Les organismes de droit public ou de droit privé gérant un service public de transports mettent en œuvre des traitements automatisés de données à caractère personnel afin d'assurer le suivi des contraventions des quatre premières classes à la police des services publics de transports terrestres.
En cas d'infraction, ces organismes sont destinataires des procès-verbaux établis par les personnes habilitées en vertu des articles L. 2241-1 et suivants du code des transports qui disposent que « sont chargés de constater par procès-verbaux les infractions aux dispositions du présent titre ainsi que les contraventions prévues par les règlements relatifs à la police ou à la sûreté du transport et à la sécurité de l'exploitation des systèmes de transport ferroviaire ou guidé, outre les officiers de police judiciaire [...] les agents assermentés de l'exploitant du service de transport ».
Ces agents établissent des procès-verbaux de constatation de l'infraction, dont le modèle est fixé par un arrêté conjoint du ministre de la justice et du ministre chargé des transports. Ils peuvent notamment constater le « délit d'habitude », défini à l'article L. 2242-6 du code des transports dans ces termes : « L'habitude est caractérisée dès lors que la personne concernée a fait l'objet, sur une période inférieure ou égale à douze mois, de plus de dix contraventions pour avoir voyagé sans titre de transport ou munie d'un titre de transport non valable ou non complété, qui n'ont pas donné lieu à une transaction en application de l'article 529-3 du code de procédure pénale. »
Saisie des traitements considérés, la commission est appelée à faire application de l'article 25-I (3°) de la loi du 6 janvier 1978 modifiée qui soumet à autorisation « les traitements, automatisés ou non, portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, sauf ceux qui sont mis en œuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées ».
En application de l'article 25-II de la loi du 6 janvier 1978, la commission peut autoriser par une décision unique une catégorie de traitements qui répondent aux mêmes finalités, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires.
Les traitements automatisés de données à caractère personnel mis en œuvre par les organismes de droit public ou de droit privé aux fins de gestion des infractions à la police des services publics de transports terrestres sont de ceux qui peuvent sous certaines conditions relever de cette définition.
Les responsables de traitement qui adressent à la commission une déclaration comportant un engagement de conformité pour les traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisés à les mettre en œuvre.
Tout traitement de données à caractère personnel qui excède le cadre ou les exigences définis par la présente autorisation unique doit en revanche faire l'objet d'une demande d'autorisation spécifique.

Finalités et caractéristiques techniques du traitement.
Seuls peuvent faire l'objet d'un engagement de conformité en référence à la présente autorisation unique les traitements, mis en œuvre par les organismes publics ou privés gérant un service public de transports terrestres, pour le suivi des contraventions des quatre premières classes à la police des services publics de transports terrestres prévues aux articles 74 et suivants du décret n° 730 du 22 mars 1942 et correspondant aux finalités suivantes :
― le suivi des procès-verbaux émis et des amendes correspondantes ;
― l'émission de bulletins de régularisation ;
― le traitement des relances et des réclamations consécutives à un constat d'infraction ;
― la détection du délit d'habitude ;
― la réalisation de statistiques anonymes.
Les infractions sont constatées lors des contrôles à bord des véhicules de transports publics terrestres de personnes et dans les espaces publics dédiés à leur accès, au moyen de procès-verbaux dressés par les personnes habilitées. Ces contrôles peuvent être réalisés au moyen d'assistants électroniques individuels (PDA) permettant d'alimenter le fichier central d'infractions.
Aux fins de détection du délit d'habitude, les données d'infractions peuvent également être consultées à distance depuis ces assistants électroniques individuels ou bien stockées sur ces derniers, à condition qu'elles fassent l'objet de mesures de sécurité renforcées.
Le traitement ne peut avoir pour objet le contrôle de l'activité des agents assermentés.

Nature des données à caractère personnel traitées.
A titre liminaire, la commission rappelle que des données à caractère personnel ne peuvent être collectées que si elles sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie. Le responsable de traitement doit ainsi être en mesure de justifier du caractère nécessaire des données à caractère personnel collectées.
Sous cette réserve, les organismes de droit public ou privé gérant un service public de transports terrestres, pour atteindre les finalités visées à l'article 1er de la présente décision unique, peuvent collecter et traiter :
En ce qui concerne les contrevenants :
― le nom, le nom d'usage et le(s) prénom(s) ;
― la date et le lieu de naissance ;
― l'adresse ;
― le numéro, la nature, la date et l'organisme de délivrance de la pièce d'identité présentée à l'occasion du contrôle ;
― le type de titre de transport utilisé ;
― la signature du contrevenant ;
― le nom du représentant légal lorsqu'un procès-verbal est émis à l'encontre d'un mineur ou d'un majeur incapable.
En ce qui concerne les infractions constatées :
― le lieu de l'infraction ;
― le type ainsi que, le cas échéant, le code de l'infraction ;
― les éléments constatés de l'infraction ;
― la date et l'heure de la contravention ;
― le montant et les informations relatives au paiement de la contravention ;
― le numéro du procès-verbal et les informations relatives au service émetteur ;
― les informations relatives au délit d'habitude (nombre et dates des procès-verbaux) ;
― les relances et réclamations ;
― la mention et la date de la transmission des informations au ministère public.
En ce qui concerne l'agent verbalisateur :
― le nom, le nom d'usage et le(s) prénom(s) ;
― le code identifiant fourni par l'employeur ;
― la signature de l'agent verbalisateur.

Destinataires des données.
Dans la limite de leurs attributions respectives et pour l'exercice des finalités précitées, seuls peuvent être destinataires des données :
― les agents assermentés mentionnés à l'article L. 2241-1 du code des transports et les agents assermentés et agréés par le procureur de la République selon les modalités prévues aux articles R. 49-8-1 et R. 49-8-4 du code de procédure pénale ;
― les agents habilités du service chargé du recouvrement des contraventions au sein des organismes publics ou privés gérant un service public de transports terrestres ;
― les agents habilités du service comptabilité pour l'édition comptable ;
― les agents habilités des services juridiques, en charge du contentieux et de la lutte contre la fraude de ces organismes ;
― les agents individuellement désignés et spécialement habilités par le ministère public ;
― les agents individuellement désignés et spécialement habilités par le Trésor public en cas d'amende forfaitaire majorée pour recouvrir les sommes dues en vertu du titre rendu exécutoire.

Durée de conservation des données.
La commission rappelle, conformément à l'article 6 (5°) de la loi du 6 janvier 1978 modifiée, que des données à caractère personnel ne peuvent être conservées en base active que le temps strictement nécessaire à l'accomplissement de la finalité pour laquelle elles ont été collectées.
En cas de paiement de l'indemnité forfaitaire prévue aux articles L. 529-3 et 529-4 du code de procédure pénale, les données relatives aux contrevenants et aux infractions doivent être supprimées à compter du paiement.
Ces données peuvent toutefois être conservées en archivage sur une base externe indépendante, accessible limitativement aux agents habilités des organismes publics ou privés gérant un service public de transports terrestres et pour des requêtes spécifiques, pour une durée supplémentaire maximale de deux ans à partir du paiement effectif des sommes dues.
Dans le cas de contraventions n'ayant pas donné lieu à une transaction au sens des articles L. 529-3 et 529-4 ci-dessus, les données relatives aux contrevenants et aux infractions constatées peuvent être conservées pour une durée maximale de douze mois consécutifs en vue de déterminer si le délit d'habitude est caractérisé et de constater l'infraction prévue à l'article L. 2242-6 du code des transports.
Ces données peuvent également être mises en archivage sur une base externe indépendante, accessible limitativement aux agents habilités des organismes publics ou privés gérant un service public de transports terrestres et pour des requêtes spécifiques, pour une durée supplémentaire maximale de deux ans à partir de la fin du douzième mois dans la base informatique.
Dans tous les cas, lorsqu'un assistant électronique individuel est utilisé pour l'enregistrement des infractions et pour l'émission des bulletins de régularisation ou des procès-verbaux, les données à caractère personnel collectées et stockées sur l'assistant électronique individuel ne peuvent être conservées que pour une durée maximale de cinq jours sur ledit assistant.
Les catégories de données relatives à l'agent verbalisateur peuvent être conservées pendant toute la durée de son affectation au sein de l'organisme.

Sécurité des données et traçabilité des actions.
Le responsable du traitement prend toutes précautions utiles pour préserver la sécurité et la confidentialité des données traitées et notamment pour empêcher qu'elles soient déformées, endommagées ou que des tiers non autorisés puissent en prendre connaissance.
En particulier, les accès aux traitements de données s'effectuent au moyen d'un identifiant et d'un mot de passe individuels, régulièrement renouvelés et d'un niveau de complexité adéquat, conformément à l'état de l'art et aux recommandations émises par la commission, ou par tout autre moyen d'authentification présentant un même niveau de fiabilité. Ces accès font l'objet d'une journalisation.
Les agents assermentés ainsi que les agents assermentés et agréés par le procureur de la République peuvent disposer d'un assistant électronique individuel, sous réserve que les garanties de sécurité suivantes soient apportées :

1. L'accès à l'assistant électronique individuel doit être protégé par un identifiant et un mot de passe individuels, régulièrement renouvelés et d'un niveau de complexité adéquat, conformément à l'état de l'art et aux recommandations émises par la commission, ou par tout autre moyen d'authentification présentant un même niveau de fiabilité.
2. Les données stockées sur l'assistant électronique individuel doivent être chiffrées conformément à l'état de l'art et aux recommandations émises par la commission.
3. Les échanges de données entre l'assistant électronique individuel et le fichier d'infractions doivent faire l'objet de mesures de chiffrement et d'authentification afin de garantir la confidentialité des données transmises, notamment lorsque celles-ci transitent par des réseaux sans fil ou ouverts au public.
4. L'assistant électronique individuel doit faire l'objet de mesures de sécurité permettant d'interdire toute extraction de données non autorisée.
5. Lorsque l'assistant électronique individuel est relié à une imprimante permettant l'impression de bulletins de régularisation ou de procès-verbaux, les modalités de transmission des données entre les appareils doivent garantir la confidentialité des données ainsi échangées, notamment en chiffrant les échanges de données et en authentifiant l'appareil destinataire. De plus, toute impression réalisée doit pouvoir être tracée.
6. Toute consultation du fichier d'infractions à des fins de constatation du délit d'habitude doit faire l'objet de mesures de traçabilité permettant d'imputer les interrogations du fichier à l'agent les ayant réalisées. Doivent ainsi être conservés, pendant six mois, l'identifiant de l'agent à l'origine de l'opération, l'horodatage de l'opération, ainsi que le détail de l'interrogation effectuée. La consultation n'est autorisée que sur la base de l'état civil complet (nom, prénom, date de naissance) des contrevenants, aucune consultation globale du fichier ne devant être possible :
   ― dans le cas où l'assistant électronique individuel est utilisé pour la détection du délit d'habitude via une interrogation à distance du fichier d'infractions, les traces de cette interrogation doivent être immédiatement enregistrées dans le fichier d'infractions. Des mesures d'authentification de l'appareil doivent également être mises en place et l'autorisation de consultation doit être révocable en cas de perte de l'appareil ;
   ― dans le cas où l'assistant électronique individuel est utilisé pour la détection du délit d'habitude via la consultation d'une copie locale du fichier d'infractions, les traces de l'interrogation doivent être enregistrées dans le fichier d'infractions central lors de la mise à jour quotidienne de la copie locale. L'accès à cette copie locale du fichier d'infractions doit être subordonné à la mise en place d'une authentification renforcée des agents assermentés, ainsi que de mesures visant à empêcher tout accès frauduleux aux données en cas de perte de l'appareil.

Information des personnes.
Le responsable du traitement procède, conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée, à l'information des personnes susceptibles d'être concernées, par l'affichage d'une note explicative devant figurer, de manière visible, à l'intérieur des transports, et par la diffusion d'une mention d'information sur les courriers de relance de recouvrement des amendes.
L'information des agents contrôleurs sera effectuée par la diffusion à chaque personne concernée, préalablement à la mise en œuvre du traitement, d'une note explicative individuelle.

Exercice des droits d'accès et de rectification.
Les droits d'accès et de rectification définis au chapitre V de la loi du 6 janvier 1978 modifiée s'exercent auprès du ou des services que le responsable de traitement aura désignés.

La délibération n° 2007-002 du 11 janvier 2007 portant autorisation unique de mise en œuvre de traitements automatisés de données à caractère personnel relatifs à la gestion d'infractions à la police des services publics de transports terrestres est abrogée.
Les organismes privés et publics ayant effectué un engagement de conformité en référence à la délibération n° 2007-002 du 11 janvier 2007 et qui ne respectent pas les conditions fixées par la présente délibération disposent d'un délai de douze mois à compter de la publication de la présente délibération pour mettre leur traitement en conformité.

La présente délibération sera publiée au Journal officiel de la République française.