Retour à la section

Délibération n°2022-119 du 15 décembre 2022

JORF n°0023 du 27 janvier 2023

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Collecte d'adresse IP dans le cadre du traitement DICEM

Résumé La CNIL dit que recueillir l'adresse IP des utilisateurs n'est pas utile car ils sont déjà identifiés par des services sécurisés.

La Commission nationale de l'informatique et des libertés,
Saisie par le ministère de l'intérieur d'une demande d'avis concernant un projet d'arrêté modifiant l'arrêté du 15 mai 2009 autorisant la mise en œuvre d'un traitement automatise de données à caractère personnel dénommé « DICEM » ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Sur la proposition de M. Alain DRU, commissaire, et après avoir entendu les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Etant rappelés les éléments de contexte suivants :

  1. Afin de lutter contre les nuisances et faits divers liés à l'utilisation d'engins non homologués sur la voie publique, le législateur a prévu l'obligation, pour les propriétaires des engins prévus à l'article L. 321-1-1 du code de la route (cyclomoteur, motocyclette, tricycle à moteur, etc.) de les déclarer et d'obtenir une attestation d'identification lors de l'acquisition de ce type de véhicule (article L. 321-1-2 du code de la route).
  2. Le projet d'arrêté soumis pour avis à la Commission nationale de l'informatique et des libertés (ci-après « la Commission ») a pour objet de modifier l'arrêté du 15 mai 2009 autorisant la mise en œuvre d'un traitement automatisé de données à caractère personnel dénommé « déclaration et identification de certains engins motorisés » (DICEM). Il vise à modifier le traitement afin :

- d'actualiser l'appellation de l'autorité responsable du traitement ;
- de modifier les catégories de données en supprimant l'enregistrement de la civilité du déclarant dont l'utilité opérationnelle n'est plus avérée et en ajoutant la collecte de l'adresse IP du déclarant ;
- d'élargir la liste des accédants ;
- de mettre en conformité le droit des personnes concernées avec le régime juridique du traitement.

Formule les observations suivantes concernant le projet de texte :
3. L'article 2 du projet d'arrêté prévoit la collecte de l'adresse IP du déclarant.
4. Le ministère a précisé que cette collecte s'inscrit dans le cadre de la journalisation des données, indispensable pour assurer la sécurité des données à caractère personnel notamment en permettant d'identifier les incidents (par exemple, par l'identification des terminaux pouvant être à l'origine d'actions malveillantes).
5. La procédure de déclaration peut être réalisée via trois canaux distincts :

- elle peut être effectuée au moyen du téléservice en ligne : dans ce cas, l'authentification des usagers se fait par « FranceConnect » ;
- pour les usagers ne souhaitant pas utiliser « FranceConnect », un formulaire de contact accessible en ligne leur permet de fournir toutes les informations nécessaires à la prise en compte de leur déclaration. Dans ce cas, l'usager doit indiquer une adresse électronique sur laquelle lui sera envoyée son attestation ;
- conformément à la délibération n° 2022-040 de la Commission du 7 avril 2022, une alternative « papier » est également disponible.

  1. La Commission rappelle que, de manière générale, le responsable du traitement doit démontrer que l'adresse IP sera exploitée de manière pertinente pour participer à la sécurisation du traitement en cause, conformément au principe de minimisation des données, consacré à l'article 5.1.c du RGPD.
  2. Elle considère que, en l'espèce, la collecte de l'adresse IP du déclarant n'est pas nécessaire aux finalités poursuivies dès lors que la procédure de déclaration est réalisée dans un environnement authentifié. En effet, dans la mesure où l'accès du déclarant au téléservice sera permis par le recours à « FranceConnect » et, lorsqu'il sera mis en œuvre, par le recours à « ProConnect » pour les déclarations réalisées par les personnes morales, une telle collecte n'apporte pas de plus-value en termes de traçabilité. Cette nécessité n'est pas non plus caractérisée lorsque l'usager est identifié par une adresse électronique.
  3. Les autres dispositions n'appellent pas d'observations de la Commission.

1 version

Historique des versions

Version 1

La Commission nationale de l'informatique et des libertés,

Saisie par le ministère de l'intérieur d'une demande d'avis concernant un projet d'arrêté modifiant l'arrêté du 15 mai 2009 autorisant la mise en œuvre d'un traitement automatise de données à caractère personnel dénommé « DICEM » ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;

Sur la proposition de M. Alain DRU, commissaire, et après avoir entendu les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,

Etant rappelés les éléments de contexte suivants :

1. Afin de lutter contre les nuisances et faits divers liés à l'utilisation d'engins non homologués sur la voie publique, le législateur a prévu l'obligation, pour les propriétaires des engins prévus à l'article L. 321-1-1 du code de la route (cyclomoteur, motocyclette, tricycle à moteur, etc.) de les déclarer et d'obtenir une attestation d'identification lors de l'acquisition de ce type de véhicule (article L. 321-1-2 du code de la route).

2. Le projet d'arrêté soumis pour avis à la Commission nationale de l'informatique et des libertés (ci-après « la Commission ») a pour objet de modifier l'arrêté du 15 mai 2009 autorisant la mise en œuvre d'un traitement automatisé de données à caractère personnel dénommé « déclaration et identification de certains engins motorisés » (DICEM). Il vise à modifier le traitement afin :

- d'actualiser l'appellation de l'autorité responsable du traitement ;

- de modifier les catégories de données en supprimant l'enregistrement de la civilité du déclarant dont l'utilité opérationnelle n'est plus avérée et en ajoutant la collecte de l'adresse IP du déclarant ;

- d'élargir la liste des accédants ;

- de mettre en conformité le droit des personnes concernées avec le régime juridique du traitement.

Formule les observations suivantes concernant le projet de texte :

3. L'article 2 du projet d'arrêté prévoit la collecte de l'adresse IP du déclarant.

4. Le ministère a précisé que cette collecte s'inscrit dans le cadre de la journalisation des données, indispensable pour assurer la sécurité des données à caractère personnel notamment en permettant d'identifier les incidents (par exemple, par l'identification des terminaux pouvant être à l'origine d'actions malveillantes).

5. La procédure de déclaration peut être réalisée via trois canaux distincts :

- elle peut être effectuée au moyen du téléservice en ligne : dans ce cas, l'authentification des usagers se fait par « FranceConnect » ;

- pour les usagers ne souhaitant pas utiliser « FranceConnect », un formulaire de contact accessible en ligne leur permet de fournir toutes les informations nécessaires à la prise en compte de leur déclaration. Dans ce cas, l'usager doit indiquer une adresse électronique sur laquelle lui sera envoyée son attestation ;

- conformément à la délibération n° 2022-040 de la Commission du 7 avril 2022, une alternative « papier » est également disponible.

6. La Commission rappelle que, de manière générale, le responsable du traitement doit démontrer que l'adresse IP sera exploitée de manière pertinente pour participer à la sécurisation du traitement en cause, conformément au principe de minimisation des données, consacré à l'article 5.1.c du RGPD.

7. Elle considère que, en l'espèce, la collecte de l'adresse IP du déclarant n'est pas nécessaire aux finalités poursuivies dès lors que la procédure de déclaration est réalisée dans un environnement authentifié. En effet, dans la mesure où l'accès du déclarant au téléservice sera permis par le recours à « FranceConnect » et, lorsqu'il sera mis en œuvre, par le recours à « ProConnect » pour les déclarations réalisées par les personnes morales, une telle collecte n'apporte pas de plus-value en termes de traçabilité. Cette nécessité n'est pas non plus caractérisée lorsque l'usager est identifié par une adresse électronique.

8. Les autres dispositions n'appellent pas d'observations de la Commission.