Retour à la section

Délibération n°2018-321 du 4 octobre 2018

JORF n°0243 du 20 octobre 2018

La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet d'arrêté modifiant l'arrêté du 13 octobre 2004 portant création du système de contrôle automatisé ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes des personnes physiques à 1'égard du traitement de données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données et abrogeant la décision-cadre 2008/977/JAI du Conseil ;
Vu le code de la route, notamment ses articles L. 121-3, L. 130-9, L. 225-1 à L. 225-9, L 330-2 à L. 330-5, R. 121-6, R. 130-8, R. 130-11et R. 330-1 à R. 330-5 ;
Vu le code de procédure pénale, notamment ses articles 537 et 529 à 530-3 ;
Vu la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 70-3 et son chapitre XIII ;
Vu le décret n° 2016-1955 du 28 décembre 2016 portant application des dispositions des articles L. 121-3 et L. 130-9 du code de la route ;
Vu le décret n° 2011-348 du 29 mars 2011 modifié portant création de l'Agence nationale de traitement automatisé des infractions ;
Vu l'arrêté du 13 octobre 2004 modifié portant création du système de contrôle automatisé ;
Vu la délibération n° 2013-215 du 11 juillet 2013 de la Commission nationale de l'informatique et des libertés portant avis sur un projet d'arrêté modifiant l'arrêté du 13 octobre 2004 portant création du système de contrôle automatisé ;
Vu la délibération n° 04-076 du 5 octobre 2004 portant avis sur un projet d'arrêté interministériel portant création d'un dispositif dénommé système « contrôle automatisé » visant à automatiser la constatation, la gestion et la répression de certaines infractions routières ;
Sur la proposition de M. Jean-François CARREZ, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Emet l'avis suivant :
La commission a été saisie par le ministre de l'intérieur d'une demande d'avis relative à un projet d'arrêté modifiant l'arrêté du 13 octobre 2004 portant création du système de contrôle automatisé.
Le dispositif permet de constater au moyen d'appareils de contrôle automatique homologués, certaines infractions au code de la route, d'identifier le titulaire du certificat d'immatriculation du véhicule concerné et de gérer les opérations relatives aux avis de contravention correspondants. Ce traitement est mis en œuvre par le Centre national de traitement (CNT), géré par l'Agence nationale de traitement automatisé des infractions (ANTAl) et a par ailleurs été examiné à plusieurs reprises par la commission.
A titre liminaire, la commission observe que le projet d'arrêté vise à prendre en compte les modifications du code de la route et du code de procédure pénale, introduites par la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle, visant à améliorer la répression de certaines infractions routières.
Le projet d'arrêté élargit, d'une part, le périmètre du traitement existant en modifiant les catégories de données collectées afin de permettre l'enregistrement des données relatives à la filiation du titulaire du permis de conduire et prévoit, d'autre part, que le traitement visé fera l'objet de nouvelles interconnexions, mises en relation ou rapprochements avec d'autres traitements.
Dans la mesure où le traitement a pour finalité la constatation ou la poursuite d'infractions pénales, celui-ci doit dès lors faire l'objet d'un arrêté, pris après avis motivé et publié de la commission conformément aux dispositions de l'article 70-3 de la loi du 6 janvier 1978 modifiée.
Sur les finalités du traitement :
L'article 1er du projet d'arrêté énonce les finalités poursuivies par le traitement, à savoir :

- constater, au moyen d'appareils de contrôle automatique homologués, les infractions, prévues à l'article R. 130-11 du code de la route ;
- procéder à l'enregistrement et à la conservation des données recueillies par l'agent verbalisateur au moyen d'appareils électroniques à l'occasion de la constatation des contraventions et délits relatifs à la circulation routière ;
- gérer les opérations relatives à l'identification des conducteurs de véhicule, auteurs d'infractions visées au 1° et au 2° ;
- gérer les opérations nécessaires au traitement des infractions visées au 1° et au 2° en vue de la notification des avis de contravention et des avis d'amende forfaitaire délictuelle ;
- gérer les réponses des personnes destinataires d'un avis de contravention ou d'un avis d'amende forfaitaire délictuelle qui leur est notifié ;
- faciliter la gestion du paiement des consignations, le recouvrement des amendes et le remboursement des consignations par les services compétents ;
- faciliter l'établissement des retraits de points par le service chargé de la gestion du système national des permis de conduire ;
- assurer la transmission des dossiers relatifs aux infractions visées au 1° et au 2° aux tribunaux et autorités judiciaires compétents ;
- gérer le parc des appareils électroniques d'enregistrement.

La commission relève que les modifications projetées, sans modifier de manière substantielle les dispositions issues de l'article 1er de l'arrêté du 13 octobre 2004 susvisé, visent à tenir compte de l'élargissement des infractions pouvant être constatées au moyen du contrôle automatisé. En pratique, le périmètre de ces infractions est celui prévu à l'article R. 130-11 du code de la route, créé par le décret n° 2016-1955 du 28 décembre 2016 portant application des dispositions des articles L. 121-3 et L. 130-9 du code de la route.
Les modifications projetées visent également à prendre en compte l'application de la procédure d'amende forfaitaire pour les délits de défaut de permis de conduire et de défaut d'assurance, constatés par un procès-verbal électronique et introduite par l'article 36 de la loi du 18 novembre 2016 précitée.
La commission estime que ces modifications n'appellent pas d'observation et que les finalités poursuivies par le traitement sont déterminées, explicites et légitimes, conformément à l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Sur les données collectées :
Les articles 2 et 3 du projet d'arrêté modifient les données pouvant être collectées et traitées au sein du système de contrôle automatisé.
La commission relève que le projet d'arrêté prévoit la collecte de données relatives à la filiation du conducteur du véhicule, soit les noms et prénoms des parents du conducteur. Il précise que ces données seront communiquées sur une base déclarative par le conducteur, lors des contrôles réalisés par les agents ou officiers de police judiciaire.
Le ministère justifie de la collecte de telles données, d'une part, afin de permettre d'écarter tout risque d'homonymie, lors de la consultation du TAJ par les agents ou officiers de police judicaire lors des contrôles. Il indique, d'autre part, que les données de filiation doivent permettre de répondre aux besoins des juridictions dans le cas d'une contestation qui serait jugée recevable. L'enregistrement des données de filiation dans le dossier transmis au parquet par le CNT doit ainsi permettre aux mis en cause étrangers, en cas de saisine du tribunal correctionnel, ou nés à l'étranger, de demander un extrait de casier judiciaire, sans qu'il soit nécessaire de solliciter un service d'enquête pour recueillir ces éléments.
Sans remettre en cause les justifications apportées par le ministère, la commission considère que la collecte systématique des données relatives à la filiation du conducteur n'est pas nécessaire. Elle prend acte de l'engagement du ministère de modifier le projet d'arrêté afin de préciser que ces données ne seront enregistrées dans le traitement que lorsque ce renseignement est nécessaire à l'identification de la personne, notamment en cas d'homonymie, ou lorsque la personne est née à l'étranger.
Sur les nouvelles interconnexions, mises en relation ou rapprochements :
L'article 5 de l'arrêté du 13 octobre 2004 prévoit que le système de contrôle automatisé « peut faire l'objet d'interconnexions, mises en relation ou rapprochements » avec d'autres traitements, à savoir :

- le fichier national des immatriculations ;
- le système national des permis de conduire ;
- le traitement automatisé de suivi du recouvrement des amendes et des condamnations pécuniaires ;
- les traitements relatifs à la gestion des contrats de location et des véhicules loués mis en œuvre par les sociétés ayant pour activité la location de véhicules ;
- les traitements relatifs à la gestion du parc automobile mis en œuvre par les sociétés ou établissements mettant des véhicules à disposition de leurs collaborateurs ou clients ;
- les systèmes de télépaiement des amendes mis en œuvre par les services compétents de la direction générale des finances publiques ;
- le traitement automatisé relatif au traitement des ordonnances et jugements devant les tribunaux de police dénommé « Minos » ;
- l'application de gestion centrale ;
- le système d'immatriculation des véhicules ;
- la base satellite des véhicules volés ;
- le fichier de traitement automatique des plis non distribués de la Poste, dénommé « Alliage ».

L'article 4 du projet d'arrêté prévoit de nouvelles interconnexions.
A titre liminaire, la commission prend acte que le projet d'arrêté modifie le huitième alinéa de l'article 5 de l'arrêté de 2004 susvisé afin qu'il soit fait expressément mention de la dénomination du traitement visé par ces dispositions, soit le traitement « MINOS ». En tout état de cause, cette interconnexion ne fait pas l'objet de modification et permet, selon le ministère, de faciliter la gestion des dossiers d'infractions pénales par les tribunaux de police par l'envoi d'un dossier numérisé.
En premier lieu, le projet d'arrêté envisage d'interconnecter le système de contrôle automatisé avec le traitement automatisé relatif aux procédures judiciaires au sein des tribunaux de grande instance dénommé « Cassiopée », afin de simplifier la transmission des données collectées par le CNT aux juridictions, suite à la constatation d'un délit par procès-verbal électronique. Au regard de l'extension du périmètre des infractions susceptibles d'être constatées à la matière délictuelle, la commission prend acte que cette interconnexion répond à la nécessité opérationnelle de transmission de ces données.
En pratique, un lien interapplicatif (via des flux webservices) entre ces deux traitements doit permettre l'envoi sécurisé du CNT vers Cassiopée, des données nécessaires à l'alimentation de la procédure (état civil et adresse du mis en cause, nature, date et lieu de l'infraction et service verbalisateur).
Ces flux permettront en outre de transmettre au parquet compétent, via le traitement Cassiopée, les éléments constitutifs de la procédure (notamment le procès-verbal de constatation, les échanges de courriers entre le service du parquet compétent hébergé au CNT et le mis en cause dans le cadre de l'examen de la recevabilité de la contestation, les pièces éventuellement transmises par le mis en cause au soutien de sa contestation).
Le ministère indique que ces éléments seront également transmis via le CNT, au moyen de flux sécurisés, dans l'application dénommée« numérisation des procédures pénales » (NPP), dans la mesure où Cassiopée ne traite que de la gestion des procédures, à l'exclusion de toute pièce jointe. La commission prend acte de l'engagement du ministère de modifier le projet d'arrêté afin que cette mise en relation soit expressément prévue.
La commission estime que l'interconnexion envisagée par le ministère est justifiée, en ce qu'elle poursuit un objectif de gestion et de transmission plus effective des pièces constitutives de la procédure aux services et juridictions compétents.
En second lieu, une interconnexion entre le système de contrôle automatisé et le traitement d'antécédents judiciaires (TAJ) est projetée, afin de prendre en compte la forfaitisation des délits de défaut de permis de conduire et de défaut d'assurance, introduite par la loi du 18 novembre 2016 précitée.
La commission relève que l'alinéa 2 de l'article 495-17 du code de procédure pénale précise que « la procédure de l'amende forfaitaire n'est pas applicable si le délit a été commis par un mineur ou en état de récidive légale ou si plusieurs infractions, dont l'une au moins ne peut donner lieu à une amende forfaitaire, ont été constatées simultanément ». Elle prend ainsi acte de ce que l'interconnexion avec le TAJ a pour unique but d'apprécier l'état de récidive du conducteur, pour une même infraction.
En pratique, un flux informatique entre ces traitements permettra d'alimenter le TAJ, dès la constatation d'une infraction de nature délictuelle, relevée par procès-verbal électronique. Les données ainsi transmises sont relatives à l'infraction (nature, date, lieu et heure), au mis en cause (données d'état civil), au véhicule concerné par l'infraction, ainsi qu'à l'agent verbalisateur.
La commission prend acte que cette interconnexion doit contribuer à améliorer le développement opérationnel de l'amende forfaitaire délictuelle. Par ailleurs, elle relève que la consultation du TAJ par les agents et militaires des services et unités habilités à y accéder, dans les limites prévues aux articles 230-10 et R. 40-28 du code de procédure pénale (CPP), doit permettre d'orienter l'issue des procédures de contrôle, dans le cadre des finalités listées à l'article 1er de l'arrêté du 13 octobre 2004, à l'aune des antécédents des conducteurs des véhicules en déterminant, notamment, si ces derniers ont déjà été mis en cause pour un délit identique. Elle relève à cet égard que les agents et militaires ainsi visés n'accèdent pas au TAJ via le système de contrôle automatisé, cette consultation intervenant de manière indépendante, dans les conditions précitées.
Au regard de ces éléments, la commission considère que le ministère a justifié de cette mise en relation.
Enfin, elle rappelle qu'il revient au ministère de s'assurer, le cas échéant, de la mise à jour des formalités déclaratives applicables aux traitements concernés par les interconnexions précitées.
Sur les droits des personnes concernées :
L'article 5 du projet d'arrêté prévoit que les droits d'information, d'accès, de rectification et d'effacement prévus aux articles 70-18 à 70-20 de la loi du 6 janvier 1978 s'exercent directement auprès du CNT.
La commission prend acte que les personnes seront informées au moyen de mentions figurant dans les avis de contravention et les avis d'amende forfaitaire délictuelle, ainsi que sur les écrans de signature des terminaux de procès-verbaux électroniques, utilisés par les agents et officiers de police judiciaire.
Elle prend par ailleurs acte qu'en cas de rectification ou d'effacement des données préalablement transmises aux traitements mis en relation avec le système de contrôle automatisé, une mise à jour automatique, et à défaut par courrier ou messagerie, est mise en œuvre.
Enfin, le projet de décret précise qu'en application de l'article 38 de la loi du 6 janvier 1978 modifiée le droit d'opposition n'a pas vocation à s'appliquer au traitement projeté.
La commission rappelle que, si les dispositions de la directive 2016/680 du 27 avril 2016 susvisée telles que transposées en droit interne, ne mentionnent pas la possibilité pour les personnes concernées de s'opposer au traitement mis en œuvre, les Etats membres conservent, en tout état de cause, la possibilité de prévoir des garanties plus étendues que celles établies dans ladite directive pour la protection des droits et des libertés des personnes concernées à l'égard du traitement des données à caractère personnel par les autorités compétentes.
Dans ce contexte, elle considère que l'article 38 précité, qui n'a pas été abrogé par la loi relative à la protection des données personnelles et dont l'application aux traitements relevant de la directive précitée n'est pas davantage exclue par les dispositions des articles 70-1 et suivants de la loi « Informatique et Libertés », a également vocation à s'appliquer aux traitements relevant du champ d'application de cette directive. Elle relève à cet égard que cet article 38 prévoit la possibilité d'écarter le droit d'opposition lorsque le traitement répond à une obligation légale ou lorsqu'une disposition expresse de l'acte réglementaire autorisant le traitement l'exclut.
En 1'espèce, la commission considère que 1'exclusion du droit d'opposition telle que prévue par l'article 7 du projet de décret est proportionnée au regard de la finalité poursuivie par le traitement projeté, à savoir la constatation d'infractions. Compte tenu de ce qui précède, elle estime que la limitation apportée à 1'exercice du droit d'opposition s'inscrit dans le cadre des dispositions du droit national relatives à la protection des données à caractère personnel et n'est pas de nature à porter une atteinte excessive aux droits et libertés des personnes concernées.
Sur les autres caractéristiques du traitement :
La commission relève que le projet d'arrêté introduit un article 7-1 à l'arrêté de 2004 susvisé, lequel prévoit que « les opérations de collecte, de modification, de consultation, de communication et d'effacement des données à caractère personnel et informations font l'objet d'un enregistrement comprenant l'identifiant de l'auteur, la date, l'heure et la nature de l'opération. Ces informations sont conservées pendant un an ». Elle considère que la conservation de ces données pour une durée d'un an n'appelle pas d'observation particulière.
La commission rappelle que les autres modalités de mise en œuvre du système de contrôle automatisé (catégories de données traitées et destinataires) demeurent inchangées.
Sur les mesures de sécurité :
S'agissant des mesures existantes ou prévues, l'infrastructure du système de contrôle automatisé a été analysée par la commission à diverses reprises.
La commission relève qu'actuellement, l'ensemble des flux est chiffré de « bout en bout », en utilisant des mécanismes cryptographiques conformes à l'annexe B1 du RGS. L'ensemble des opérations liées à ces flux est tracé au niveau base de données et au niveau métier sur une année glissante. Il en est de même des traces techniques. Les données sont ensuite déchiffrées et stockées en base, de façon que les données personnelles associées à un dossier ne soient affichées qu'aux personnes ayant droit d'en connaître.
Par ailleurs, la commission prend acte que l'authentification des utilisateurs sur leurs postes de travail est réalisée via une authentification forte par carte à puce.
Elle relève également que les transmissions des données dans le cadre des interconnexions projetées sont sécurisées au moyen du protocole HTTPS, ou un protocole sécurisé équivalent, avec authentification mutuelle client-serveur basée sur des certificats qualifiés RGS.
Ces mesures de sécurité sont de nature à garantir un risque limité d'atteinte aux données.
La commission relève qu'une anonymisation doit être effectuée « avant portage aux infocentres ». Elle rappelle que le processus d'anonymisation devra empêcher à toutes les parties d'isoler un individu dans un ensemble de données, de relier entre eux deux enregistrements dans un ensemble de données (ou dans deux ensembles de données séparés) et d'en déduire des informations.
Compte tenu des mesures existantes ou prévues, et des améliorations envisagées, les risques résiduels sont jugés acceptables au regard des enjeux du traitement. La commission encourage la mise en place du chiffrement des données stockées en base et des sauvegardes, ainsi que le recours à la pseudonymisation.
Sous réserve des précédentes observations, la commission estime que les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 70-13 de la loi du 6 janvier 1978 modifiée.
Elle rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques. A cet égard, elle rappelle qu'il conviendra d'apporter une attention spécifique à la réévaluation des mesures de sécurité dans le cadre de la mise à jour impérative de l'analyse d'impact.

1 version

Historique des versions

Version 1

La Commission nationale de l'informatique et des libertés,

Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet d'arrêté modifiant l'arrêté du 13 octobre 2004 portant création du système de contrôle automatisé ;

Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes des personnes physiques à 1'égard du traitement de données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données et abrogeant la décision-cadre 2008/977/JAI du Conseil ;

Vu le code de la route, notamment ses articles L. 121-3, L. 130-9, L. 225-1 à L. 225-9, L 330-2 à L. 330-5, R. 121-6, R. 130-8, R. 130-11et R. 330-1 à R. 330-5 ;

Vu le code de procédure pénale, notamment ses articles 537 et 529 à 530-3 ;

Vu la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 70-3 et son chapitre XIII ;

Vu le décret n° 2016-1955 du 28 décembre 2016 portant application des dispositions des articles L. 121-3 et L. 130-9 du code de la route ;

Vu le décret n° 2011-348 du 29 mars 2011 modifié portant création de l'Agence nationale de traitement automatisé des infractions ;

Vu l'arrêté du 13 octobre 2004 modifié portant création du système de contrôle automatisé ;

Vu la délibération n° 2013-215 du 11 juillet 2013 de la Commission nationale de l'informatique et des libertés portant avis sur un projet d'arrêté modifiant l'arrêté du 13 octobre 2004 portant création du système de contrôle automatisé ;

Vu la délibération n° 04-076 du 5 octobre 2004 portant avis sur un projet d'arrêté interministériel portant création d'un dispositif dénommé système « contrôle automatisé » visant à automatiser la constatation, la gestion et la répression de certaines infractions routières ;

Sur la proposition de M. Jean-François CARREZ, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,

Emet l'avis suivant :

La commission a été saisie par le ministre de l'intérieur d'une demande d'avis relative à un projet d'arrêté modifiant l'arrêté du 13 octobre 2004 portant création du système de contrôle automatisé.

Le dispositif permet de constater au moyen d'appareils de contrôle automatique homologués, certaines infractions au code de la route, d'identifier le titulaire du certificat d'immatriculation du véhicule concerné et de gérer les opérations relatives aux avis de contravention correspondants. Ce traitement est mis en œuvre par le Centre national de traitement (CNT), géré par l'Agence nationale de traitement automatisé des infractions (ANTAl) et a par ailleurs été examiné à plusieurs reprises par la commission.

A titre liminaire, la commission observe que le projet d'arrêté vise à prendre en compte les modifications du code de la route et du code de procédure pénale, introduites par la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle, visant à améliorer la répression de certaines infractions routières.

Le projet d'arrêté élargit, d'une part, le périmètre du traitement existant en modifiant les catégories de données collectées afin de permettre l'enregistrement des données relatives à la filiation du titulaire du permis de conduire et prévoit, d'autre part, que le traitement visé fera l'objet de nouvelles interconnexions, mises en relation ou rapprochements avec d'autres traitements.

Dans la mesure où le traitement a pour finalité la constatation ou la poursuite d'infractions pénales, celui-ci doit dès lors faire l'objet d'un arrêté, pris après avis motivé et publié de la commission conformément aux dispositions de l'article 70-3 de la loi du 6 janvier 1978 modifiée.

Sur les finalités du traitement :

L'article 1er du projet d'arrêté énonce les finalités poursuivies par le traitement, à savoir :

- constater, au moyen d'appareils de contrôle automatique homologués, les infractions, prévues à l'article R. 130-11 du code de la route ;

- procéder à l'enregistrement et à la conservation des données recueillies par l'agent verbalisateur au moyen d'appareils électroniques à l'occasion de la constatation des contraventions et délits relatifs à la circulation routière ;

- gérer les opérations relatives à l'identification des conducteurs de véhicule, auteurs d'infractions visées au 1° et au 2° ;

- gérer les opérations nécessaires au traitement des infractions visées au 1° et au 2° en vue de la notification des avis de contravention et des avis d'amende forfaitaire délictuelle ;

- gérer les réponses des personnes destinataires d'un avis de contravention ou d'un avis d'amende forfaitaire délictuelle qui leur est notifié ;

- faciliter la gestion du paiement des consignations, le recouvrement des amendes et le remboursement des consignations par les services compétents ;

- faciliter l'établissement des retraits de points par le service chargé de la gestion du système national des permis de conduire ;

- assurer la transmission des dossiers relatifs aux infractions visées au 1° et au 2° aux tribunaux et autorités judiciaires compétents ;

- gérer le parc des appareils électroniques d'enregistrement.

La commission relève que les modifications projetées, sans modifier de manière substantielle les dispositions issues de l'article 1er de l'arrêté du 13 octobre 2004 susvisé, visent à tenir compte de l'élargissement des infractions pouvant être constatées au moyen du contrôle automatisé. En pratique, le périmètre de ces infractions est celui prévu à l'article R. 130-11 du code de la route, créé par le décret n° 2016-1955 du 28 décembre 2016 portant application des dispositions des articles L. 121-3 et L. 130-9 du code de la route.

Les modifications projetées visent également à prendre en compte l'application de la procédure d'amende forfaitaire pour les délits de défaut de permis de conduire et de défaut d'assurance, constatés par un procès-verbal électronique et introduite par l'article 36 de la loi du 18 novembre 2016 précitée.

La commission estime que ces modifications n'appellent pas d'observation et que les finalités poursuivies par le traitement sont déterminées, explicites et légitimes, conformément à l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.

Sur les données collectées :

Les articles 2 et 3 du projet d'arrêté modifient les données pouvant être collectées et traitées au sein du système de contrôle automatisé.

La commission relève que le projet d'arrêté prévoit la collecte de données relatives à la filiation du conducteur du véhicule, soit les noms et prénoms des parents du conducteur. Il précise que ces données seront communiquées sur une base déclarative par le conducteur, lors des contrôles réalisés par les agents ou officiers de police judiciaire.

Le ministère justifie de la collecte de telles données, d'une part, afin de permettre d'écarter tout risque d'homonymie, lors de la consultation du TAJ par les agents ou officiers de police judicaire lors des contrôles. Il indique, d'autre part, que les données de filiation doivent permettre de répondre aux besoins des juridictions dans le cas d'une contestation qui serait jugée recevable. L'enregistrement des données de filiation dans le dossier transmis au parquet par le CNT doit ainsi permettre aux mis en cause étrangers, en cas de saisine du tribunal correctionnel, ou nés à l'étranger, de demander un extrait de casier judiciaire, sans qu'il soit nécessaire de solliciter un service d'enquête pour recueillir ces éléments.

Sans remettre en cause les justifications apportées par le ministère, la commission considère que la collecte systématique des données relatives à la filiation du conducteur n'est pas nécessaire. Elle prend acte de l'engagement du ministère de modifier le projet d'arrêté afin de préciser que ces données ne seront enregistrées dans le traitement que lorsque ce renseignement est nécessaire à l'identification de la personne, notamment en cas d'homonymie, ou lorsque la personne est née à l'étranger.

Sur les nouvelles interconnexions, mises en relation ou rapprochements :

L'article 5 de l'arrêté du 13 octobre 2004 prévoit que le système de contrôle automatisé « peut faire l'objet d'interconnexions, mises en relation ou rapprochements » avec d'autres traitements, à savoir :

- le fichier national des immatriculations ;

- le système national des permis de conduire ;

- le traitement automatisé de suivi du recouvrement des amendes et des condamnations pécuniaires ;

- les traitements relatifs à la gestion des contrats de location et des véhicules loués mis en œuvre par les sociétés ayant pour activité la location de véhicules ;

- les traitements relatifs à la gestion du parc automobile mis en œuvre par les sociétés ou établissements mettant des véhicules à disposition de leurs collaborateurs ou clients ;

- les systèmes de télépaiement des amendes mis en œuvre par les services compétents de la direction générale des finances publiques ;

- le traitement automatisé relatif au traitement des ordonnances et jugements devant les tribunaux de police dénommé « Minos » ;

- l'application de gestion centrale ;

- le système d'immatriculation des véhicules ;

- la base satellite des véhicules volés ;

- le fichier de traitement automatique des plis non distribués de la Poste, dénommé « Alliage ».

L'article 4 du projet d'arrêté prévoit de nouvelles interconnexions.

A titre liminaire, la commission prend acte que le projet d'arrêté modifie le huitième alinéa de l'article 5 de l'arrêté de 2004 susvisé afin qu'il soit fait expressément mention de la dénomination du traitement visé par ces dispositions, soit le traitement « MINOS ». En tout état de cause, cette interconnexion ne fait pas l'objet de modification et permet, selon le ministère, de faciliter la gestion des dossiers d'infractions pénales par les tribunaux de police par l'envoi d'un dossier numérisé.

En premier lieu, le projet d'arrêté envisage d'interconnecter le système de contrôle automatisé avec le traitement automatisé relatif aux procédures judiciaires au sein des tribunaux de grande instance dénommé « Cassiopée », afin de simplifier la transmission des données collectées par le CNT aux juridictions, suite à la constatation d'un délit par procès-verbal électronique. Au regard de l'extension du périmètre des infractions susceptibles d'être constatées à la matière délictuelle, la commission prend acte que cette interconnexion répond à la nécessité opérationnelle de transmission de ces données.

En pratique, un lien interapplicatif (via des flux webservices) entre ces deux traitements doit permettre l'envoi sécurisé du CNT vers Cassiopée, des données nécessaires à l'alimentation de la procédure (état civil et adresse du mis en cause, nature, date et lieu de l'infraction et service verbalisateur).

Ces flux permettront en outre de transmettre au parquet compétent, via le traitement Cassiopée, les éléments constitutifs de la procédure (notamment le procès-verbal de constatation, les échanges de courriers entre le service du parquet compétent hébergé au CNT et le mis en cause dans le cadre de l'examen de la recevabilité de la contestation, les pièces éventuellement transmises par le mis en cause au soutien de sa contestation).

Le ministère indique que ces éléments seront également transmis via le CNT, au moyen de flux sécurisés, dans l'application dénommée« numérisation des procédures pénales » (NPP), dans la mesure où Cassiopée ne traite que de la gestion des procédures, à l'exclusion de toute pièce jointe. La commission prend acte de l'engagement du ministère de modifier le projet d'arrêté afin que cette mise en relation soit expressément prévue.

La commission estime que l'interconnexion envisagée par le ministère est justifiée, en ce qu'elle poursuit un objectif de gestion et de transmission plus effective des pièces constitutives de la procédure aux services et juridictions compétents.

En second lieu, une interconnexion entre le système de contrôle automatisé et le traitement d'antécédents judiciaires (TAJ) est projetée, afin de prendre en compte la forfaitisation des délits de défaut de permis de conduire et de défaut d'assurance, introduite par la loi du 18 novembre 2016 précitée.

La commission relève que l'alinéa 2 de l'article 495-17 du code de procédure pénale précise que « la procédure de l'amende forfaitaire n'est pas applicable si le délit a été commis par un mineur ou en état de récidive légale ou si plusieurs infractions, dont l'une au moins ne peut donner lieu à une amende forfaitaire, ont été constatées simultanément ». Elle prend ainsi acte de ce que l'interconnexion avec le TAJ a pour unique but d'apprécier l'état de récidive du conducteur, pour une même infraction.

En pratique, un flux informatique entre ces traitements permettra d'alimenter le TAJ, dès la constatation d'une infraction de nature délictuelle, relevée par procès-verbal électronique. Les données ainsi transmises sont relatives à l'infraction (nature, date, lieu et heure), au mis en cause (données d'état civil), au véhicule concerné par l'infraction, ainsi qu'à l'agent verbalisateur.

La commission prend acte que cette interconnexion doit contribuer à améliorer le développement opérationnel de l'amende forfaitaire délictuelle. Par ailleurs, elle relève que la consultation du TAJ par les agents et militaires des services et unités habilités à y accéder, dans les limites prévues aux articles 230-10 et R. 40-28 du code de procédure pénale (CPP), doit permettre d'orienter l'issue des procédures de contrôle, dans le cadre des finalités listées à l'article 1er de l'arrêté du 13 octobre 2004, à l'aune des antécédents des conducteurs des véhicules en déterminant, notamment, si ces derniers ont déjà été mis en cause pour un délit identique. Elle relève à cet égard que les agents et militaires ainsi visés n'accèdent pas au TAJ via le système de contrôle automatisé, cette consultation intervenant de manière indépendante, dans les conditions précitées.

Au regard de ces éléments, la commission considère que le ministère a justifié de cette mise en relation.

Enfin, elle rappelle qu'il revient au ministère de s'assurer, le cas échéant, de la mise à jour des formalités déclaratives applicables aux traitements concernés par les interconnexions précitées.

Sur les droits des personnes concernées :

L'article 5 du projet d'arrêté prévoit que les droits d'information, d'accès, de rectification et d'effacement prévus aux articles 70-18 à 70-20 de la loi du 6 janvier 1978 s'exercent directement auprès du CNT.

La commission prend acte que les personnes seront informées au moyen de mentions figurant dans les avis de contravention et les avis d'amende forfaitaire délictuelle, ainsi que sur les écrans de signature des terminaux de procès-verbaux électroniques, utilisés par les agents et officiers de police judiciaire.

Elle prend par ailleurs acte qu'en cas de rectification ou d'effacement des données préalablement transmises aux traitements mis en relation avec le système de contrôle automatisé, une mise à jour automatique, et à défaut par courrier ou messagerie, est mise en œuvre.

Enfin, le projet de décret précise qu'en application de l'article 38 de la loi du 6 janvier 1978 modifiée le droit d'opposition n'a pas vocation à s'appliquer au traitement projeté.

La commission rappelle que, si les dispositions de la directive 2016/680 du 27 avril 2016 susvisée telles que transposées en droit interne, ne mentionnent pas la possibilité pour les personnes concernées de s'opposer au traitement mis en œuvre, les Etats membres conservent, en tout état de cause, la possibilité de prévoir des garanties plus étendues que celles établies dans ladite directive pour la protection des droits et des libertés des personnes concernées à l'égard du traitement des données à caractère personnel par les autorités compétentes.

Dans ce contexte, elle considère que l'article 38 précité, qui n'a pas été abrogé par la loi relative à la protection des données personnelles et dont l'application aux traitements relevant de la directive précitée n'est pas davantage exclue par les dispositions des articles 70-1 et suivants de la loi « Informatique et Libertés », a également vocation à s'appliquer aux traitements relevant du champ d'application de cette directive. Elle relève à cet égard que cet article 38 prévoit la possibilité d'écarter le droit d'opposition lorsque le traitement répond à une obligation légale ou lorsqu'une disposition expresse de l'acte réglementaire autorisant le traitement l'exclut.

En 1'espèce, la commission considère que 1'exclusion du droit d'opposition telle que prévue par l'article 7 du projet de décret est proportionnée au regard de la finalité poursuivie par le traitement projeté, à savoir la constatation d'infractions. Compte tenu de ce qui précède, elle estime que la limitation apportée à 1'exercice du droit d'opposition s'inscrit dans le cadre des dispositions du droit national relatives à la protection des données à caractère personnel et n'est pas de nature à porter une atteinte excessive aux droits et libertés des personnes concernées.

Sur les autres caractéristiques du traitement :

La commission relève que le projet d'arrêté introduit un article 7-1 à l'arrêté de 2004 susvisé, lequel prévoit que « les opérations de collecte, de modification, de consultation, de communication et d'effacement des données à caractère personnel et informations font l'objet d'un enregistrement comprenant l'identifiant de l'auteur, la date, l'heure et la nature de l'opération. Ces informations sont conservées pendant un an ». Elle considère que la conservation de ces données pour une durée d'un an n'appelle pas d'observation particulière.

La commission rappelle que les autres modalités de mise en œuvre du système de contrôle automatisé (catégories de données traitées et destinataires) demeurent inchangées.

Sur les mesures de sécurité :

S'agissant des mesures existantes ou prévues, l'infrastructure du système de contrôle automatisé a été analysée par la commission à diverses reprises.

La commission relève qu'actuellement, l'ensemble des flux est chiffré de « bout en bout », en utilisant des mécanismes cryptographiques conformes à l'annexe B1 du RGS. L'ensemble des opérations liées à ces flux est tracé au niveau base de données et au niveau métier sur une année glissante. Il en est de même des traces techniques. Les données sont ensuite déchiffrées et stockées en base, de façon que les données personnelles associées à un dossier ne soient affichées qu'aux personnes ayant droit d'en connaître.

Par ailleurs, la commission prend acte que l'authentification des utilisateurs sur leurs postes de travail est réalisée via une authentification forte par carte à puce.

Elle relève également que les transmissions des données dans le cadre des interconnexions projetées sont sécurisées au moyen du protocole HTTPS, ou un protocole sécurisé équivalent, avec authentification mutuelle client-serveur basée sur des certificats qualifiés RGS.

Ces mesures de sécurité sont de nature à garantir un risque limité d'atteinte aux données.

La commission relève qu'une anonymisation doit être effectuée « avant portage aux infocentres ». Elle rappelle que le processus d'anonymisation devra empêcher à toutes les parties d'isoler un individu dans un ensemble de données, de relier entre eux deux enregistrements dans un ensemble de données (ou dans deux ensembles de données séparés) et d'en déduire des informations.

Compte tenu des mesures existantes ou prévues, et des améliorations envisagées, les risques résiduels sont jugés acceptables au regard des enjeux du traitement. La commission encourage la mise en place du chiffrement des données stockées en base et des sauvegardes, ainsi que le recours à la pseudonymisation.

Sous réserve des précédentes observations, la commission estime que les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 70-13 de la loi du 6 janvier 1978 modifiée.

Elle rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques. A cet égard, elle rappelle qu'il conviendra d'apporter une attention spécifique à la réévaluation des mesures de sécurité dans le cadre de la mise à jour impérative de l'analyse d'impact.