Retour à la section

Délibération n°2017-348 du 21 décembre 2017

JORF n°0019 du 24 janvier 2018

La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet d'arrêté portant création d'un traitement automatisé de données à caractère personnel dénommé « système d'information de la commission du contentieux du stationnement payant » ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-II-4° ;
Vu la loi n° 2014-58 du 27 janvier 2014 de modernisation de l'action publique territoriale et d'affirmation des métropoles, notamment son article 63 ;
Vu la loi n° 2015-991 du 7 août 2015 portant nouvelle organisation territoriale de la République ;
Vu l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu l'ordonnance n° 2015-45 du 23 janvier 2015 relative à la commission du contentieux du stationnement payant ;
Vu l'ordonnance n° 2015-401 du 9 avril 2015 relative à la gestion, au recouvrement et à la contestation du forfait de post-stationnement prévu à l'article L. 2333-87 du code général des collectivités territoriales ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu le décret n° 2015-557 du 20 mai 2015 relatif à la redevance de stationnement des véhicules sur voirie prévue à l'article L. 2333-87 du code général des collectivités territoriales ;
Vu le décret n° 2015-646 du 10 juin 2015 relatif à la commission du contentieux du stationnement payant ;
Vu le décret n° 2015-1474 du 12 novembre 2015 relatif au recouvrement du forfait de post-stationnement impayé et de la majoration qui lui est appliquée ;
Vu le décret n° 2017-1525 du 2 novembre 2017 modifiant les dispositions réglementaires du code général des collectivités territoriales relatives à la redevance de stationnement des véhicules sur voirie et à la commission du contentieux du stationnement payant ;
Vu le dossier et ses compléments ;
Sur la proposition de M. Jean-François CARREZ, commissaire, après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie pour avis, par le ministère de l'intérieur, d'un projet d'arrêté portant création d'un traitement automatisé de données à caractère personnel dénommé « système d'information de la commission du contentieux du stationnement payant » (SI CCSP).
Ce projet d'arrêté a pour objet la création d'un téléservice qui doit permettre la saisine par voie électronique de la commission du contentieux du stationnement payant (CCSP) ainsi que l'échange dématérialisé de pièces et d'informations entre les parties aux litiges. Le traitement projeté doit également permettre une instruction entièrement dématérialisée des dossiers par les agents de la CCSP, quel que soit le mode de saisine utilisé. Conformément aux dispositions de l'article 27-11-4° de la loi du 6 janvier 1978 modifiée, le traitement projeté doit être autorisé par arrêté du ministre de l'intérieur, pris après avis motivé et publié de la Commission.
Sur la finalité du traitement :
La loi du 27 janvier 2014 de modernisation de l'action publique territoriale et d'affirmation des métropoles (MAPTAM) porte dépénalisation et décentralisation du stationnement payant. A compter de l'entrée en vigueur des dispositions concernées, le 1er janvier 2018, l'absence et l'insuffisance de paiement du stationnement ne constitueront plus des infractions pénales. De plus, il appartiendra au conseil municipal ou à l'organe délibérant de l'établissement public de coopération intercommunale ou du syndicat mixte qui le souhaite d'instituer une redevance de stationnement, ainsi que le tarif du forfait de post-stationnement dû en cas d'absence ou d'insuffisance de paiement.
Cette même loi prévoit que le contentieux lié aux forfaits de post-stationnement relève d'une juridiction administrative spécialisée dénommée « commission du contentieux du stationnement payant » (CCSP). Les règles d'organisation et de fonctionnement de cette commission ont été fixées par le décret susvisé du 10 juin 2015, qui dispose que la CCSP peut notamment être saisie par voie électronique. Ce mode de saisine et d'échanges avec la commission du contentieux, aujourd'hui facultatif pour l'ensemble des parties aux litiges, deviendra obligatoire à compter du 1er juillet 2018 pour les avocats et les collectivités de plus de 3 500 habitants, lesquelles seront tenues d'adresser leurs mémoires par voie électronique.
Dans ce contexte, l'article 1er du projet d'arrêté prévoit que le ministre de l'intérieur est autorisé à mettre en œuvre un traitement dénommé « système d'information de la commission du contentieux du stationnement payant ».
Le greffe de la CCSP est chargé de la mise en œuvre de ce traitement qui a pour finalité de permettre à un requérant, ou son avocat, de saisir la commission du contentieux du stationnement payant par voie électronique pour contester :

- la décision individuelle rendue à l'issue du recours administratif préalable obligatoire contre l'avis de paiement du forfait de post-stationnement établi à son encontre ;
- le titre exécutoire émis à son endroit lorsque le forfait de post-stationnement n'est pas réglé en intégralité dans les trois mois suivant la notification de l'avis de paiement.

Ce même article prévoit également que le traitement « SI CCSP » a pour objet de permettre l'instruction des requêtes par la CCSP, ainsi que l'échange dématérialisé de pièces et d'informations entre la commission du contentieux et les parties aux litiges, et la notification, par voie électronique, aux parties aux litiges de la décision rendue par la CCSP.
Le traitement « SI CCSP » a ainsi pour objet de permettre à la commission du contentieux du stationnement payant d'exercer l'ensemble de ses missions. Il participe en outre de l'objectif général de simplification des démarches administratives par le recours à une procédure entièrement dématérialisée.
Compte tenu de ces éléments, la Commission considère que les finalités poursuivies par ce traitement sont déterminées, explicites et légitimes, au sens de l'article 6-2° de la loi du 6 janvier 1978 modifiée.
Sur la nature des données traitées :
L'article 2 du projet d'arrêté renvoie à une annexe, laquelle énumère les données personnelles traitées. Ces données concernent :

- la création du compte sur le site Internet « www.ccsp.fr » (qualité, nom et prénom, adresses postale et électronique, numéro de téléphone) ;
- l'objet du recours (notamment le numéro d'immatriculation du véhicule, la copie de l'avis de paiement du forfait de post-stationnement contesté, les éléments relatifs au recours préalable obligatoire ou encore un extrait du titre exécutoire) ;
- les parties aux litiges (nom et prénom, date et lieu de naissance, adresses postale et électronique, numéro de téléphone et signature pour les personnes physiques) ;
- les représentants légaux et avocats des parties aux litiges (qualité, nom et prénom, adresses postale et électronique, numéro de téléphone).

La Commission relève que le décret susmentionné du 10 juin 2015 prévoit d'ores et déjà que certaines des catégories de données personnelles et informations énumérées dans la présente annexe doivent figurer dans la requête, sous peine d'irrecevabilité.
En revanche, parmi les données personnelles non listées dans ce même décret mais dont la collecte est prévue par l'annexe du projet d'arrêté, figurent le numéro de téléphone et l'adresse électronique de la personne qui a créé le compte sur le site Internet « www.ccsp.fr » ainsi que du requérant. A cet égard, la Commission prend acte du fait que la collecte de l'adresse électronique est obligatoire, car cette donnée est utilisée dans le processus de création du compte, tandis que la collecte du numéro de téléphone est facultative. Elle rappelle l'obligation qui incombe au responsable de traitement d'informer les personnes concernées du caractère facultatif de cette collecte et invite le ministère à prendre les mesures de nature à garantir cette information.
En outre, la Commission relève que l'annexe du projet d'arrêté ne prévoit pas, parmi les catégories de données traitées, deux éléments qui sont pourtant nécessaires à l'authentification de l'usager, à savoir son mot de passe et, dans l'hypothèse d'un recours au dispositif FranceConnect, la clé de fédération correspondant à son identité. Elle estime que ces catégories de données devraient figurer dans la liste des données prévue par l'annexe du projet d'arrêté.
Sous cette réserve, la Commission considère que les données personnelles traitées dans le système d'information de la commission du contentieux du stationnement payant sont adéquates, pertinentes et non excessives au regard des finalités poursuivies, conformément aux dispositions de l'article 6-3° de la loi « Informatique et Libertés ».
Sur la durée de conservation des données :
L'article 3 du projet d'arrêté dispose que les données relatives à la création d'un compte sur le site Internet « www.ccsp.fr » sont conservées un an à compter du dernier échange dématérialisé intervenu entre la CCSP et le requérant. Toutefois, si la commission du contentieux n'est pas saisie d'une requête dans un délai d'un mois à compter de la création du compte, ces données sont supprimées au terme de ce délai.
Ce même article prévoit que les autres données sont conservées pendant cinq ans à compter de la date de la décision de la CCSP rendue sur le litige, ce qui correspond au délai durant lequel des recours en révision peuvent être formés par les justiciables contre les décisions de la CCSP.
La Commission considère que les durées de conservation prévues par le projet d'arrêté n'excèdent pas les durées nécessaires au regard des finalités poursuivies par le traitement, conformément aux dispositions de l'article 6-5° de la loi du 6 janvier 1978 modifiée.
Sur les accédants et destinataires des données :
L'article 4 du projet d'arrêté prévoit qu'ont accès aux données traitées, à raison de leurs attributions et dans la limite du besoin d'en connaître, les magistrats de la CCSP, les agents du greffe de la CCSP ainsi que les agents des services informatiques de la CCSP.
En outre, ce même article prévoit que peuvent être rendus destinataires des données traitées, à raison de leurs attributions et dans la limite du besoin d'en connaître :

- les agents de l'Agence nationale de traitement automatisé des infractions (ANTAI), dans les cas de recours contre les titres exécutoires, pour les seules données à caractère personnel et informations relatives à l'identité du requérant, au numéro de l'avis de paiement du forfait de post-stationnement contesté et au sens de la décision rendue par la CCSP ;
- les agents des collectivités territoriales, ou leur avocat le cas échéant, pour les seules données relatives à l'identité du requérant, au numéro de l'avis de paiement du forfait de post-stationnement ou du titre exécutoire et au montant à rembourser au requérant le cas échéant ;
- les agents de la direction générale des finances publiques, dans l'hypothèse où les décisions de la CCSP sont favorables aux requérants, pour les seules données relatives à l'identité du requérant, au numéro de l'avis de paiement du forfait de post-stationnement ou du titre exécutoire et au montant à rembourser au requérant le cas échéant ;
- les agents de l'unité de production du Centre national de production des titres (CNPT) ;
- les agents de l'Imprimerie nationale ;
- les membres du Conseil d'Etat pour les seules données relatives aux recours dont ils sont saisis ;
- les requérants et leurs avocats, le cas échéant, pour les seules données relatives aux recours les concernant.

La Commission rappelle que le destinataire, au sens de l'article 3-II de la loi du 6 janvier 1978 modifiée, est toute personne habilitée à recevoir communication des données personnelles traitées autre que la personne concernée, le responsable de traitement, le sous-traitant et les personnes qui, en raison de leurs missions, sont chargées de traiter les données. A cet égard, elle prend acte que, à sa demande, le ministère entend modifier la rédaction du projet d'arrêté afin de supprimer de la liste des destinataires des données les requérants et leurs avocats qui, s'agissant d'un téléservice, auront naturellement accès aux données les concernant via leur compte.
De même, elle prend également acte que les agents de l'unité de production du CNPT, qui sont chargés de la numérisation des dossiers papiers reçus par la CCSP, et les agents de l'Imprimerie nationale, qui procèdent à l'impression de la correspondance de la CCSP à envoyer aux justiciables, seront supprimés de la liste des destinataires dans la mesure où il s'agit de sous-traitants agissant pour le compte du responsable de traitement.
Dans ces conditions, la liste des accédants et destinataires des données n'appelle pas d'observation de la part de la Commission.
Sur l'information et les droits des personnes :
La Commission prend acte qu'il est prévu une information des personnes concernées sur le formulaire de requête, dans sa version dématérialisée comme dans sa version papier, ainsi que sur le site web. A cet égard, elle rappelle la nécessité que cette information porte sur l'ensemble des mentions prévues à l'article 32 de la loi « Informatique et Libertés ».
Dans la mesure où la saisine par voie électronique est facultative, hors le cas des avocats et de certaines collectivités à compter du ler juillet 2018, la Commission souligne l'importance de délivrer une information claire et complète aux requérants quant à la possibilité qui leur est offerte de saisir la CCSP par d'autres voies (postale, de télécopie ou par le dépôt de la requête directement auprès du greffe de la commission du contentieux).
A cet égard, elle prend acte de l'engagement du ministère de présenter les différents modes de saisine de la CCSP sur le site www.ccsp.fr, dans la notice de renseignement qui accompagnera le formulaire et qui sera disponible sur le site de la juridiction, ainsi que sur différents imprimés, tels que l'avis de paiement rectificatif du forfait de post-stationnement (émis à la suite d'un recours administratif préalable obligatoire) et l'avertissement adressé en cas de non-paiement du forfait de post-stationnement dans le délai de trois mois.
En outre, la Commission relève que le ministère entend permettre à tout requérant qui n'aurait pas choisi la voie dématérialisée lors de la saisine de passer au mode numérique à tout moment de la procédure s'il le souhaite. A cet égard, elle prend acte de l'engagement du ministère de permettre au requérant, au stade du dépôt de la requête, dans le formulaire papier, de choisir la voie numérique pour ses échanges à venir avec la CCSP en cochant la case correspondante. Elle prend également acte du fait que, pendant l'instance, le requérant peut passer à la voie numérique en informant le greffe par la voie d'un courrier. La Commission appelle l'attention du ministère de conserver une trace de ce consentement dans le traitement SI CCSP.
S'agissant des droits d'accès et de rectification prévus par les articles 39 et 40 de la loi du 6 janvier 1978 modifiée, l'article 6 dispose que ces droits s'exercent auprès du chef de greffe de la commission du contentieux du stationnement payant. Les modalités d'exercice de ces droits figurent sur le site internet « www.ccsp.fr » et sur le formulaire de requête en ligne à cet effet.
Par ailleurs, la Commission appelle l'attention du ministère sur l'obligation qui incombe au responsable de traitement qui a collecté des données personnelles par voie électronique de permettre à toute personne d'exercer ses droits, notamment son droit de rectification, également par voie électronique, conformément à l'article 43 bis de la loi du 6 janvier 1978 modifiée.
En outre, la Commission rappelle que, si les droits d'accès et de rectification institués par la loi peuvent permettre au requérant de se faire communiquer et de faire modifier les données le concernant qui font l'objet d'un traitement, il ne saurait lui permettre d'obtenir la communication ou la modification de l'ensemble des documents qui mentionnent son identité et dont la transmission et la rectification sont régies par les règles particulières de communication de pièces applicable à la procédure en cours devant la CCSP.
Le ministère entend enfin faire application du dernier alinéa de l'article 38 de la loi susmentionnée en excluant le droit d'opposition. A cet égard, la Commission rappelle que cette disposition n'a pas pour effet de rendre obligatoire la saisine par voie électronique et que l'exclusion du droit d'opposition ne porte que sur le traitement dématérialisé de l'ensemble des requêtes. Sous cette réserve, l'exclusion du droit d'opposition n'appelle pas d'observation particulière de la Commission.
Sur la sécurité des données et la traçabilité des actions :
Concernant les mesures de traçabilité, une journalisation des opérations de création, consultation et modification des données est mise en place. L'article 5 du projet d'arrêté prévoit que l'identifiant de leur auteur, ainsi que la date, l'heure et l'objet de l'opération seront conservés un an. A cet égard, la Commission considère, en l'état des éléments dont elle dispose, qu'une durée de conservation de 6 mois serait suffisante pour répondre à l'objectif poursuivi.
La Commission prend acte que des mécanismes de purge des données seront mis en place afin de garantir leur suppression effective à l'issue des durées de conservation précisées dans le projet d'arrêté.
Concernant les besoins de sécurité identifiés par le ministère dans son étude des risques présentés par le traitement, la Commission regrette que les impacts sur les personnes n'aient pas été explicitement pris en compte.
Elle rappelle que, le traitement étant un téléservice au sens de l'ordonnance du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, il doit être conforme au référentiel général de sécurité prévu par le décret susvisé du 2 février 2010 et doit, à ce titre, faire l'objet d'une analyse de risque incluant les risques pesant sur les personnes concernées afin de garantir que les mesures mises en œuvre permettent de limiter efficacement les risques pour ces personnes. Elle rappelle également qu'il appartient au responsable de traitement d'attester formellement de l'acceptation du niveau de sécurité du téléservice au travers d'une homologation RGS et d'en publier l'attestation d'homologation sur son site.
La Commission relève que les modalités de chiffrement des données sont conformes au référentiel général de sécurité et que le site web sur lequel le téléservice sera mis à disposition sera développé en suivant les recommandations pour les sites web de l'ANSSI.
Les accès au traitement se font via le protocole HTTPS, qui permet de garantir la confidentialité des données échangées ainsi que l'authentification du responsable de traitement. Concernant le recours à ce protocole, la Commission recommande d'utiliser la version de TLS la plus récente.
Concernant les échanges de données à caractère personnel réalisés avec les destinataires et sous-traitants (l'ANTAI, la CNPT et l'Imprimerie nationale), la Commission rappelle que ceux-ci doivent faire l'objet de mesures de chiffrement permettant de garantir la confidentialité des communications, ainsi que l'authentification de l'émetteur et du destinataire.
La Commission prend acte des engagements du ministère qui prévoit de mettre en œuvre une politique de mot de passe conforme à la délibération du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe et de recourir à des certificats électroniques via la carte « agent » du ministère de l'intérieur.
Elle prend également acte que les personnes physiques pourront recourir au mécanisme d'authentification proposé par France Connect afin de se connecter au téléservice, mais que ce mode d'accès ne sera pas exclusif.
Elle observe en outre que le protocole DNSSEC sera mis en œuvre afin de sécuriser la gestion des domaines utilisés par le téléservice.
La Commission estime que les mesures de sécurité décrites sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. Elle rappelle néanmoins que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.

1 version

Historique des versions

Version 1

La Commission nationale de l'informatique et des libertés,

Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet d'arrêté portant création d'un traitement automatisé de données à caractère personnel dénommé « système d'information de la commission du contentieux du stationnement payant » ;

Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-II-4° ;

Vu la loi n° 2014-58 du 27 janvier 2014 de modernisation de l'action publique territoriale et d'affirmation des métropoles, notamment son article 63 ;

Vu la loi n° 2015-991 du 7 août 2015 portant nouvelle organisation territoriale de la République ;

Vu l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;

Vu l'ordonnance n° 2015-45 du 23 janvier 2015 relative à la commission du contentieux du stationnement payant ;

Vu l'ordonnance n° 2015-401 du 9 avril 2015 relative à la gestion, au recouvrement et à la contestation du forfait de post-stationnement prévu à l'article L. 2333-87 du code général des collectivités territoriales ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret n° 2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;

Vu le décret n° 2015-557 du 20 mai 2015 relatif à la redevance de stationnement des véhicules sur voirie prévue à l'article L. 2333-87 du code général des collectivités territoriales ;

Vu le décret n° 2015-646 du 10 juin 2015 relatif à la commission du contentieux du stationnement payant ;

Vu le décret n° 2015-1474 du 12 novembre 2015 relatif au recouvrement du forfait de post-stationnement impayé et de la majoration qui lui est appliquée ;

Vu le décret n° 2017-1525 du 2 novembre 2017 modifiant les dispositions réglementaires du code général des collectivités territoriales relatives à la redevance de stationnement des véhicules sur voirie et à la commission du contentieux du stationnement payant ;

Vu le dossier et ses compléments ;

Sur la proposition de M. Jean-François CARREZ, commissaire, après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,

Emet l'avis suivant :

La Commission nationale de l'informatique et des libertés a été saisie pour avis, par le ministère de l'intérieur, d'un projet d'arrêté portant création d'un traitement automatisé de données à caractère personnel dénommé « système d'information de la commission du contentieux du stationnement payant » (SI CCSP).

Ce projet d'arrêté a pour objet la création d'un téléservice qui doit permettre la saisine par voie électronique de la commission du contentieux du stationnement payant (CCSP) ainsi que l'échange dématérialisé de pièces et d'informations entre les parties aux litiges. Le traitement projeté doit également permettre une instruction entièrement dématérialisée des dossiers par les agents de la CCSP, quel que soit le mode de saisine utilisé. Conformément aux dispositions de l'article 27-11-4° de la loi du 6 janvier 1978 modifiée, le traitement projeté doit être autorisé par arrêté du ministre de l'intérieur, pris après avis motivé et publié de la Commission.

Sur la finalité du traitement :

La loi du 27 janvier 2014 de modernisation de l'action publique territoriale et d'affirmation des métropoles (MAPTAM) porte dépénalisation et décentralisation du stationnement payant. A compter de l'entrée en vigueur des dispositions concernées, le 1er janvier 2018, l'absence et l'insuffisance de paiement du stationnement ne constitueront plus des infractions pénales. De plus, il appartiendra au conseil municipal ou à l'organe délibérant de l'établissement public de coopération intercommunale ou du syndicat mixte qui le souhaite d'instituer une redevance de stationnement, ainsi que le tarif du forfait de post-stationnement dû en cas d'absence ou d'insuffisance de paiement.

Cette même loi prévoit que le contentieux lié aux forfaits de post-stationnement relève d'une juridiction administrative spécialisée dénommée « commission du contentieux du stationnement payant » (CCSP). Les règles d'organisation et de fonctionnement de cette commission ont été fixées par le décret susvisé du 10 juin 2015, qui dispose que la CCSP peut notamment être saisie par voie électronique. Ce mode de saisine et d'échanges avec la commission du contentieux, aujourd'hui facultatif pour l'ensemble des parties aux litiges, deviendra obligatoire à compter du 1er juillet 2018 pour les avocats et les collectivités de plus de 3 500 habitants, lesquelles seront tenues d'adresser leurs mémoires par voie électronique.

Dans ce contexte, l'article 1er du projet d'arrêté prévoit que le ministre de l'intérieur est autorisé à mettre en œuvre un traitement dénommé « système d'information de la commission du contentieux du stationnement payant ».

Le greffe de la CCSP est chargé de la mise en œuvre de ce traitement qui a pour finalité de permettre à un requérant, ou son avocat, de saisir la commission du contentieux du stationnement payant par voie électronique pour contester :

- la décision individuelle rendue à l'issue du recours administratif préalable obligatoire contre l'avis de paiement du forfait de post-stationnement établi à son encontre ;

- le titre exécutoire émis à son endroit lorsque le forfait de post-stationnement n'est pas réglé en intégralité dans les trois mois suivant la notification de l'avis de paiement.

Ce même article prévoit également que le traitement « SI CCSP » a pour objet de permettre l'instruction des requêtes par la CCSP, ainsi que l'échange dématérialisé de pièces et d'informations entre la commission du contentieux et les parties aux litiges, et la notification, par voie électronique, aux parties aux litiges de la décision rendue par la CCSP.

Le traitement « SI CCSP » a ainsi pour objet de permettre à la commission du contentieux du stationnement payant d'exercer l'ensemble de ses missions. Il participe en outre de l'objectif général de simplification des démarches administratives par le recours à une procédure entièrement dématérialisée.

Compte tenu de ces éléments, la Commission considère que les finalités poursuivies par ce traitement sont déterminées, explicites et légitimes, au sens de l'article 6-2° de la loi du 6 janvier 1978 modifiée.

Sur la nature des données traitées :

L'article 2 du projet d'arrêté renvoie à une annexe, laquelle énumère les données personnelles traitées. Ces données concernent :

- la création du compte sur le site Internet « www.ccsp.fr » (qualité, nom et prénom, adresses postale et électronique, numéro de téléphone) ;

- l'objet du recours (notamment le numéro d'immatriculation du véhicule, la copie de l'avis de paiement du forfait de post-stationnement contesté, les éléments relatifs au recours préalable obligatoire ou encore un extrait du titre exécutoire) ;

- les parties aux litiges (nom et prénom, date et lieu de naissance, adresses postale et électronique, numéro de téléphone et signature pour les personnes physiques) ;

- les représentants légaux et avocats des parties aux litiges (qualité, nom et prénom, adresses postale et électronique, numéro de téléphone).

La Commission relève que le décret susmentionné du 10 juin 2015 prévoit d'ores et déjà que certaines des catégories de données personnelles et informations énumérées dans la présente annexe doivent figurer dans la requête, sous peine d'irrecevabilité.

En revanche, parmi les données personnelles non listées dans ce même décret mais dont la collecte est prévue par l'annexe du projet d'arrêté, figurent le numéro de téléphone et l'adresse électronique de la personne qui a créé le compte sur le site Internet « www.ccsp.fr » ainsi que du requérant. A cet égard, la Commission prend acte du fait que la collecte de l'adresse électronique est obligatoire, car cette donnée est utilisée dans le processus de création du compte, tandis que la collecte du numéro de téléphone est facultative. Elle rappelle l'obligation qui incombe au responsable de traitement d'informer les personnes concernées du caractère facultatif de cette collecte et invite le ministère à prendre les mesures de nature à garantir cette information.

En outre, la Commission relève que l'annexe du projet d'arrêté ne prévoit pas, parmi les catégories de données traitées, deux éléments qui sont pourtant nécessaires à l'authentification de l'usager, à savoir son mot de passe et, dans l'hypothèse d'un recours au dispositif FranceConnect, la clé de fédération correspondant à son identité. Elle estime que ces catégories de données devraient figurer dans la liste des données prévue par l'annexe du projet d'arrêté.

Sous cette réserve, la Commission considère que les données personnelles traitées dans le système d'information de la commission du contentieux du stationnement payant sont adéquates, pertinentes et non excessives au regard des finalités poursuivies, conformément aux dispositions de l'article 6-3° de la loi « Informatique et Libertés ».

Sur la durée de conservation des données :

L'article 3 du projet d'arrêté dispose que les données relatives à la création d'un compte sur le site Internet « www.ccsp.fr » sont conservées un an à compter du dernier échange dématérialisé intervenu entre la CCSP et le requérant. Toutefois, si la commission du contentieux n'est pas saisie d'une requête dans un délai d'un mois à compter de la création du compte, ces données sont supprimées au terme de ce délai.

Ce même article prévoit que les autres données sont conservées pendant cinq ans à compter de la date de la décision de la CCSP rendue sur le litige, ce qui correspond au délai durant lequel des recours en révision peuvent être formés par les justiciables contre les décisions de la CCSP.

La Commission considère que les durées de conservation prévues par le projet d'arrêté n'excèdent pas les durées nécessaires au regard des finalités poursuivies par le traitement, conformément aux dispositions de l'article 6-5° de la loi du 6 janvier 1978 modifiée.

Sur les accédants et destinataires des données :

L'article 4 du projet d'arrêté prévoit qu'ont accès aux données traitées, à raison de leurs attributions et dans la limite du besoin d'en connaître, les magistrats de la CCSP, les agents du greffe de la CCSP ainsi que les agents des services informatiques de la CCSP.

En outre, ce même article prévoit que peuvent être rendus destinataires des données traitées, à raison de leurs attributions et dans la limite du besoin d'en connaître :

- les agents de l'Agence nationale de traitement automatisé des infractions (ANTAI), dans les cas de recours contre les titres exécutoires, pour les seules données à caractère personnel et informations relatives à l'identité du requérant, au numéro de l'avis de paiement du forfait de post-stationnement contesté et au sens de la décision rendue par la CCSP ;

- les agents des collectivités territoriales, ou leur avocat le cas échéant, pour les seules données relatives à l'identité du requérant, au numéro de l'avis de paiement du forfait de post-stationnement ou du titre exécutoire et au montant à rembourser au requérant le cas échéant ;

- les agents de la direction générale des finances publiques, dans l'hypothèse où les décisions de la CCSP sont favorables aux requérants, pour les seules données relatives à l'identité du requérant, au numéro de l'avis de paiement du forfait de post-stationnement ou du titre exécutoire et au montant à rembourser au requérant le cas échéant ;

- les agents de l'unité de production du Centre national de production des titres (CNPT) ;

- les agents de l'Imprimerie nationale ;

- les membres du Conseil d'Etat pour les seules données relatives aux recours dont ils sont saisis ;

- les requérants et leurs avocats, le cas échéant, pour les seules données relatives aux recours les concernant.

La Commission rappelle que le destinataire, au sens de l'article 3-II de la loi du 6 janvier 1978 modifiée, est toute personne habilitée à recevoir communication des données personnelles traitées autre que la personne concernée, le responsable de traitement, le sous-traitant et les personnes qui, en raison de leurs missions, sont chargées de traiter les données. A cet égard, elle prend acte que, à sa demande, le ministère entend modifier la rédaction du projet d'arrêté afin de supprimer de la liste des destinataires des données les requérants et leurs avocats qui, s'agissant d'un téléservice, auront naturellement accès aux données les concernant via leur compte.

De même, elle prend également acte que les agents de l'unité de production du CNPT, qui sont chargés de la numérisation des dossiers papiers reçus par la CCSP, et les agents de l'Imprimerie nationale, qui procèdent à l'impression de la correspondance de la CCSP à envoyer aux justiciables, seront supprimés de la liste des destinataires dans la mesure où il s'agit de sous-traitants agissant pour le compte du responsable de traitement.

Dans ces conditions, la liste des accédants et destinataires des données n'appelle pas d'observation de la part de la Commission.

Sur l'information et les droits des personnes :

La Commission prend acte qu'il est prévu une information des personnes concernées sur le formulaire de requête, dans sa version dématérialisée comme dans sa version papier, ainsi que sur le site web. A cet égard, elle rappelle la nécessité que cette information porte sur l'ensemble des mentions prévues à l'article 32 de la loi « Informatique et Libertés ».

Dans la mesure où la saisine par voie électronique est facultative, hors le cas des avocats et de certaines collectivités à compter du ler juillet 2018, la Commission souligne l'importance de délivrer une information claire et complète aux requérants quant à la possibilité qui leur est offerte de saisir la CCSP par d'autres voies (postale, de télécopie ou par le dépôt de la requête directement auprès du greffe de la commission du contentieux).

A cet égard, elle prend acte de l'engagement du ministère de présenter les différents modes de saisine de la CCSP sur le site www.ccsp.fr, dans la notice de renseignement qui accompagnera le formulaire et qui sera disponible sur le site de la juridiction, ainsi que sur différents imprimés, tels que l'avis de paiement rectificatif du forfait de post-stationnement (émis à la suite d'un recours administratif préalable obligatoire) et l'avertissement adressé en cas de non-paiement du forfait de post-stationnement dans le délai de trois mois.

En outre, la Commission relève que le ministère entend permettre à tout requérant qui n'aurait pas choisi la voie dématérialisée lors de la saisine de passer au mode numérique à tout moment de la procédure s'il le souhaite. A cet égard, elle prend acte de l'engagement du ministère de permettre au requérant, au stade du dépôt de la requête, dans le formulaire papier, de choisir la voie numérique pour ses échanges à venir avec la CCSP en cochant la case correspondante. Elle prend également acte du fait que, pendant l'instance, le requérant peut passer à la voie numérique en informant le greffe par la voie d'un courrier. La Commission appelle l'attention du ministère de conserver une trace de ce consentement dans le traitement SI CCSP.

S'agissant des droits d'accès et de rectification prévus par les articles 39 et 40 de la loi du 6 janvier 1978 modifiée, l'article 6 dispose que ces droits s'exercent auprès du chef de greffe de la commission du contentieux du stationnement payant. Les modalités d'exercice de ces droits figurent sur le site internet « www.ccsp.fr » et sur le formulaire de requête en ligne à cet effet.

Par ailleurs, la Commission appelle l'attention du ministère sur l'obligation qui incombe au responsable de traitement qui a collecté des données personnelles par voie électronique de permettre à toute personne d'exercer ses droits, notamment son droit de rectification, également par voie électronique, conformément à l'article 43 bis de la loi du 6 janvier 1978 modifiée.

En outre, la Commission rappelle que, si les droits d'accès et de rectification institués par la loi peuvent permettre au requérant de se faire communiquer et de faire modifier les données le concernant qui font l'objet d'un traitement, il ne saurait lui permettre d'obtenir la communication ou la modification de l'ensemble des documents qui mentionnent son identité et dont la transmission et la rectification sont régies par les règles particulières de communication de pièces applicable à la procédure en cours devant la CCSP.

Le ministère entend enfin faire application du dernier alinéa de l'article 38 de la loi susmentionnée en excluant le droit d'opposition. A cet égard, la Commission rappelle que cette disposition n'a pas pour effet de rendre obligatoire la saisine par voie électronique et que l'exclusion du droit d'opposition ne porte que sur le traitement dématérialisé de l'ensemble des requêtes. Sous cette réserve, l'exclusion du droit d'opposition n'appelle pas d'observation particulière de la Commission.

Sur la sécurité des données et la traçabilité des actions :

Concernant les mesures de traçabilité, une journalisation des opérations de création, consultation et modification des données est mise en place. L'article 5 du projet d'arrêté prévoit que l'identifiant de leur auteur, ainsi que la date, l'heure et l'objet de l'opération seront conservés un an. A cet égard, la Commission considère, en l'état des éléments dont elle dispose, qu'une durée de conservation de 6 mois serait suffisante pour répondre à l'objectif poursuivi.

La Commission prend acte que des mécanismes de purge des données seront mis en place afin de garantir leur suppression effective à l'issue des durées de conservation précisées dans le projet d'arrêté.

Concernant les besoins de sécurité identifiés par le ministère dans son étude des risques présentés par le traitement, la Commission regrette que les impacts sur les personnes n'aient pas été explicitement pris en compte.

Elle rappelle que, le traitement étant un téléservice au sens de l'ordonnance du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, il doit être conforme au référentiel général de sécurité prévu par le décret susvisé du 2 février 2010 et doit, à ce titre, faire l'objet d'une analyse de risque incluant les risques pesant sur les personnes concernées afin de garantir que les mesures mises en œuvre permettent de limiter efficacement les risques pour ces personnes. Elle rappelle également qu'il appartient au responsable de traitement d'attester formellement de l'acceptation du niveau de sécurité du téléservice au travers d'une homologation RGS et d'en publier l'attestation d'homologation sur son site.

La Commission relève que les modalités de chiffrement des données sont conformes au référentiel général de sécurité et que le site web sur lequel le téléservice sera mis à disposition sera développé en suivant les recommandations pour les sites web de l'ANSSI.

Les accès au traitement se font via le protocole HTTPS, qui permet de garantir la confidentialité des données échangées ainsi que l'authentification du responsable de traitement. Concernant le recours à ce protocole, la Commission recommande d'utiliser la version de TLS la plus récente.

Concernant les échanges de données à caractère personnel réalisés avec les destinataires et sous-traitants (l'ANTAI, la CNPT et l'Imprimerie nationale), la Commission rappelle que ceux-ci doivent faire l'objet de mesures de chiffrement permettant de garantir la confidentialité des communications, ainsi que l'authentification de l'émetteur et du destinataire.

La Commission prend acte des engagements du ministère qui prévoit de mettre en œuvre une politique de mot de passe conforme à la délibération du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe et de recourir à des certificats électroniques via la carte « agent » du ministère de l'intérieur.

Elle prend également acte que les personnes physiques pourront recourir au mécanisme d'authentification proposé par France Connect afin de se connecter au téléservice, mais que ce mode d'accès ne sera pas exclusif.

Elle observe en outre que le protocole DNSSEC sera mis en œuvre afin de sécuriser la gestion des domaines utilisés par le téléservice.

La Commission estime que les mesures de sécurité décrites sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. Elle rappelle néanmoins que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.