| N° de demande d'avis : 25006923. | Thématiques : transport routier, tachygraphes, contrôle du travail illégal. | |:-----------------------------------------------------------------------------------------------------------|:------------------------------------------------------------------------------------------------------------------------------------------| |Organisme(s) à l'origine de la saisine : ministère de l'aménagement du territoire et de la décentralisation.|Fondement de la saisine : article 31 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.|

L'essentiel :

1. Le SI-TACHOSCAN est créé pour la collecte, par les autorités compétentes, des données issues des contrôles de véhicules de transport routier de marchandises et de personnes équipés de tachygraphes à des fins de détection d'infractions pénales, d'enquêtes et de poursuites pénales en la matière.
2. La CNIL invite le ministère à chiffrer les données, notamment les sauvegardes, et à mettre en œuvre les mesures techniques et organisationnelles garantissant la suppression des données sur les postes mobiles une fois transmises vers le stockage centralisé et assurant l'anonymisation des données transmises vers « GRECO ». Elle invite le ministère à conclure des contrats avec les sous-traitants et à compléter les mentions d'information.
3. La CNIL prend acte de l'engagement du ministère à garantir la mise en place d'un parcours interne efficace permettant de remonter les demandes d'exercice des droits au bon interlocuteur et à former les personnes en charge d'y répondre afin, notamment, d'être en mesure de les traiter dans les délais impartis.

La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment son article 31 ;
Après avoir entendu le rapport de M. Didier Kling, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :

I. - La saisine
A. - Le contexte

Le règlement (UE) n° 165/2014 du Parlement européen et du Conseil du 4 février 2014 relatif aux tachygraphes dans les transports routiers (ci-après « règlement UE 165/2014 ») prévoit l'installation obligatoire de tachygraphes dans tous les véhicules de transport routier de marchandises dont la masse totale dépasse 3,5 tonnes et de transport routier de passagers par des véhicules pouvant transporter plus de neuf personnes.
Un tachygraphe est un dispositif installé à bord d'un véhicule routier pour collecter, stocker et fournir d'une manière automatique ou semi-automatique des données sur l'utilisation de ce véhicule, y compris sa vitesse, et des données sur l'activité du conducteur. Il vise à vérifier le respect des différentes réglementations européennes en matière :

- d'accès aux marchés de transports routiers et à la profession de transporteur ainsi qu'à ses conditions d'exercice ; et
- de respect du droit social (durées de conduite, pauses et temps de repos et durée du travail, ainsi que qualification des conducteurs, détachement et travail dissimulé) ;
- à la sécurité et la circulation des véhicules de transport routier (état et entretien des véhicules, assurance, poids et dimensions, règles de circulation) ; et
- au transport d'animaux vivants, de déchets et de marchandises dangereuses.

B. - L'objet de la saisine

La CNIL a été saisie pour avis sur un projet d'arrêté portant création d'un traitement de données à caractère personnel relatif au contrôle des véhicules de transport routier équipés de tachygraphes, dénommé « TACHOSCAN ». Il permet la collecte, par les autorités compétentes, des données issues des contrôles de véhicules de transport routier de marchandises et de personnes équipés de tachygraphes à des fins de détection d'infractions pénales en la matière, d'enquêtes et de poursuites pénales.
Le ministère chargé des transports est responsable du traitement qui relève du champ d'application de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 dite directive « Police-Justice ».

II. - L'avis de la CNIL
A. - Sur les finalités du traitement

L'article 1^er du projet d'arrêté indique que le traitement permet :

- le téléchargement, l'analyse et l'enregistrement des données recueillies lors des contrôles sur route et en entreprise par les fonctionnaires ou agents de l'Etat chargés du contrôle des transports terrestres ; et
- l'édition du bulletin de contrôle.

Le règlement (UE) n° 165/2014 prévoit, à l'article 9, une fonctionnalité de « détection précoce à distance d'une éventuelle manipulation ou utilisation abusive », ainsi que, à l'article 10, la possibilité d'intégrer une interface permettant l'utilisation par un dispositif extérieur des données enregistrées ou produites par le tachygraphe. La CNIL note que le projet de traitement n'a pas pour objet d'encadrer ces deux fonctionnalités.
De plus, la CNIL prend note de ce que l'analyse automatique des données effectuée permet uniquement de les organiser dans un format permettant de les comparer aux exigences règlementaires et ne s'apparente pas à un traitement entièrement automatisé au sens de l'article 95 de la « loi informatique et libertés ».

B. - Sur les durées de conservation

L'analyse des différents fichiers liés aux véhicules et aux conducteurs est dans un premier temps réalisé sur le terminal mobile mis à disposition des agents de contrôle. Une fois le contrôle terminé, le dossier est transmis vers un espace de stockage centralisé. Ce fonctionnement est nécessaire pour permettre aux agents de mener à bien leurs contrôles même en l'absence de connexion à l'espace de stockage centralisé.
La CNIL prend acte de l'engagement du ministère de fournir des instructions demandant de supprimer les fichiers sur les terminaux mobiles dès la procédure de contrôle et la transmission du dossier vers le stockage centralisé.
La CNIL recommande la mise en œuvre de mesure techniques pour garantir le respect de cette suppression et invite le ministère à mettre en œuvre les mesures organisationnelles nécessaires (contrôles réguliers par la hiérarchie des espaces de stockage locaux) pour garantir le respect de ces instructions jusqu'à la mise en œuvre de ces mesures techniques.

C. - Sur l'information des personnes et l'exercice de leurs droits

Les personnes concernées seront informées, en premier niveau, des modalités de traitement de leurs données à caractère personnel par une mention figurant sur le bulletin de contrôle remis au conducteur ou à l'entreprise. La CNIL invite le ministère à compléter cette information par les éléments manquants en application de l'article 104 (I) de la « loi informatique et libertés », a minima par les coordonnées du délégué à la protection des données, puis par les finalités du traitement, l'identité et les coordonnées du responsable du traitement, ainsi que le droit d'introduire une réclamation auprès de la CNIL.
Concernant les droits des personnes concernées, l'article 7 de l'arrêté prévoit qu'ils s'exercent « auprès du service déconcentré auquel appartient l'agent auteur du contrôle », dont l'adresse sera précisée sur le bulletin de contrôle.
La CNIL prend acte de l'engagement du ministère à garantir la mise en place d'un parcours interne efficace permettant de remonter les demandes au bon interlocuteur et à former les personnes en charge de répondre aux demandes afin, notamment, d'être en mesure de les traiter dans les délais impartis.

D. - Sur la sous-traitance

Le ministère chargé des transports a recours à un sous-traitant pour le support utilisateurs et le pilotage de la maîtrise d'œuvre.
La CNIL rappelle qu'à ce titre, un contrat encadrant les responsabilités de traitement et comprenant les éléments listés par l'article 96 de la « loi informatique et libertés » doit être conclu.

E. - Sur la mise en relation avec d'autres traitements

L'article 2 du projet d'arrêté prévoit la mise en relation du traitement « TACHOSCAN » avec le traitement automatisé d'informations nominatives relatif à la gestion régionalisée des entreprises de transport routier et des contrôles (« GRECO »). Le traitement « GRECO » sera prochainement remplacé par l'outil du registre et du contrôle des entreprises du transport routier (« ORCET »).
La CNIL relève que le projet d'arrêté devra alors être modifié et mis à jour afin de mentionner ce nouveau traitement.
Si l'AIPD indique que les données stockées ont vocation à être anonymisées, elle ne comporte pas d'analyse permettant de montrer que l'anonymisation est bien effective. La CNIL invite le ministère à mener une telle analyse, en s'inspirant pour ce faire de l'avis du groupe de l'article 29 n° 05/2014.

F. - Sur la sécurité

La CNIL relève que les terminaux mobiles utilisés par les agents lors des contrôles peuvent dans certains cas être partagés entre différents agents.
Elle prend acte de ce que chaque agent a, dans ce cas, une session dédiée avec une authentification individuelle, empêchant la lecture des documents d'un agent par d'autres agents utilisant le même poste.
De plus, la CNIL considère que la nature des données exige que celles-ci fassent l'objet de mesures de chiffrement conformes à l'annexe B1 du référentiel général de sécurité notamment en ce qui concerne les sauvegardes.
Les autres dispositions du projet d'arrêté n'appellent pas d'observations de la part de la CNIL.