Délibération n° 2013-038 du 14 février 2013 portant avis sur un projet d'arrêté autorisant la création par le ministère de l'économie et des finances d'un traitement automatisé dénommé « taxe poids lourds » (TPL) (demande d'avis n° 1618152)

JORF n°0157 du 9 juillet 2013
texte n° 125



Délibération n° 2013-038 du 14 février 2013 portant avis sur un projet d'arrêté autorisant la création par le ministère de l'économie et des finances d'un traitement automatisé dénommé « taxe poids lourds » (TPL) (demande d'avis n° 1618152)

NOR: CNIX1317622X
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,
Saisie par le ministère de l'économie et des finances d'une demande d'avis portant sur un projet d'arrêté autorisant la création par le ministère de l'économie et des finances d'un traitement automatisé dénommé « taxe poids lourds » (TPL) ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la directive 2004/52/CE du Parlement européen et du Conseil du 29 avril 2004 concernant l'interopérabilité des systèmes de télépéage routier dans la Communauté ;
Vu le code des douanes, notamment ses articles 269 à 283 quinquies et 285 septies ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 26-1 (2)° et 27-11 (4°) ;
Vu la loi n° 2008-1425 du 27 décembre 2008 de finances pour 2009, notamment son article 153 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu l'arrêté du 10 février 2009 portant création d'un traitement automatisé de données à caractère personnel dénommé « système d'immatriculation des véhicules » ayant pour objet la gestion des pièces administratives du droit de circuler des véhicules ;
Vu le dossier et ses compléments ;
Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
La loi de finances pour 2009 a instauré une éco-taxe ou taxe poids lourds (TPL) afin de faire payer aux poids lourds l'usage de la quasi-totalité du réseau routier national non concédé, actuellement gratuit, et de certaines routes départementales et communales susceptibles de subir de ce fait un report significatif de trafic.
La mise en œuvre du présent traitement a été confiée par décret par le ministère à un prestataire commissionné, le consortium ECOMOUV', sous la responsabilité de la DGDDI (direction générale des douanes et des droits indirects).
L'article 283 quinquies du code des douanes prévoit que « aux fins d'établissement de l'assiette de la taxe, de son recouvrement et des contrôles nécessaires, un dispositif de traitement automatisé des données à caractère personnel sera mis en œuvre, conformément aux modalités prévues par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ». Dans la mesure où ledit traitement a pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales, il y a lieu de faire application de l'article 26-1 (2°) de la loi du 6 janvier 1978 modifiée. En outre, il apparaît que le prestataire commissionné met à disposition des redevables un portail internet sécurisé comportant des données relatives aux contrats, avis de paiement et détails de liquidation, ce qui constitue un téléservice de l'administration électronique au sens de l'article 27-11 (4°) de ladite loi.
En application de ces dispositions, le projet de traitement TPL doit être autorisé par un arrêté ministériel pris après avis motivé et publié de la commission.
Sur les finalités du traitement :
Conformément aux dispositions précitées du code des douanes, l'article 1er du projet d'arrêté prévoit que le traitement a pour finalités la collecte et le contrôle de la TPL.
La collecte de la TPL se traduit par la remise d'un équipement embarqué qui enregistre les données de géolocalisation du véhicule. Cet équipement détermine en temps réel le franchissement d'un point de tarification et calcule le montant de la TPL due. Il est obligatoire pour tous les véhicules assujettis immatriculés en France, qu'ils circulent ou non sur le réseau taxable. Les véhicules non immatriculés en France doivent également disposer d'un tel équipement mais uniquement lorsqu'ils circulent sur le réseau taxable.
Le contrôle de la TPL implique la prise de photographie de chaque véhicule circulant pour vérification de son assujettissement ou non à la TPL. Il est réalisé par des équipements de contrôle automatique (portiques placés au-dessus de la chaussée) disposés sur le réseau taxable et en quelques points du réseau non taxable, notamment pour détecter les anomalies et cibler les véhicules à contrôler à l'aide d'un signal lumineux.
Un rapport de passage est systématiquement généré pour tous les véhicules, assujettis ou non. Ce rapport contient notamment une image de contexte et une image de la calandre, dont est extraite l'image de la plaque d'immatriculation. Ce sont ces rapports de passage qui permettent aux autorités compétentes de vérifier l'assujettissement à la TPL.
Un dispositif de reconnaissance de forme permet de déterminer les caractéristiques du véhicule, notamment de distinguer les véhicules légers des poids lourds. En outre, le système TPL interroge une base des véhicules non-assujettis de l'Etat et une base de connaissance des « faux positifs » regroupant les véhicules dont le non-assujettissement a été vérifié dans les trente jours précédant le passage. Ceci permet d'identifier une grande partie des véhicules non assujettis à la TPL.
Dans un second temps, les autres rapports de passage donnent lieu à des vérifications, automatiques puis manuelles, par le centre de traitement des anomalies pour confirmer l'assujettissement. Les opérateurs en charge de ces vérifications manuelles peuvent notamment interroger le système d'immatriculation des véhicules pour préciser les caractéristiques techniques des véhicules ou en identifier les propriétaires.
Enfin, les portiques permettent l'identification, grâce à des signaux lumineux, des véhicules assujettis ne respectant pas les dispositions relatives à la TPL. Ces signaux permettent aux forces de l'ordre en poste d'intercepter ces véhicules.
Sur les données traitées :
L'article 2 du projet d'arrêté précise que peuvent être enregistrées dans le traitement des données relatives au véhicule assujetti (dont le numéro d'immatriculation et l'identité du titulaire du certificat d'immatriculation), au déclarant et au redevable enregistré (dont l'identité et les coordonnées, y compris téléphoniques et électroniques) ainsi que des données de localisation par satellite du redevable (dont les dates et heures de franchissement de points de tarification et les points de géolocalisation associés) et des données issues du dispositif de contrôle automatique (dont les images faisant apparaître la cabine, la plaque d'immatriculation et le nombre d'essieux du véhicule). La plupart des données traitées n'appellent pas d'observation particulière de la commission.
Cependant, le projet d'arrêté précise que les copies numérisées des pièces justificatives sont également enregistrées. Interrogé sur ce point, le ministère a confirmé qu'un certain nombre de documents devaient être fournis lors de l'enregistrement d'un véhicule (dont la copie du certificat d'immatriculation et de la pièce d'identité du redevable déclarant). La commission demande que la liste de ces pièces justificatives soit ajoutée à l'arrêté.
En outre, tous les véhicules assujettis doivent se munir d'un équipement embarqué qui enregistre les données de géolocalisation à chaque franchissement d'un point de tarification. En effet, la directive 2004/52/CE du 29 avril 2004 requiert l'installation d'un équipement embarqué à bord des véhicules aux fins de perception électronique de redevances routières. En outre, elle impose que ces équipements puissent fonctionner avec tous les systèmes de télépéage en service dans les Etats membres, ce qui suppose de recourir à des technologies communes, telle que la localisation par satellite.
La commission est très attentive aux conditions de géolocalisation des employés conduisant des véhicules dans le cadre de leur activité professionnelle. Elle rappelle que les données collectées au titre de la finalité de collecte et de contrôle de la TPL ne doivent pas être utilisées à des fins de contrôle de l'activité des conducteurs.
Par ailleurs, la commission relève que tous les véhicules sont photographiés par le dispositif de contrôle automatique, qu'ils soient ou non assujettis à la taxe (notamment les véhicules légers) et qu'ils circulent sur le réseau taxable ou non taxable (pour les portiques installés aux frontières). Ceci conduit à la collecte d'une grande quantité d'information non justifiée par rapport à la finalité poursuivie.
Le ministère a indiqué qu'il n'était plus, à ce stade, possible de modifier le dispositif technique et qu'il n'était pas techniquement envisageable de déclencher le dispositif de reconnaissance de forme avant la prise de photographies. En effet, il a précisé que la prise de vue de contexte doit se faire avec la distance la plus longue, donc en premier dans l'ordre chronologique, alors que la reconnaissance de forme se fait au niveau du portique (détection latérale).
La commission ne peut que regretter que la contrainte d'une solution technique permettant d'éviter la collecte d'une grande quantité de données non pertinentes n'ait pas été introduite par le ministère au stade de la conception du système. Elle ne peut donc considérer que les données collectées sont adéquates, pertinentes et non excessives. A tout le moins, des mesures de suppression immédiate des données non pertinentes doivent en conséquence être mises à l'étude.
Enfin, la commission rappelle que le dispositif ne doit avoir ni pour objet ni pour effet de prendre des photographies permettant d'identifier le conducteur ou les passagers des véhicules empruntant le réseau taxable et qu'il appartient à l'Etat et au prestataire commissionné de s'en assurer.
Sur la durée de conservation des données :
L'article 3 du projet d'arrêté prévoit que les données relatives au véhicule assujetti, au déclarant et au redevable enregistré ainsi que les données de localisation par satellite sont conservées pendant quatre ans plus un jour après la date de résiliation du compte véhicule associé ou du paiement. Cette durée apparaît nécessaire au traitement des éventuelles demandes en restitution qui peuvent être adressées au prestataire au plus tard trois ans après le paiement de la taxe (délai de prescription fiscale).
Les données issues du dispositif de contrôle automatique sont conservées pendant dix-huit mois à compter du transfert du dossier au ministère. Ce transfert intervient dans le cadre de l'obligation faite à l'Etat de contrôler et d'auditer le prestataire commissionné. Les audits portant sur l'année écoulée et les recommandations étant formulées dans les six mois à compter de la réalisation de l'audit, la durée de conservation apparaît adéquate.
Le ministère a précisé que ces durées correspondent aux durées de conservation maximales des données, à l'issue desquelles elles sont automatiquement supprimées. Avant d'être supprimées, les données sont en fait conservées dans une base opérationnelle pendant trois mois (utilisation courante), ce qui correspond à un cycle de facturation. A l'issue de ce délai, une restriction des droits d'accès est opérée et les données sont conservées pendant trois ans (utilisation restreinte) aux seules fins de permettre l'accès par le redevable à ses données et de permettre le traitement des demandes en restitution. A l'issue des trois ans, les données sont enfin conservées sous forme d'archives pour permettre le contrôle et l'audit des activités du prestataire par l'Etat, et ce pendant la durée maximale mentionnée dans le projet d'arrêté et rappelée ci-dessus. Ces modalités de conservation des données apparaissent pertinentes au regard de la finalité poursuivie par le traitement.
Enfin, concernant la conservation des rapports de passage en local dans les équipements de contrôle automatique, il était initialement prévu une durée de soixante-douze heures. Le ministère justifie de cette durée par la nécessité pour l'Etat de pouvoir procéder à des contrôles du prestataire et de vérifier la conformité du dispositif à tous les stades de la procédure de recueil et de contrôle de la TPL.
La commission prend acte de la décision du ministère de ramener la durée de conservation de soixante-douze heures à trente-six heures, et de son engagement de réaliser un audit de processus dans les douze mois suivant la mise en œuvre de la TPL afin de déterminer la possibilité d'un effacement beaucoup plus rapide, et demande à être rendue destinataire des conclusions de cet audit.
Néanmoins, compte tenu du fait que le dispositif conduit à la collecte d'un grand nombre de données non pertinentes au regard de la finalité poursuivie (et en particulier celles des véhicules légers qui sont les plus nombreux à circuler sur le réseau), la commission considère que seule une suppression immédiate des données après la confirmation du non-assujettissement des véhicules par le dispositif de reconnaissance de forme des portiques pourrait répondre à l'obligation de conserver les données pour une durée proportionnée à la finalité poursuivie.
Sur les destinataires du traitement :
L'article 4 du projet d'arrêté prévoit que peuvent accéder à la totalité ou, à raison de leurs attributions, à une partie des données les agents des douanes et des services de la police et de la gendarmerie nationales ainsi que les contrôleurs de transport terrestre. L'accès de ces personnels, qui font tous l'objet d'une désignation individuelle et d'une habilitation spéciale, est en effet nécessaire à l'accomplissement de leurs missions de collecte et de contrôle des dispositions relatives à la TPL.
En outre, les personnels du prestataire commissionné ainsi que les personnels des sociétés habilitées de télépéage, qui doivent faire l'objet d'un agrément spécifique, ont également accès, aux mêmes fins, aux données enregistrées dans le traitement.
Pour l'ensemble de ces destinataires, une gestion des droits d'accès a été mise en place, afin de ne donner l'accès aux utilisateurs qu'aux seules données dont ils peuvent avoir connaissance. Ces profils sont notamment déclinés sur les différents composants de l'infrastructure du prestataire.
Enfin, le projet d'arrêté mentionne les redevables au titre des destinataires. Or, aux termes de l'article 3 de la loi du 6 janvier 1978 modifiée, les personnes concernées ne sont pas des destinataires et il convient donc de supprimer cette mention.
Sur l'information et les droits des personnes concernées :
Il est prévu que le prestataire assure l'information du redevable par différents moyens. Une mention d'information est présente notamment sur des prospectus, sur le site internet et sur les bornes automatiques du prestataire. Cette mention figure également sur le document d'enregistrement des véhicules (ce document étant adressé au redevable déclarant et au redevable enregistré lorsque ce ne sont pas les mêmes personnes) et une notice d'information est remise au conducteur lors de la remise de l'équipement embarqué.
A la demande de la commission, le ministère s'est engagé à modifier la mention d'information utilisée afin de préciser notamment les finalités du traitement et les destinataires des données, conformément à l'article 32 de la loi du 6 janvier 1978 modifiée.
Concernant les personnes non assujetties, aucune information individuelle n'est prévue quant à la mise en place du dispositif de contrôle automatique, alors même que les données de ces personnes font l'objet d'un enregistrement dans le traitement. Le ministère a cependant prévu une information générale via les sites internet de la DGDDI, du ministère de l'écologie et du prestataire commissionné.
La commission recommande que soit prévue une information générale plus large afin que les personnes non assujetties, dont les données sont collectées lorsqu'elles circulent sur les réseaux taxable et non taxable, soient informées du traitement mis en œuvre.
Elle prend acte que les droits d'accès et de rectification s'exercent auprès du prestataire commissionné et que le droit d'opposition des personnes concernées est exclu, conformément à l'article 38 de la loi du 6 janvier 1978 modifiée.
Sur les transferts de données hors de l'Union européenne :
Le ministère a indiqué ne transférer hors de l'Union européenne les données relatives à l'avis de paiement et à la facture détaillée que lorsque le redevable enregistré n'est pas situé dans un Etat membre de l'Union européenne. Les pays destinataires des données sont listés dans une décision ministérielle.
Pour encadrer ces transferts, le ministère se prévaut des exceptions prévues à l'article 69 de la loi du 6 janvier 1978 modifiée. La commission rappelle que l'application de ces exceptions doit être limitée à des cas ponctuels et exceptionnels. Elle recommande que des transferts répétitifs, massifs ou structurels de données, dont l'importance ou la régularité justifient qu'ils soient encadrés, fassent l'objet d'un encadrement juridique spécifique et ne reposent pas sur ces dérogations.
Sur les mesures de sécurité du traitement :
Les modalités de stockage des données par le prestataire sont systématiquement chiffrées au moyen d'un algorithme conforme à l'état de l'art et d'une longueur de clé suffisante. Les échanges de données entre ce prestataire et les destinataires des données sont également chiffrés, soit au moyen du protocole https, soit au moyen de VPN chiffrés. Seuls les transferts vers le ministère ne sont pas chiffrés, ceux-ci étant réalisés au moyen d'un réseau privé.
Par ailleurs, toutes les communications sans fil réalisées entre l'équipement embarqué et les lecteurs des dispositifs de collecte, de contrôle et de localisation sont chiffrées et font l'objet de mesures d'authentification permettant à l'équipement d'authentifier le lecteur. Des mesures analogues permettent également aux serveurs centraux d'authentifier les données transmises par les équipements embarqués. Enfin, des mesures techniques viennent garantir que ces équipements ne transmettent de numéro d'identification qu'aux lecteurs préalablement authentifiés.
Concernant les mesures d'authentification des utilisateurs, les mots de passe utilisés auront une longueur minimale de huit caractères et comporteront plusieurs types de caractères différents. Ces mesures sont doublées d'une authentification forte pour les utilisateurs disposant de fonctionnalités d'administration. Pour les agents de l'Etat, la réalisation de leur authentification reste à la charge de leur administration de rattachement, seul un identifiant de session est transmis au prestataire afin de permettre, le cas échéant, la reconstitution des opérations réalisées. La commission rappelle qu'il appartient aux administrations des agents concernés de mettre en place des mesures d'authentification fiables.
Des mesures de traçabilité sont prévues afin de permettre d'imputer toutes les opérations réalisées aux utilisateurs qui les effectuent, et en particulier les opérations manuelles de qualification d'infraction. Les opérations techniques effectuées par les éléments de l'infrastructure sont également tracées. Ces traces sont gérées de façon sécurisée, accessibles à des personnes spécifiques placées sous l'autorité du RSSI et conservées entre un mois et un an en fonction des données tracées.
Enfin, la commission rappelle que le traitement est soumis au référentiel général de sécurité et qu'il doit donc faire l'objet d'une procédure d'homologation formelle attestant de la mise en place du traitement dans de bonnes conditions de sécurité.


La présidente,

I. Falque-Pierrotin