La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet de décret portant création de traitements de données à caractère personnel dénommés « Enregistrement des procès-verbaux des accidents de la circulation routière par les observatoires de la sécurité routière » ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de procédure pénale, notamment ses articles 11-1 et Ai ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment les I (1°) et III de son article 27 ;
Vu le décret n° 75-360 du 15 mai 1975 modifié relatif au comité interministériel de la sécurité routière ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la délibération n° 2014-015 du 23 janvier 2014 portant création d'une autorisation unique concernant les traitements de données à caractère personnel relatifs aux infractions, condamnations ou mesures de sûretés mis en œuvre par les organismes d'assurance, de capitalisation, de réassurance, d'assistance, les intermédiaires d'assurance et par l'AGIRA ;
Sur la proposition de M. Jean-François CARREZ, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Emet l'avis suivant :
La commission a été saisie par le ministre de l'intérieur d'une demande d'avis relative à un projet de décret en Conseil d'Etat portant création de traitements de données à caractère personnel dénommés « Enregistrement des procès-verbaux des accidents de la circulation routière par les observatoires de la sécurité routière ».
Les traitements projetés visent à permettre l'exploitation des procès-verbaux des accidents de la circulation routière, qui peuvent notamment comporter le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques, aux fins de consolider la statistique de sécurité routière, d'améliorer l'analyse de l'accidentalité et d'évaluer les politiques de sécurité routière. Ils relèvent dès lors de l'article 27-I (1°) de la loi du 6 janvier 1978 modifiée et doivent être autorisés par un décret en Conseil d'Etat pris après avis motivé et publié de la commission.
Il est en outre prévu, en application de l'article 27-III de la loi du 6 janvier 1978 modifiée, que le projet de décret constitue un acte réglementaire unique permettant ainsi la déclaration de plusieurs traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant les mêmes destinataires.
Dans le cadre de cette procédure, la mise en œuvre de chaque traitement doit être précédée de l'envoi à la commission d'un engagement de conformité faisant référence à l'acte réglementaire unique, accompagné d'un dossier de présentation, ce que rappelle l'article 7 du projet de décret.
La commission souligne toutefois que l'acte réglementaire unique fixe un cadre général et maximal en termes de données traitées, de personnes concernées, de durée de conservation ou d'exercice des droits des personnes. Ces conditions doivent ainsi être adaptées par le responsable de traitement, au regard des circonstances particulières dans lesquelles il est envisagé de mettre en œuvre chaque traitement, afin d'assurer le respect des dispositions de la loi du 6 janvier 1978 modifiée.
Sur les finalités des traitements :
Les traitements dont le ministre de l'intérieur et le ministre chargé des transports envisagent l'autorisation doivent permettre, aux termes de l'article lei du projet de décret, « de consolider la statistique de sécurité routière, d'analyser l'accidentalité locale et nationale sur une ou plusieurs années et d'évaluer les politiques de sécurité routière dans le temps ».
A cette fin, il est prévu d'autoriser l'Observatoire national interministériel de la sécurité routière (ONISR) ainsi que les observatoires départementaux et régionaux de la sécurité routière (ODSR et ORSR) à enregistrer la version dématérialisée des procès-verbaux des accidents de la circulation routière et à en exploiter le contenu dans le cadre de leurs missions d'analyse statistique et d'évaluation des politiques publiques.
Si la communication aux observatoires de sécurité routière d'une copie des procès-verbaux des accidents de la circulation routière peut être autorisée, en application de l'article Ai du code de procédure pénale, par le procureur de la République ou le juge d'instruction selon les cas, l'exploitation de leur contenu est actuellement compliquée par l'absence de réception de l'ensemble des procès-verbaux et la communication en format papier uniquement de ces documents.
Les traitements envisagés ont vocation à permettre à l'ONISR ainsi qu'aux ODSR et ORSR qui interviennent sous son contrôle de disposer, dans leur version numérisée, de l'ensemble des procès-verbaux des accidents de la circulation routière, par le biais du dispositif existant TransPV, mis en œuvre par l'AGIRA (Association pour la gestion des informations sur le risque en assurance).
Le dispositif TransPV, créé en vue de faciliter et d'accélérer l'indemnisation des victimes d'accidents de la circulation par les sociétés d'assurance automobile, reçoit des services de police et de gendarmerie et adresse chaque jour aux assureurs, sous format PDF, l'ensemble des procès-verbaux d'accidents de la circulation routière.
Le projet de décret doit permettre aux observatoires de sécurité routière, en qualité de tiers autorisés, de bénéficier d'un accès à la plateforme mise en œuvre par la section TransPV, en application de l'article 5-c de la délibération n° 2014-015 du 23 janvier 2014 susvisée de la commission, et de télécharger et d'enregistrer dans leurs propres traitements les procès-verbaux.
La commission prend acte qu'il est nécessaire de télécharger et d'enregistrer localement les procès-verbaux pour accéder à leur contenu car la consultation en ligne de ces documents sur la plateforme TransPV AGIRA n'est pas possible.
Cet accès, qui permettra de disposer d'informations exhaustives est nécessaire aux observatoires pour la réalisation de statistiques et d'analyses fiables, qui sont elles-mêmes indispensables pour affiner leur analyse et permettre l'amélioration des politiques de sécurité routière.
Les informations collectées seront uniquement exploitées à des fins statistiques et pour l'analyse de l'accidentalité, mais ne seront pas utilisées, dans le cadre des traitements envisagés, pour prendre des décisions à l'égard des personnes concernées.
Dès lors, la commission considère que les finalités poursuivies par les traitements envisagés sont conformes aux dispositions de l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Elle considère toutefois que la rédaction de l'article 1er du projet de décret pourrait être utilement modifiée de manière à exprimer expressément l'idée selon laquelle seuls les observatoires de sécurité routière sont autorisés à mettre en œuvre les traitements envisagés, sans que cette limitation ait à être déduite de la dénomination de ces traitements.
Sur les données traitées et leur durée de conservation :
Les données à caractère personnel qui seront enregistrées dans les traitements sont celles qui figurent sur les procès-verbaux des accidents de la circulation routière. Les catégories de données concernées sont définies à l'article 2 du projet de décret, étant précisé que la liste ainsi prévue n'est pas limitative, ce qui est justifié par l'absence de modèle national unique et contraignant de procès-verbal d'accident de la circulation routière qui permettrait d'encadrer strictement le contenu de ces documents.
La commission relève qu'il n'est pas envisagé d'anonymiser ou de pseudonymiser les procès-verbaux, alors même que de nombreuses données figurant dans ces derniers ne sont ni nécessaires ni utiles à la poursuite des finalités des traitements concernés.
Elle prend néanmoins acte que d'importantes difficultés y font aujourd'hui obstacle, notamment le volume des documents concernés, leur format PDF et l'impossible anonymisation ou pseudonymisation automatique des procès-verbaux, en raison de la présence aléatoire d'identifiants personnels inscrits à la main.
Si l'absence d'anonymisation ou de pseudonymisation des procès-verbaux collectés lui semble dès lors envisageable compte tenu des difficultés matérielles rencontrées, des finalités poursuivies et de la circonstance qu'aucune décision ne pourra être prise, dans le cadre des traitements envisagés, à l'égard des personnes concernées, la commission considère toutefois que le choix aujourd'hui effectué devra être réévalué dès que les conditions d'établissement des procès-verbaux ou d'accès à leur contenu par le biais du dispositif TransPV AGIRA auront évolué.
En outre, la commission considère que, dans le cadre de la mise en œuvre des traitements, les procès-verbaux des accidents de la circulation routière dans leur version brute devront être clairement distingués des informations immédiatement utiles, extraites à des fins statistiques ou d'analyse, de sorte que les premiers, après leur utilisation, ne soient consultés qu'exceptionnellement et dans la stricte mesure où les finalités poursuivies le justifient.
Sous ces réserves, la commission considère que les catégories de données mentionnées par le projet de décret doivent être regardées comme adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, conformément à l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Elle relève en outre que l'article 5 du projet de décret prévoit que les données sont conservées pendant une durée de dix ans, ce qui est justifié par le ministère par le fait qu'une meilleure compréhension de l'accidentalité suppose de pouvoir analyser les accidents sur une durée relativement longue, en particulier dans les départements et régions à faible accidentalité. Il fait également valoir que les thématiques d'étude ne peuvent pas toujours être identifiées en avance et que l'émergence de problématiques nouvelles peut imposer d'exploiter des procès-verbaux déjà archivés.
La commission en prend acte, mais considère que la consultation des procès-verbaux archivés, après la première utilisation à des fins statistiques ou d'étude, devra être strictement justifiée au regard des finalités des traitements envisagés. Elle rappelle que la durée de dix ans devra rester une durée maximale de conservation, que les observatoires régionaux ou départementaux devront adapter aux spécificités de l'accidentalité locale.
Sur les destinataires :
L'article 3 du projet de décret prévoit une liste limitative de personnes ayant accès aux données collectées, « à raison de leurs attributions et dans la limite du besoin d'en connaître ».
La commission relève que l'accès aux procès-verbaux des accidents de la circulation routière du secrétaire général de l'ONISR, du préfet de région, pour l'exercice des missions des observatoires régionaux de sécurité routière, et des préfets de département, pour l'exercice des missions des observatoires, est précisément prévu par l'article Ai du code de procédure pénale, sous réserve de l'autorisation du procureur de la République ou du juge d'instruction selon les cas. Il lui apparaît en outre justifié que les agents qui, sous leur autorité, participent à l'accomplissement des missions des observatoires puissent disposer de ce même accès.
Elle souligne toutefois que, pour le secrétaire général de l'ONISR et les préfets comme pour les agents intervenant sous leur autorité, cet accès, dans le cadre des traitements envisagés, ne peut être justifié que dans la mesure où la consultation directe des données contenues dans les procès-verbaux des accidents de la circulation routière est nécessaire à l'accomplissement de leurs missions.
La commission considère que le respect de cette exigence devra faire l'objet d'une vigilance particulière, compte tenu de l'enregistrement de versions non anonymisées des procès-verbaux, notamment quant à la désignation et l'habilitation préalable des agents concernés.
Sur l'information et les droits des personnes concernées :
L'article 6 du projet de décret prévoit que les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée s'exercent auprès du responsable de chaque traitement, c'est-à-dire soit auprès de l'ONISR, soit auprès de l'ODSR ou de l'ORSR concerné.
Il est en revanche prévu d'écarter l'application des droits d'information et d'opposition.
La commission considère, au regard du volume de procès-verbaux concernés et des finalités statistiques poursuivies par les traitements, que l'application des dispositions imposant l'information des intéressés peut être écartée, comme le prévoit l'article 32-III de la loi du 6 janvier 1978 modifiée, en tant qu'une telle information exigerait des efforts disproportionnés par rapport à l'intérêt de la démarche. De même, l'absence d'application du droit d'opposition lui apparaît justifiée.
Sur la sécurité des données et la traçabilité des actions :
L'article 4 du projet de décret prévoit que « le responsable de traitement prend les mesures nécessaires pour préserver la sécurité des données tant à l'occasion de leur recueil, que de leur consultation, leur communication ou de leur conservation ».
La commission rappelle que les mesures prévues par le responsable de traitement pour assurer, conformément à l'article 34 de la loi du 6 janvier 1978 modifiée, la sécurité des données devront être précisément exposées dans le dossier technique de présentation, accompagnant impérativement tout engagement de conformité devant lui être adressé préalablement à la mise en œuvre d'un traitement.
Elle relève que l'article 4 du projet de décret prévoit l'enregistrement de toute opération relative au traitement. Il est prévu que cet enregistrement comprenne l'identification de l'utilisateur, la date et l'heure de l'opération.
La commission recommande que des mesures soient mises en œuvre pour assurer l'intégrité des traces. Elle recommande en outre de réaliser un contrôle de ces traces de manière automatique, afin de détecter les comportements anormaux et lever des alertes.
La commission relève que des sauvegardes quotidiennes sont réalisées. Elle recommande que ces sauvegardes soient chiffrées et testées régulièrement afin de vérifier leur intégrité.
La commission constate que les données sont transmises en clair. Elle considère que des mesures de sécurité appropriées devraient être prises, telles que le chiffrement des données échangées par un algorithme réputé fort afin de garantir la confidentialité. Compte tenu de la sensibilité des données concernées, la commission recommande que les données stockées sur le réseau informatique des observatoires de sécurité routière soient chiffrées. Elle rappelle en tout état de cause la nécessité de mettre en œuvre des conditions de sécurité effectives, de haut niveau et de nature à garantir la confidentialité des données sur l'espace dédié à l'enregistrement des PV chez les tiers. Ces conditions doivent reposer sur des moyens permettant d'assurer l'authentification, la confidentialité et l'intégrité des données ainsi stockées, ainsi qu'une gestion des habilitations permettant d'attribuer les accès aux seules données nécessaires aux destinataires.
L'identification des destinataires sur la plateforme TransPV s'effectue via un certificat nominatif « Radamess » attribué par Agira à partir des coordonnées personnelles des agents des Observatoires. La commission recommande que les permissions d'accès soient attribuées pour une durée déterminée, après validation hiérarchique, qu'elles soient supprimées pour tout utilisateur n'étant plus habilité et qu'une revue globale des habilitations soit opérée régulièrement.
La commission rappelle en outre que, conformément à sa délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe, lorsque l'authentification à une plateforme comprend une information complémentaire, telle qu'un certificat, cette authentification doit être complétée par l'usage d'un mot de passe d'une taille minimum de 5 caractères et qu'une restriction de l'accès au compte soit mise en œuvre. Ces restrictions peuvent prendre la forme d'une ou plusieurs des modalités suivantes :

- une temporisation d'accès au compte après plusieurs échecs, dont la durée augmente exponentiellement dans le temps ; la commission recommande que cette durée soit supérieure à 1 minute après 5 tentatives échouées, et permette de réaliser au maximum 25 tentatives par 24 heures ; et/ou
- un mécanisme permettant de se prémunir contre les soumissions automatisées et intensives de tentatives (p. ex. : « captcha ») ; et/ou un blocage du compte après un nombre d'authentifications échouées consécutives au plus égal à 5.

Ce mot de passe doit en outre être défini ou modifié par l'utilisateur dès la première connexion, puis régulièrement renouvelé et ne doit pas être stocké en clair.
Sous réserve des précédentes observations, les autres mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.