Protection des données drone RGPD France 2026 : Guide complet conformité

Introduction

Les drones capturent données personnelles massives (photos/vidéos aériennes de personnes, bâtiments, routes, plaques minéralogiques). En France, le RGPD (Règlement Général Protection Données) impose conformité stricte depuis 2018, renforcée en 2024-2026. Opérateurs drone doivent respecter RGPD ou risquent amendes jusqu'à 20M€. Cet article détaille obligations légales.

Données personnelles capturées par drone

Types données

Données visuelles identifiantes :

• ✓ Visages personnes (photos/vidéos)
• ✓ Plaques minéralogiques véhicules
• ✓ Numéros d'immeuble (localisation précise)
• ✓ Vêtements distinctifs personnes identifiables
• ✓ Comportements personnes (gestes, actions)

Données métadonnées :

• ✓ Localisation GPS drone (heure+lieu)
• ✓ Horodatage images (date/heure capture)
• ✓ Données altimétrie (altitude preciso)
• ✓ Identifiant drone + pilote
• ✓ Données capteur (caméra, thermique)

Quand données "personnelles" RGPD ?

Personnelles = Identifiables (directement ou indirectement) :

Données	RGPD ?	Justif
Visage flou pixel	❌ Non	Non-identifiable
Visage clair reconnaissable	✅ Oui	Identifiable directement
Plaque mine auto	✅ Oui	Identifiable propriétaire
Bâtiment anonyme rural	❌ Non	Pas identification personne
Maison liée propriétaire + GPS précis	✅ Oui	Identifiable indirectement
Entrée usine sans personnes	❌ Non	Pas données personnelles

Règle CNIL : Si capture visages clairs, plaques mines, ou localisation précise personnes = données personnelles RGPD.

Obligations RGPD pour opérateurs drone

1. Base légale obligatoire

AVANT capture drone, avoir l'une de ces bases :

a) Consentement (cas commun)

• Personnes consentent par écrit ("J'accepte photos aériennes")
• Mariage : Invités signent accord photos
• Événement : Affichage "zone drone, vous êtes d'accord ?"
• Difficulté : Impossible obtenir consentement 1 000s spectateurs festival

b) Intérêt légitime (pratique opérateur)

• Exemples : Inspection toiture propre maison, surveillance propriété
• CNIL tolère "intérêt propriétaire" SANS consentement général
• Limite : Pas droit vendre/partager photos tiers

c) Obligation légale

• Enquête judiciaire (gendarmerie commande drone)
• Contrôle administratif (DGAC audit, douane)
• Cas rare opérateurs privés

d) Contrat service

• Client paye inspection toiture = contrat implicite capture
• Photos incluses service = légal sans consentement supplémentaire
• Limite : Pas usage photos au-delà contrat

e) Intérêt public (très exceptionnel)

• Recherche scientifique agrée
• Santé publique
• Non-applicable drones privés classiques

2. Avis CNIL avant traitement

Si opération "hautement risquée" → AIPD obligatoire Quand AIPD exigée :

• ✅ Surveillance systématique grande zone (> 100ha)
• ✅ Données biométriques (reconnaissance faciale on-drone)
• ✅ Partage données tiers sans consentement
• ✅ Durée conservation longue (> 3 ans)
• ✅ Données sensibles (santé, religion détectée par IA)

Quand AIPD optionnelle :

• ❌ Inspection toiture propriété personnelle
• ❌ Événement mariage consentements locaux
• ❌ Photos publicitaires consenties

AIPD contenu obligatoire :

• Description traitement (où capture, quoi, combien)
• Justification base légale
• Analyse risques RGPD
• Mesures mitigations (pixelisation visages, durée rétention, etc.)
• Procédures droits individus
• Responsable données contact

Délai AIPD : 30-60 jours rédaction + avis CNIL possible (1-2 semaines)

3. Droit d'information personnes

Obligation afficher/communiquer que données capturées : Sur zone vol (Affichage) :

• Panneau visible : "Attention zone sous survol drone - Photos/vidéos captées"
• Pictogramme caméra
• Mentions : Responsable données, droit accès, durée conservation
• Exemple légal : Panneau 0.5m² bord chantier bâtiment

Si personnes identifiées (Documentation) :

• E-mail personnes : "Vos images ont été captées. Vous avez droits RGPD suivants..."
• Délai : Dans 30 jours après capture (ou avant diffusion)
• Contact responsable données

Exception mariage/événement :

• Affichage clair "Photo/vidéo événement" suffit
• Consentement implicite présence = acceptation
• ⚠️ Pas de consentement = pas de diffusion externes (cités seulement client)

4. Sécurité données et stockage

Obligations techniques RGPD :

a) Chiffrement obligatoire

• Transfert données : HTTPS/TLS minimum
• Stockage : AES-256 disques durs
• Cloud : Serveurs France/EU minimum
• ❌ Interdit : Laisser USB non-chiffrée en voiture

b) Contrôle accès

• ✓ Mot de passe fort (12+ caractères, majuscule+chiffre)
• ✓ Authentification double (2FA) si possible
• ✓ Audit accès log (qui a vu fichier quand)
• ✓ Accès limité pilote/technicien seulement

c) Sauvegarde/Backup

• ✓ Copie données 2+ endroits différents
• ✓ Test restore réguliers (3-6 mois)
• ✓ Backup chiffré également

d) Conformité cloud France

• ✓ AWS/Azure/Google Cloud : Serveurs UE minimum
• ✓ Dropbox/OneDrive : Acceptable si chiffrage bout-en-bout
• ✓ Services chinois/non-EU : Interdits RGPD
• ✓ Données sensibles : Hébergeur français recommandé

5. Droit des individus à exercer

Personnes capturées doivent pouvoir demander :

a) Droit d'accès (Quel droit exerçable)

• "Avez-vous photo de moi captée 15 avril 2026 ?"
• Opérateur doit répondre 30 jours

b) Droit de rectification

• "Effacez ma photo/vidéo si inexacte/hors-contexte"
• Opérateur doit supprimer délai 30j

c) Droit à l'oubli

• "Supprimez mes données complètement"
• Pas possible si obligation légale stockage (audit DGAC)
• Délai : 30 jours max

d) Droit portabilité

• "Fournissez mes données format standard"
• Opérateur fourni copie PDF/format

Procédure exercice droit :

• E-mail simple personne → responsable données
• Responsable confirme reçu 24h
• Réponse substantive 30 jours
• ⚠️ Non-respect = amende CNIL 300-3000€

6. Politique de confidentialité obligatoire

Opérateur drone doit publier : Où : Site web, mention dans contrats clients Contenu minimum :

`` Titre : Politique de confidentialité capture drone [Entreprise]

1. Responsable Données

Nom, email, adresse contact légale

1. Données capturées

• Types : Photos, vidéos, plaques minéralogiques, GPS
• Durée conservation : X jours/mois/ans
• Destination : Stockage local / Cloud [spécifier]

1. Base légale

Consentement écrit / Intérêt propriétaire / Contrat service

1. Droits individu

Droit accès, rectification, oubli, portabilité (liens)

1. Contact CNIL

mail pour exercer droits, délai 30j réponse

1. Cookies/Analytics (si site web)

Mention trackers, opt-out option `

Durée conservation données :

• Standard minimum : 30 jours (post-vol rapport)
• Conservation moyenne : 3-6 mois (archivage projet)
• Longue durée : 1-2 ans justifiée (raisons légales)
• ❌ Interdit : Conservation indéfinie sans raison

Cas spécifiques RGPD drone France

Événement public (Festival, marche, match)

Situation : 10 000 spectateurs festival, drone filme foule Conformité RGPD :

• ✅ Affichage panneau visible "Zone drone photographiée"
• ✅ Consentement implicite présence (tolère CNIL événement)
• ✅ Politique confidentialité accessible site
• ✅ Conservation photos 6 mois maximum
• ✅ Pas vente photos spectateurs sans consentement supplémentaire
• ✅ Si visages identifiables doivent être pixelisés avant diffusion publique

Bonnes pratiques :

• Affichage grand (minimum 2m² taille)
• Langage simplifié français
• Contact email responsable visible

Inspection toiture/privée

Situation : Drone inspecte toiture maison voisine (bâtiment capture, pas personnes) Conformité RGPD :

• ✅ Données personnelles minimes (bâtiment ≠ personne)
• ✅ Consentement propriétaire suffisant (contrat inspection)
• ✅ Partage photos client uniquement
• ✅ Conservation 1 an acceptable (propriétaire peut demander duplique)
• ❌ Pas diffusion web/social (sauf accord propriétaire)

Attention : Voitures stationnées/plaques mines = données perso → pixeliser avant remise client

Surveillance agricole (Drone NDVI parcelle)

Situation : Drone surveille 100ha maïs, publie indice végétal (NDVI) Conformité RGPD :

• ✅ Données non-personnelles (vegetation map, pas habitants)
• ✅ Publication NDVI carte libre
• ✅ Pas besoin consentement tiers
• ✅ Conservation données 2 ans acceptable
• ⚠️ Si géolocalisation précise parcelle = localisant propriétaire → politique confidentialité recommandée

Cas problématiques & amende CNIL

Cas 1 : Festival sans consentement, vidéos YouTube

Situation : Opérateur filme 5 000 festival, poste YouTube "Top drone festival views" sans autorisation CNIL investigation :

• ✗ Pas affichage préalable consentement
• ✗ Pas base légale documentée
• ✗ Diffusion publique sans consentement
• ✗ Pas droit d'oubli facilité

Amende CNIL : 15 000-50 000€ (manquement base légale + diffusion)

Cas 2 : Inspection bâtiment, conservation 5 ans

Situation : Opérateur garde photos inspection privée 5 ans (archive client, mais accès non-limité) CNIL investigation :

• ✗ Rétention excessive (>3 ans non-justifiée)
• ✗ Accès non-contrôlé données
• ✗ Pas destruction automatique après durée

Amende CNIL : 5 000-15 000€ (principe limitation conservation)

Cas 3 : Cloud non-EU, données sensibles

Situation : Startup drone stocke photos mariage (visages) sur Dropbox US sans chiffrage CNIL investigation :

• ✗ Transfert données vers US (Schrems II post-Surveillance)
• ✗ Pas chiffrage bout-en-bout
• ✗ Données sensibles (biométriques visages)

Amende CNIL : 20 000-100 000€ (transferts délictueux + sécurité)

FAQ - RGPD drone France

🐣 Q1 : Dois-je avoir RGPD si drone capture juste bâtiments, pas personnes ? R : Non si strictement bâtiments/paysages. Oui si plaques mines, voitures identifiables, ou géolocalisation propriétaire incluse. 🦉 Q2 : Consentement verbal photos suffisant (pas écrit) ? R : Non. RGPD exige "positif explicite" = écrit minimum (email ok). Verbal non-probant. 🐣 Q3 : Peux-je publier photos aériennes artiste sans consentement "droits d'auteur" ? R : Non. Droits d'auteur ≠ RGPD. Photos personnes identifiables = RGPD s'applique même artiste. 🦉 Q4 : Combien temps garder données brutes avant suppression ? R : Dépend contrat client. Standard = 30j-3 mois. Au-delà 1 an = très justifié légalement. 🐣 Q5 : Amende CNIL maximale violation RGPD drone ? R : Jusqu'à 20 000 000€ (4% CA entreprise) ou 20M€ fixe, le plus élevé. En pratique drone = 5 000-100 000€ moyenne.

Recommandations conformité RGPD

Checklist démarrage opération drone

Avant vol, vérifier :

• ☑️ Base légale identifiée (consentement/contrat/intérêt)
• ☑️ AIPD réalisée si doutes risques
• ☑️ Affichage panel zone si événement/public
• ☑️ Politique confidentiel publiée site
• ☑️ Stockage chiffré données (AES-256)
• ☑️ Cloud EU si cloud (pas US/Chine)
• ☑️ Accès limité (pilote seul)
• ☑️ Durée rétention documentée (30j-1an max)
• ☑️ Procédure oubli dans processus
• ☑️ Assurance RC couvre violations RGPD (optional mais sage)

Exemple politique minimal

` POLITIQUE CONFIDENTIALITÉ - [Nom Entreprise] Responsable données : [Nom] - [email] Données captées : Photos/vidéos aériennes drones Durée conservation : 30 jours standard, 3-6 mois sur demande client Stockage : [Serveur France spécifier] - Chiffré AES-256 Droits : Accès/rectification/oubli possible - email contact Limitation : Pas partage tiers sans accord. Diffusion publique sur demande. ``

MmowW sécurise conformité RGPD

Conformité RGPD complexe pour opérateurs. MmowW simplifie : ✅ Modèles AIPD : Questionnaire guidé, document export ✅ Politique template : Texte conforme CNIL adapté France ✅ Durée conservation : Rappels automatiques suppression données ✅ Audit accès : Log qui a consulté quelle photo, quand ✅ Chiffrage : Stockage données chiffré intégré ✅ Droit à l'oubli : Suppression données batch sur demande

Tarification

MmowW : 6,08€ par drone par mois

Conformité RGPD incluse dans abonnement = gestion données sécurisée complète.

Ressources officielles

• CNIL Guide RGPD : www.cnil.fr/drone-rgpd
• RGPD Complet : https://www.cnil.fr/Le-reglement-general-sur-la-protection-des-donnees-RGPD
• Amende CNIL : CNIL.fr/actualités-amendes
• Cloud France/EU : Agence Nationale Sécurité certifiés
Dernière mise à jour : 9 avril 2026 Statut : Conforme RGPD, CNIL, France