Traitement automatisé des amendes : la législation mise à jour

Pour assurer la sécurité et la confidentialité des données personnelles des conducteurs, la CNIL a revu les conditions d’autorisation pour la mise en place d’un traitement automatisé des amendes. Les entreprises disposent de six mois pour se mettre en conformité.

3518
Radars automatiques

Dans une délibération parue mardi 26 septembre au Journal Officiel, la Commission nationale de l’informatique et des libertés (CNIL) a mis à jour les conditions auxquelles doivent se conformer les organismes privés et publics souhaitant automatiser le traitement de leurs amendes. En conséquence, ceux qui y ont déjà recours disposent d’un délai de six mois pour se mettre en conformité, si ce n’est déjà le cas.

Pour rappel, depuis le 1er janvier 2017, les organismes publics et privés sont dans l’obligation de désigner les conducteurs des véhicules en cas d’infraction. Pour faciliter leur tâche, un système d’échange d’informations automatisé avec l’ANTAI (Agence nationale de traitement automatisé des infractions) est proposé pour les flottes de plus de 1 000 véhicules. Il permet d’envoyer directement les avis de contravention aux conducteurs, sans plus passer par l’entreprise.

Seul souci : il implique que des données personnelles sur les conducteurs soient stockées et transmises par l’entreprise. Pour en assurer la sécurité et la confidentialité, l’ANTAI accorde donc une autorisation unique à chaque entreprise, basée sur le texte de délibération de la CNIL. Sa modification apporte plusieurs précisions importantes.

Désigner la personne « susceptible de conduire le véhicule »

Tout d’abord, la désignation concerne désormais toutes les infractions citées dans le code de la route (y compris le port de la ceinture et l’usage du téléphone) et non plus une liste définie, ce qui laisse la porte ouverte à la prise en compte de nouvelles infractions. De plus, il précise clairement que c’est le titulaire du certificat d’immatriculation du véhicule qui est redevable de l’amende, mais que cette responsabilité pécuniaire incombe au locataire en cas de location à un tiers, et plus précisément au conducteur responsable de l’infraction si le locataire est une personne morale.

La délibération rappelle aussi le délai laissé aux entreprises pour désigner les conducteurs responsables des infractions, soit quarante-cinq jours, sous peine d’une contravention de quatrième classe. Plus important, le texte permet aux gestionnaires de flotte de désigner non seulement la « personne qui conduisait » mais aussi celle qui « était susceptible de conduire le véhicule lorsque l’infraction a été constatée ».

Les statistiques autorisées à condition d’être anonymisées

Concernant les données, si l’ancien texte autorisait la réalisation de statistiques, le nouveau exige que ces dernières soient anonymes. Elles ne doivent permettre « en aucun cas d’établir un lien entre un conducteur et la commission d’infractions. » Côté sécurité, la CNIL exige à présent des systèmes de gestion des habilitations et de journalisation des accès aux données. Autre nouveauté : le délai de conservation des données non anonymisées s’est allongé d’un mois à quarante-cinq jours (à compter de la réception de l’avis de contravention) en base active, et inversement a été réduite de dix-huit à douze mois en archivage.

La copie du permis de conduire interdite

En parallèle, la liste des informations pouvant être transmises a été modifiée. Le sexe, la civilité et la fonction de la personne désignée font maintenant partie des données autorisées, en plus de son identité, sa date et son lieu de naissance, sa nationalité, ses adresses postales et électroniques, ainsi que le numéro, la date et le lieu d’obtention de son permis de conduire. Attention, le nouveau texte précise bien que « la copie du permis de conduire ne saurait être demandée par le responsable de traitement », que ce soir pour la désignation, le suivi de la procédure de recouvrement ou la création de statistiques.

La délibération indique en conclusion que « tout traitement automatisé de données à caractère personnel relatif à la gestion de la procédure de recouvrement des contraventions au code de la route qui n’est pas conforme aux dispositions qui précèdent doit faire l’objet d’une demande d’autorisation auprès de la commission. »

PARTAGER SUR