Décision MED-2019-027 du 12 novembre 2019

Décision n° MED 2019-027 du 12 novembre 2019 mettant en demeure X

La Présidente de la Commission nationale de l'informatique et des libertés,

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil ;

Vu le code pénal ;

Vu le code de procédure pénale, notamment son article 9 ;

Vu le code de la route, notamment son article L. 130-9, alinéa 4 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 20 ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu l’arrêté du 13 octobre 2004 modifié portant création du système de contrôle automatisé ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la délibération n° 2013-215 du 11 juillet 2013 portant avis sur un projet d’arrêté modifiant l’arrêté du 13 octobre 2004 portant création du système de contrôle automatisé ;

Vu la décision n° 2018-071C du 30 mars 2018 de la Présidente de la Commission nationale de l’informatique et des libertés de charger le Secrétaire général de procéder ou de faire procéder à une mission de vérification de la conformité à la loi du 6 janvier 1978 modifiée du traitement " contrôle automatisé " mis en œuvre par X et prévu par l’arrêté du 13 octobre 2004 modifié portant création du système de contrôle automatisé ainsi que tout traitement lié ;

Vu les procès-verbaux de contrôle n° 2018-071/1 du 6 septembre 2018, n° 2018-071/2 du 17 octobre 2018 et n° 2018-071/3 du 4 décembre 2018 ;

Vu les autres pièces du dossier ;

I- Les traitements de données mis en œuvre par les radars-tronçons

Sur le fonctionnement des radars-tronçons

Les équipements terrain vitesse moyenne (ci-après les " ETVM " ou " radars-tronçons ") calculent la vitesse moyenne d’un véhicule entre deux points d’une section de voie de circulation, conformément à l’article L. 130-9, alinéa 4, du code de la route.

La mise en œuvre des radars-tronçons implique la collecte et le traitement de données relatives à l’ensemble des véhicules qui circulent sur la section contrôlée, et non seulement celles des véhicules en infraction.

En effet, les radars-tronçons sont composés de deux bornes de contrôle placées à plusieurs kilomètres de distance sur la voie de circulation, à l’entrée et à la sortie de la section contrôlée. Ces bornes sont équipées d’un système de lecture automatique de plaques d’immatriculation des véhicules (" LAPI ") qui lit les plaques et note l’heure exacte de passage.

Au point de sortie, un logiciel calcule la vitesse moyenne pratiquée sur le tronçon par chaque véhicule à partir de la distance parcourue rapportée aux horaires de passage.

En cas de dépassement de la vitesse maximale autorisée, l’ETVM envoie automatiquement les données des véhicules concernés au Centre national de traitement du contrôle automatisé de Rennes (ci-après le " CNT "), chargé de l’envoi de la contravention.

Sur l’encadrement du traitement des données à caractère personnel collectées par les radars-tronçons par l’arrêté du 13 octobre 2004

Le traitement des données à caractère personnel effectué par les radars-tronçons est encadré par l’article 2-1 de l’arrêté du 13 octobre 2004 portant création d’un système de contrôle automatisé.

La Commission nationale de l’informatique et des libertés (ci-après la " CNIL " ou la " Commission ") a été saisie par X d’une demande d’avis sur la modification de l’arrêté précité et s’est prononcée par une délibération du 11 juillet 2013.

L’arrêté du 13 octobre 2004 prévoit en son article 2-1 I que les radars-tronçons collectent les informations suivantes : les clichés concernant le véhicule et ses passagers, le lieu, la date et l’heure des clichés, la voie de circulation du véhicule et le numéro d’immatriculation du véhicule.

II-Le droit applicable

Les traitements de données à caractère personnel effectués par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales relèvent du champ d’application de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 (ci-après " la directive (UE) 2016/680 ").

La directive (UE) 2016/680 a été transposée en droit français par la loi n° 2018-493 du 20 juin 2018 au sein du chapitre XIII de la loi du 6 janvier 1978.

Par ordonnance n° 2018-1125 du 12 décembre 2018, le Gouvernement a procédé à la réécriture de l’ensemble de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Par conséquent, depuis la transposition de la directive précitée et l’entrée en vigueur de l’ordonnance précitée le 1er juin 2019, les traitements de données à caractère personnel provenant des radars-tronçons relèvent notamment des articles 87 et suivants du Titre III de la loi du 6 janvier 1978. Tel que prévu par l’article 87 précité, ces traitements restent également soumis aux autres dispositions pertinentes de la loi du 6 janvier 1978, sous réserve des dispositions spéciales figurant au sein du Titre III de ladite loi.

III-Les manquements constatés au regard des dispositions de la loi du 6 janvier 1978

En application de la décision n° 2018-071C du 30 mars 2018 de la Présidente de la Commission, une délégation de la CNIL a procédé à trois missions de contrôle sur place : le 6 septembre 2018 auprès du CNT, le 17 octobre 2018 auprès du prestataire chargé de la maintenance opérationnelle des radars-tronçons et le 4 décembre 2018 sur la route départementale 213 à Saint-Nazaire équipée d’un radar-tronçon.

Un manquement à l’obligation de respecter une durée de conservation des données proportionnée à la finalité du traitement

En application de la loi du 6 janvier 1978, les données à caractère personnel ne peuvent être conservées que pour une durée strictement proportionnée à la finalité du traitement mis en œuvre.

En ce sens, l’article 4-5° de la loi du 6 janvier 1978 prévoit que les données à caractère personnel doivent être " conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ". L’article 87 de la loi du 6 janvier 1978 prévoit également que " le traitement assure notamment la proportionnalité de la durée de conservation des données à caractère personnel, compte tenu de l’objet du fichier et de la nature ou de la gravité des infractions constatées ".

En outre, l’article 2-1 III de l’arrêté du 13 octobre 2004 prévoit que " lorsqu’aucune infraction à la vitesse maximale autorisée n’est constatée, les données collectées et la vitesse moyenne calculée correspondante sont supprimées dès que possible, dans un délai maximum de vingt-quatre heures ". En outre, en cas d’infraction, l’article 3 de cet arrêté précise que " la durée de conservation des données ne peut excéder dix ans (…) ".

S’agissant des durées de conservation, la délégation de contrôle a été informée que tous les numéros de plaque d’immatriculation collectés à partir du système LAPI des radars-tronçons sont conservés dans les ETVM dans leur intégralité pendant vingt-quatre heures puis tronqués du deuxième et de l’avant dernier caractères du numéro d’immatriculation. Les données sont remontées deux fois par jour au CNT.

La délégation a été informée que la conservation du numéro de plaque d’immatriculation tronqué est effectuée à des fins de maintenance technique et, plus précisément, de l’analyse des appariements effectués entre les données collectées par les bornes d’entrée et de sortie afin de s’assurer du bon fonctionnement du système.

En premier lieu, la délégation a constaté que des numéros de plaque d’immatriculation complets et tronqués ne concernant pas des véhicules en infraction étaient conservés sur l’ETVM contrôlé depuis le 26 novembre 2017 pour les numéros complets (soit depuis plus de 13 mois) et depuis le 9 juillet 2014 pour les numéros tronqués (soit depuis plus de 4 ans).

Or, les numéros de plaque d’immatriculation des véhicules qui ne sont pas en infraction ne doivent pas être conservés plus de 24 heures conformément aux dispositions de l’arrêté du 13 octobre 2004 modifié. En effet, son article 2-1 prévoit que " Lorsqu’aucune infraction à la vitesse maximale autorisée n’est constatée, les données collectées et la vitesse moyenne calculée correspondante sont supprimées dès que possible, dans le délai maximum de vingt-quatre heures ".

Sur ce point, dans son avis du 11 juillet 2013, la CNIL avait estimé que " les données doivent être supprimées le plus tôt possible après le passage des véhicules non en infraction devant la borne de sortie " et avait pris acte de ce que " les données relatives aux véhicules n’étant pas en infraction ne sont pas transmises au Centre national de traitement (" CNT ") et ne sont donc pas enregistrées dans le système de contrôle automatisé, comme le prévoit le projet d’article 2-1 (III) de l’arrêté du 13 octobre 2004 modifié. L’article 3 dudit arrêté est également modifié afin de mentionner expressément que seules les données relatives aux véhicules en infraction sont enregistrées dans le système de contrôle automatisé ". Elle avait également relevé que " Les données relatives aux véhicules n’étant pas en infraction sont conservées localement pendant vingt-quatre heures, dans les bornes des radars. Si la capacité du disque dur de ces bornes permet une conservation pendant sept jours, un processus automatique se charge de supprimer les données après vingt-quatre heures, par l’intermédiaire d’une commande de suppression de ligne. A chaque redémarrage du système (toutes les vingt-quatre heures), celui-ci s’assure que les données supprimées ont bien été purgées ".

La CNIL rappelle que les numéros de plaque d’immatriculation tronqués constituent des données à caractère personnel, dès lors qu’ils sont couplés, comme en l’espèce, à un horodatage et la localisation du radar-tronçon et sont susceptibles d’être recoupés avec d’autres données, notamment les clichés concernant le véhicule et ses passagers. Aussi, la durée de conservation de vingt-quatre heures s’applique aussi bien aux numéros de plaque d’immatriculation complets qu’aux numéros de plaque d’immatriculation tronqués du deuxième et de l’avant dernier caractères, l’arrêté du 13 octobre 2004 modifié ne prévoyant pas de distinction sur ce point.

En deuxième lieu, lors du contrôle du 6 septembre 2018, la délégation a constaté la présence de messages relatifs à des infractions, contenant les données des véhicules ayant dépassé la limitation de vitesse autorisée, transmis au CNT pour donner lieu à un avis de contravention, qui étaient conservés au CNT depuis le 1er septembre 2005 (soit depuis plus de 13 ans).

Or, l’arrêté du 13 octobre 2004 modifié prévoit que les données ne doivent pas être conservées plus de 10 ans. En effet, son article 3 prévoit que " La durée de conservation des données ne peut excéder dix ans, sans préjudice de la possibilité pour le conducteur d’un véhicule d’en demander l’effacement dans les conditions prévues à l’article L. 130-9 du code de la route ".

En troisième lieu, la délégation a constaté la présence de messages relatifs à des infractions en échec d’envoi au CNT qui étaient conservés sur l’ETVM contrôlé depuis le 2 janvier 2015, soit depuis plus de 3 ans.

Or, les données constitutives d’un message d’infraction non envoyé au CNT ne devraient pas être conservées plus d’un an après la prise de la photographie, délai au-delà duquel les contraventions sont prescrites, en application de l’article 9 du code de procédure pénale, et les données des véhicules ne peuvent donc plus être utilisées pour émettre un avis de contravention.

L’ensemble de ces faits constitue un manquement aux obligations prévues aux articles 4-5° et 87 de la loi du 6 janvier 1978 qui prévoient notamment que le responsable de traitement est tenu d’assurer la proportionnalité de la durée de conservation des données à caractère personnel, compte tenu de l’objet du fichier et de la nature ou de la gravité des infractions constatées.

Un manquement à l’obligation d’assurer la sécurité des données personnelles

En application de la loi du 6 janvier 1978, il appartient au responsable de traitement d’assurer la sécurité des données à caractère personnel.

Ainsi, l’article 4-6° de la loi du 6 janvier 1978 prévoit que les données à caractère personnel doivent être " traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, ou l’accès par des personnes non autorisées, à l’aide de mesures techniques ou organisationnelles appropriées ".

En outre, l’article 99 de la loi du 6 janvier 1978 prévoit que " I. – Afin de démontrer que le traitement est effectué conformément au présent titre, le responsable de traitement et son sous-traitant mettent en œuvre les mesures prévues aux 1 et 2 des articles 24 et 25 du règlement (UE) 2016/679 du 27 avril 2016 et celles appropriées afin de garantir un niveau de sécurité adapté au risque, notamment en ce qui concerne le traitement portant sur des catégories particulières de données à caractère personnel mentionnées au I de l’article 6 de la présente loi.

II. - En ce qui concerne le traitement automatisé, le responsable de traitement ou son sous-traitant met en œuvre, à la suite d'une évaluation des risques, des mesures destinées à :

1° Empêcher toute personne non autorisée d'accéder aux installations utilisées pour le traitement ;

2° Empêcher que des supports de données puissent être lus, copiés, modifiés ou supprimés de façon non autorisée ;

3° Empêcher l'introduction non autorisée de données à caractère personnel dans le fichier, ainsi que l'inspection, la modification ou l'effacement non autorisé de données à caractère personnel enregistrées ;

4° Empêcher que les systèmes de traitement automatisé puissent être utilisés par des personnes qui n'y sont pas autorisées à l'aide d'installations de transmission de données ;

5° Garantir que les personnes autorisées à utiliser un système de traitement automatisé ne puissent accéder qu'aux données à caractère personnel sur lesquelles porte leur autorisation ;

6° Garantir qu'il puisse être vérifié et constaté à quelles instances des données à caractère personnel ont été ou peuvent être transmises ou mises à disposition par des installations de transmission de données ;

7° Garantir qu'il puisse être vérifié et constaté a posteriori quelles données à caractère personnel ont été introduites dans les systèmes de traitement automatisé et à quel moment et par quelle personne elles y ont été introduites ;

8° Empêcher que, lors de la transmission de données à caractère personnel ainsi que lors du transport de supports de données, les données puissent être lues, copiées, modifiées ou supprimées de façon non autorisée ;

9° Garantir que les systèmes installés puissent être rétablis en cas d'interruption ;

10° Garantir que les fonctions du système opèrent, que les erreurs de fonctionnement soient signalées et que les données à caractère personnel conservées ne puissent pas être corrompues par un dysfonctionnement du système ".

Enfin, l’article 101 de la loi du 6 janvier 1978 prévoit que le responsable de traitement " établit pour chaque traitement automatisé un journal des opérations de collecte, de modification, de consultation et de communication, y compris les transferts, l'interconnexion et l'effacement, portant sur de telles données.

Les journaux des opérations de consultation et de communication permettent d'en établir le motif, la date et l'heure. Ils permettent également, dans la mesure du possible, d'identifier les personnes qui consultent ou communiquent les données et les destinataires de celles-ci.
Ce journal est uniquement utilisé à des fins de vérification de la licéité du traitement, d'autocontrôle, de garantie de l'intégrité et de la sécurité des données et à des fins de procédures pénales ".

Au regard de ces dispositions, la délégation a constaté trois séries de manquements, susceptibles d’affecter la sécurité des traitements de données à caractère personnel mis en œuvre dans le cadre des radars-tronçons : un manque de robustesse des mots de passe de connexion à l’ETVM, une traçabilité insatisfaisante des accès, ainsi qu’une gestion insuffisante des droits d’accès à l’application par le prestataire du X.

La description détaillée de ces manquements figure dans l’annexe.

En conséquence, x, sis […], est mis en demeure sous un délai de trois (3) mois à compter de la notification de la présente décision et sous réserve des mesures qu’il aurait déjà pu adopter, de :

- procéder à la suppression des données conservées au-delà de la durée nécessaire au regard des finalités pour lesquelles elles sont traitées, notamment telle que définie à l’article 2-1 de l’arrêté du 13 octobre 2004 ;

- à l’avenir, veiller au respect des durées de conservation prévues par l’arrêté du 13 octobre 2004 et mettre en place un mécanisme de purge (par exemple en utilisant un système de purge automatisé) permettant de garantir le respect des durées de conservation prévues par l’arrêté précité, en particulier, en supprimant les données suivantes ;

les données relatives aux véhicules n’ayant pas commis d’infraction dans un délai maximal de vingt-quatre heures ;

les données relatives aux véhicules ayant commis une infraction dans un délai maximal d’un an lorsqu’elles n’ont pas fait l’objet d’une contravention ;

les données relatives aux véhicules ayant commis une infraction dans un délai maximal de dix ans lorsqu’elles ont fait l’objet d’une contravention ;

- prendre toute mesure nécessaire pour garantir la sécurité des données à caractère personnel traitées et en particulier, celles visées en annexe de la présente mise en demeure ;

- justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti.

À l’issue de ce délai, si X s’est conformé à la présente mise en demeure, il sera considéré que la présente procédure est close et un courrier lui sera adressé en ce sens.

À l’inverse, si X ne s’est pas conformé à la présente mise en demeure, un rapporteur sera désigné qui pourra demander à la formation restreinte de prononcer l’une des mesures correctrices prévues par l’article 20 de la loi du 6 janvier 1978.

La Présidente

Marie-Laure DENIS

Retourner en haut de la page