La Commission nationale de l’informatique et des libertés,

Saisie par le ministre de l’intérieur d’une demande d’avis concernant un projet d’arrêté modifiant l’arrêté du 13 octobre 2004 portant création du système de contrôle automatisé ;

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes des personnes physiques à l’égard du traitement de données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données et abrogeant la décision cadre 2008/977/JAI du Conseil ;

Vu le code de la route, notamment ses articles L. 121-3, L. 130-9, L. 225-1 à L. 225-9, L 330-2 à L. 330-5, R. 121-6, R. 130-8, R. 130-11 et R. 330-1 à R. 330-5 ;

Vu le code des assurances, notamment ses articles L.451-1-1 et R.451-1 à R.451-5

Vu le code de procédure pénale, notamment ses articles 537 et 529 à 530-3 ;

Vu la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 31 et son titre III ;

Vu le décret n° 2016-1955 du 28 décembre 2016 portant application des dispositions des articles L. 121-3 et L. 130-9 du code de la route ;

Vu le décret n° 2011-348 du 29 mars 2011 modifié portant création de l’Agence nationale de traitement automatisé des infractions ;

Vu l’arrêté du 13 octobre 2004 modifié portant création du système de contrôle automatisé ;

Vu la délibération n° 04-076 du 5 octobre 2004 portant avis sur un projet d’arrêté interministériel portant création d’un dispositif dénommé système contrôle automatisé visant à automatiser la constatation, la gestion et la répression de certaines infractions routières ;

Vu la délibération n°2018-321 du 4 octobre 2018 de la Commission nationale de l’informatique et des libertés portant avis sur un projet d’arrêté modifiant l’arrêté du 13 octobre 2004 portant création du système de contrôle automatisé.

Sur la proposition de Monsieur Eric PERES, commissaire, et après avoir entendu les observations de Madame Nacima BELKACEM, commissaire du Gouvernement,

Emet l’avis suivant :

La Commission a été saisie par le ministre de l’intérieur d’une demande d’avis relative à un projet d’arrêté modifiant l’arrêté du 13 octobre 2004 portant création du système de contrôle automatisé (SCA).

Dans la mesure où le traitement a pour finalité la constatation ou la poursuite d’infractions pénales, celui-ci doit dès lors faire l’objet d’un arrêté, pris après avis motivé et publié de la Commission conformément aux dispositions de l’article 89 de la loi du 6 janvier 1978 modifiée.

Le SCA permet de constater au moyen d’appareils de contrôle automatique homologués, certaines infractions au code de la route, d’identifier le titulaire du certificat d’immatriculation du véhicule concerné et de gérer les opérations relatives aux avis de contravention correspondants. Ce traitement est mis en œuvre par le Centre national de traitement (CNT), géré par l’Agence nationale de traitement automatisé des infractions (ANTAI) et a par ailleurs été examiné à plusieurs reprises par la Commission.

A titre liminaire, la Commission observe que l’arrêté du 13 octobre 2004 a fait l’objet d’une délibération en date du 4 octobre 2018 qui a étendu les finalités du SCA afin de traiter les données relatives aux infractions mentionnées à l’article R.130-11 du code de la route et de prendre en compte la forfaitisation des délits de défaut de permis de conduire et de défaut d’assurance. Il s’agissait de prendre en compte les modifications du code de la route et du code de procédure pénale, introduites par la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle, visant à améliorer la répression de certaines infractions routières.

Le projet d’arrêté aujourd’hui soumis à l’avis de la Commission procède à une nouvelle modification de l’arrêté du 13 octobre 2004 susmentionné afin de rendre effectif le traitement de la forfaitisation du délit de défaut d’assurance par le SCA. Il prévoit que le SCA fera l’objet d’une nouvelle mise en relation avec un autre traitement, celui du fichier des véhicules terrestres à moteur assurés (FVA).

Outre cette nouvelle mise en relation, le projet d’arrêté introduit pour les droits des personnes concernées le droit à la limitation tel que prévu à l’article 106 de la loi du 6 janvier 1978 et procède à la modification des références à la loi du 6 janvier 1978 en matière d’exercice des droits des personnes concernées par le traitement.

La Commission prend acte qu’une mise à jour de l’analyse d’impact relative au système de contrôle automatisé a été opérée en mai 2019 afin de tenir compte du projet d’arrêté modifiant l’arrêté du 13 octobre 2004. Les modifications de cette analyse d’impact portent sur la mise en relation du SCA avec le FVA et apportent également des précisions d’ordre général sur le fonctionnement du FVA.

Sur une nouvelle interconnexion, mise en relation ou rapprochement avec le FVA

L’article 5 de l’arrêté du 13 octobre 2004 prévoit que le système de contrôle automatisé peut faire l’objet d’interconnexions, mises en relation ou rapprochements avec d’autres traitements, à savoir :

• le fichier national des immatriculations ;
• le système national des permis de conduire ;
• le traitement automatisé de suivi du recouvrement des amendes et des condamnations pécuniaires ;
• les traitements relatifs à la gestion des contrats de location et des véhicules loués mis en œuvre par les sociétés ayant pour activité la location de véhicules ;
• les traitements relatifs à la gestion du parc automobile mis en œuvre par les sociétés ou établissements mettant des véhicules à disposition de leurs collaborateurs ou clients ;
• les systèmes de télépaiement des amendes mis en œuvre par les services compétents de la direction générale des finances publiques ;
• le traitement automatisé relatif au traitement des ordonnances et jugements devant les tribunaux de police dénommé Minos ;
• le traitement automatisé relatif aux procédures judiciaires au sein des tribunaux de grande instance dénommé Cassiopée ;
• l’application de gestion centrale ;
• le système d’immatriculation des véhicules ;
• la base satellite des véhicules volés ;
• le traitement dénommé numérisation des procédures pénales ;
• le traitement d’antécédents judiciaires.

L’article 1^er du projet d’arrêté ajoute à cette liste le fichier des véhicules terrestres à moteur assurés (FVA).

A titre liminaire, la Commission relève que le FVA est un traitement de données à caractère personnel prévu par l’article L.451-1-1 du code des assurance et qu’il est mis en œuvre par l’Association pour la gestion des informations sur le risque en assurance (AGIRA) en tant qu’organisme d’information. Il a pour finalité de tenir à jour la liste des véhicules terrestres à moteur assurés au titre de la responsabilité civile automobile. Il conserve les données relatives aux contrats souscrits par les assurés, à savoir l’immatriculation du véhicule, le nom de l’assureur et le numéro du contrat avec sa période de validité.

Le projet d’arrêté prévoit la mise en relation du système de contrôle automatisé avec le FVA, afin de contrôler le défaut d’assurance du véhicule. Ainsi, lorsqu’un message d’infraction constatée par un appareil de contrôle automatique génère la production d’un avis de contravention (actuellement, uniquement en matière de non-respect des vitesses maximales autorisées ou de franchissement d’un feu de signalisation rouge), le SCA procèdera à une interrogation du FVA aux fins de vérifier si le véhicule figure dans ce traitement. L’interrogation a lieu soixante-douze heures après la constatation de l’infraction. Cette mise en relation permettra d’éditer, à l’attention du titulaire du certificat d’immatriculation, un avis d’amende forfaitaire délictuelle en cas de constatation d’une infraction par un véhicule non assuré.

Sans remettre en cause la nécessité d’interroger un tel fichier, la Commission rappelle que, compte tenu des enjeux importants pour les personnes concernées résultant de cette interrogation, des garanties particulières devront être mises en œuvre afin de limiter les conséquences potentiellement négatives pour les personnes concernées résultant notamment de l’absence de mise à jour du fichier FVA. A ce titre, elle recommande, en vue d’une mise à jour du traitement, que le responsable de traitement prenne les dispositions nécessaires afin de porter à la connaissance de l’AGIRA le cas de tout titulaire du certificat d’immatriculation destinataire d’un avis d’amende ayant rapporté la preuve d’une garantie d’assurance active lors de la constatation de l’infraction.

La Commission estime que la mise en relation envisagée par le ministère est justifiée, en ce qu’elle répond à l’objectif de vérification de l’absence d’assurance garantissant la responsabilité civile des véhicules terrestres à moteur, tel que visé par loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle.

Sur les droits des personnes concernées

Les articles 2 et 3 du projet d’arrêté prévoient l’introduction pour les droits des personnes concernées, du droit à la limitation tel que prévu à l’article 106 de la loi du 6 janvier 1978 et la modification des références à la loi du 6 janvier 1978 en matière d’exercice des droits des personnes concernées par le traitement et ce, compte tenu de l’entrée en vigueur le 1^er juin 2019 de l’ordonnance n°2018-1125 du 12 décembre 2018 portant modification de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

De manière générale, la Commission rappelle que les personnes concernées souhaitant exercer leurs droits peuvent justifier de leur identité par tout moyen. Le responsable du traitement doit, dans ce cadre, veiller à ne collecter que des données strictement nécessaires à la vérification de l’identité de la personne concernée. Dans le cas présent, la Commission estime que la transmission d’une copie d’un justificatif d’identité suffit pour satisfaire à cette exigence.

Sur les mesures de sécurité

S’agissant des mesures existantes ou prévues, l’infrastructure du système de contrôle automatisé a été analysée par la Commission à diverses reprises.

La Commission relève que le chiffrement de l’ensemble des données stockées en base est à l’étude de faisabilité et qu’un plan d’action détaillé visant notamment à préciser les méthodes de pseudonymisation et à déterminer la stratégie de mise en œuvre a été proposé tout comme une refonte du système d’archivage afin d’assurer une certification NF42-013.

La Commission estime que les mesures techniques de sécurité décrites par le responsable de traitement sont conformes à l’exigence de sécurité prévue par l’article 99 de la loi du 6 janvier 1978 modifiée. Elle constate toutefois qu’au regard des risques identifiés par l’analyse d’impact relative au système de contrôle automatisé, les mesures en vigueur ne permettent pas de diminuer la gravité du risque pour toutes les catégories de sources de risque. En tout état de cause, elle rappelle que les obligations prévues à l’article précité nécessitent la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques. À cet égard, la Commission rappelle qu’il conviendra d’apporter une attention spécifique à la réévaluation de ces mesures dans le cadre de la mise à jour de l’analyse d’impact.

La Présidente

Marie-Laure DENIS