Radars-tronçons et données personnelles : mise en demeure du ministère de l’Intérieur par la CNIL
La CNIL enjoint au ministère de l’Intérieur de se conformer à la réglementation applicable en matière de protection des données personnelles en raison de manquements constatés au titre des obligations du responsable de traitement lors de la collecte massive des données par les radars-tronçons.
Le 4 décembre 2019, la CNIL a décidé de rendre publique la mise en demeure dont le ministère de l’Intérieur a fait l’objet, le 12 novembre dernier, de se conformer à la législation Informatique et Libertés concernant les données collectées par les radars-tronçons.
Le ministère de l’Intérieur dispose ainsi d’un délai de 3 mois à compter de la notification de la décision du 12 novembre dernier pour prendre toutes les mesures suffisantes garantissant la sécurité des données traitées par les radars-tronçons et la durée légale de leur conservation.
La CNIL fait application de l’article 20 concernant les mesures correctrices de la loi n° 78-17 du 6 janvier 1978 modifiée à la suite de l’entrée en application du règlement général sur la protection des données le 25 mai 2018 (ci-après RGPD), ainsi que les dispositions des articles 87 et suivants concernant les traitements de données à caractère personnel modifiées depuis la transposition en droit français, par ordonnance n° 2018-1125 du 12 décembre 2018 entrée en vigueur le 1er juin 2019, de la directive (UE) n° 2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données.
Les systèmes d’information centralisés des administrations publiques : source d’inquiétude persistante pour l’exercice des droits des personnes dont les données personnelles ont été collectées
Le prononcé par la CNIL de cette mise en demeure interpelle quant à l’intrusion dans la vie privée des personnes qu’engendre la mise en place, par des administrations publiques, de systèmes automatisés susceptibles de collecter des données de millions de citoyens.
C’est dans un contexte similaire que fut adoptée à l’origine, le 6 janvier 1978, la loi Informatique et Libertés afin de reconnaître de nouveaux droits aux individus à l’égard de l’État et de la puissance publique. À l’époque, la centralisation envisagée par l’INSEE des répertoires d’identification des personnes au niveau national, le fameux projet SAFARI, avait fait scandale en raison de l’interconnexion possible des fichiers via le numéro de Sécurité sociale sans aménagement de garanties.
La volonté affichée de la CNIL de contraindre l’État à respecter la législation de 1978 modifiée
Les sources d’inquiétudes liées à l’existence de tels systèmes sont toujours d’actualité comme en témoigne la décision de la CNIL du 12 novembre 2019 sur les dispositifs spécifiques que constituent les radars-tronçons. Ces derniers sont des équipements terrain calculant la vitesse moyenne (ETVM) d’un véhicule sur une section routière et sont encadrés par les dispositions du Code de la route. Ils contiennent des bornes de contrôle équipées d’un système de lecture automatique de plaques d’immatriculation des véhicules (« LAPI »).
En cas de dépassement de la vitesse maximale autorisée, le radar-tronçon transmet de façon automatique les données relatives au déplacement des véhicules (photographies du véhicule avec sa plaque d’immatriculation et des passagers, horodatage, heure exacte de passage) au Centre national de traitement du contrôlé automatisé (CNT) chargé de l’envoi des contraventions.
Dans la mesure où les informations ainsi collectées sont des données à caractère personnel au sens de l’article 4.1 du RGPD1, la CNIL s’était déjà prononcée sur les dispositifs de LAPI lors de la réforme du stationnement payant par les collectivités territoriales le 14 novembre 20172, en formulant notamment des recommandations précises quant à la durée de conservation des données collectées depuis les systèmes d’horodatage et de géolocalisation des véhicules.
Plus spécifiquement, l’arrêté du 13 octobre 2004 portant création du système de contrôle automatisé encadre le traitement des données à caractère personnel collectées par les radars-tronçons (art. 2-1).
La décision de la CNIL est particulièrement intéressante puisqu’elle prend en considération à la fois les dispositions générales de la loi Informatique et Libertés du 6 janvier 1978, telles que modifiées à la suite de l’adoption des récents textes européens, et celles de l’arrêté du 13 octobre 2004, et ce afin de garantir le respect des droits des personnes en cas de collecte des données relatives à leurs déplacements en voiture.
I – Un manquement à l’obligation de respecter une durée de conservation des données proportionnée à la finalité du traitement
Appréciation légale d’une durée de conservation des données à caractère personnel nécessaire et proportionnée
Après avoir rappelé que toute donnée à caractère personnel doit être conservée pendant une « durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées » (L. n° 78-17, 6 janv. 1978, art. 4-5°, modifiée) et ce, « compte tenu de l’objet du fichier et de la nature ou de la gravité des infractions constatées » (L. n° 78-17, 6 janv. 1978, art. 87, modifiée), la CNIL reprend les dispositions issues de l’arrêté du 13 octobre 2004 selon lesquelles :
-
toutes données collectées par les radars-tronçons en l’absence d’infraction à la vitesse maximale autorisée ne doivent pas être conservées au-delà d’une durée maximale de 24 heures (art. 2-1 III) ;
-
en cas d’infraction, la durée de conservation ne peut excéder 10 ans (art. 3).
Des durées excessivement longues de stockage par les radars-tronçons des données relatives aux véhicules, de surcroît en l’absence d’infraction
Dans un premier temps, la CNIL constate que les numéros de plaque d’immatriculation ne concernant pas des véhicules en infraction étaient conservés plus de 13 mois pour les numéros complets, et plus de 4 ans pour les numéros tronqués.
Selon la CNIL, même les numéros de plaque tronqués sont des données à caractère personnel dès lors qu’ils sont couplés à un horodatage et à la localisation du radar (ce qui était le cas en l’espèce), et qu’ils peuvent être recouplés par la suite avec les clichés du véhicule et de ses passagers.
Dans un second temps, la CNIL relève que la durée légale précitée de conservation maximale de 10 ans n’était pas respectée s’agissant des données de véhicules en infraction qui sont sauvegardées par le CNT pendant plus de 13 ans et pour lesquels un avis de contravention avait été rédigé.
Enfin, des données constitutives de véhicules en infraction, mais ne faisant pas l’objet d’une contravention, sont conservées plus de 3 ans, alors que l’article 9 du Code de procédure pénale encadre le délai de prescription des contraventions à 1 an maximum à compter du jour où l’infraction a été commise (en l’espèce, à partir du jour de la prise de la photographie du véhicule circulant au-delà de la vitesse maximale autorisée).
II – Un manquement à l’obligation d’assurer la sécurité des données à caractère personnel
Hormis ces manquements constatés relatifs à la durée de conservation et de stockage des données collectées par les radars-tronçons, peu importe que les véhicules soient en infraction ou non, la CNIL a noté une série de manquements susceptibles d’affecter la sécurité des traitements de données à caractère personnel :
-
« un manque de robustesse des mots de passe de connexion »3 ;
-
« une traçabilité insatisfaisante des accès » ;
-
« une gestion insuffisante des droits d’accès à l’application au niveau du prestataire du ministère ».
III – Les conséquences d’une mise en demeure publique pour le ministère de l’Intérieur
En conséquence, le ministère de l’Intérieur a 3 mois pour se conformer à la loi en supprimant toutes les données conservées au-delà de la durée légale nécessaire et en mettant en place un mécanisme de purge adéquat. La CNIL enjoint également au ministère de l’Intérieur de prendre toutes les mesures correctrices nécessaires pour garantir la sécurité des données traitées dans le cadre de l’installation des radars-tronçons.
Manifestement, la CNIL a saisi le 22 novembre dernier l’opportunité de rendre publique le 4 décembre dernier sa mise en demeure prononcée quelques semaines plus tôt en raison du nombre particulièrement important de personnes susceptibles d’être impactées par le traitement mis en œuvre par les radars-tronçons et du risque sur la vie privée lié à la collecte massive de données relatives aux déplacements des personnes.
Le prononcé d’une mise en demeure par la CNIL ne constitue pas en soi une sanction dans l’attente des mesures de mise en conformité qui seront apportées par le ministère de l’Intérieur. En revanche, le fait de l’avoir rendue publique s’inscrit dans la volonté affichée de la CNIL de s’affirmer en tant qu’autorité administrative indépendante chargée de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés et ce, sans être placée sous l’autorité du gouvernement ou d’un ministre. En l’espèce, il s’agit d’une mise en garde adressée au ministère de l’Intérieur, agissant ici en qualité de responsable de traitement. Dès lors, celui-ci a obligation, dans le délai imparti précité, de se mettre en conformité à la législation applicable en matière de protection des données à caractère personnel, sous peine d’être sanctionné, comme toute autre entité détentrice de données personnelles concernant des personnes physiques. Pour mémoire, l’application du RGPD depuis le 25 mai 2018 permet de prononcer des amendes administratives pouvant aller jusqu’à 10 ou 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 2 ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent en fonction de la gravité des manquements constatés à la réglementation, en sus des infractions pénales pour les faits les plus graves4. S’agissant des traitements mis en œuvre par l’État, les amendes administratives sont expressément exclues par l’article 20 de la loi du 6 janvier 1978 modifiée en cas de manquements par l’État à ses obligations en tant que responsable de traitement. Dès lors, en raison de l’irresponsabilité pénale de l’État, la CNIL pourra prendre des mesures à l’encontre du ministère de l’Intérieur, parmi l’arsenal répressif dont elle dispose, comme la limitation temporaire ou définitive du traitement, ou encore son interdiction.
Conclusion : une mise en demeure qui illustre la vigilance de la CNIL face à la multiplication des dispositifs automatisés de données utilisés par l’État ces derniers mois
Déployés massivement sur les routes françaises depuis leur création5, les radars-tronçons sont des dispositifs inquiétants au regard du nombre important d’informations personnelles qu’ils sont susceptibles de collecter. La CNIL met donc en garde le ministère de l’Intérieur de ne pas faire un usage abusif et disproportionné de ce type de dispositifs automatisés de contrôle et de traçabilité.
Ce n’est pas la première fois que la CNIL reproche à l’État d’instaurer des dispositifs qu’elle considère trop intrusifs pour la vie privée des personnes concernées. À titre d’illustration, la CNIL s’était prononcée le 12 septembre 2019 sur un article du projet de loi de finances pour 2020 permettant, à titre expérimental et pour une durée de 3 ans, de collecter des données à caractère personnel sur les plate-formes de réseaux sociaux afin de lutter contre la fraude6. Même si la détection de la fraude fiscale est un objectif légitime, la CNIL avertissait quant à l’existence d’un risque indéniable découlant « d’une collecte générale préalable de données », et non plus d’une surveillance ciblée en cas de soupçons.
Pour mémoire également, un an après avoir appelé à la tenue d’un débat démocratique sur les nouveaux usages des caméras vidéo, et en particulier sur les dispositifs de reconnaissance faciale, la CNIL a rédigé une contribution le 7 novembre 2019 afin de se prononcer publiquement sur la place de plus en plus importante de ces dispositifs aux niveaux national, européen et mondial7. À cette occasion, elle a ainsi défini les éléments techniques, juridiques et éthiques qui, selon elle, doivent être nécessairement appréhendés avant tout recours à la reconnaissance faciale, notamment au regard des risques liés à cette technologie pour les personnes concernées.
Dans la continuité de ces questions complexes, et plus récemment encore, la CNIL s’est inquiétée de l’usage de plus en plus fréquent de dispositifs de vidéoprotection par certaines collectivités territoriales la conduisant ainsi à publier le 3 décembre 2019 des dispositions applicables précises en la matière en rappelant les obligations telles que l’analyse d’impact sur la protection des données, la tenue d’un registre détaillé des traitements mis en place, la limitation de la durée de stockage des données qui est nécessaire au regard de la finalité poursuivie8.
Face aux enjeux de société associés à la collecte massive de données à caractère personnel, la CNIL rappelle ainsi de manière constante que des garanties solides doivent être mises en place parallèlement à l’instauration de tous dispositifs automatisés de contrôle et de traçabilité. S’il est facile de trouver la justification de la prolifération de ce genre de dispositifs dans la nécessité d’un tel traitement pour l’exercice par les pouvoirs publics de leur mission d’intérêt public ou relevant de l’exercice de l’autorité publique9 (telle que la poursuite efficace des infractions ou la prévention d’accidents sur la route), les règles en matière de protection de données personnelles imposent que des garde-fous soient nécessairement prévus afin de préserver l’identité humaine, les droits de l’Homme, la vie privée ainsi que les libertés individuelles ou publiques.
À n’en pas douter, la décision de clôture de la mise en demeure du ministère de l’Intérieur par la CNIL sera spécialement attendue dans cette procédure puisque cela signifiera que la CNIL considérera que le ministère de l’Intérieur se sera mis en conformité en ayant pris les mesures nécessaires dans le délai imparti de 3 mois alors que, dans les cas d’« extrême urgence », l’article 20 de la loi de 1978 modifiée permet à la CNIL d’accorder un délai de mise en conformité de 24 heures seulement.
Notes de bas de pages
-
1.
« Toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”) ; est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».
-
2.
https://www.cnil.fr/fr/reforme-du-stationnement-payant-les-recommandations-de-la-cnil.
-
3.
Pour mémoire la CNIL a adopté le 27 janvier 2017 une recommandation sur les mots de passe pour garantir un niveau de sécurité minimal en la matière pour les entreprises et les particuliers : https://www.cnil.fr/fr/mots-de-passe-des-recommandations-de-securite-minimales-pour-les-entreprises-et-les-particuliers.
-
4.
Article 83 du RGPD, article 20 de la loi 1978 modifiée (C. pén., art. 226-16 et s.).
-
5.
Chiffres officiels publiés sur le site du ministère de l’Intérieur en matière de sécurité routière : https://www.securite-routiere.gouv.fr/radars/chiffres-radars/bilans-annuels-des-radars.
-
6.
https://www.cnil.fr/fr/projet-de-loi-de-finances-2020-publication-de-lavis-de-la-cnil.
-
7.
https://www.cnil.fr/sites/default/files/atoms/files/reconnaissance_faciale.pdf.
-
8.
https://www.cnil.fr/fr/videoprotection-quelles-sont-les-dispositions-applicables.
-
9.
Article 6.1 e) du RGPD.