| N° de demande d'avis : 25007687. | Thématiques : navires, permis de conduire, contrôles. | |:-----------------------------------------------------------------------------------------------------------------------------------------|:----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| |Organisme(s) à l'origine de la saisine : Ministère de la transition écologique, de la biodiversité, de la forêt, de la mer et de la pêche.|Fondement de la saisine : article 31.I de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.|

L'essentiel :
S'agissant d'un traitement qui relève d'un régime mixte, la CNIL relève que les droits des personnes ne se fondent que sur le RGPD et que les limitations prévues à certains droits se fondent sur l'article 23 du RGPD. Cette position est conforme à l'avis n° 393836 du Conseil d'Etat (Avis n° 393836 du Conseil d'Etat en date du 13 décembre 2017, points 47 et 48).
Les autres dispositions du projet d'arrêté n'appellent pas d'observations de la part de la CNIL.

La Commission nationale de l'informatique et des libertés,
Vu le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
Vu la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (directive « police justice ») ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment son titre III et son article 31 ;
Sur la proposition de M. Didier Kling, commissaire, et après avoir entendu les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :

I. - La saisine
A. - Le contexte

Les forces de sécurité intérieures (gendarmerie départementale et gendarmerie maritime) du ministère de l'intérieur sont amenées dans le cadre de leur service :

- à contrôler des bateaux et des navires de plaisance ou de commerce ;
- à vérifier les titres de conduite des propriétaires.

Ces opérations de contrôle et vérification sont effectuées à partir des documents spécifiques à la navigation fluviale et maritime et des documents spécifiques à l'immatriculation des navires et bateaux, dont les systèmes d'information et traitements de données à caractère personnel sont gérés par la direction générale des affaires maritimes, de la pêche et de l'aquaculture (DGAMPA).
C'est dans ce cadre que le traitement de données à caractère personnel relatif à l'organisation des épreuves et la délivrance informatisée des permis de conduite des bateaux de plaisance à moteur dénommé « OEDIPP » est mis en œuvre.

B. - L'objet de la saisine

La CNIL est saisie d'une demande d'avis portant sur un projet d'arrêté portant création d'un traitement de données à caractère personnel relatif à l'organisation des épreuves et la délivrance informatisée des permis de conduite des bateaux de plaisance à moteur dénommé « OEDIPP ».

II. - L'avis de la CNIL
A. - Sur les finalités du traitement et le régime juridique applicable

La CNIL prend acte de ce que le traitement de données à caractère personnel « OEDIPP » relève d'un régime mixte :

- les finalités prévues au 1°, 2°, 3°, 4°, 6° et 7° de l'article 1^er du projet d'arrêté relèvent du RGPD puisqu'il s'agit de finalités administratives (délivrance et gestion des permis de conduire, organisation des épreuves théoriques et gestion des candidatures au permis de conduire, etc.) ;
- la finalité prévue au 5° de l'article 1^er du projet d'arrêté (le contrôle en mer et sur les eaux intérieures de la situation des navires et la tenue d'enquête, à l'occasion d'accidents, des contrôles des navires ou en cas de suspicion de commission ou commission d'infractions) relève du titre III de la loi « informatique et libertés », qui transpose la directive « police justice », en ce que cette finalité participe à la prévention et la répression d'infractions pénales. Par ailleurs, elle est mise en œuvre par des autorités compétentes, au sens de l'article 87 de la loi « informatique et libertés » (les agents des services de la gendarmerie maritime et de la gendarmerie nationale dûment habilités, les agents des services de la direction générale des douanes et de droits indirects dûment habilités, etc.).

B. - Sur les droits des personnes

La CNIL relève que les droits des personnes ne se fondent que sur le RGPD et que les limitations prévues à certains droits se fondent sur l'article 23 du RGPD. Cette position est conforme à l'avis n° 393836 du Conseil d'Etat (Avis n° 393836 du Conseil d'Etat en date du 13 décembre 2017, points 47 et 48) compte tenu du fait que le ministère a indiqué que, en l'espèce, les données traitées pour la finalité soumise au titre III de la loi « Informatique et Libertés » ne sont pas aisément distinguables des données traitées pour les finalités soumises au RGPD et que l'application d'un double régime paraît complexe à mettre en œuvre pour les droits des personnes concernées.
Elle relève toutefois que, contrairement à ce qui était prévu initialement, les droits d'accès, de rectification et de limitation ne font pas l'objet de limitations pour la finalité relevant du titre III de la loi « informatique et libertés », au-delà des conditions de leur exercice prévues par les articles 15 à 18 du RGPD.
Les autres dispositions du projet d'arrêté n'appellent pas d'observations de la part de la CNIL.