Introduction
Les drones capturent données personnelles massives (photos/vidéos aériennes de personnes, bâtiments, routes, plaques minéralogiques). En France, le RGPD (Règlement Général Protection Données) impose conformité stricte depuis 2018, renforcée en 2024-2026. Opérateurs drone doivent respecter RGPD ou risquent amendes jusqu'à 20M€. Cet article détaille obligations légales.
Données personnelles capturées par drone
Types données
Données visuelles identifiantes :- Visages personnes (photos/vidéos)
- Plaques minéralogiques véhicules
- Numéros d'immeuble (localisation précise)
- Vêtements distinctifs personnes identifiables
- Comportements personnes (gestes, actions)
- Localisation GPS drone (heure+lieu)
- Horodatage images (date/heure capture)
- Données altimétrie (altitude preciso)
- Identifiant drone + pilote
- Données capteur (caméra, thermique)
Quand données "personnelles" RGPD ?
Personnelles = Identifiables (directement ou indirectement) :| Données | RGPD ? | Justif |
|---|---|---|
| Visage flou pixel | Non | Non-identifiable |
| Visage clair reconnaissable | Oui | Identifiable directement |
| Plaque mine auto | Oui | Identifiable propriétaire |
| Bâtiment anonyme rural | Non | Pas identification personne |
| Maison liée propriétaire + GPS précis | Oui | Identifiable indirectement |
| Entrée usine sans personnes | Non | Pas données personnelles |
Obligations RGPD pour opérateurs drone
1. Base légale obligatoire
AVANT capture drone, avoir l'une de ces bases :a) Consentement (cas commun)
- Personnes consentent par écrit ("J'accepte photos aériennes")
- Mariage : Invités signent accord photos
- Événement : Affichage "zone drone, vous êtes d'accord ?"
- Difficulté : Impossible obtenir consentement 1 000s spectateurs festival
- Exemples : Inspection toiture propre maison, surveillance propriété
- CNIL tolère "intérêt propriétaire" SANS consentement général
- Limite : Pas droit vendre/partager photos tiers
- Enquête judiciaire (gendarmerie commande drone)
- Contrôle administratif (DGAC audit, douane)
- Cas rare opérateurs privés
- Client paye inspection toiture = contrat implicite capture
- Photos incluses service = légal sans consentement supplémentaire
- Limite : Pas usage photos au-delà contrat
- Recherche scientifique agrée
- Santé publique
- Non-applicable drones privés classiques
2. Avis CNIL avant traitement
Si opération "hautement risquée" → AIPD obligatoire Quand AIPD exigée :- Surveillance systématique grande zone (> 100ha)
- Données biométriques (reconnaissance faciale on-drone)
- Partage données tiers sans consentement
- Durée conservation longue (> 3 ans)
- Données sensibles (santé, religion détectée par IA)
- Inspection toiture propriété personnelle
- Événement mariage consentements locaux
- Photos publicitaires consenties
- Description traitement (où capture, quoi, combien)
- Justification base légale
- Analyse risques RGPD
- Mesures mitigations (pixelisation visages, durée rétention, etc.)
- Procédures droits individus
- Responsable données contact
3. Droit d'information personnes
Obligation afficher/communiquer que données capturées : Sur zone vol (Affichage) :- Panneau visible : "Attention zone sous survol drone - Photos/vidéos captées"
- Pictogramme caméra
- Mentions : Responsable données, droit accès, durée conservation
- Exemple légal : Panneau 0.5m² bord chantier bâtiment
- E-mail personnes : "Vos images ont été captées. Vous avez droits RGPD suivants..."
- Délai : Dans 30 jours après capture (ou avant diffusion)
- Contact responsable données
- Affichage clair "Photo/vidéo événement" suffit
- Consentement implicite présence = acceptation
- Pas de consentement = pas de diffusion externes (cités seulement client)
4. Sécurité données et stockage
Obligations techniques RGPD :a) Chiffrement obligatoire
- Transfert données : HTTPS/TLS minimum
- Stockage : AES-256 disques durs
- Cloud : Serveurs France/EU minimum
- Interdit : Laisser USB non-chiffrée en voiture
- Mot de passe fort (12+ caractères, majuscule+chiffre)
- Authentification double (2FA) si possible
- Audit accès log (qui a vu fichier quand)
- Accès limité pilote/technicien seulement
- Copie données 2+ endroits différents
- Test restore réguliers (3-6 mois)
- Backup chiffré également
- AWS/Azure/Google Cloud : Serveurs UE minimum
- Dropbox/OneDrive : Acceptable si chiffrage bout-en-bout
- Services chinois/non-EU : Interdits RGPD
- Données sensibles : Hébergeur français recommandé
5. Droit des individus à exercer
Personnes capturées doivent pouvoir demander :a) Droit d'accès (Quel droit exerçable)
- "Avez-vous photo de moi captée 15 avril 2026 ?"
- Opérateur doit répondre 30 jours
- "Effacez ma photo/vidéo si inexacte/hors-contexte"
- Opérateur doit supprimer délai 30j
- "Supprimez mes données complètement"
- Pas possible si obligation légale stockage (audit DGAC)
- Délai : 30 jours max
- "Fournissez mes données format standard"
- Opérateur fourni copie PDF/format
- E-mail simple personne → responsable données
- Responsable confirme reçu 24h
- Réponse substantive 30 jours
- Non-respect = amende CNIL 300-3000€
6. Politique de confidentialité obligatoire
Opérateur drone doit publier : Où : Site web, mention dans contrats clients Contenu minimum :`` Titre : Politique de confidentialité capture drone [Entreprise]
- Responsable Données
- Données capturées
- Types : Photos, vidéos, plaques minéralogiques, GPS
- Durée conservation : X jours/mois/ans
- Destination : Stockage local / Cloud [spécifier]
- Base légale
- Droits individu
- Contact CNIL
- Cookies/Analytics (si site web)
Durée conservation données :
- Standard minimum : 30 jours (post-vol rapport)
- Conservation moyenne : 3-6 mois (archivage projet)
- Longue durée : 1-2 ans justifiée (raisons légales)
- Interdit : Conservation indéfinie sans raison
Cas spécifiques RGPD drone France
Événement public (Festival, marche, match)
Situation : 10 000 spectateurs festival, drone filme foule
Conformité RGPD :
- Affichage panneau visible "Zone drone photographiée"
- Consentement implicite présence (tolère CNIL événement)
- Politique confidentialité accessible site
- Conservation photos 6 mois maximum
- Pas vente photos spectateurs sans consentement supplémentaire
- Si visages identifiables doivent être pixelisés avant diffusion publique
Bonnes pratiques :
- Affichage grand (minimum 2m² taille)
- Langage simplifié français
- Contact email responsable visible
Inspection toiture/privée
Situation : Drone inspecte toiture maison voisine (bâtiment capture, pas personnes)
Conformité RGPD :
- Données personnelles minimes (bâtiment ≠ personne)
- Consentement propriétaire suffisant (contrat inspection)
- Partage photos client uniquement
- Conservation 1 an acceptable (propriétaire peut demander duplique)
- Pas diffusion web/social (sauf accord propriétaire)
Attention : Voitures stationnées/plaques mines = données perso → pixeliser avant remise client
Surveillance agricole (Drone NDVI parcelle)
Situation : Drone surveille 100ha maïs, publie indice végétal (NDVI)
Conformité RGPD :
- Données non-personnelles (vegetation map, pas habitants)
- Publication NDVI carte libre
- Pas besoin consentement tiers
- Conservation données 2 ans acceptable
- Si géolocalisation précise parcelle = localisant propriétaire → politique confidentialité recommandée
Cas problématiques & amende CNIL
Cas 1 : Festival sans consentement, vidéos YouTube
Situation : Opérateur filme 5 000 festival, poste YouTube "Top drone festival views" sans autorisation
CNIL investigation :
- Pas affichage préalable consentement
- Pas base légale documentée
- Diffusion publique sans consentement
- Pas droit d'oubli facilité
Amende CNIL : 15 000-50 000€ (manquement base légale + diffusion)
Cas 2 : Inspection bâtiment, conservation 5 ans
Situation : Opérateur garde photos inspection privée 5 ans (archive client, mais accès non-limité)
CNIL investigation :
- Rétention excessive (>3 ans non-justifiée)
- Accès non-contrôlé données
- Pas destruction automatique après durée
Amende CNIL : 5 000-15 000€ (principe limitation conservation)
Cas 3 : Cloud non-EU, données sensibles
Situation : Startup drone stocke photos mariage (visages) sur Dropbox US sans chiffrage
CNIL investigation :
- Transfert données vers US (Schrems II post-Surveillance)
- Pas chiffrage bout-en-bout
- Données sensibles (biométriques visages)
Amende CNIL : 20 000-100 000€ (transferts délictueux + sécurité)
FAQ - RGPD drone France
Q1 : Dois-je avoir RGPD si drone capture juste bâtiments, pas personnes ? R : Non si strictement bâtiments/paysages. Oui si plaques mines, voitures identifiables, ou géolocalisation propriétaire incluse. Q2 : Consentement verbal photos suffisant (pas écrit) ? R : Non. RGPD exige "positif explicite" = écrit minimum (email ok). Verbal non-probant. Q3 : Peux-je publier photos aériennes artiste sans consentement "droits d'auteur" ? R : Non. Droits d'auteur ≠ RGPD. Photos personnes identifiables = RGPD s'applique même artiste. Q4 : Combien temps garder données brutes avant suppression ? R : Dépend contrat client. Standard = 30j-3 mois. Au-delà 1 an = très justifié légalement. Q5 : Amende CNIL maximale violation RGPD drone ? R : Jusqu'à 20 000 000€ (4% CA entreprise) ou 20M€ fixe, le plus élevé. En pratique drone = 5 000-100 000€ moyenne.
Recommandations conformité RGPD
Checklist démarrage opération drone
Avant vol, vérifier :
- Base légale identifiée (consentement/contrat/intérêt)
- AIPD réalisée si doutes risques
- Affichage panel zone si événement/public
- Politique confidentiel publiée site
- Stockage chiffré données (AES-256)
- Cloud EU si cloud (pas US/Chine)
- Accès limité (pilote seul)
- Durée rétention documentée (30j-1an max)
- Procédure oubli dans processus
- Assurance RC couvre violations RGPD (optional mais sage)
Exemple politique minimal
` POLITIQUE CONFIDENTIALITÉ - [Nom Entreprise] Responsable données : [Nom] - [email] Données captées : Photos/vidéos aériennes drones Durée conservation : 30 jours standard, 3-6 mois sur demande client Stockage : [Serveur France spécifier] - Chiffré AES-256 Droits : Accès/rectification/oubli possible - email contact Limitation : Pas partage tiers sans accord. Diffusion publique sur demande. ``
MmowW sécurise conformité RGPD
Conformité RGPD complexe pour opérateurs. MmowW simplifie : Modèles AIPD : Questionnaire guidé, document export Politique template : Texte conforme CNIL adapté France Durée conservation : Rappels automatiques suppression données Audit accès : Log qui a consulté quelle photo, quand Chiffrage : Stockage données chiffré intégré Droit à l'oubli : Suppression données batch sur demande
Tarification
MmowW : 6,08€ par drone par moisConformité RGPD incluse dans abonnement = gestion données sécurisée complète.
Ressources officielles
- CNIL Guide RGPD : www.cnil.fr/drone-rgpd
- RGPD Complet : https://www.cnil.fr/Le-reglement-general-sur-la-protection-des-donnees-RGPD
- Amende CNIL : CNIL.fr/actualités-amendes
- Cloud France/EU : Agence Nationale Sécurité certifiés