritable liberté de choix ? Subit-il un préjudice s’il ne consent pas au traitement de ses données dans le cadre d’Alicem ?

Le Conseil d’État estime que l’usager ne subit aucune conséquence négative quant à la nature des services accessibles s’il refuse de donner son consentement au traitement de reconnaissance faciale mis en oeuvre dans le cadre de l’application Alicem. En effet, il existe une alternative puisque l’usager peut accéder, à l’aide d’un identifiant unique, à l’ensemble des services publics proposés en ligne, en particulier par le biais de FranceConnect (pt 9).

B – L’existence d’une alternative
D’après le Conseil d’État, « il ressort des pièces du dossier que les téléservices accessibles via l’application Alicem l’étaient également, à la date du décret attaqué, à travers le dispositif FranceConnect, dont l’utilisation ne présuppose pas le consentement à un traitement de reconnaissance faciale » (pt 9).

Ainsi, les usagers pouvaient accéder en ligne à l’ensemble des téléservices proposés sans être tenus de créer un compte Alicem et donc sans recourir à son mécanisme de reconnaissance faciale. L’existence d’une alternative, sans mécanisme de reconnaissance faciale permettrait donc de s’assurer du consentement libre de l’individu. Reste-t-il encore à savoir si le recours à la biométrie était nécessaire au regard de la finalité du traitement de données.

II – La biométrie : un dispositif en corrélation avec la finalité du traitement
Le Conseil d’État estime que la reconnaissance faciale permet d’offrir un niveau de garantie élevé et que la collecte de données est adéquate et proportionnée à la finalité du traitement.

A – Le niveau de garantie adéquat offert par la reconnaissance faciale
Le système de reconnaissance faciale est tout l’intérêt de l’application Alicem ; la biométrie permettant d’offrir un niveau de garantie élevé au sens du règlement européen « eIDAS » (Règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE), dont l’ambition est d’accroître la confiance dans les transactions électroniques (pt 2). De surcroît, un tel système permet de contribuer à la lutte contre l’usurpation d’identité en ligne (pt 2). En effet, il n’existait pas, à la date du décret attaqué, « d’autres moyens d’authentifier l’identité de l’usager de manière entièrement dématérialisée en présentant le même niveau de garantie que le système de reconnaissance faciale » (pt 8).

Le Conseil d’État indique que le recours à la reconnaissance faciale était donc nécessaire au déploiement de ce dispositif. En effet, le recours à un dispositif de biométrie autorisé par le décret devait être « regardé comme exigé par la finalité de ce traitement » (pt 8).

B – La proportionnalité des données collectées au regard de la finalité du traitement
La collecte de données prévue pour l’utilisation de l’application Alicem concerne : l’identification de l’usager, l’identification de son titre biométrique, l’équipement terminal de communications électroniques qu’il utilise et l’historique des transactions associées à son compte. Il convient de se demander si la collecte de ces données est pertinente au regard de la finalité du traitement, soit la délivrance d’un moyen d’identification électronique permettant aux usagers de s’identifier électroniquement et de s’authentifier auprès d’organismes publics ou privés.

En effet, les données doivent être « […] adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs » (pt 10) au moment du litige, il s’agissait de l’article 6 de loi Informatique et libertés. Cela est désormais prévu par l’article 4 de ladite loi mais cet article a été reformulé). Ainsi, les « données pertinentes au regard de la finalité d’un traitement sont celles qui sont en adéquation avec la finalité du traitement et qui sont proportionnées à cette finalité » (pt 10).

Dès lors, le recours à un système de reconnaissance faciale est-il proportionnel à l’objectif poursuivi par le traitement ? Le Conseil d’État répond par la positive : « eu égard à leur objet et aux finalités du traitement […], le recueil de ces données doit être regardé comme adéquat et proportionné à cette finalité » (pt 10). Ainsi, la requête de La Quadrature du Net a été rejetée.

Ce principe de proportionnalité est au cœur des débats sur les dispositifs de reconnaissance faciale. En effet, le tribunal administratif de Marseille avait annulé la délibération du conseil régional de Provence-Alpes-Côte d’Azur qui visait à expérimenter la reconnaissance faciale à l’entrée de deux lycées de la région (TA Marseille, 27 févr. 2020, n° 1901249, Association La Quadrature du Net, AJDA 2020. 492 ; AJCT 2020. 439, obs. R. Perray et H. Adda ; Dalloz IP/IT 2020. 148, obs. C. Crichton ; C. < Rotily et L. Archambault, Données biométriques issues d’expérimentations de reconnaissance faciale sur le territoire français : un défi à l’aune du droit 2.0 ?, Dalloz IP/IT 2020. 54). Les juges administratifs avaient suivi la position de la CNIL, laquelle considérait que cette expérimentation était « contraire aux principes fondamentaux de proportionnalité et de minimisation des données issus du RGPD » (CNIL, Expérimentation de la reconnaissance faciale dans deux lycées : la CNIL précise sa position, 29 oct. 2019). Ainsi, le recours à ce dispositif concernant des élèves, pour la plupart mineurs, dans le seul but de fluidifier et de sécuriser les accès n’apparaissait ni nécessaire, ni proportionné pour atteindre ces finalités.

Perspectives
Face au développement de ces dispositifs de reconnaissance faciale, le raisonnement de la CNIL repose sur la question de savoir si le recours à un dispositif biométrique est vraiment nécessaire au regard de l’objectif poursuivi et s’il n’existe pas un dispositif alternatif, moins intrusif pour les droits et libertés des individus. Par exemple, pour le cas de la sécurisation des accès aux lycées, ce dispositif alternatif pouvait consister en un contrôle par badge, et le tribunal administratif avait suivi ce raisonnement. Pour l’application Alicem, les solutions alternatives pouvaient consister en un face-à-face (déplacement en préfecture ou en mairie par exemple), en une vérification manuelle de la vidéo et de la photographie sur le titre (envoi de la vidéo au serveur de l’ANTS et vérification de l’identité opérée par un agent) ou encore un appel vidéo en direct avec l’ANTS ; mais ce raisonnement n’a pas été suivi par le Conseil d’État.


English version :


The use of Alicem validated by the Council of State
 
Laurent Archambault, Lawyer associated with the Paris Bar (SELENE Avocats), member of the Council for civil drones (emanation of the General Directorate of Civil Aviation) Cassandra Rotily, Doctor of Law, in charge of the new technologies division at Air Space Drone.

The main point
For the Council of state, “it does not appear from the documents in the file that, for the creation of electronic identifiers, there were, at the date of the contested decree, other means of authenticating the identity of the user in an entirely dematerialised manner with the same level of guarantee as the facial recognition system”. Thus, “the use of biometric data processing authorised by the contested decree must be regarded as required by the purpose of that processing”.
Furthermore, “it is clear from the documents in the file that the teleservices accessible via the ‘Alicem’ application were also accessible, on the date of the contested decree, through the FranceConnect system, the use of which does not presuppose consent to facial recognition processing. Since users who do not consent to the processing provided for in the context of the creation of an Alicem account can access all of the proposed teleservices online using a unique identifier, they cannot be considered as suffering harm within the meaning of the General Data Protection Regulation. Under these conditions, “the applicant association is not entitled to argue that the consent of users of the Alicem application was not freely obtained and, consequently, that the contested decree disregarded the provisions of the General Data Protection Regulation and the law of 6 January 1978
The key point
The Alicem application, a secure government digital identity solution, uses facial recognition technology for authentication purposes with certain public services and their partners. The association “La Quadrature du Net” lodged an appeal with the Council of State, which aimed to annul the decree of 13 May 2019 authorising the creation of Alicem as a means of electronic identification. The supreme administrative judge considered that the system complied with the provisions of the General Data Protection Regulation (EU) 2016/679 of 27 April 2016 (RGPD) and Law No. 78-17 of 6 January 1978, [known as] “Informatique et libertés”. Indeed, the use of biometric data processing is necessary with regard to the purpose of this processing. Moreover, the consent of users must be considered as freely given, since there is an alternative allowing access to all the teleservices offered without using a facial recognition mechanism.

Alicem for “Authentification en ligne certifiée sur mobile” (certified online authentication on a mobile phone) is a secure digital identity solution developed by the Ministry of the Interior and the National Agency for Secure Documents (ANTS). This application allows individuals to prove their identity via their smartphone. Thus, holders of a biometric passport or residence permit can identify themselves online to public or private partner organisations and access their remote services. To create an Alicem account, the user must consent to the processing of biometric data collected through the facial recognition system. If the individual consents, he or she is asked to record a short video from which a facial recognition algorithm verifies that he or she is the legitimate holder of the biometric credential on which the digital identity is based, while a life recognition algorithm analyses the actions performed on the video to detect any attempt at computer attack or deception. Once the user’s identity has been authenticated, they can finalise their registration and electronic identifiers will be associated with their account. These will enable them to connect to the application and carry out procedures on partner teleservices.

This solution for a secure regalian digital identity has raised considerable controversy insofar as it has a facial recognition system. At the same time, no one was equally offended by the development of private digital identities developed by the digital giants, following the example of the GAFAMI (Google, Apple, Facebook, Amazon, Microsoft, IBM) and BATX (Baidu, Alibaba, Tencent, Xiaomi), based on the exploitation of Internet users’ personal data by artificial intelligence (B. Bévière-Boyer, L’identité civile numérique nationale, une priorité en matière de souveraineté et de protection des citoyens, 23 Sept. 2020, Actu-juridique.fr). Facial recognition is already well established in our daily lives, so much so that users are no longer really aware of it, as is the case with the unlocking of their smartphones or the automatic identification of photographs posted on Facebook. Even more seriously, Microsoft has developed a database of faces, without seeking the permission of the people concerned (P. Van Nuffel, Microsoft discreetly takes a database containing ten million faces offline, 8 June 2019, DataNews)!

Facial recognition technology is based on computer vision, a field of artificial intelligence that allows computers to “see” and analyse images automatically. Facial recognition allows an algorithm to extract a template (a signature specific to each face) from a photograph of an individual, which is then compared to :

– either to all the templates stored in a database (facial identification – “1/n” comparison) in order to determine the identity to which it corresponds;
– or to another template presented (facial authentication – “1/1” comparison), in which case the aim is to check whether the template in question corresponds to the person the individual claims to be. The template will then be compared to that of the person.

In the case of Alicem, facial identification is not used, but only facial authentication: the user must demonstrate that he is who he claims to be. For the French “Commission nationale de l’informatique et des libertés” (CNIL), ‘from a strictly mathematical point of view, devices based on the authentication of persons are necessarily more reliable than those aiming to identify persons: a 1/1 comparison is always easier and more reliable than a 1/n comparison’ (Ass. nat., information report on digital identity, No. 3190, 8 July 2020, p. 55).

The CNIL was asked by the Minister of the Interior for an opinion on the draft decree authorising the creation of an automated processing system for issuing a digital identity called “Application for reading the identity of a citizen on the move” (Alicem). In its Deliberation No. 2018-342 of 18 October 2018 on a draft decree authorising the creation of an automated processing operation to authenticate a digital identity by electronic means, the CNIL states that, given its purposes, the processing falls under Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (RGPD) and the national provisions set out in Law No. 78-17 of 6 January 1978 on information technology, files and freedoms (national law may introduce additional conditions with regard to the processing of biometric data) The CNIL is very critical of Alicem and considers that “the implementation of the planned processing must be subject to the development of alternative solutions to the use of biometrics, as used to verify the accuracy of the identity claimed by the person creating the account, and thus ensure the effective freedom of consent of the persons concerned to the processing of their biometric data at the time of activation of their Alicem account”. According to the CNIL, the Ministry does not propose an alternative to facial recognition to create a high-level digital identity. Moreover, for the Commission, consent to the processing of biometric data cannot be considered as free.

However, contrary to the opinion of the CNIL, Decree No. 2019-452 of 13 May 2019 authorising the creation of an electronic means of identification called “Certified online authentication on mobile” was nevertheless issued by the Council of State to authorise this processing (pursuant to Article 32 of the French Data Protection Act, which states that “processing of personal data implemented on behalf of the State, acting in the exercise of its prerogatives as a public authority, shall be authorised by a decree of the Council of State, taken after a reasoned and published opinion from the “Commission nationale de l’informatique et des libertés”, the processing of personal data implemented on behalf of the State, acting in the exercise of its prerogatives as a public authority, which concerns genetic data or biometric data necessary for the authentication or control of the identity of persons”). Thus, only a facial recognition device can activate the Alicem account.

Based on this observation, the association “La Quadrature du Net” then asked the Council of State to annul the aforementioned Decree No. 2019-452 of 13 May 2019 in a petition sent on 15 July 2019 (A. Fitzjean O Cobhthaigh for La Quadrature du net, petition initiating proceedings). According to the association, the creation of an electronic means of identification requiring the processing of the user’s biometric data at the time of account activation “without the user […] having the choice of another device” would directly affect the exercise of fundamental rights in the digital environment. The decree would violate certain provisions of the RGDP and the Data Protection Act, putting “particularly at risk the right of the persons concerned to respect for their private life”.
Therefore, does the Alicem system allow individuals to freely consent to the processing of their biometric data? Is the use of biometrics necessary for the purpose of the processing?

I – The individual’s freedom of choice
For the Council of State, the individual’s consent to the processing of his or her biometric data is freely given, insofar as he or she is not obliged to use it, being able to use an alternative, through the FranceConnect system, without a facial recognition mechanism.

A – The individual’s free consent
In order to create an Alicem account, users must consent to the processing of their biometric data collected through a facial recognition system. It should be remembered that biometric data are sensitive data and are subject to specific protection. Article 6 of the Data Protection Act (Article 8 at the time of its drafting, applicable to the dispute) prohibits processing using biometric data for the purpose of uniquely identifying a natural person. However, there are exceptions to this principle, which are set out in Article 9 of the RGDP; these include obtaining the explicit consent of the data subject and the public interest. This consent must be the result of a “free, specific, informed and unambiguous” manifestation of will to be valid, within the meaning of Article 4(11) of the RGDP.

It must be emphasised that if the user refuses to carry out facial recognition at the stage of the Alicem account creation procedure, this prevents the creation of the Alicem digital identity. However, the data subject must have real control and choice over whether or not to accept the proposed conditions. Moreover, the data subject must be able to refuse without suffering harm. Indeed, the RGDP indicates in its recital 42 that “consent should not be considered to have been freely given if the data subject does not have a genuine freedom of choice or is not able to refuse or withdraw consent without suffering prejudice”.

For the association “La Quadrature du Net”, the legal basis of consent chosen by the decree does not hold, considering that “it does not in any case result from a manifestation of free, specific, informed and univocal will”. According to her, there is no other way for Alicem users to activate their accounts without using a facial recognition device. The user would therefore have to consent to the processing of his or her biometric data in order to use Alicem.

Is the individual’s consent still free, given that he or she must consent to the processing of biometric data in order to use Alicem? Does the user have genuine freedom of choice? Does he suffer prejudice if he does not consent to the processing of his data in the context of Alicem?

The Council of State considers that the user does not suffer any negative consequences as to the nature of the services accessible if he refuses to give his consent to the facial recognition processing implemented in the Alicem application. Indeed, there is an alternative since the user can access, with a unique identifier, all the public services offered online, in particular through FranceConnect (pt 9).

B – The existence of an alternative
According to the Council of State, ‘it is clear from the documents in the file that the teleservices accessible via the Alicem application were also accessible, on the date of the contested decree, through the FranceConnect system, the use of which does not presuppose consent to facial recognition processing’ (pt 9).
Thus, users could access all the proposed teleservices online without being required to create an Alicem account and therefore without using its facial recognition mechanism. The existence of an alternative, without a facial recognition mechanism, would therefore make it possible to ensure the individual’s free consent. It remains to be seen whether the use of biometrics was necessary for the purpose of the data processing.

II – Biometrics: a system that correlates with the purpose of the processing operation
The Council of State considers that facial recognition offers a high level of guarantee and that the collection of data is adequate and proportionate to the purpose of the processing operation.

A – The adequate level of guarantee offered by facial recognition
The facial recognition system is the whole point of the Alicem application; biometrics making it possible to offer a high level of guarantee within the meaning of the European “eIDAS” Regulation (Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC), the ambition of which is to increase trust in electronic transactions (pt 2). Moreover, such a system makes it possible to contribute to the fight against online identity theft (pt 2). Indeed, at the date of the contested decree, there were ‘no other means of authenticating the identity of the user in a completely dematerialised manner with the same level of guarantee as the facial recognition system’ (pt 8).

The Council of State indicates that the use of facial recognition was therefore necessary for the deployment of this system. Indeed, the use of a biometric device authorised by the decree had to be “considered as required by the purpose of this processing” (pt 8).

B – Proportionality of the data collected in relation to the purpose of the processing
The data collection planned for the use of the Alicem application concerns: the identification of the user, the identification of his biometric ticket, the electronic communication terminal equipment he uses and the history of transactions associated with his account. The question arises as to whether the collection of these data is relevant to the purpose of the processing, i.e. the issuing of an electronic means of identification enabling users to identify themselves electronically and authenticate themselves to public or private bodies.
Indeed, the data must be “[…] adequate, relevant and not excessive in relation to the purposes for which they are collected and their further processing” (pt 10) at the time of the dispute, this was Article 6 of the Data Protection Act. This is now provided for in Article 4 of the said law, but this article has been reworded). Thus, “data relevant to the purpose of a processing operation are those which are in line with the purpose of the processing operation and which are proportionate to that purpose” (pt 10).
Therefore, is the use of a facial recognition system proportional to the purpose of the processing? The Council of State answers in the affirmative: ‘in view of their purpose and the purposes of the processing […], the collection of this data must be considered adequate and proportionate to that purpose’ (pt 10). Thus, “La Quadrature du Net”‘s request was rejected.
This principle of proportionality is at the heart of the debate on facial recognition devices. Indeed, the administrative court of Marseille had annulled the deliberation of the regional council of Provence-Alpes-Côte d’Azur which aimed to experiment with facial recognition at the entrance of two high schools in the region (TA Marseille, 27 Feb. 2020, n° 1901249, Association “La Quadrature du Net”, AJDA 2020. 492; AJCT 2020. 439, obs. R. Perray and H. Adda; Dalloz IP/IT 2020. 148, obs. C. Crichton; C. < Rotily and L. Archambault, Biometric data from facial recognition experiments on French territory: a challenge in the light of law 2.0?, Dalloz IP/IT 2020. 54). The administrative judges had followed the position of the CNIL, which considered that this experimentation was “contrary to the fundamental principles of proportionality and minimisation of data stemming from the RGPD” (CNIL, “Expérimentation de la reconnaissance faciale dans deux lycées” : la CNIL précise sa position, 29 Oct. 2019). Thus, the use of this device on students, most of whom are minors, for the sole purpose of facilitating and securing access did not appear necessary or proportionate to achieve these purposes.

Prospects

Faced with the development of these facial recognition devices, the CNIL’s reasoning is based on the question of whether the use of a biometric device is really necessary in view of the objective pursued and whether there is not an alternative device that is less intrusive for the rights and freedoms of individuals. For example, in the case of securing access to high schools, this alternative device could consist of a badge control, and the administrative court followed this reasoning. For the Alicem application, the alternative solutions could consist of a face-to-face visit (to the prefecture or town hall, for example), manual verification of the video and photograph on the permit (sending the video to the ANTS server and verification of identity by an agent) or a live video call with the ANTS; but this reasoning was not followed by the Council of State.

VERS UNE NOUVELLE REGLEMENTATION EUROPEENNE DES DRONES

La réglementation européenne sur les aéronefs sans équipage à bord est entrée en application le 31 décembre 2020. Elle se substitue à la réglementation nationale de sécurité aérienne et opère une classification des drones, non plus selon la finalité mais selon le niveau de risque de l’opération. Fort heureusement, les acteurs de la filière bénéficient d’une période de transition, prévue jusqu’au 31 décembre 2022.

Article rédigé par Laurent Archambault et Cassandra Rotily, publié dans la revue Dalloz IP/IT.

 

 

#aeronef ; #drone ; #IFURTA ; #LLMDroitAérienToulouse ; #EASA ; #DirectionGeneraledelAviationCivile ; #ELISAAerospace ; #ENAC ; #EcoleNationaledelAviationCivile ; #ESTACA ; #EcoleSuperieuredesTechniquesAeronautiquesetdeConstructionAutomobile ; #EcoleSuperieuredesTechnologiesIndustriellesAvancees ; #GIFAS ; #Supmeca #InstitutsuperieurdemecaniquedeParis

ILLEGAL SURVEILLANCE BY DRONES: LESSONS FROM THE JANUARY 2021, FRENCH DATA PROTECTION AUTHORITY’S (CNIL) DECISIONS.

ILLEGAL SURVEILLANCE BY DRONES: LESSONS FROM THE JANUARY 2021, FRENCH DATA PROTECTION AUTHORITY’S (CNIL) DECISIONS.

The use of Unmanned Aerial Vehicles (hereafter “UAVs” or “drones”) equipped with cameras, by French State security forces, in order to monitor the compliance of containment measures, outside any legal framework, has not escaped the control of the CNIL (French Data Protection Authority).
Revisiting the CNIL’s January 12, 2021 decision as well as the incidental decision of the 26th of January 2021: lessons and outlooks.

Following a control procedure initiated in May 2020, the CNIL issued a warning to the French Interior Ministry on the 12th of January “for having carried out flights of camera-enabled drones outside any legal framework”. This decision illustrates, once again, the difficulty of reconciling population surveillance by UAVs with the right to privacy and to protection of personal data.

For all intents and purposes, it should be reminded that UAVs are legally assimilated to “aircraft”, i.e aircrafts capable of rising and circulating in the air. However, they have the particularity of being very stealthy, discreet and able to fly without a pilot on board; they are known as “unmanned“. As early as March 2020, the press revealed that the police and gendarmerie used “unmanned aircraft” equipped with cameras, particularly for monitoring containment measures.

The use of drones intensified during the pandemic. However, these devices had already been used previously, notably for video protection of events (as an example, they were used in 2018 during the evacuation of the Notre-Dame-des-Landes, i.e Nantes new airport project). The Paris police prefecture, the Haute-Garonne gendarmerie and the Cergy-Pontoise police have acknowledged having used UAVs equipped with cameras.


UAVs on the lookout for personal data

On July 9, 2020, the CNIL sent a delegation to the Paris police prefecture to carry out an inspection. It was found that the equipment used was very elaborate .UAVs can fly at an altitude of between 30 and 120 meters and their cameras have a 12 million pixel lens that can magnify the image up to twenty times. The UAVs can therefore records images on which people are easily identifiable. Contrary to what the Ministry of Interior had maintained, the UAVs used therefore make it possible to collect personal data7 within the meaning of Article 4 of the General Data Protection Regulation.

Although the Ministry of the Interior has developed a mechanism for blurring images, this was not implemented from the very beginning of the use of UAVs. Images cannot be directly blurred. With the use of the UAVs, pictures are therefore collected, transmitted and processed with, potentially, identifiable persons.

The CNIL designates the Ministry of the Interior as the controller, responsible for the processing of this data. The CNIL considers that the Ministry of the Interior has failed to comply with several obligations under the French Data Protection Law of 1978 (Loi Informatique et Libertés). Indeed, this law is intended to apply when picture capture by UAV leads to the collection of personal data.

In accordance with articles 87 and 89 of this legal text, a legislative or regulatory framework should have been put in place prior to the Ministry’s use of camera-equipped UAVs.

Moreover, it was considered that the processing operations in question are “likely to present a high risk to the rights and freedoms of data subjects”. This high risk stems from the UAVs inherent technical characteristics. As previously mentioned, UAVs can film in high resolution any person moving in the public space with their knowledge. They can reveal, at least indirectly, such as during demonstrations, people’s political and religious opinions, or even their trade union membership11. Faced with this risk, an impact study on the protection of personal data should have been conducted, as specified in article 90 of the 1978’s law.

The Ministry of the Interior has also failed in its duty to inform individuals. Article 104 of the 1978’s law obliges the data controller to make certain information available to the person concerned, such as the purposes of the processing. Nevertheless, it emerges from the responses provided that no information, meeting the requirements of this article, has been communicates by the Ministry.


The end of surveillance by drones?

Can we go so far as to affirm that this warning by the CNIL marks the end of the use of UAVs by the law enforcement agencies? Nothing is less certain.

This sanction, taken in by the CNIL is in line with decisions of the French State Council of May 18 and December 22, 202012. The use of drones had already been banned, but within the restricted framework of their use by the Paris police headquarters. The CNIL’s decision is broader in scope: it applies to all law enforcement agencies under the authority of the Ministry of the Interior and throughout French territory. Moreover, the injunction is not limited to treatment aimed at monitoring demonstrations or containment measures. It concerns treatment
“Which aims to prevent, detect, investigate and prosecute criminal offences or to protect against threats to public security”

Nevertheless, the CNIL has only a very limited power towards the State, it cannot condemn it to pay a fine14. On the other hand, it can decide to make its sanction public, which is the case here.
A legislative framework could soon be put in place to regulate the use of UAVs, by the Ministry of the Interior. Article 22 of the French Global Security Law has been adopted at first reading in the French National Assembly. Its purpose is it introduce a chapter on “airborne cameras” into the French Internal Security code15. Article L 242-5 of said code authorises the use of UAVs to monitor demonstrations “where circumstances give rise to fears of serious disturbance of public order”.

These provisions could, if finally adopted, serve as legislative framework for the use UAVs. In this respect, the President of the French Senate’s Law Commission sought the CNIL’s opinion on November 30, 2020.

In its decision of January 26, 202116 on a proposal for a law relating to global security, the CNIL deemed that it would be advisable for the legislator to make the use of airborne cameras subject to prior experimentation.
Generally speaking, the CNIL rightly demands additional guarantees to protect personal data when public authorities use camera-equipped UAVs. It specifies that “the framework to be developed for the use of new video devices, in particular UAVs, must ensure that, once their necessity has been proven, any violation of privacy is strictly proportionate to the purposes pursued”.

Beyond this technical discussion, one may think that if the drones used by the public authorities do not currently have a very good “reputation”, we cannot affirm for all that they will certainly disappear from our landscape….

Laurent ARCHAMBAULT aviation and IT Lawyer
He is above all an air enthusiast and a “jack of all trades”: drone, glider, and IFR/VFR aircraft pilot (flatland and mountain). He is also a lawyer who specialises in aviation law and founding director of SELENE Avocats, which is a member of the Council for Civilian Drones (Paris, France) and the European Business Aviation Association (EBAA). In addition, he is a lecturer in aviation law at the IFURTA (Institute for University Training and Air Transport Research at the University of Air-Marseille) and the University of Toulouse (LL.M in Aviation law).