Délibération n° 2020-043 du 9 avril 2020 avis sur l’arrêté du 13 octobre 2004 portant création du système de contrôle automatisé (demande d’avis n° 19022550)
Le 16 avril 2020
JORF n°0093 du 16 avril 2020
Texte n°40
Délibération n° 2020-043 du 9 avril 2020 portant avis sur un projet d’arrêté modifiant l’arrêté du 13 octobre 2004 portant création du système de contrôle automatisé (demande d’avis n° 19022550)
NOR: CNIX2009755X
La Commission nationale de l’informatique et des libertés,
Saisie par le ministre de l’intérieur d’une demande d’avis concernant un projet d’arrêté modifiant l’arrêté du 13 octobre 2004 portant création du système de contrôle automatisé (SCA) ;
Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes des personnes physiques à l’égard du traitement de données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données et abrogeant la décision-cadre 2008/977/JAI du Conseil ;
Vu le code de procédure pénale, notamment ses articles 495-19, 537, 529 à 530-3 et D. 45-3 ;
Vu le code de la route, notamment ses articles L. 121-3, L. 130-9, L. 225-1 à L. 225-9, L. 330-2 à L. 330-5, R. 121-6, R. 130-8, R. 130-11 et R. 330-1 à R. 330-5 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 31-I et 33 ;
Vu la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle ;
Vu le décret n° 2011-348 du 29 mars 2011 modifié portant création de l’Agence nationale de traitement automatisé des infractions ;
Vu le décret n° 2016-1955 du 28 décembre 2016 portant application des dispositions des articles L. 121-3 et L. 130-9 du code de la route ;
Vu le décret n° 2018-687 du 1er août 2018 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles ;
Vu l’arrêté du 13 octobre 2004 modifié portant création du système de contrôle automatisé ;
Vu la délibération n° 04-076 du 5 octobre 2004 portant avis sur un projet d’arrêté interministériel portant création d’un dispositif dénommé système « contrôle automatisé » visant à automatiser la constatation, la gestion et la répression de certaines infractions routières ;
Vu la délibération n° 2019-098 du 18 juillet 2019 de la Commission nationale de l’informatique et des libertés portant avis sur un projet d’arrêté modifiant l’arrêté du 13 octobre 2004 portant création du système de contrôle automatisé ;
Après avoir entendu Mme Sophie LAMBREMON, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l’avis suivant :
Le SCA permet de constater, au moyen d’appareils de contrôle automatique homologués, certaines infractions au code de la route, d’identifier le titulaire du certificat d’immatriculation du véhicule concerné et de gérer les opérations relatives aux avis de contravention correspondants. Ce traitement est mis en œuvre par le Centre national de traitement (CNT), géré par l’Agence nationale de traitement automatisé des infractions (ANTAI) et a, par ailleurs, été examiné à plusieurs reprises par la Commission.
Le projet d’arrêté aujourd’hui soumis à l’avis de la Commission procède à une nouvelle modification de l’arrêté du 13 octobre 2004 afin d’étendre l’utilisation du SCA au traitement des infractions non routières, faisant l’objet d’une amende forfaitaire, relevées au moyen d’appareils électroniques permettant l’établissement d’un procès-verbal électronique (ci-après « PVe »).
La Commission prend acte qu’une mise à jour de l’analyse d’impact relative au système de contrôle automatisé a été opérée en avril 2020 afin de tenir compte du projet d’arrêté modifiant l’arrêté du 13 octobre 2004.
Sur l’extension du périmètre du SCA aux fins de permettre le traitement des infractions non routières faisant l’objet d’une amende forfaitaire :
L’article 1er de l’arrêté du 13 octobre 2004 énonce neuf finalités poursuivies par le SCA.
A cet égard, l’article 1er du projet d’arrêté prévoit, pour la finalité relative à l’enregistrement et à la conservation des données recueillies par l’agent verbalisateur au moyen d’appareils électroniques à l’occasion de la constatation des contraventions et délits relatifs à la circulation routière, que les mots : « contraventions et délits relatifs à la circulation routière » sont remplacés par les mots : « infractions faisant l’objet d’une procédure d’amende forfaitaire ». Ce projet de modification a été précédé d’une extension des compétences de l’ANTAI aux « infractions autres que routières pouvant faire l’objet d’une amende forfaitaire » par le décret n° 2019-725 du 9 juillet 2019 qui est venu modifier l’article 2 du décret n° 2011-348 du 29 mars 2011 portant création de cette agence.
La Commission relève que la modification projetée, qui étend le périmètre du SCA au traitement des infractions non routières faisant l’objet d’une amende forfaitaire, s’inscrit dans le cadre du développement de la forfaitisation des amendes et à la simplification du recueil des infractions constatées par une solution de verbalisation électronique.
L’extension du périmètre du SCA à l’ensemble des infractions sanctionnées par une amende forfaitaire est notamment justifiée par le ministère par la volonté de s’appuyer sur l’expertise acquise au CNT depuis sa création en 2004, puis par l’ANTAI depuis sa création en 2011 dans le développement des systèmes d’information et traitement des données issues du PVe.
La Commission prend acte de cette volonté et n’a pas d’observation particulière à émettre dès lors que les finalités poursuivies par le SCA, s’agissant de la gestion des PVe en lien avec des amendes forfaitaires sont déterminées, explicites et légitimes, conformément à l’article 6-2° de la loi « Informatique et Libertés » et que son périmètre de traitement est clairement délimité par les textes législatifs et réglementaires applicables.
Elle observe à cet égard que la procédure de l’amende forfaitaire applicable aux contraventions est encadrée par l’article 529 du code de procédure pénale (CPP) dans les termes suivants : « Pour les contraventions dont la liste est fixée par décret en Conseil d’Etat l’action publique est éteinte par le paiement d’une amende forfaitaire qui est exclusive de l’application des règles de la récidive. Toutefois, la procédure de l’amende forfaitaire n’est pas applicable si plusieurs infractions, dont l’une au moins ne peut donner lieu à une amende forfaitaire, ont été constatées simultanément ou lorsque la loi prévoit que la récidive de la contravention constitue un délit. »
S’agissant des délits susceptibles de faire l’objet d’une amende forfaitaire, la Commission relève que l’article D. 45-3 du CPP introduit le recours à l’amende forfaitaire pour des délits constatés par un PVe, mais uniquement lorsque la loi le prévoit.
A cet égard, la Commission relève que le champ des infractions susceptibles de faire l’objet d’une amende forfaitaire s’est considérablement étendu avec l’adoption de la loi n° 2020-290 du 23 mars 2020 d’urgence pour faire face à l’épidémie de covid-19, par la création de contraventions sanctionnant la violation des interdictions ou obligations édictées en application de l’état d’urgence sanitaire. Ainsi l’article L. 3136-1 du code de la santé publique prévoit désormais qu’une telle violation est punie d’une contravention de la quatrième classe, « qui peut faire l’objet de la procédure de l’amende forfaitaire prévue à l’article 529 du code de procédure pénale ». La Commission prend également note de l’inclusion de la contravention de 5e classe dans la liste fixée à l’article R. 48-1 du CPP précité, conformément à la procédure prévue par l’article 529 du CPP.
L’extension du périmètre du SCA permet donc de traiter, au moyen de PVe et par le biais d’un système d’information préexistant, d’ores et déjà éprouvé s’agissant du traitement des infractions routières, les nouvelles infractions sanctionnées par une amende forfaitaire introduites par la loi d’urgence du 23 mars 2020.
Sur les nouvelles données collectées :
L’article 2 du projet d’arrêté vient modifier et compléter les données pouvant être collectées au sein du SCA.
La Commission considère que les catégories de données visées sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
S’agissant plus spécifiquement de la collecte des données de filiation, la Commission prend acte de l’application par le ministère des préconisations déjà exprimées dans sa délibération n° 2018-321 du 4 octobre 2018 conduisant limiter cette collecte aux cas de risque d’homonymie, ou lorsque la personne est née à l’étranger.
Sur les accédants et destinataires des données :
En premier lieu, l’article 3 du projet d’arrêté énumère les personnes pouvant accéder à tout ou partie des données et informations enregistrées dans le traitement SCA, à raison de leurs attributions et dans la limite du besoin d’en connaître, d’une part, pour les infractions relatives à la circulation routière, et d’autre part, pour les autres infractions faisant l’objet d’une procédure d’amende forfaitaire.
Compte tenu des finalités poursuivies par le traitement projeté, l’accès aux données du traitement prévu pour ces personnes n’appelle pas d’observations particulières de la part de la Commission.
En second lieu, s’agissant des infractions autres que routières faisant l’objet d’une procédure d’amende forfaitaire, l’article 3 du projet d’arrêté prévoit que sont destinataires de tout ou partie des données conservées dans le traitement les organismes de coopération internationale en matière de police judiciaire et les services de police étrangers dans les conditions énoncées au II de l’article 3. A cet égard, la Commission prend acte des précisions apportées par le ministère selon lesquelles, à l’exception des échanges d’informations avec Monaco sur le fondement de l’article 16 de la convention d’entraide judiciaire signée à Paris le 8 novembre 2005 et dans le strict respect des conditions énoncées à l’article 112 de la loi du 6 janvier 1978 modifiée, aucun échange ni transfert de données n’a lieu avec d’autres pays ou organisations situés hors de l’Union européenne.
Sur les durées de conservation des données :
L’article 2 du projet d’arrêté vient modifier et compléter les durées de conservation des données pouvant être collectées et traitées au sein du SCA. Celles-ci sont conservées pour une durée maximale de dix ans pour les délits et pour les contraventions prévues par le code de la route.
Pour les autres contraventions, la durée maximale est de cinq ans. A cet égard, le ministère précise, en premier lieu, que le délai maximal de cinq ans pour les contraventions autres que celles prévues par le code de la route est celui actuellement appliqué aux dossiers de procédure contraventionnelle sur support papier et ce, depuis la circulaire DPACI/RES/2003/009 du 10 septembre 2003 relative à la gestion des archives de l’ordre judiciaire.
En second lieu, en matière délictuelle, la durée de conservation de dix ans est à mettre en lien avec la lecture combinée des articles 133-3 du code pénal qui prévoit que les peines correctionnelles « se prescrivent par six années révolues à compter de la date à laquelle la décision de condamnation est devenue définitive » et l’article 495-19 du CPP relatif à l’amende forfaitaire majorée.
L’article 495-19 précité prévoit dans ce cas, d’une part, que « la prescription de la peine commence à courir à compter de la signature par le ministère public du titre exécutoire », et, d’autre part, que la contestation consécutive à l’envoi de l’avis d’amende forfaitaire majorée « reste recevable tant que la peine n’est pas prescrite, s’il ne résulte pas d’un acte d’exécution ou de tout autre moyen de preuve que l’intéressé a eu connaissance de l’amende forfaitaire majorée ».
Dans ce contexte, les délais de recours et de mise en paiement des amendes, expliquent la nécessité de prévoir un délai supplémentaire qui excède l’application stricte du délai théorique de prescription de la peine.
Enfin, la Commission prend acte des informations apportées par le ministère selon lesquelles un mécanisme de purge automatique permettant de garantir le respect des durées de conservation est également mis en place depuis janvier 2020.
Sur l’information et les droits des personnes concernées :
Le ministère indique que les modalités d’information des personnes visées par une infraction autre que routière faisant l’objet d’une amende forfaitaire relevée au moyen d’une solution de verbalisation électronique sont les mêmes que pour les infractions routières. Le contrevenant ou mis en cause reçoit un avis de contravention ou un avis d’amende forfaitaire délictuelle sur lesquels figurent les mêmes éléments d’information relatifs à l’utilisation de leurs données à caractère personnel et à l’exercice des droits des personnes.
Enfin, la Commission prend acte des précisions apportées par le ministère s’agissant de l’application de modalités d’exercice des droits des personnes identiques à celles prévues en matière d’infractions routières.
Sur les mesures de sécurité :
S’agissant des mesures existantes ou prévues, l’infrastructure du système de contrôle automatisé a été analysée par la Commission à diverses reprises.
Concernant le cloisonnement des données relatives aux infractions routières et de celles relatives aux infractions non routières faisant l’objet d’un paiement forfaitaire, le ministère indique qu’en raison d’une part, de la même sensibilité de ces deux types de données et, d’autre part, de l’absence de dispositions juridiques spécifiques, aucune mesure de cloisonnement logique ou physique n’est prévue pour séparer le traitement de ces données.
La Commission considère qu’un tel cloisonnement aurait permis une meilleure sécurisation des données traitées mais note cependant que des mesures techniques pertinentes ont été mises en place en amont du traitement afin de restreindre les risques d’atteinte aux données personnelles (cloisonnement réseau de l’ensemble des données sensibles par rapport au reste du système d’information du SCA, tunnels VPN reposant sur des algorithmes à l’état de l’art pour les applications « éditeur » de verbalisation électronique ou utilisation du réseau du ministère, filtrage par plusieurs niveaux de pare-feu, etc.).
Concernant les mesures techniques et organisationnelles permettant de limiter l’accès aux données, la Commission relève que seuls les agents et prestataires en charge de l’exploitation et de la maintenance du SCA peuvent accéder à l’intégralité de la base, notamment afin de requêter manuellement la base de données pour visualiser les données d’infraction. La Commission rappelle au ministère que ces interventions d’exploitation et de maintenance doivent faire l’objet de mesures de traçabilité spécifiques. Elle rappelle également au ministère que les interventions d’exploitation et de maintenance doivent être effectuées avec des profils d’habilitation limités, permettant de restreindre au maximum les accès aux données des dossiers d’infraction.
Quant aux autres accès, la Commission relève que des profils d’habilitation sont prévus afin de gérer les accès aux données en tant que besoin et qu’une authentification forte par carte à puce permet une sécurisation de l’accès aux postes de travail des agents et aux terminaux de verbalisation électronique. Pour les accès spécifiques et limités ne permettant pas l’usage d’une authentification forte, la Commission rappelle au ministère que les politiques de mots de passe adoptées par les organismes et prestataires accédant aux données doivent être conformes aux préconisations de la délibération n° 2017-012 du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe.
Concernant les journaux techniques ainsi que les traces fonctionnelles n’impactant pas le dossier d’infraction, la Commission rappelle que la durée de conservation habituellement reconnue comme proportionnée pour des finalités de sécurité est de six mois. Elle invite donc le ministère à justifier par des arguments techniques précis de la nécessité de conserver ces données un an, et à défaut de limiter la conservation de ces données à six mois.
Concernant le renforcement de l’imputabilité des actions sur les dossiers d’infraction, la Commission relève qu’une implémentation de la signature électronique des traces a été initiée en 2020 et invite le ministère à s’assurer que cette signature électronique est appliquée à l’ensemble des systèmes pouvant générer des traces relatives aux dossiers d’infraction.
Enfin, la Commission remarque que les mesures de sécurité supplémentaires prévues dans les précédents plans d’actions du ministère, telles que le chiffrement des données en base, la mise en place de méthodes de pseudonymisation notamment en cas d’analyse statistique et la refonte du système d’archivage, restent actuellement en cours d’étude ou de définition technique.
Compte tenu du volume et de la sensibilité des données traitées par le SCA, la Commission considère que ces mesures de sécurité sont essentielles à la sécurité du traitement et incite fortement le ministère à mettre en place de façon prioritaire ces mesures de sécurité. En tout état de cause, elle demande à être informée des évolutions sur ce point et ce, indépendamment de toute saisine à venir.
Sous réserve des précédentes observations, la Commission estime que les mesures techniques et organisationnelles de sécurité décrites par le responsable de traitement sont conformes à l’exigence de sécurité prévue par l’article 99 de la loi du 6 janvier 1978 modifiée. En tout état de cause, elle rappelle que les obligations prévues à l’article précité nécessitent la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques. A cet égard, la Commission rappelle qu’il conviendra d’apporter une attention spécifique à la réévaluation de ces mesures dans le cadre de la mise à jour de l’analyse d’impact.
La présidente,
M.-L. Denis