DELIBERATION n°2016-050 du 25 février 2016

Commission Nationale de l'Informatique et des Libertés
DELIBERATION n°2016-050 du 25 février 2016
Délibération n° 2016-050 du 25 février 2016 autorisant la société Esterel, Côte d'Azur, Provence, Alpes (ESCOTA) à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalités le suivi et la constatation des fraudes au péage à partir de l’analyse des transactions et des données issues du système péage
Etat: VIGUEUR

(demande d’autorisation n° 1827344)
La Commission nationale de l'informatique et des libertés,
Saisie par la société Esterel, Côte d'Azur, Provence, Alpes (ESCOTA) d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalités le suivi et la constatation des fraudes au péage à partir de l’analyse des transactions et des données issues du système péage ;
Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code la route ;
Vu le code de la sécurité intérieure ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 25-I-3 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu le dossier et ses compléments ;
Après avoir entendu M. Eric PERES, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Sur la finalité du traitement :
Le traitement concerne le suivi et la constatation des fraudes au péage à partir de l’analyse des transactions et des données issues du système péage. Il permet, à ce titre, de lutter contre les manœuvres frauduleuses suivantes, régulièrement constatées sur le réseau :

  • l’utilisation frauduleuse de titres de transit ;
  • la détérioration, la falsification ou la modification volontaire d’informations encodées dans la bande magnétique des titres de transit ou dans les badges ;
  • l’utilisation de la configuration du réseau autoroutier afin de ne pas régler l’intégralité du péage correspondant au parcours réellement effectué en fonction de la classe du véhicule utilisé ;
  • l’utilisation frauduleuse des badges ou d’un dispositif de collecte du péage mis en place et/ou proposé par la société ;
  • l’utilisation de moyens de paiement frauduleux ou volés ;
  • l’utilisation frauduleuse de voies réservées à une certaine catégorie de véhicules (fraude à la classe) ;
  • la non présentation volontaire des titres de transit en sortie.

La Commission estime que les finalités poursuivies sont déterminées, explicites et légitimes.
Sur la nature des données traitées :
Les données traitées sont relatives :

  • à l’identification des contrevenants : le nom et le prénom, le numéro de téléphone, l’adresse électronique, l’adresse postale ;
  • au recouvrement des sommes dues : le montant dû, le montant recouvré ;
  • au véhicule : les caractéristiques du véhicule (marque, type, couleur), le numéro de plaque d’immatriculation, la vidéo et/ou la photographie du véhicule issues des caméras vidéo ;
  • aux transactions péages : le numéro de titre de transit et de transaction, les codes et observations anomalie, la gare, le numéro de voie, le temps de parcours, le nombre de kilomètres, la classe, le tarif payé, le type et le numéro de moyen de paiement utilisé, l’horodatage de la transaction ;
  • aux circonstances de l’infraction : le type de fraude, la description du mode opératoire, le nombre de transactions frauduleuses ;
  • aux suites données à la constatation de l’infraction : la date d’ouverture du dossier, la chronologie et le résumé des actions engagées et les démarches effectuées, les conclusions et les issues des procédures, le nom des personnes en charge du dossier.

En outre, des zones bloc-notes peuvent être associées aux seuls actes et faits énumérés ci-dessus. Les mentions inscrites dans ces zones ne doivent porter que sur des actes et des faits objectifs et ne peuvent, en aucun cas, faire apparaître, directement ou indirectement, des données relatives aux origines raciales, aux opinions politiques, philosophiques ou religieuses, aux appartenances syndicales ou aux mœurs de la personne concernée par ces actes ou ces faits.
En tant que de besoin, la Commission rappelle que la consultation des données issues du SIV n’est possible que dans les limites prévues par le code de la route, notamment son article L. 330-2 14°.
La Commission considère que ces données sont pertinentes au regard de la finalité poursuivie.
Par ailleurs, l’article 9 de la loi du 6 janvier 1978 modifiée prévoit que le traitement de données relatives aux infractions, condamnations et mesures de sûreté ne peut être mis en œuvre que par certaines personnes.
Dans sa décision du 29 juillet 2004, le Conseil Constitutionnel a invalidé l’article 9-3° qui permettait à une personne morale de droit privé, mandatée par d’autres personnes morales estimant avoir été victimes ou être susceptibles d’être victimes d’agissements passibles de sanctions pénales, de rassembler des données portant sur des infractions, condamnations ou mesures de sûreté, au motif de son caractère trop général et du manque de précision sur les garanties devant encadrer ce type de traitement.
Pour autant, le Conseil Constitutionnel a précisé que cette annulation ne saurait être interprétée comme privant d’effectivité le droit d’exercer un recours juridictionnel dont dispose toute personne physique ou morale s’agissant des infractions dont elle a été victime. Cette réserve d’interprétation était indispensable pour ne pas priver de base légale les traitements légitimement mis en œuvre pour assurer le suivi des dossiers contentieux relatifs à des infractions. Elle permet à toute personne de constituer, pour les besoins de l’exercice de son droit au recours, des fichiers de pré-contentieux.
Dans ce contexte, la Commission considère qu’il y a lieu de faire application de l’article 25-I-3° de la loi du 6 janvier 1978 modifiée qui soumet à autorisation les traitements de données relatives aux infractions, condamnations et mesures de sûreté.
Sur la durée de conservation des données :
Les enregistrements vidéo sont conservés pendant 30 jours.
Les autres données (dont la photographie issue des enregistrements vidéo) sont conservées pendant le temps nécessaire à l’instruction du dossier, dans la limite de la durée de la prescription légale en matière délictuelle, à savoir trois ans.
Dans l’hypothèse de l’engagement d’une action judiciaire, les données (dont la photographie) sont conservées le temps de la procédure judiciaire jusqu’à épuisement des voies de recours.
La Commission estime que ces durées de conservation sont proportionnées au regard de la finalité poursuivie.
Sur les destinataires des données :
Sont destinataires des données les personnels habilités :

  • d’ESCOTA, lorsque ces deniers sont en charge des dossiers fraude et leurs supérieurs hiérarchiques ;
  • des sociétés concessionnaires d’autoroutes VINCI Autoroutes ;
  • des autres sociétés concessionnaires d’autoroute, uniquement lorsque l’infraction est commise au moyen de badges inter-société utilisables sur leurs réseaux.

Ces destinataires n’appellent pas d’observation de la part de la Commission.
Sur l'information des personnes :
Conformément à l’article 32 de la loi du 6 janvier 1978 modifiée, les personnes sont informées au préalable de l’identité du responsable de traitement, de la finalité poursuivie par le traitement, des destinataires des données et des droits qu’ils détiennent, par des affiches apposées sur les équipements de péage en entrée et en sortie, ainsi que dans les conditions générales d’abonnement pour les abonnés.
La Commission estime que ces modalités d’information sont satisfaisantes.
Sur les droits d'accès, de rectification et d'opposition des personnes :
Les droits d’accès et de rectification s’exercent auprès de la société ESCOTA, Service Clients VINCI Autoroutes, BP 112, 06 211 Mandelieu Cedex.
La Commission estime que ces modalités d’exercice des droits sont satisfaisantes.
Sur la sécurité des données et la traçabilité des actions :
La Commission rappelle qu’une politique satisfaisante de mot de passe implique que ceux-ci soient composés de huit caractères minimum, comprenant au moins trois des quatre types de caractères suivants : majuscules, minuscules, chiffres et caractères spéciaux. Ils doivent en outre être définis ou modifiés dès la première connexion par l’utilisateur, puis régulièrement renouvelés et ne doivent pas être stockés en clair.
La Commission prend note que l'accès à un compte d'un poste de travail est bloqué après un nombre limité de tentatives infructueuses. Les sessions d'accès expirent après une période d'inactivité.
Le réseau de l’entreprise fait l’objet de mesure de filtrage ayant pour but de restreindre l’émission et la réception des flux réseaux aux machines identifiées et autorisées. Les accès distants sont sécurisés via un VPN chiffré.
La Commission rappelle que les systèmes d’exploitation des systèmes informatiques prenant part au traitement doivent être maintenus à jour.
La Commission recommande que les données à caractère personnel transmises sur support amovible soient préalablement chiffrées.
Sous réserve des précédentes observations, les mesures de sécurité décrites par le responsable de traitement sont conformes à l’exigence de sécurité prévue par l’article 34 de la loi du 6 janvier 1978 modifiée.
La Commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.
Dans ces conditions, la Commission autorise la société Esterel, Côte d'Azur, Provence, Alpes (ESCOTA) à mettre en œuvre un traitement de données à caractère personnel ayant pour finalités le suivi et la constatation des fraudes au péage à partir de l’analyse des transactions et des données issues du système péage.
La Présidente
I. FALQUE-PIERROTIN




Nature de la délibération: Autorisation
Date de la publication sur legifrance: 29 avril 2016