Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Samedi 11 juillet 2026
RGPD

RGPD et drones en entreprise : le guide 2026

Drone d'inspection, événementiel ou immobilier : base légale, information des personnes filmées, AIPD, floutage et règles DGAC. Le guide complet 2026.

L’essentiel. Dès qu’un drone d’entreprise capte l’image de personnes identifiables — visages, plaques, silhouettes reconnaissables —, vous réalisez un traitement de données personnelles soumis au RGPD. Il vous faut une base légale (le plus souvent l’intérêt légitime, avec triple test documenté), informer les personnes concernées malgré la difficulté matérielle, minimiser la captation (cadrage, floutage), et souvent conduire une analyse d’impact (AIPD). Ces obligations RGPD se superposent — sans se confondre — au cadre aéronautique de la DGAC (enregistrement de l’exploitant, formation du télépilote, zones interdites, assurance).

Le drone est devenu un outil professionnel banal : inspection de toitures et de panneaux photovoltaïques, captation événementielle, prises de vue aériennes en immobilier, surveillance de sites industriels, cartographie agricole. Dans ma pratique de conseil, je vois pourtant la même erreur revenir : l’entreprise traite le drone comme un simple appareil photo volant et oublie qu’un capteur embarqué qui filme des personnes déclenche exactement les mêmes obligations qu’une caméra de vidéosurveillance — avec une difficulté supplémentaire, celle d’informer des personnes que l’on survole sans jamais les rencontrer.

Ce guide sépare clairement les deux régimes qui s’appliquent en parallèle : le régime aéronautique (piloter légalement) et le régime RGPD (traiter légalement les images). Les deux sont obligatoires ; respecter l’un ne dispense jamais de l’autre.

Deux réglementations qui se superposent

Il faut distinguer nettement ce qui relève de l’aviation civile et ce qui relève de la protection des données.

Le cadre aéronautique (DGAC). Le règlement d’exécution (UE) 2019/947 fixe les règles européennes d’exploitation des aéronefs sans équipage. Il classe les opérations en trois catégories — « ouverte », « spécifique » et « certifiée » — selon le niveau de risque. En France, la Direction générale de l’aviation civile (DGAC) supervise ces opérations : enregistrement de l’exploitant sur le portail AlphaTango, formation et attestation du télépilote, respect des zones de restriction (aérodromes, sites sensibles, agglomérations, rassemblements de personnes), et souscription d’une assurance responsabilité civile. Ce cadre répond à une question : ai-je le droit de faire voler cet appareil, ici, dans ces conditions ?

Le cadre RGPD (CNIL). Le règlement (UE) 2016/679 s’applique dès qu’un traitement de données personnelles est réalisé. Or l’image d’une personne physique identifiable est une donnée personnelle. Le RGPD répond à une autre question : ai-je le droit de collecter, conserver et exploiter les images de personnes captées par le drone ?

Un exploitant peut être parfaitement en règle avec la DGAC et en infraction totale avec le RGPD, et inversement. Le présent guide se concentre sur le second volet, mais je rappelle systématiquement à mes clients que le respect des règles de vol de la DGAC est un préalable non négociable : un vol illégal expose à des sanctions pénales spécifiques, distinctes des amendes RGPD.

Quand le drone déclenche-t-il le RGPD ?

Le déclencheur est simple : la captation d’au moins une personne physique identifiable. L’identification peut résulter du visage, mais aussi d’une silhouette reconnaissable, d’une plaque d’immatriculation, d’un badge, d’un contexte (un salarié seul sur son poste de travail). À l’inverse, une prise de vue purement technique d’une toiture déserte, sans aucune personne ni élément identifiant, ne relève pas du RGPD.

Trois situations types dans lesquelles le RGPD s’applique :

Usage Personnes potentiellement captées Sensibilité
Inspection technique (toiture, pylône, panneaux solaires) Salariés, techniciens sur site, riverains en arrière-plan Modérée si cadrage maîtrisé
Captation événementielle (salon, concert, festival) Public nombreux, parfois mineurs Élevée — foule, mineurs, opposition difficile
Prise de vue immobilière (bien à vendre, chantier) Voisins, occupants, jardins privatifs alentour Élevée — intrusion dans la vie privée d’autrui

Dès que l’une de ces situations est en jeu, l’entreprise devient responsable de traitement — ou l’est conjointement avec son client. Si vous faites appel à un prestataire de captation par drone, celui-ci agit le plus souvent comme sous-traitant au sens de l’article 28 : un contrat de sous-traitance conforme à l’article 28 du RGPD est alors indispensable, encadrant notamment la durée de conservation des rushes et leur suppression.

Choisir et documenter la base légale

Aucun traitement d’image n’est licite sans base légale RGPD au sens de l’article 6 du RGPD. Pour les drones d’entreprise, deux fondements sont réalistes.

L’intérêt légitime (art. 6(1)(f)) — le cas général. C’est la base la plus fréquente pour l’inspection technique et la surveillance de site. Elle suppose de conduire et de conserver un triple test de l’intérêt légitime : finalité légitime (inspecter une infrastructure, documenter un chantier), nécessité (le drone est-il le moyen le moins intrusif ?), et mise en balance avec les droits des personnes (attentes raisonnables, possibilité de s’opposer). Sur ce fondement, la personne conserve un droit d’opposition qu’il faut pouvoir honorer. La documentation de cet intérêt légitime est un réflexe : sans test écrit, la base est fragile.

Le consentement (art. 6(1)(a)) — l’événementiel maîtrisé. Lorsqu’il est possible d’informer et de recueillir l’accord des personnes filmées (tournage cadré, participants identifiés, ateliers d’entreprise), le consentement peut être pertinent — à condition qu’il soit libre, spécifique et éclairé. Mais dans une foule, recueillir un consentement valable de chacun est illusoire : mieux vaut alors s’appuyer sur l’intérêt légitime, renforcer l’information et proscrire tout cadrage individualisé.

En pratique, je déconseille de fonder une captation événementielle de masse sur le seul consentement : c’est une base juridiquement instable dès lors qu’une partie du public n’a pas pu consentir.

Informer les personnes : l’obstacle central

C’est le point le plus difficile. Les articles 13 et 14 imposent une information claire des personnes concernées. Or, on ne peut pas remettre une notice à chaque passant survolé. Plusieurs leviers se combinent :

  • Signalétique au sol aux points d’accès de la zone de captation (« Zone filmée par drone — [nom], finalité, contact »).
  • Information en amont pour les événements : mention sur la billetterie, le site web, les invitations, l’affichage d’entrée.
  • Page web dédiée détaillant finalité, base légale, durée de conservation, destinataires et modalités d’exercice des droits, dont le droit d’accès prévu à l’article 15.
  • Information des salariés filmés lors d’inspections : passage par le registre du personnel, note de service, et le cas échéant consultation du CSE.

L’article 14 du RGPD prévoit un aménagement lorsque l’information individuelle exige des efforts disproportionnés : on peut alors recourir à une information générale (signalétique, publication). Cet aménagement ne dispense pas d’informer — il change seulement les modalités. Les bonnes pratiques de transparence détaillées à propos de l’article 12 du RGPD restent la référence.

Minimiser : cadrage, altitude, floutage

Le principe de minimisation des données est votre meilleur allié pour réduire le risque. Concrètement :

  1. Cadrer sur l’objet technique, pas sur les personnes. Une inspection de toiture n’a pas besoin de filmer la rue.
  2. Jouer sur l’altitude et l’angle pour éviter les espaces privatifs voisins (jardins, terrasses, fenêtres) — enjeu majeur en immobilier.
  3. Flouter en post-production visages et plaques dès que leur captation est incidente et non nécessaire.
  4. Désactiver l’enregistrement pendant les phases de vol où seule la vue temps réel est utile.
  5. Limiter la durée de conservation : ne gardez les rushes bruts que le temps de produire le livrable, puis supprimez (voir le tableau des durées de conservation).

La minimisation s’articule avec le principe de finalité : des images captées pour inspecter un pylône ne peuvent pas être réutilisées, par exemple, pour surveiller le rythme de travail des équipes au sol. Ce serait un détournement de finalité, sanctionnable en soi.

Faut-il une analyse d’impact (AIPD) ?

Souvent, oui. L’analyse d’impact relative à la protection des données (AIPD) est obligatoire lorsque le traitement est susceptible d’engendrer un risque élevé (art. 35). Or la captation par drone cumule fréquemment plusieurs critères identifiés comme facteurs de risque : usage d’une technologie innovante, surveillance systématique d’une zone, traitement à grande échelle, captation de personnes vulnérables (mineurs en événementiel), et collecte à l’insu partiel des personnes.

Ma règle pratique : pour un drone captant du public (événementiel, espaces ouverts fréquentés), présumez l’AIPD nécessaire et conduisez-la avant le premier vol. Pour une inspection technique ponctuelle sans public, l’AIPD peut ne pas être requise, mais documentez ce raisonnement. En cas de surveillance récurrente d’un site par drone, on bascule vers un régime proche de la vidéosurveillance mobile, avec AIPD, information renforcée et durée de conservation courte.

Vidéosurveillance mobile : le régime le plus exigeant

Utiliser un drone pour surveiller en continu un site (entrepôt, chantier, événement) revient à déployer une vidéosurveillance mobile. Ce régime est le plus contraignant :

  • AIPD systématique.
  • Information renforcée des salariés et des tiers, avec consultation des représentants du personnel.
  • Durée de conservation très courte (quelques jours, sauf incident justifiant une conservation prolongée pour preuve).
  • Interdiction de la surveillance permanente et individualisée des salariés, régulièrement rappelée par la CNIL comme disproportionnée.
  • Traçabilité des accès aux images et restriction stricte des destinataires.

À la différence d’une caméra fixe, le drone se déplace et peut capter des espaces non prévus : la maîtrise du plan de vol et des zones filmées devient une mesure de conformité à part entière.

Erreurs fréquentes et sanctions

Dans les dossiers que je revois, les manquements récurrents sont les suivants :

  • Aucune information des personnes : ni signalétique, ni page web, ni mention événementielle.
  • Absence de base légale documentée : aucun triple test, aucun consentement traçable.
  • Conservation indéfinie des rushes au motif qu’« on pourrait en avoir besoin ».
  • Réutilisation détournée des images pour une finalité non annoncée (marketing, surveillance RH).
  • Confusion des régimes : exploitant en règle avec la DGAC mais totalement hors RGPD.
  • Captation des propriétés voisines en immobilier, portant atteinte à la vie privée de tiers (art. 9 du Code civil, en plus du RGPD).

Côté sanctions, deux univers se cumulent. Sur le volet aéronautique, un vol illégal (survol de zone interdite, exploitant non enregistré) relève de sanctions pénales prévues par le Code des transports. Sur le volet RGPD, la CNIL peut prononcer des amendes administratives et des injonctions : le détail des sanctions RGPD à connaître montre qu’un manquement à l’information ou à la base légale n’est jamais anodin. Le suivi de l’actualité RGPD 2026 confirme la vigilance persistante de l’autorité sur les dispositifs de captation d’image.

Check-list de conformité avant le premier vol

  1. Vérifier le cadre DGAC : enregistrement exploitant, télépilote formé, zone autorisée, assurance.
  2. Identifier si des personnes identifiables seront captées.
  3. Déterminer et documenter la base légale (triple test ou recueil du consentement).
  4. Décider si une AIPD est requise ; la conduire le cas échéant.
  5. Préparer l’information : signalétique, page web, mentions événementielles, information des salariés.
  6. Définir un plan de captation minimisant (cadrage, altitude, zones exclues).
  7. Fixer une durée de conservation courte et une procédure de suppression.
  8. Encadrer le prestataire par un contrat de sous-traitance article 28.
  9. Inscrire le traitement au registre des traitements.
  10. Prévoir la procédure en cas de demande d’exercice de droits ou d’opposition.

Standardiser ces étapes sur l’ensemble des vols évite de repartir de zéro à chaque mission ; un logiciel RGPD permet d’industrialiser la tenue du registre, le suivi des AIPD et la traçabilité des durées de conservation.

FAQ

Un drone qui filme uniquement des bâtiments est-il soumis au RGPD ?

Non, si aucune personne physique identifiable n’est captée et si aucun élément identifiant (plaque, badge, silhouette reconnaissable) n’apparaît. Le RGPD ne s’applique qu’aux données personnelles. En revanche, dès qu’une personne entre dans le champ de manière identifiable — même en arrière-plan —, le traitement bascule dans le champ du règlement et impose base légale, information et minimisation.

Faut-il le consentement de toutes les personnes filmées lors d’un événement ?

Rarement en pratique. Recueillir un consentement libre, spécifique et éclairé de chaque personne d’une foule est matériellement impossible et juridiquement fragile. On s’appuie alors sur l’intérêt légitime, avec un triple test documenté, une information renforcée (billetterie, site, affichage) et un cadrage évitant l’individualisation. Le consentement reste pertinent pour les captations cadrées et volontaires (participants identifiés, tournages organisés).

Dois-je flouter les visages sur les images de drone ?

Le floutage n’est pas une obligation absolue, mais un outil de minimisation. Si la captation de visages ou de plaques est incidente et non nécessaire à votre finalité (inspecter une toiture, photographier un bien immobilier), le floutage est vivement recommandé et réduit fortement le risque. Si l’identification est nécessaire à la finalité, le floutage n’a pas de sens, mais l’ensemble des autres garanties (base légale, information, durée courte) devient d’autant plus important.

Une AIPD est-elle obligatoire pour tous les vols de drone ?

Non, mais elle l’est fréquemment. L’AIPD s’impose en cas de risque élevé, présumé notamment pour la captation de public, la surveillance systématique d’une zone ou l’usage d’une technologie innovante. Pour une inspection technique ponctuelle sans public, elle peut ne pas être requise — mais documentez ce raisonnement. Pour un drone captant des personnes en nombre, conduisez l’AIPD avant le premier vol.

Puis-je survoler et filmer la propriété de mon voisin lors d’une prise de vue immobilière ?

Non, sans base solide. Filmer un jardin, une terrasse ou l’intérieur d’un logement voisin porte atteinte à la vie privée protégée par l’article 9 du Code civil, en plus du RGPD. En immobilier, cadrez strictement le bien concerné, ajustez l’altitude et l’angle pour exclure les propriétés alentour, et floutez toute captation incidente. La responsabilité peut être engagée même sans exploitation commerciale de l’image.

Qui est responsable de traitement : mon entreprise ou le prestataire de captation ?

Cela dépend de qui détermine finalités et moyens. Le plus souvent, l’entreprise qui commande la mission et décide de l’usage des images est responsable de traitement ; le prestataire de captation agit comme sous-traitant, encadré par un contrat article 28. Si le prestataire réutilise les images pour son propre compte, il devient responsable pour cet usage. Clarifiez systématiquement les rôles par écrit avant la mission.


Cet article fournit une analyse à titre documentaire et ne constitue pas un conseil juridique individualisé. Le cadre applicable aux drones combine RGPD et réglementation aéronautique : adaptez chaque dispositif à votre contexte et faites-le valider avant déploiement.

Thiébaut Devergranne
Docteur en droit des nouvelles technologies (Paris II)

Docteur en droit, Thiébaut Devergranne travaille en droit des nouvelles technologies et en protection des données personnelles depuis plus de 20 ans. Il a accompagné des centaines d'organisations dans leur mise en conformité RGPD et est le fondateur de Legiscope, logiciel de conformité RGPD.

En savoir plus sur l'auteur →