Après avoir entendu M. Eric PERES, commissaire, en son rapport et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
En application des articles L. 121-2 et L. 121-3 du code de la route, le titulaire du certificat d'immatriculation du véhicule est redevable pécuniairement de l'amende encourue pour les contraventions à la réglementation listées aux articles L. 121-2 et R. 121-6 du code de la route.
Dans le cas où le véhicule était loué à un tiers, cette responsabilité pécuniaire incombe au locataire, sous les réserves prévues au premier alinéa de l'article L. 121-2 du code de la route.
En application de l'article L. 121-6 du code de la route, lorsque l'infraction été commise avec un véhicule dont le titulaire du certificat d'immatriculation est une personne morale ou qui est détenu par une personne morale, le représentant légal de cette personne morale doit indiquer, par lettre recommandée avec demande d'avis de réception ou de façon dématérialisée, dans un délai de quarante-cinq jours à compter de l'envoi ou de la remise de l'avis de contravention, à l'autorité mentionnée sur cet avis, l'identité et l'adresse de la personne physique qui conduisait ce véhicule, à moins qu'il n'établisse l'existence d'un vol, d'une usurpation de plaque d'immatriculation ou de tout autre événement de force majeure.
Le fait de contrevenir à l'article L. 121-6, al. 1, du code de la route est puni de l'amende prévue pour les contraventions de la 4e classe.
Pour désigner la personne qui conduisait ou était susceptible de conduire le véhicule, il est possible (i) soit de procéder de manière ponctuelle via le site web de l'ANTAI (« Agence nationale de traitement automatisé des infractions ») ou par lettre recommandée avec accusé de réception, (ii) soit, pour les flottes de plus de 1 000 véhicules, d'automatiser les échanges d'informations de désignation en concluant une convention avec l'ANTAI. Cet échange permet d'interroger les personnes morales titulaires du certificat d'immatriculation ou détentrices du véhicule sur l'identité et les coordonnées du conducteur présumé du véhicule afin de lui envoyer directement l'avis de contravention.
Cette automatisation est prévue par l'arrêté du 13 octobre 2004 modifié portant création du système de contrôle automatisé, aux termes duquel, pour faciliter l'identification des contrevenants et donc le recouvrement des contraventions, ce système peut faire l'objet d'interconnexion, de mise en relation ou de rapprochement avec les traitements relatifs à la gestion :

- des contrats de location et des véhicules loués mis en œuvre par les organismes publics ou privés ayant pour activité la location de véhicules ;
- du parc automobile mis en œuvre par les organismes publics ou privés mettant des véhicules à disposition de leurs collaborateurs ou clients.

Les conditions de cette interconnexion entre des traitements ayant des finalités principales différentes, à savoir, d'une part, automatiser la constatation, la gestion et la répression de certaines infractions routières et, d'autre part, assurer la gestion des contrats de location et du parc automobile, sont prévues par une convention signée avec l'ANTAI.
Dès lors, il y a lieu de faire application :

- d'une part, de l'article 25-I (3°) de la loi du 6 janvier 1978 modifiée qui soumet à autorisation les traitements, automatisés ou non, portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, sauf ceux qui sont mis en œuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées ;
- d'autre part, de l'article 25-I (5°) de la loi du 6 janvier 1978 modifiée qui soumet à autorisation les traitements automatisés ayant pour objet l'interconnexion de fichiers relevant d'une ou de plusieurs personnes morales et dont les finalités principales sont différentes.

En vertu de l'article 25-II de la loi du 6 janvier 1978 susvisée, la commission peut adopter une décision unique d'autorisation pour des traitements répondant notamment aux mêmes finalités, portant sur des catégories de données et des catégories de destinataires identiques.
Le responsable de traitement qui met en œuvre un traitement de données à caractère personnel ayant pour finalités la désignation auprès de l'ANTAI du conducteur du véhicule pour lequel une infraction a été constatée, le suivi de la procédure de recouvrement des contraventions au code de la route, ainsi que la réalisation de statistiques, notamment en vue d'adapter les formations de prévention routière, dans le respect des dispositions de cette décision unique, adresse à la Commission un engagement de conformité de celui-ci aux caractéristiques de la présente autorisation.
Décide que les responsables de traitement qui adressent à la commission une déclaration comportant un engagement de conformité pour leurs traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisés à mettre en œuvre ces traitements.

Finalités du traitement.
Seuls peuvent faire l'objet d'un engagement de conformité en référence à la présente décision unique les traitements mis en œuvre par les organismes publics ou privés louant ou mettant des véhicules à disposition (notamment de leurs collaborateurs ou clients), qu'ils soient ou non titulaires du certificat d'immatriculation desdits véhicules, aux fins de :

- désigner auprès de l'ANTAI la personne qui conduisait ou était susceptible de conduire le véhicule lorsque l'infraction a été constatée ;
- suivre la procédure de recouvrement des contraventions au code de la route dont peuvent être redevables pécuniairement les organismes publics ou privés susvisés ;
- réaliser des statistiques anonymes (analyses statistiques des types d'infractions routières et des sinistres), notamment en vue d'adapter les formations de prévention routière.

Données à caractère personnel traitées.

1. Les seules données à caractère personnel pouvant être transmises à l'ANTAI dans le cadre de la procédure de désignation sont :
   i. Les données relatives à la personne qui conduisait ou était susceptible de conduire le véhicule lorsque la contravention a été constatée :
   a. le nom, le nom d'usage, le(s) prénom(s), le sexe et, le cas échéant, la civilité de la personne ;
   b. la date et le lieu de naissance ;
   c. la nationalité ;
   d. l'adresse postale et, le cas échéant, l'adresse électronique ;
   e. le cas échéant, la fonction de la personne ;
   f. le numéro, la date et le lieu d'obtention du permis de conduire ;
   g. le numéro d'immatriculation du véhicule concerné.
   ii. Les autres données suivantes :
   a. le nom, le prénom et les coordonnées du représentant du responsable de traitement et, le cas échéant, d'un contact au sein de l'organisme concerné ;
   b. le numéro et la date de l'avis de contravention ;
   c. le cas échéant, la date et heure du début de location et la date et heure de fin de location ;
   d. le cas échéant, la date et heure de l'infraction ;
   e. le cas échéant, la copie de l'avis de contravention.
2. Les seules données à caractère personnel traitées par le responsable de traitement au titre du suivi de la procédure de recouvrement des contraventions au code de la route sont :
3. la copie du formulaire de requête en exonération, ainsi que de l'ensemble des documents envoyés à l'ANTAI ;
4. le numéro, la date et l'heure du contrat de location ou de mise à disposition du véhicule ;
5. le montant de la contravention.
   La copie du permis de conduire ne saurait être demandée par le responsable de traitement pour l'une des finalités précitées.
   Le responsable de traitement peut également réaliser des statistiques anonymes sur la base de données traitées ne permettant en aucun cas d'établir un lien entre un conducteur et la commission d'infractions.

Destinataires des données.
Dans le cadre de la procédure de désignation, le destinataire des données à caractère personnel précitées est l'ANTAI.

Durée de conservation des données.
Dans le cadre de la procédure de désignation, les responsables de traitement peuvent conserver dans leur base active les données précitées le temps de procéder à la désignation, qui ne saurait en tout état de cause excéder quarante-cinq jours à compter de la réception de l'avis de contravention. A l'issue de cette période, les données peuvent être archivées, en archivage intermédiaire, au maximum le temps de la prescription en matière contraventionnelle, à savoir douze mois.
Les données anonymisées peuvent être conservées sans limitation de durée. A cet égard, le G29 a adopté un avis le 10 avril 2014 sur les techniques d'anonymisation, contenant des lignes directrices sur les critères d'anonymisation.
Dans l'hypothèse d'une désignation automatisée et de la conclusion d'une convention avec l'ANTAI, les traces des requêtes effectuées par l'ANTAI sur les conducteurs de véhicules ayant commis une infraction au code de la route sont détruites après le retour d'information à l'ANTAI. En aucun cas les organismes publics ou privés visés à l'article 1er ne peuvent garder trace de ces requêtes, les consolider ou les archiver.

Sécurité des données.
Le responsable du traitement prend toutes précautions utiles au regard des risques présentés par le traitement pour préserver la sécurité et la confidentialité des données traitées. Il doit, notamment au moment de leur collecte, durant leur transmission et leur conservation, empêcher qu'elles soient déformées, endommagées ou que des tiers non autorisés puissent en prendre connaissance.
A cet égard, le responsable de traitement doit notamment s'assurer :

- que les utilisateurs s'authentifient avec un identifiant et un mot de passe respectant les recommandations de la CNIL, ou par tout autre moyen d'authentification apportant au moins le même niveau de sécurité ;
- qu'un mécanisme de gestion des habilitations régulièrement mis à jour permet de garantir que seules les personnes habilitées peuvent accéder aux données nécessaires à la réalisation de leurs missions ;
- que les mesures techniques adéquates garantissent la sécurité des données stockées ou échangées, en particulier lors d'échanges sur internet ;
- de la mise en place d'un mécanisme de journalisation des accès à l'application, le cas échéant, et des opérations effectuées et de la conservation des données de journalisation pendant une durée de six mois glissants.

S'agissant des traitements d'identification des conducteurs mis en œuvre dans le cadre de l'arrêté du 13 octobre 2004 précité, les contraintes techniques d'échange informatique ainsi que les mesures destinées à assurer la sécurité des systèmes d'information des données et des mécanismes d'échange doivent être mises en œuvre dans les conditions prévues par la convention à signer avec l'ANTAI.
La commission rappelle enfin que l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.

Information des personnes.
Le responsable du traitement procède, conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée en août 2004, à l'information des personnes susceptibles d'être concernées par la diffusion à chacune d'entre elles d'une note explicative pouvant figurer, le cas échéant, dans le contrat de location ou de prêt du véhicule.
Par ailleurs, les organismes publics ou privés mettant des véhicules à disposition de leurs collaborateurs veillent également, conformément aux dispositions du code du travail et à la législation applicable aux trois fonctions publiques, à l'information et, le cas échéant, à la consultation des instances représentatives du personnel compétentes avant la mise en œuvre des traitements visés à l'article 1er.

Exercice des droits des personnes.
Les droits des personnes à l'égard des traitements de données, définis au chapitre V de la loi du 6 janvier 1978 modifiée, s'exercent auprès du ou des services que le responsable de traitement aura désignés.

Dispositions transitoires.
La présente délibération modifie la délibération n° 2016-036 du 11 février 2016 portant autorisation unique de mise en œuvre de traitements automatisés de données à caractère personnel relatifs à la gestion du contentieux lié au recouvrement des contraventions au code de la route et à l'identification des conducteurs dans le cadre du système de contrôle automatisé des infractions au code de la route, abrogeant la délibération n° 2006-188 du 6 juillet 2006 (décision d'autorisation unique n° AU-010).
Les organismes privés et publics ayant effectué un engagement de conformité à cette autorisation unique et qui ne respectent plus les conditions fixées par la présente norme disposent d'un délai de six mois à compter de la publication de la présente délibération pour mettre en conformité leur traitement avec la présente délibération dans les formes prescrites par les articles 25-I (3°), 25-I (5°) et 30 de la loi du 6 janvier 1978 modifiée.
Tout traitement automatisé de données à caractère personnel relatif à la gestion de la procédure de recouvrement des contraventions au code de la route qui n'est pas conforme aux dispositions qui précèdent doit faire l'objet d'une demande d'autorisation auprès de la commission dans les formes prescrites par les articles 25-I (3°), 25-I (5°) et 30 de la loi du 6 janvier 1978 modifiée.

Publication.
La présente délibération sera publiée au Journal officiel de la République française.