Arrêt OG-ZH UE200430‑O/​U/​MUL du 26 novembre 2021 

Alors que B fait l’objet d’une inter­dic­tion de péri­mètre visant à proté­ger A (« Hausverbot »), il fait voler un drone au-dessus de la propriété de cette dernière le 18 avril 2020 entre 16 heures et 16 heures 30 à tout le moins. 

Le 10 juillet 2020, A dépose plainte pénale contre B, invo­quant ainsi les art. 179quater CP et 34 al. 1 let. b LPD notam­ment. Le 2 décembre suivant, le minis­tère public refuse d’entrer en matière et A forme alors recours devant l’Obergericht zuri­chois qui se prononce dans son arrêt sur la notion de « données person­nelles » à l’occasion d’un vol de drone.  

L’établissement des faits est tout d’abord liti­gieux, car les parties divergent sur la hauteur à laquelle le drone volait. Selon B, elle se situe­rait entre 30 et 40 m et à hauteur de pignon pour la recou­rante. Contrairement à ce qu’allègue cette dernière toute­fois, le manuel d’utilisation du drone ne permet pas de rete­nir qu’il ne pouvait voler au-dessus de 30 m. Aucun autre élément de preuve qu’elle avance n’est à même d’établir un vol d’une hauteur infé­rieure. C’est donc à juste titre que le Ministère public s’est reposé sur une hauteur de vol de 30 m en tout cas pour appré­cier juri­di­que­ment le cas d’espèce. 

L’Obergericht examine ensuite les éléments consti­tu­tifs des deux infrac­tions préci­tées. 

Premièrement, l’art. 34 al. 1 let. b LPD rend punis­sable, sur plainte, le fait pour une personne privée d’intentionnellement omettre d’informer la personne concer­née au sens de l’art. 14, al. 1 et 2, LPD. Cette dernière fait obli­ga­tion au maître de fichier d’informer la personne concer­née de toute collecte de données sensibles ou de profils de la person­na­lité la concer­nant, que la collecte soit effec­tuée direc­te­ment auprès d’elle ou auprès d’un tiers (al. 1). De même, il doit l’informer à tout le moins de l’identité du maître du fichier, des fina­li­tés du trai­te­ment pour lequel les données sont collec­tées et des caté­go­ries de desti­na­taires des données si la commu­ni­ca­tion des données est envi­sa­gée (al. 2). 

En l’espèce, l’Obergericht souligne que la Loi sur la protec­tion des données ne s’applique que s’il existe un fichier au sein duquel figurent des personnes iden­ti­fiables. Or lors d’un vol de drone à une hauteur de 30 m au moins, on ne peut s’attendre à ce que les personnes au sol soient recon­nais­sables ou iden­ti­fiables sur les images retrans­mises en direct ou, cas échéant, les vidéos ou photos éven­tuel­le­ment conser­vées. Du reste, la police n’en a pas trou­vées lors de l’inspection du drone.  

Dès lors, les images retrans­mises en direct au pilote du drone, mais qui n’ont pas été conser­vées, ne consti­tuent pas un fichier au sens de la Loi sur la protec­tion des données et cela indé­pen­dam­ment du fait que la recou­rante ait été recon­nais­sable ou iden­ti­fiable sur ces images. Partant, l’infraction n’est pas réali­sée. 

Deuxièmement, l’art. 179quater CP réprime, sur plainte, « celui qui, sans le consen­te­ment de la personne inté­res­sée, aura observé avec un appa­reil de prise de vues ou fixé sur un porteur d’images un fait qui relève du domaine secret de cette personne ou un fait ne pouvant être perçu sans autre par chacun et qui relève du domaine privé de celle-ci ». L’expression « fait ne pouvant être perçu sans autre par chacun et rele­vant du domaine privé » englobe les faits rela­tifs aux condi­tions de vie d’une personne dont seul un cercle restreint de personne peut prendre connais­sance. 

L’Obergericht reprend le même déve­lop­pe­ment supra par rapport à l’absence de recon­nais­sa­bi­lité ou de la possi­bi­lité d’identifier les personnes au sol en présence d’images d’un drone à 30 m de hauteur. Qui plus est, A ne précise pas quels faits rele­vant de son domaine secret ou privé auraient été obser­vés ou enre­gis­trés par B. Cette autre infrac­tion n’est donc pas réali­sée non plus.  

En défi­ni­tive, le recours est rejeté. 

Les raison­ne­ments juri­diques tenus par l’Obergericht sont criti­quables sous deux aspects diffé­rents. 

Premièrement, l’Obergericht retient que les images trans­mises en direct à un pilote de drone, mais qui ne sont pas conser­vées, ne consti­tuent pas un fichier au sens de l’art. 3 let. g LPD. Le raison­ne­ment de l’Obergericht ne prend pas en compte l’avis de la doctrine majo­ri­taire qui estime que cette notion doit être inter­pré­tée large­ment et n’a plus réel­le­ment de sens. En effet, l’élément déci­sif pour rete­nir l’existence d’un fichier est que le ratta­che­ment d’une donnée à une personne n’entraîne pas d’efforts dispro­por­tion­nés, ce qui est le cas in casu. À cela s’ajoute le fait que la notion de fichier n’est d’aucune utilité pratique, puisque la LPD s’applique indé­pen­dam­ment de l’existence d’un fichier, notion qui ne figure qu’au sein d’une mino­rité d’articles (art. 8 ou 11a LPD) et qui sera suppri­mée lors de l’entrée en vigueur de la nLPD. De plus, l’un des critères essen­tiels à l’application de la LPD est l’existence d’un trai­te­ment au sens de l’art. 3 let. e LPD.   

Le simple fait pour un drone d’être équipé d’une caméra permet­tant au pilote d’avoir en temps réel un flux d’images sur son écran est suffi­sant pour tomber dans la notion de trai­te­ment si des personnes iden­ti­fiées et iden­ti­fiables figurent sur les images. Retenir l’inverse revien­drait à admettre qu’une caméra de vidéo­sur­veillance qui se cantonne à filmer en temps réel son champ de vision, sans enre­gis­trer aucune image, ne tombe pas dans la notion de trai­te­ment. Cela aurait pour consé­quence indé­si­rable de limi­ter dras­ti­que­ment le champ d’application de la LPD au cas de la vidéo­sur­veillance, ouvrant ainsi la porte à des dérives. 

Deuxièmement, l’Obergericht est d’avis que lors d’un vol de drone à une hauteur de 30 m au moins, on ne peut s’attendre à ce que les personnes au sol soient recon­nais­sables ou iden­ti­fiables sur les images retrans­mises en direct ou, cas échéant, les vidéos ou photos éven­tuel­le­ment conser­vées. L’Obergericht nous paraît bien trop péremp­toire sur cette ques­tion, en faisant fi des tech­no­lo­gies qu’un drone peut embar­quer. Certains drones peuvent être équi­pés de camé­ras avec une puis­sante tech­no­lo­gie de zoom. Le carac­tère iden­ti­fiable aurait dû ainsi être analysé selon les circons­tances d’espèce, et en parti­cu­lier, selon les indi­ca­tions four­nies au sein du manuel d’utilisation.  

L’utilisation de drone à des fins profes­sion­nelles par des privés ou des organes fédé­raux et/​ou canto­naux s’est démo­cra­ti­sée au fil des dernières années, au même titre que les usages récréa­tifs. En raison de l’utilisation crois­sante des drones, de leur mobi­lité et de leur discré­tion, les auto­ri­tés – euro­péennes et suisses – de protec­tion des données ont déjà émis plusieurs opinions mettant en exergue les défis soule­vés en matière de respect de la vie privée et de la protec­tion des données lors du recours à des drones.  

Ainsi, la CNIL a sanc­tionné dans une déli­bé­ra­tion les auto­ri­tés fran­çaises pour leur usage de drones équi­pés de camé­ras aux fins de la surveillance du respect des mesures de confi­ne­ment, en rete­nant l’existence d’un trai­te­ment illi­cite de données person­nelles. 

Le Contrôleur euro­péen à la protec­tion des données a souli­gné, dans le cadre d’un avis, que les drones, de par leur capa­cité à être asso­cié à d’autres tech­no­lo­gies (p. ex. camé­ras, capteurs WiFi, micro­phones, capteurs biomé­triques, systèmes GPS, systèmes de lecture des adresses IP, systèmes de suivi par tech­no­lo­gie RFID), offrent toute la possi­bi­lité de trai­ter des données person­nelles, mais aussi de conce­voir des outils de surveillance puis­sants néces­si­tant d’être enca­dré.  

Le PFPDT dédie pour sa part une page spéci­fique à la ques­tion de la vidéo­sur­veillance dans le domaine privé effec­tué par les camé­ras embar­quées sur des drones. Plus récem­ment, l’autorité irlan­daise de protec­tion des données a eu l’occasion de mettre à jour son guide sur l’utilisation de drone.  

La ques­tion de l’utilisation crois­sante des drones et des tensions créés par rapport à la sphère privée a égale­ment été trai­tée dans le cadre d’une thèse de docto­rat publiée en open access, cf. David Henseler, Datenschutz bei droh­nen­gestütz­ter Datenbearbeitung durch Private, Zurich 2020.