Délibération 2014-235 du 27 mai 2014

Commission Nationale de l'Informatique et des Libertés
Délibération n°2014-235 du 27 mai 2014
Délibération n° 2014-235 du 27 mai 2014 portant dispense de déclaration pour les traitements de données à caractère personnel issues des tachygraphes installés dans les véhicules de transport routier (DI-019)
NOR: CNIX1414225
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés,
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu le règlement (UE) n° 165/2014 du 4 février 2014 relatif aux tachygraphes dans les transports routiers, abrogeant le règlement (CEE) n° 3821-85 du Conseil du 20 décembre 1985 modifié concernant l'appareil de contrôle dans le domaine des transports par route et modifiant le règlement (CE) n° 561/2006 du Parlement européen et du Conseil relatif à l'harmonisation de certaines dispositions de la législation sociale dans le domaine des transports par route ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 24 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu M. Eric PERES, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,

Formule les observations suivantes :
Le règlement (UE) n° 165/2014 du 4 février 2014 relatif aux tachygraphes dans les transports routiers impose l'installation et l'utilisation de tachygraphes sur les véhicules affectés au transport de voyageurs de plus de 9 personnes et les véhicules de transport de marchandises de plus de 3,5 tonnes. Ces appareils de contrôle permettent d'enregistrer les données relatives à l'utilisation des véhicules des conducteurs de véhicules de transport de voyageurs et de marchandises.
Ce règlement a abrogé le règlement (CEE) n° 3821/85 du 20 décembre 1985 modifié concernant l'appareil de contrôle dans le domaine des transports par route, qui continue cependant à s'appliquer à titre transitoire jusqu'à ce que le règlement (UE) n° 165/2014 devienne applicable, à savoir le 2 mars 2016.
L'installation obligatoire des appareils de contrôle installés dans les véhicules de transport routier implique la mise en œuvre de traitements de données à caractère personnel.

Conformément à l'article 24-II de la loi du 6 janvier 1978 modifiée, la Commission est habilitée à définir, pour les catégories les plus courantes de traitements de données à caractère personnel, celles qui sont dispensées de déclaration.

Compte tenu des finalités, des catégories de personnes concernées, des données à caractère personnel traitées, de la durée de conservation de celles-ci et des destinataires des traitements des données à caractère personnel issues de ces appareils de contrôle, la Commission considère que ceux-ci peuvent faire l'objet d'une telle dispense de déclaration sous réserve du strict respect des dispositions suivantes.

Article 1er : Finalités des traitements
Les traitements de données à caractère personnel doivent avoir pour seules finalités de contrôler l'utilisation des véhicules de transport de voyageurs et de marchandises conformément à la réglementation en vigueur et notamment à la législation sociale dans le domaine des transports par route.

Article 2 : Nature des données à caractère personnel traitées
Seules peuvent être traitées les données à caractère personnel prévues par la réglementation en vigueur, et notamment par l'article 4 du règlement (UE) n° 165/2014 du 4 février 2014.

Ces données sont, à titre principal, relatives à :
• La distance parcourue et la vitesse du véhicule ;
• La mesure du temps ;
• Pour les véhicules équipés d'un tachygraphe connecté à un service de positionnement s'appuyant sur un système de navigation par satellite (tachygraphe intelligent), les emplacements du véhicule enregistrés au début et à la fin de la période de travail journalière, ainsi que toutes les trois heures de temps de conduite accumulé, dans les conditions prévues par l'article 8 du règlement (UE) n° 165/20414 ;
• L'identité du conducteur ;
• L'activité du conducteur ;
• Les données relatives au contrôle, à l'étalonnage et à la réparation de l'appareil ;
• Les événements et les défaillances.
A titre transitoire, jusqu'à l'application du règlement (UE) n° 165/2014 du 4 février 2014, seules peuvent être traitées les données listées par les annexes du règlement (CEE) n° 3821/85 du 20 décembre 1985 modifié.

Article 3 : Destinataires des données
Pour l'exercice des finalités précitées, peuvent seules avoir accès aux données les personnes prévues par la réglementation en vigueur, et notamment par le règlement (UE) n° 165/2014 du 4 février 2014.

Ces destinataires sont, à titre principal :
• les installateurs et réparateurs agréés ;
• les agents de contrôle habilités ;
• les employeurs ;
• les conducteurs.
Ces destinataires peuvent avoir accès aux seules données dont ils ont à connaître pour les besoins de leurs missions.

Article 4 : Durée de conservation des données
Conformément à la réglementation en vigueur et notamment à l'article 33 du règlement (UE) n° 165/2014 du 4 février 2014, l'employeur doit conserver les données (feuilles d'enregistrement et données imprimées) pendant au moins un an après leur utilisation.

L'employeur peut cependant archiver les données pendant la durée de la prescription légale pour pouvoir faire face à d'éventuelles contestations sur le nombre d'heures effectuées par le salarié.

Article 5 : Sécurité
Le responsable du traitement prend toutes précautions utiles pour préserver la sécurité et la confidentialité des données traitées et notamment pour empêcher qu'elles soient déformées, endommagées ou que des tiers non autorisés puissent en prendre connaissance.
En particulier, le responsable de traitement doit garantir que seuls les destinataires identifiés seront en capacité d'accéder à l'ensemble des informations contenues dans le tachygraphe. Ces garanties doivent couvrir l'accès physique aux informations mais aussi l'accès distant aux informations. Enfin, les mesures de sécurités doivent garantir l'intégrité des données pour prémunir le système de toutes modifications des informations présentes dans le tachygraphe.

Article 6 : Information et droits des personnes
Conformément à l'article 32 de la loi du 6 janvier 1978 modifiée, les personnes concernées sont informées des finalités du traitement, des destinataires des données, ainsi que des modalités d'exercice de leurs droits d'accès, de rectification et de suppression.

Concernant plus particulièrement les tachygraphes intelligents, l'article 9 du règlement (UE) n° 165/2014 du 4 février 2014 impose à l'employeur d'informer les conducteurs de la possibilité d'une communication des données aux autorités de contrôle, aux fins de détection à distance de toute manipulation ou utilisation abusive des tachygraphes.

Cette information peut notamment être délivrée dans le contrat de travail du conducteur, par la remise à ce dernier de supports de communication adaptés ou par une mention affichée dans l'habitable du véhicule, visible par le conducteur lorsqu'il insère sa carte conducteur dans l'appareil.

Par ailleurs, le conducteur doit pouvoir exercer son droit d'accès directement auprès de son employeur. Conformément à la réglementation en vigueur et notamment à l'article 33 du règlement (UE) n° 165/2014 du 4 février 2014, le conducteur doit notamment pouvoir obtenir une copie des données téléchargées depuis la carte conducteur et les versions imprimées de cette copie.

Article 7 : Effets de la dispense de déclaration
Les traitements répondant aux conditions visées aux articles 1 à 6 peuvent être mis en œuvre sans délai et sans déclaration préalable auprès de la CNIL.

La dispense de déclaration préalable auprès de la CNIL n'exonère le responsable de tels traitements d'aucune de ses autres obligations prévues par les textes applicables à la protection des données à caractère personnel. En particulier, la Commission rappelle qu'elle se réserve le droit de contrôler le respect des dispositions de la présente délibération.

Article 8 :
La présente délibération sera publiée au Journal officiel de la République française.


La Présidente


I. FALQUE-PIERROTIN




Nature de la délibération: DISPENSE
Date de la publication sur legifrance: 25 juin 2014