La Commission nationale de l'informatique et des libertés,
Saisie par le ministère de l'intérieur d'une demande d'avis portant sur un projet d'arrêté modifiant l'arrêté du 15 mai 2009 autorisant la mise en œuvre d'un traitement automatisé de données à caractère personnel dénommé « DICEM » (déclaration et identification de certains engins motorisés) ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Sur la proposition de M. Alain DRU, commissaire, et après avoir entendu les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l'avis suivant :

1. Afin de lutter contre les nuisances et faits divers liés à l'utilisation d'engins non homologués sur la voie publique, le législateur a prévu l'obligation, pour les propriétaires des engins prévus à l'article L. 321-1-1 du code de la route (cyclomoteur, motocyclette, tricycle à moteur, etc.) de les déclarer et d'obtenir une attestation d'identification lors de l'acquisition de ce type de véhicule (article L. 321-1-2 du code de la route).
2. Le projet d'arrêté soumis pour avis à la Commission nationale de l'informatique et des libertés (ci-après « la Commission ») a pour objet de modifier l'arrêté du 15 mai 2009 autorisant la mise en œuvre d'un traitement automatisé de données à caractère personnel dénommé « déclaration et identification de certains engins motorisés » (DICEM).
   Sur les finalités du traitement et le régime applicable :
3. Le traitement DICEM poursuit les finalités suivantes :

- permettre aux personnes concernées d'effectuer les déclarations de leurs engins ;
- permettre aux services compétents d'instruire les dossiers de déclaration et de délivrer un numéro d'identification de ces engins ainsi qu'une attestation de déclaration sécurisée ;
- permettre aux fonctionnaires et militaires de la police et de la gendarmerie nationales et aux agents de police municipale d'identifier les éventuels propriétaires contrevenants.

4. La Commission relève que le ministère considère que le traitement DICEM entre dans le champ d'application de la directive (UE) 2016/680 du 27 avril 2016, dite « directive police-justice », telle que transposée au titre III de la loi n° 78-17 du 6 janvier modifiée (ci-après la loi « informatique et libertés »). En effet, le ministère considère que, bien que les deux premières finalités soient relatives aux procédures de déclaration des engins motorisés et de délivrance des attestations correspondantes, ces formalités seraient nécessaires aux contrôles opérés par les forces de sécurité intérieure de sorte que les deux premières finalités comprennent un lien « consubstantiel » avec l'identification des contrevenants.
5. Or, la Commission considère que les deux premières finalités ne sauraient relever des finalités de prévention, détection et poursuite des infractions au seul motif que des autorités compétentes en sont destinataires et que celles-ci relèvent du règlement général sur la protection des données (RGPD). Il en va en revanche différemment des traitements opérés par ces autorités compétentes dans le cadre de l'identification des éventuels propriétaires contrevenants ; ces traitements seront quant à eux soumis au titre III de la loi « informatique et libertés ». Elle estime dès lors que le projet d'arrêté devra être mis à jour, notamment s'agissant des références aux dispositions applicables aux droits des personnes concernées au sein des articles 5 et 6 du projet d'arrêté.
   Sur le recours au téléservice « FranceConnect » :
6. Le ministère précise que la procédure de déclaration sera principalement sécurisée par le recours au téléservice « FranceConnect ».
7. En premier lieu, la Commission relève que le recours au téléservice « FranceConnect » est bien facultatif, conformément à l'article 2 de l'arrêté du 8 novembre 2018 relatif au téléservice dénommé « FranceConnect », dès lors qu'une procédure alternative est prévue. Elle relève toutefois que cette alternative repose, en l'espèce, sur des échanges par courriels, imposant donc la collecte d'une adresse électronique, également obligatoire pour le recours à « France Connect », et qu'il ne serait pas possible à une personne concernée n'en disposant pas de procéder à la déclaration de son engin.
8. A cet égard, elle rappelle que la dématérialisation des services publics constitue pour certaines personnes, du fait notamment de l'absence de matériel informatique, de la non-maîtrise des outils informatiques, et/ou du choix de ne pas disposer d'une adresse électronique, un obstacle incontournable à la réalisation de certaines démarches pourtant obligatoires. Il appartient donc au ministère d'assurer le maintien d'une procédure alternative à la transmission par voie dématérialisée afin de permettre l'accès, dans des conditions analogues, à la même prestation, l'existence d'espaces permettant l'accompagnement des personnes n'étant pas suffisante. La Commission prend acte de ce que le ministère s'engage à mener une réflexion sur ce point pour trouver une solution appropriée.
9. En deuxième lieu, la Commission relève qu'un contrôle automatisé du contenu des champs à remplir est envisagé afin de s'assurer que les données saisies sont conformes à des règles de gestion prédéfinies. Dans la mesure où les contrôles automatiques de champs ne sont pas infaillibles, par exemple dans le cas des interfaces de programmation applicative de validation d'adresses qui peuvent échouer dans les cas les plus inhabituels, la Commission invite le ministère à limiter le recours à ces contrôles et à privilégier l'affichage de simples alertes aux utilisateurs afin d'éviter toute situation de blocage des utilisateurs.
10. En troisième lieu, la Commission souligne l'inadéquation de ce dispositif à l'hypothèse d'une déclaration par une personne morale, ce téléservice ayant été conçu pour la sphère privée et non professionnelle. Dès lors, la Commission invite le ministère à intégrer le service « ProConnect », plus adapté, dès que ce dernier sera mis en œuvre. Le ministère confirme qu'une intégration du service « ProConnect » est bien envisagée.
11. Enfin, la Commission relève qu'un module d'analyse de données permet une exploitation statistique agrégée annuellement. Elle invite le ministère à s'assurer que les données produites sont parfaitement anonymes. A défaut, des mesures complémentaires doivent être mises en œuvre afin de limiter les risques de réidentification des personnes, notamment en limitant le niveau de détail des données produites.
    Sur l'information des personnes :
12. La Commission relève que l'information des personnes est aujourd'hui délivrée au sein des conditions générales d'utilisation (CGU) du service. Elle accueille favorablement le fait qu'une politique de confidentialité, distincte des CGU, sera bientôt mise à la disposition des usagers du service afin de mettre plus en avant les informations relatives à la protection des données à caractère personnel.
    Sur la sécurité des données et la traçabilité des actions :
13. La Commission prend acte de la mise en oeuvre du traitement dans un environnement sécurisé qui minimise les possibilités d'accès non désiré à la base de données.
14. Cependant, dans une optique de défense en profondeur, la Commission recommande que celle-ci intègre des mesures de chiffrement conformes à l'annexe B1 du référentiel général de sécurité (RGS).
15. Par ailleurs, elle prend acte de la mise en oeuvre d'une journalisation pour une durée de douze mois, avec un accès restreint aux seuls profils administrateurs et une valorisation consistant en un contrôle par échantillonnage semestriel.
16. La Commission recommande qu'un contrôle d'intégrité soit opéré sur les données stockées, par exemple en calculant une empreinte des données avec une fonction de hachage conforme à l'annexe B1 du RGS.
17. Enfin, elle recommande que des tests de restauration réguliers des sauvegardes soient effectués.