La CNIL adopte un référentiel encadrant les désignations d’infractions au Code de la route

Depuis le 1er janvier 2017 (faisant suite à la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle), les représentants légaux de personnes morales mettant des véhicules à disposition de personnes physiques ont l’obligation de désigner l’identité et l’adresse de la personne physique qui conduisait ce véhicule, si une infraction a été constatée selon les  modalités prévues à l’article L. 130-9 du Code de la route (i.e. les infractions constatées par le biais d’appareils de contrôle automatique). A défaut, tant la personne morale que son représentant légal (Voir l’arrêt n°2915 du 11 décembre 2018 (18-82.628) de la Cour de Cassation) s’exposent à des amendes pour non-désignation.

Cette obligation de désignation entraîne inéluctablement le traitement de données personnelles des entités mettant des véhicules à disposition de personnes physiques. En effet, en cas de réception d’un avis d’infraction, elles doivent être en mesure de pouvoir identifier le conducteur fautif dans les conditions de l’article L121-6 du Code de la route. Le référentiel de la CNIL adopté le 12 avril 2021 vise à fournir un outil d’aide à la mise en conformité des entités morales mettant en œuvre ce type de traitement.

Référentiel de la CNIL encadrant les traitements d'identification des conducteurs à des fins de désignation des infractions routières

Rappel sur la portée des référentiels de la CNIL

Le “référentiel relatif aux traitements de données à caractère personnel mis en œuvre dans le cadre de la désignation des conducteurs ayant commis une infraction au code de la route” est un texte non-contraignant adopté par la CNIL (Commission nationale de l’informatique et des libertés) le 12 avril 2021 et publié au Journal Officiel le 7 mai 2021. Il vient remplacer l’ancienne AU-10 de la CNIL qui encadrait les traitements de gestion du contentieux lié au recouvrement des contraventions au Code de la route et à l’identification des conducteurs et qui prévoyait dans ses grandes lignes, les mêmes mécanismes de conformité.

Ce référentiel est avant tout un outil devant être perçu comme une aide à la mise en conformité. Il fournit un cadre pouvant être respecté par les entités morales (publiques comme privées) amenées à mettre en œuvre des traitements de données personnelles de conducteurs en vue de respecter leurs obligations de désignation.

Ainsi, le respect de ce référentiel n’est pas obligatoire. Tout responsable de traitement peut librement s’écarter des stipulations de ce référentiel dès lors qu’il met en œuvre (et qu’il est en mesure de le justifier) des mesures lui permettant de se conformer aux différentes règlementations s’imposant à lui en matière de traitements de données personnelles :

  • le RGPD, Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
  • la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
  • etc.

Par ailleurs, le respect de ce référentiel n’exonère pas le responsable de traitement de l’ensemble des obligations découlant des réglementations susmentionnées. Certains chapitres du référentiel se contentent d’ailleurs de renvoyer à ces obligations, sans grand apport (sur l’information des personnes, le respect de l’exercice des droits, etc.). Par manque d’intérêt, ces points ne seront donc pas détaillés ci-dessous.

Le respect minutieux de ce référentiel a le mérite de permettre d’assurer, par principe, la conformité des traitements de données mis en œuvre couramment par les organismes relatifs à l’identification des conducteurs dans le cadre de la gestion du contentieux lié au recouvrement des contraventions au Code de la route. C’est pourquoi nous recommandons systématiquement à nos clients, lorsque nous les conseillons en qualité de DPO externalisé, de respecter les référentiels publiés par la CNIL.


Périmètre du référentiel de la cnil

Les responsables de traitement concernés

Les entités concernées par ce référentiel sont toutes celles étant amenées à devoir désigner des conducteurs ayant commis ou susceptibles d’avoir commis une infraction, dans les conditions de l’article L121-6 du Code de la route :

Lorsqu’une infraction constatée selon les modalités prévues à l’article L. 130-9 a été commise avec un véhicule dont le titulaire du certificat d’immatriculation est une personne morale ou qui est détenu par une personne morale, le représentant légal de cette personne morale doit indiquer (…) l’identité et l’adresse de la personne physique qui conduisait ce véhicule, à moins qu’il n’établisse l’existence d’un vol, d’une usurpation de plaque d’immatriculation ou de tout autre événement de force majeure. (…)

En pratique, vont donc être principalement concernées les entités suivantes :

  • les entreprises privées mettant à disposition de leurs salariés des véhicules ;
  • les entités publiques mettant à la disposition de leurs agents des véhicules ;
  • les loueurs de véhicules ;
  • les entités mettant temporairement à disposition de leurs clients des véhicules à titre de remplacement (garagistes, carrossiers, assureurs, …) ;
  • etc.
Identification des conducteurs d'infractions au code de la route

LES infractions concernées

Seules sont concernées les contraventions au Code de la route pour lesquelles une désignation du conducteur est possible.

En pratique, sont donc seulement concernées, conformément à l’article L121-6 du Code de la route, les infractions constatées selon les modalités de l’article L. 130-9 du Code de la route, à savoir les constations d’infraction effectuées par ou à partir des appareils de contrôle automatique ayant fait l’objet d’une homologation.

Sont donc exclus de ce référentiel, les traitements de données personnelles qui pourraient porter sur :

  • le traitement de données relatives à des infractions n’ayant pas été constatées par le biais d’appareils de contrôle automatique ;
  • le traitement de données relatives aux FPS (forfait post-stationnement), dans la mesure où depuis janvier 2018, ces derniers ne sont plus considérés comme des amendes pénales mais comme des redevances d’occupation du domaine public.

Le référentiel de la CNIL ne permet donc pas d’encadrer tous azimuts des traitements de données personnelles sur l’ensemble des manquements au Code de la route pouvant être opérés par des salariés ou clients (FPS, infractions constatées de manière non-automatique, …), mais uniquement d’opérer des traitements de données ponctuels, ayant pour vocation de désigner une personne physique comme étant l’auteur d’une infraction auprès des services compétents, lorsque cela est permis par les dispositions du Code de la route.


Grands principes devant encadrer la mise en oeuvre d’un traitement de désignation des infractions routières

Finalités du traitement

Notons tout d’abord que les traitements mis en œuvre dans le cadre du référentiel de la CNIL sont très restreints, puisque uniquement limités aux finalités suivantes :

  • la désignation auprès de l’ANTAI (Agence nationale de traitement automatisé des infractions) de la personne qui conduisait ou était susceptible de conduire le véhicule lorsque l’infraction a été constatée ;
  • le suivi de la procédure de recouvrement des contraventions ;
  • la constitution de statistiques anonymes en vue d’adapter des formations de prévention routière.

Notons par ailleurs que la première finalité (désignation auprès de l’ANTAI) peut être mise en œuvre sur le fondement des obligations légales incombant au responsable de traitement. Les deux autres (suivi de la procédure de recouvrement et constitution de réalisation de statistiques anonymes) peuvent être mises en œuvre sur le fondement de (i) l’intérêt légitime pour les entités privées ou (ii) de l’exécution d’une mission d’intérêt public pour les entités relevant du secteur public.

Données pouvant être traitées

Par nature, les traitements mis en œuvre par un responsable de traitement à des fins de désignation d’une personne physique dans le cadre d’infractions au Code de la route sont particulièrement sensibles. Ils sont constitutifs de “traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions“, strictement encadrés par les dispositions de l’article 10 du RGPD et de l’article 46 de la loi informatique et libertés.

Compte tenu de cette sensibilité, le référentiel de la CNIL insiste sur la nécessité de “veiller à ce que seules les données nécessaires à la poursuite des finalités du traitement soient effectivement collectées et traitées“.

En pratique, les seules données qui semblent légitimes à pouvoir être traitées sont donc :

  • les données étant strictement nécessaires à la procédure de désignation du conducteur, telles que demandées sur le téléservice de l’ANTAI. Ces données sont notamment :
    • des informations relatives au conducteur (numéro de permis de conduire, nom, prénom, sexe, civilité, date et lieu de naissance, adresse postale et le cas échéant e-mail) ;
    • des informations relatives au véhicule (numéro d’immatriculation) conduit par la personne désignée ;
    • des informations relatives à l’infraction (notamment les données figurant sur l’avis de contravention reçu par la personne morale propriétaire du véhicule) ;
    • lorsque le véhicule est loué, des informations relatives à la location (date et heure du début et de la fin de la location).
  • les données permettant d’opérer le suivi de la procédure de recouvrement par le responsable de traitement. En complément des données susmentionnées, ces données peuvent notamment être le numéro de dossier communiqué par l’ANTAI, les modalités de la désignation ou encore le numéro de contrat de location ou la référence de mise à disposition du véhicule.

Durées de conservation des données

Durées de conservation des données

La CNIL recommande la mise en œuvre de deux durées de conservation distinctes pour les données traitées :

  • une conservation en base active pendant 45 jours maximum à compter de la réception de la contravention des données collectées et traitées pour les besoins de la désignation des conducteurs ;
  • une conservation en archivage intermédiaire pendant les délais de prescription (à savoir 1 an en matière contraventionnelle, conformément à l’article 9 du Code de procédure pénale). Dans cette hypothèse, la CNIL insiste cependant sur la nécessité que doit avoir le responsable de traitement à mettre en œuvre cette conservation étendue. Une nécessité pouvant être démontrée en cas de risque de contentieux particulièrement important et/ou en cas d’obligations réglementaires spécifiques qui pourraient incomber au responsable de traitement.

La CNIL ouvre par ailleurs la possibilité aux responsables de traitement de conserver les données personnelles nécessaires à la désignation d’un conducteur salarié, dès lors qu’il fournit son consentement. Cette conservation vise à ce que le responsable de traitement n’ait pas à redemander fréquemment les mêmes données aux conducteurs salariés en cas d’infractions régulières. Notons que la CNIL indique que cette conservation devrait être limitée aux “salariés dont les missions impliquent la conduite d’un véhicule à titre principal (chauffeur, livreur, ambulancier, …)” ou aux salariés ayant des “déplacements fréquents” dans le cadre de l’exécution de leur contrat de travail (commercial, technicien, etc.). En toute logique, la conservation des données du salarié ne devrait pas être opérée au-delà de sa période d’emploi, à laquelle pourrait être ajouté un délai permettant de prendre en compte l’éventuelle réception d’avis d’infractions suite à sa sortie des effectifs.

Bien que cette faculté de conservation des données de conducteurs soit en pratique la bienvenue, elle interroge sur le plan juridique.

Rappelons en effet que le consentement est défini à l’article 4 du RGPD comme étant “toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement“. Le consentement est donc régi par des règles particulièrement strictes. La bonne validité du consentement (et in fine le respect des conditions susmentionnées) doit pouvoir être démontrée par un responsable de traitement, en vertu des dispositions de l’article 7 du RGPD.

Or, il apparaît qu’au sein de ses lignes directrices 5/2020 sur le consentement au sens du règlement (UE) 2016/679, l’EDPB (European Data Protection Board), organe européen indépendant qui contribue à l’application cohérente des règles en matière de protection des données au sein de l’Union européenne, indique que le recueil d’un consentement libre peut s’avérer délicat dans une relation employeur/salarié :

Un déséquilibre des rapports de force peut également avoir lieu dans le cadre des relations de
travail. Au vu de la dépendance résultant de la relation employeur/employé, il est peu probable que
la personne concernée soit en mesure de refuser de donner son consentement à son employeur
concernant le traitement de ses données sans craindre ou encourir des conséquences négatives
suite
à ce refus. (…) Aussi l’EDPB considère-t-il problématique que les employeurs traitent les données à caractère personnel de leurs employés actuels ou potentiels en se fondant sur leur consentement, dès lors qu’il est peu probable que celui-ci soit donné librement. (…) Cela ne signifie toutefois pas que les employeurs ne peuvent jamais avoir recours au consentement en tant que base juridique pour le traitement de données. Il peut exister des situations où l’employeur est en mesure de démontrer que le consentement est de facto donné librement. Vu le déséquilibre des rapports de force entre un employeur et les membres de son personnel, les employés ne peuvent donner librement leur consentement que dans des situations exceptionnelles, lorsqu’absolument aucune conséquence négative ne résultera de leur refus de donner leur consentement.

Il est ainsi vivement recommandé à tout employeur souhaitant obtenir le consentement de l’un de ses salariés visant en la conservation de certaines de ses données personnelles (numéro de permis de conduire, …) à des fins de désignation, de déployer un mécanisme permettant de démontrer qu’en cas de refus du salarié, ce dernier n’aurait connu aucune conséquence négative.

La réalisation d’une AIPD (analyse d’impact relative à la protection des données)

La CNIL rappelle les obligations incombant aux responsables de traitement en vertu de l’article 35 du RGPD :

Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel. 

Conformément aux dispositions de l’article 35-4 et 35-5 du RGPD, la CNIL a établi des listes des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est (i) requise ou (ii) n’est pas requise. En référence à ces listes, la CNIL considère que les entreprises de moins de 250 salariés n’ont pas à réaliser d’AIPD en vertu de la mise en place d’un traitement de désignation des infractions au Code de la route pour leurs salariés. Elle se fonde à cet effet sur la Délibération n° 2019-118 du 12 septembre 2019 prévoyant qu’une AIPD n’est pas nécessaire pour les :

Traitements, mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du recours au profilage. (…)

Dans les autres hypothèses, le responsable de traitement devra mettre en œuvre une AIPD si son traitement de désignation des infractions au Code de la route est “susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques (i.e. les conducteurs désignés). Pour faciliter la détermination de ce risque, l’EDPB a publié des lignes directrices comprenant plusieurs critères pouvant caractériser un “risque”. L’EDPB considère que, dans la plupart des cas, si un traitement répond à au moins deux de ces critères, il sera susceptible de “constituer un risque et nécessiterait donc la réalisation d’une AIPD par le responsable de traitement. Parmi ces critères, au moins deux trouvent quasi-systématiquement à s’appliquer dans le cadre de la mise en œuvre d’un traitement de désignation des infractions au Code de la route :

  • le traitement de “données sensibles ou données à caractère hautement personnel” (les données relatives aux infractions) ; et
  • le cas échéant, le traitement de “données concernant des personnes vulnérables” (ce qui est notamment le cas des salariés pour les entités privées, ou des agents pour les entités publiques, compte tenu de leur lien de subordination) ; et
  • le cas échéant, le traitement de données à “grande échelle” (ce qui est notamment le cas pour les loueurs).

Ainsi, la réalisation d’une AIPD (analyse d’impact relative à la protection des données) pour les entreprises de plus de 250 salariés mettant en œuvre un traitement de désignation des infractions au Code de la route de leurs salariés apparaît comme indispensable.


Mon DPO externe propose des accompagnement à la mise en conformité

Si vous souhaitez un accompagnement dans la mise en conformité de vos traitements de désignation des infractions aux Code de la route, nos équipes de DPO externalisés sont disponibles pour vous accompagner. N’hésitez pas à nous contacter.


 

Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.