Décryptage 13 juin 2026 ⏱️ 9 min de lecture

Atteinte à la vie privée par drone : ce que dit vraiment le RGPD

Un riverain reconnaît sa terrasse sur une vidéo immobilière. Une plaque d'immatriculation apparaît sur un timelapse. Le RGPD s'applique à 100 mètres d'altitude, et les sanctions tombent.

Par Sami Hami Courtier responsable · ORIAS 22001730

⚡ L'essentiel

Toute image captée depuis un drone qui permet d'identifier une personne (visage, plaque, silhouette reconnaissable) constitue un traitement de données personnelles soumis au RGPD.
Le télépilote est responsable de traitement conjoint avec son client, sauf contrat de sous-traitance RGPD clair (article 28).
La CNIL a déjà sanctionné des opérateurs de drones jusqu'à 20 000 € pour défaut d'information et absence de base légale.
L'extension Cyber & Données personnelles Insurio prend en charge la défense CNIL, la notification de violation et les indemnités aux personnes lésées.

Pourquoi le RGPD s'applique en altitude

Le règlement (UE) 2016/679 dit RGPD définit la donnée personnelle comme "toute information se rapportant à une personne physique identifiée ou identifiable". La hauteur de captation ne change rien : un visage filmé à 80 m reste un visage. Une plaque d'immatriculation visible sur un timelapse de chantier reste une donnée personnelle (la CNIL l'a confirmé dans sa délibération SAN-2021-009).

Trois situations courantes en télépilotage professionnel relèvent automatiquement du RGPD :

Captation immobilière où des riverains, des passants ou des véhicules apparaissent dans le cadre ;
Inspection industrielle ou agricole où des salariés ou ouvriers sont identifiables ;
Évènementiel (mariage, sport, festival) où des participants sont filmés en plan large.

La règle ne fait pas de distinction selon que la captation soit volontaire ou accidentelle. Le télépilote qui survole une copropriété pour photographier une seule maison voit dans son cadre les fenêtres, les jardins et les habitants des voisins. Tout cela est, par défaut, du traitement de données personnelles.

Qui est responsable : le télépilote ou le client ?

C'est l'une des grandes confusions du métier. Le télépilote pense être un simple prestataire technique, donc sous-traitant au sens de l'article 28 du RGPD. Le client pense que le télépilote, étant maître de ses choix techniques (altitude, focale, angle), est responsable autonome.

La position de la CNIL est claire : par défaut, le télépilote et son client sont responsables conjoints de traitement (article 26) car ils déterminent ensemble les finalités (vente immobilière, communication, inspection) et les moyens (drone, capteurs, post-traitement). Pour basculer en simple sous-traitance, il faut un contrat de sous-traitance RGPD écrit qui :

désigne le client comme seul responsable de traitement ;
encadre les durées de conservation chez le télépilote ;
liste les sous-traitants ultérieurs (cloud, logiciel de retouche) ;
impose des mesures techniques (chiffrement, anonymisation des plans non utilisés).

Sans ce contrat, vous restez co-responsable, donc co-redevable des éventuelles amendes CNIL.

Les sanctions effectivement prononcées

Le marché du drone reste neuf pour les autorités de contrôle, mais quelques décisions structurent déjà la jurisprudence.

Année	Cas	Sanction
2020	Ministère de l'Intérieur — usage de drones par la préfecture de police de Paris pendant le confinement sans base légale	Mise en demeure publique CNIL (délibération du 12 mai 2020)
2021	Société de surveillance — captation par drone d'un chantier avec apparition de salariés sans information	Sanction SAN-2021-009, 20 000 €
2023	Collectivité locale — drone de surveillance estivale sur plage sans étude d'impact	Avertissement public
2024	Prestataire évènementiel — diffusion d'images de spectateurs identifiables sur réseaux sociaux	Plainte privée, 8 000 € de dommages-intérêts

À cela s'ajoutent les contentieux civils de droit commun : article 9 du Code civil (atteinte à la vie privée) et article 226-1 du Code pénal (captation d'image d'une personne dans un lieu privé sans consentement, puni d'un an d'emprisonnement et 45 000 € d'amende).

Les obligations concrètes avant chaque mission

Le télépilote professionnel doit pouvoir présenter, en cas de contrôle ou de plainte, un dossier minimal :

Une base légale identifiée : consentement explicite, contrat avec le client final, mission d'intérêt public, intérêt légitime documenté.
Une information préalable des personnes potentiellement captées (affichage sur site, mention dans le bail commercial, panneau "zone filmée par drone").
Un registre des traitements mis à jour (article 30 RGPD) avec la finalité de chaque mission, les catégories de données et la durée de conservation.
Une analyse d'impact (AIPD) si la mission implique une captation systématique d'un lieu public ou un croisement avec d'autres données (reconnaissance faciale, géolocalisation).
Une politique de suppression des prises de vue brutes après livraison au client.

Le télépilote indépendant pense parfois être trop petit pour être concerné. Faux : le RGPD ne fait pas de seuil de chiffre d'affaires. Une amende CNIL de 10 000 € peut tomber sur un auto-entrepreneur.

🔒

Besoin d'une Assurance Cyber ? Devis en 2 minutes, dès 19,90€/mois. Attestation immédiate, sans engagement.

Obtenir mon devis →

Ce que couvre votre RC Pro, ce qu'elle ne couvre pas

Une RC Pro télépilote standard couvre les dommages involontaires causés aux tiers : crash, casse de bien, blessure, et désormais, dans la plupart des contrats récents, l'atteinte involontaire à la vie privée et à l'image (litige civil article 9, dommages-intérêts).

Elle ne couvre pas, en revanche :

Les amendes CNIL administratives, considérées comme des sanctions personnelles non assurables (article L113-1 du Code des assurances) ;
Les frais de notification de violation de données (article 33 RGPD) ;
Les frais de défense devant la CNIL et l'autorité de contrôle ;
Les rançongiciels sur le poste de post-traitement où sont stockées vos rushes ;
La perte d'exploitation liée à un blocage du système.

Ces postes sont couverts par une extension Cyber & Protection des données spécifiquement dimensionnée pour les prestataires de captation aérienne. Comptez environ 12 à 25 €/mois supplémentaires.

Le protocole en cas de plainte ou de contrôle

Si un riverain se plaint, si la CNIL vous notifie un contrôle ou si un sujet exerce son droit d'opposition (article 21), le réflexe est le suivant :

Déclarer le sinistre à votre assureur dans les 5 jours ouvrés ;
Geler la diffusion des images concernées (publications, livraisons en cours) ;
Conserver tous les éléments techniques (vol, capteurs, métadonnées EXIF) ;
Notifier la CNIL dans les 72 h si une violation est avérée (article 33) ;
Mobiliser la défense juridique du contrat pour la phase d'instruction.

Une instruction CNIL dure entre 4 et 18 mois. La majorité se solde par un classement ou un avertissement non public si le dossier de conformité est solide en amont. D'où l'intérêt d'avoir préparé son registre RGPD avant le premier vol professionnel.

Questions fréquentes

Un visage flouté en post-production me dispense-t-il du RGPD ?

Le floutage en aval n'efface pas la captation initiale, qui reste un traitement soumis au RGPD. Le floutage est une mesure de minimisation utile pour la diffusion mais ne supprime pas l'obligation d'information, de base légale et d'inscription au registre. La donnée brute, même supprimée, a existé.

Mon client signe un contrat me déchargeant de toute responsabilité RGPD : est-ce valable ?

Non. Le RGPD est d'ordre public : un contrat ne peut pas écarter la qualification de responsable conjoint si vous déterminez les moyens techniques. Le contrat peut en revanche organiser la répartition financière entre vous et votre client (clause d'indemnisation) en cas d'amende ou de contentieux.

Faut-il déposer une AIPD pour chaque mission ?

Non. L'analyse d'impact n'est obligatoire que pour les traitements à haut risque (article 35 RGPD). Une captation immobilière ponctuelle n'en relève pas. En revanche, une mission de surveillance récurrente, un suivi de chantier mensuel ou un comptage de population en relèvent.

Combien de temps puis-je garder les rushes après livraison ?

Le principe de minimisation impose une conservation limitée à la finalité. En pratique, 3 mois pour les besoins de retouche complémentaire, 12 mois pour la défense de vos droits en cas de litige, au-delà uniquement avec consentement. Documentez cette durée dans votre registre.

L'assurance Cyber couvre-t-elle un rançongiciel sur mon disque dur de rushes ?

Oui. L'extension Cyber Insurio prend en charge la remédiation technique, la perte de données, les frais de notification CNIL si la violation est avérée et les éventuels frais juridiques. Le montant moyen d'un sinistre cyber pour un prestataire de captation tourne autour de 8 000 à 25 000 €.

Souscrivez votre assurance pro en 2 minutes

Toutes nos protections pour votre activité de Télépilote de drone — attestation immédiate, sans engagement.

🛡️ RC Professionnelle dès 9,90€/mois* Souscrire → En savoir plus

🏢 Multirisque Pro dès 14,90€/mois* Souscrire → En savoir plus

Recommandé pour vous 🔒 Assurance Cyber dès 19,90€/mois* Souscrire → En savoir plus

💻 Matériel IT dès 7,90€/mois* Souscrire → En savoir plus

* Tarifs indicatifs « à partir de », selon votre profil, votre activité et les garanties choisies. · Voir la fiche Télépilote de drone →

Article rédigé et vérifié par l'équipe Insurio — Tutassûr, courtier en assurance immatriculé à l'ORIAS sous le n° 22001730. Information à caractère général ne se substituant pas aux conditions de votre contrat.