Articles

En droit, différentes lois se superposent. Elles composent un « mille-feuilles » qui rend les interprétations en matière de législation difficile. Les différentes juridictions et compétences se croisent. Petit tour d’horizon des compétences de chaque institution pour y voir plus clair.

Le principe de primauté

Le droit européen (que ce soit des traités, des principes généraux du droit européen, des règlements, des directives, ou des décisions) l’emporte sur le droit national. Dans le cas d’une disposition contraire du droit national : c’est le principe de primauté du droit européen qui s’applique. En bref, le droit international est supérieur au droit national.

Le droit européen

La déclaration 17 du Droit Européen relative à la primauté, annexée à l’Acte final du traité de Lisbonne, précise en effet que « les traités et le droit adopté par l’Union sur la base des traités priment le droit des États membres ».

Le RGPD

Il est intéressant de rappeler que le RGDP reprend les principes validés par le conseil constitutionnel français.  qui dès 1999, notamment en matière de sécurité routière et contrôles associés, où la juridiction suprême française confirme que la sécurité des personnes et des biens sont des principes à valeur constitutionnelle et que leur mise en œuvre ne saurait être empêchée par des normes de rang inférieur (type loi ou règlement – pour rappel, le RU-09 est assis sur un simple arrêté).

La Constitution Française

En France, depuis la Constitution de 1946, le droit national n’est plus considéré comme indépendant du droit international. Les deux droits forment un ordre juridique uniforme. Et, l’article 55 de la Constitution de 1958 reconnaît aux « traités ou accords régulièrement ratifiés ou approuvés […] une autorité supérieure à celle des lois ».

La CNIL

La Commission Nationale de l’Informatique et des Libertés (CNIL) a pour mission de réguler les données personnelles dans l’univers numérique. Dans ce cadre, la CNIL accompagne les professionnels et collectivités dans leur mise en conformité. Elle aide aussi les particuliers à garder la main sur leurs données personnelles.

Les missions de la CNIL :

  • Informer sur les droits
  • Accompagner la mise en conformité RDPD et conseiller
  • Préparer et anticiper les méthodes numériques de demain

  • Contrôler le traitement des données et donner des recommandations

Droit et LAPI

En conclusion, et dans les cas où la loi française et la loi européenne (RGPD entre autres) apportent des éclairages différents, c’est la droit européen qui prime.

Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité.

C’est pourquoi le RGDP prévoit des limitations à certains principes spécifiques quand l’objectif est de garantir la sécurité publique, la prévention de la vie humaine, l’intérêt public ou encore la prévention des infractions pénales. Ces limitations peuvent être de nature suivantes :

  • le droit à l’information,
  • le droit d’accès aux données à caractère personnel,
  • le droit de rectification ou d’effacement de ces données,
  • le droit à la portabilité des données,
  • le droit d’opposition…

RGPD ne concerne pas les infractions pénales

Le RGDP ne s’appliquerait plus précisément pas aux activités de traitement relatifs :

  • à la prévention et à la détection des infractions pénales
  • aux enquêtes, à la poursuite ou à l’exécution de sanctions pénales
  • à la protection contre les menaces pour la sécurité publique

Ces sujets qui concernent directement AFS2R font en effet l’objet d’un acte juridique spécifique de l’Union.

Les missions d’intérêts publiques ne sont pas affectées par RGPD

Le texte européen mentionne aussi que le traitement des données est considéré licite si, et dans la mesure où, certaines conditions sont remplies. Trois d’entre-elles reposent sur le fondement même de l’activité d’AFS2R :

  • le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
  • le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
  • le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.

Quid des dispositions nationales

Enfin et en ce qui concerne le traitement de données à caractère personnel nécessaire au respect d’une obligation légale, ou à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, le RGDP autorise voire invite les États-membres à maintenir ou à introduire des dispositions nationales destinées à préciser davantage l’application des règles du RGDP.

Les systèmes de vidéoverbalisation reposent sur l’enregistrement d’images, de numéros de plaques d’immatriculation, de point GPS et de dates précises, jour comme heure. La transcription informatique de ces données induit forcément la question du respect du droit de la protection des données personnelles. La loi informatique et libertés est protégé en France par la CNIL qui se base sur 5 principes forts pour favoriser le respect de la protection des données personnelles. Il s’agit de la finalité, la pertinence et la conservation, le droit d’être informé, et la sécurité. Zoom sur la manière dont AFS2R respecte ces principes.

 

Principe CNIL 1 : La finalité

Avant toute collecte et utilisation de données personnelles, le responsable de traitement doit précisément annoncer aux personnes concernées ce à quoi elles vont lui servir. Ces objectifs, appelés « finalités », doivent respecter les droits et libertés des individus. Ils limitent la manière dont le responsable pourra utiliser ou réutiliser ces données dans le futur.

 

⇒ La Pratique AFS2R

Chaque fichier généré par nos services à une finalité bien identifiée : mieux contrôler le stationnement, juguler les fraudes sur l’espace public, sécuriser les usagers vulnérables (piétons, PMR), diminuer les déplacements carbonés, favoriser les mobilités alternatives… D’une part, les objectifs poursuivis sont clairement exposés, d’autres parts, ils ont une visée collective d’optimisation des usages et de sécurisation de l’espace public.

 

Principe CNIL 2 & 3 : La pertinence et la conservation

Seules les données strictement nécessaires à la réalisation de l’objectif peuvent être collectées : c’est le principe de minimisation de la collecte. Le responsable de traitement ne doit donc pas collecter plus de données que ce dont il a vraiment besoin. Il doit également faire attention au caractère sensible de certaines données. Une fois que l’objectif poursuivi par la collecte des données est atteint, il n’y a plus lieu de les conserver et elles doivent être supprimées. Cette durée de conservation doit être définie au préalable par responsable du traitement, en tenant compte des éventuelles obligations à conserver certaines données.

 

⇒ La Pratique AFS2R

 La durée de conservation des données est entièrement paramétrable. Elle s’ajuste, selon la ville utilisatrice du dispositif, au droit de l’Etat ou pays dans lequel on se trouve, aux besoins spécifiques de la collectivité, aux besoins relatifs au droit de la défense, comme au temps de traitement effectif moyen de finalisation de la mission de contrôle par les agents terrain.  Nous ne conservons jamais les données plus d’un an en base. Les données collectées sont réduites aux informations indispensables à la constatation d’une infraction ou d’un FPS. Elles correspondent à un point GPS, une plaque d’immatriculation, une marque et une couleur de véhicule. Les images conservées ne contiennent aucun visage et permettent le floutage manuelle des données étrangères au bon fonctionnement de la mission publique.

 

Principe CNIL 4 : Le droit d’être informé 

Des données concernant des personnes peuvent être collectées à la condition essentielle qu’elles aient été informées de cette opération. Ces personnes disposent également de certains droits qu’elles peuvent exercer auprès de l’organisme qui détient ces données le concernant : un droit d’accéder à ces données, un droit de les rectifier et enfin un droit de s’opposer à leur utilisation.

 

⇒ La Pratique AFS2R

Le RGDP, en vigueur depuis le 25 mai 2018, rappelle que le droit à l’anonymat est un principe de rang inférieur à celui de la sécurité des communautés et de la bonne gestion des missions de service public. Le contrôle du stationnement, dirigé par les villes et les polices municipales, relève des obligations des collectivités. Le fait même qu’il s’agisse d’une mission de service public valide de plein droit (cela correspond en effet à l’une des deux conditions évoquées par le droit européen) l’usage automatisé des données personnelles.

 

Principe CNIL 5 : La sécurité

Le responsable de traitement doit prendre toutes les mesures nécessaires pour garantir la sécurité des données qu’il a collectées mais aussi leur confidentialité, c’est-à-dire s’assurer que seules les personnes autorisées y accèdent. Ces mesures pourront être déterminées en fonction des risques pesant sur ce fichier (sensibilité des données, objectif du traitement…)

 

⇒ La Pratique AFS2R

L’outil AFS2R dispose de clés de cryptage des données et respecte toutes les conditions requises en matière de cybersécurité. Nous mettons en place pour chacune des villes utilisatrices de nos outils une interface propre. Les comptes administrateurs paramétrés minimisent strictement l’accès aux données selon les besoins et la typologie d’usager.  Les codes d’accès sont modifiables tous les 2 mois.

Les services de police municipale peuvent t’ils utiliser un système LAPI en mode « semi-automatique » pour mieux gérer le contrôle du stationnement dans leur commune ? Dans le cadre d’un dispositif de contrôle du stationnement automatisé de bout en bout, la CNIL adopte une position claire. Aucun système automatisée de bout en bout ne doit être utilisé par les collectivités. Aujourd’hui l’utilisation du LAPI, n’induit pas le contrôle à distance. Le contrôle par LAPI s’effectue toujours sous la direction d’un ou plusieurs agents habilités. Cet état de fait vaut aussi bien en mode « semi-automatique » qu’en mode « pré-contrôle« . Points de vue.

La présence d’un agent dans le véhicule

Par l’intermédiaire d’une tablette placée à l’intérieur du véhicule LAPI, l’agent embarqué constate les FPS ou infractions de visu. Il choisit le NATINF et l’enregistre. Il peut, s’il le souhaite, sortir du véhicule pour émettre le FPS (mode pré-contrôle du stationnement payant) ou pour poursuivre la verbalisation (dans le cadre du stationnement gênant).

Constatation en temps réel

L’agent peut aussi choisir de finaliser l’émission du PV ou du FPS depuis un poste informatique. Un ordinateur ou une tablette peut se trouver soit à l’intérieur du véhicule (pour le caractère instantané) ou dans l’enceinte du service de contrôle municipal. La CNIL accepte que la validation d’un FPS ou d’une infraction s’effectue sous 24H. La validation du FPS peut aussi être effectuée par un second agent (mobile ou sédentaire) en temps réel.

Une meilleure qualité de travail

Dans les faits, la vérification des données captées par un système LAPI semi automatique peut donner lieu selon les cas de figure à un traitement :

  • en temps réel
  • ou à posteriori depuis le poste fixe du service de contrôle. Cela arrive pour des questions de sécurité, d’organisation, d’amélioration de la qualité de travail des agents, ou de volonté d’éviter les erreurs dans l’émission de FPS.

Pour rappel : La validation d’un FPS ou d’une infraction dans un délai de 24H est validé par la CNIL.

L’intérêt de la vérification des données

Ce « pointage » est une formalité qui permet de s’assurer de :

  • la bonne saisie du numéro des plaques d’immatriculation,
  • de la marque du véhicule,
  • de la date et de l’heure de l’infraction ou du FPS,
  • de la véracité des faits
  • du respect du délai de grâce.

Un risque d’erreur très faible

Depuis l’entrée en vigueur de la loi sur la dépénalisation, les services municipaux sont contraints de multiplier le nombre de contrôles. Les erreurs risquent d’être par conséquent encore plus impactantes dans le cadre du pré-contrôle. Le mode semi-automatique rend le risque d’erreur très faible.

La réalité du terrain

En matière de contrôle du stationnement, les agents de la municipalité ont un travail conséquent à gérer. Les chiffres qui concernent le stationnement régulier sont aberrants. En moyenne, seulement 30% des usagers des places de stationnement payent effectivement la privatisation de l’espace public. Dans certaines villes comme Toulouse c’est seulement 10% des usagers qui payaient leur abonnement ou règlaient à l’horodateur.

Le fort taux d’absentéisme des ASVPs

En parallèle, les agents de la surveillance de la voie publique (ASVP) disposent d’un taux d’absentéisme record dans certaines villes, il s’élève en moyenne là où les contextes humains et sécuritaires sont complexes à 30 voire 60%. A titre indicatif dans le privé en France ce même taux est de 4,5 %. Les contrevenants ont donc la voie libre pour profiter du nouveau dispositif légal.

La dépénalisation contraint les PM à l’automatisation des contrôles

Et la dépénalisation dans tout ça ? Le FPS permet aux usagers des places de stationnement payant de régler leur créance à posteriori. Pour que le paiement soit effectif, il faut qu’un agent ait effectivement constater la présence du véhicule sur la place de stationnement payant. La police municipale doit obligatoirement multiplier le nombre de tournées pour récupérer sa créance. Faute de quoi l’usager, même bienveillant ne saura pas en mesure de régler sa dette.

Des ressources humaines et financières limitées

En somme et pour récapitulatif, le contexte est très défavorable à la bonne gestion des services dans les communes. Les villes disposent de ressources limitées. Le paiement des places de stationnement participe au bon fonctionnement des municipalités. Les usagers du domaine public dédié au stationnement n’ont pas l’habitude de payer. Les PM (polices municipales) manquent d’effectif et doivent dans le même temps multiplier les missions de contrôle du stationnement. Dans ce contexte, s’outiller convenablement devient fondamental pour toutes les villes françaises!

La gratuité du stationnement pour les PMR

Du fait de la gratuité du stationnement des personnes à mobilité réduite (PMR), « le contrôle par LAPI nécessite que l’agent se rende sur place ». En réalité, c’est donc l’impossibilité de vérifier l’éventuelle détention d’une carte autorisant la gratuité du stationnement aux personnes à mobilité réduite qui pose question. Il est bon de savoir que dans le même esprit, d’autres publics ont le droit de stationner gratuitement.

Tous les publics concernés par la gratuité

Les véhicules basse émission, les professionnels de santé, les véhicules d’urgence… se trouvent en effet dans le même cas. La solution offerte à ces publics particuliers porte aujourd’hui sur la déclaration volontaire auprès du service municipal et la génération d’une liste d’autorisation spécifique (liste des véhicules qui ne sont pas soumis au FPS).

Des outils pour que les PMR déclarent leurs stationnements

Une autre solution serait de se déclarer sur un site-internet dédié, similaire aux sites internet des fournisseurs de solutions d’e-paiement (paybyphone, whoosh, yespark…). Les autorités et certaines associations convergent vers une solution électronique adaptée aux PMR. Le paiement par smartphone a été en effet validé depuis plusieurs années par les autorités compétentes (dont le conseil de la CNIL).

Temps réel et connexions GPS ou internet

Quand un agent de contrôle interroge les serveurs distants, s’il se situe en zone d’ombre des réseaux de téléphonie mobile, l’information lui reviendra avec un délai, variable, mais nécessairement tardif et donc à posteriori. Dans les faits, la CNIL peut regretter l’absence de caractère instantané, ou en temps réel, du traitement de l’infraction ou FPS, mais c’est concrètement nécessairement le cas dans certains cas de figure en pratique. C’est pourquoi elle concède à une validation des FPS ou infraction sous 24H.

La gestion de la créance et le recouvrement

En dernier lieu, le choix de l’usager de ne pas payer le stationnement immédiatement fait naître au profit de la commune une créance correspondant au forfait de post-stationnement. Or, cette créance se prescrit en principe dans un délai de 5 ans à compter de sa naissance. Le traitement a posteriori s’avère donc une nécessité pour s’assurer de la traçabilité des mauvais payeurs et permettre à la collectivité de prendre, si nécessaire, un titre exécutoire qui lui permettra de récupérer sa créance.

Favorable à un traitement semi-automatique

La Commission nationale de l’informatique et des libertés (CNIL) a rappelé, dans ses recommandations du 14 novembre 2017, les limites de la constatation par vidéo de l’absence de paiement immédiat. La Commission précise que les données collectées par les dispositifs LAPI ne peuvent servir qu’à réaliser des pré-contrôles du paiement du stationnement en vue de faciliter le travail des agents. L’article 10 de la loi Informatique et libertés interdit la prise de décision produisant des effets juridiques sur le seul fondement d’un traitement automatisé. Dès lors, les collectivités ne sauraient en aucun cas recourir à un quelconque dispositif de contrôle du paiement du stationnement automatisé de bout en bout. Le constat de l’absence ou l’insuffisance de paiement et l’initiation de la procédure de FPS doivent ainsi être réalisés par un agent en temps réel. » Or, le véhicule LAPI même en mode semi-automatique est toujours piloté par un agent.

Un agent aux commandes en temps-réel

Les systèmes semi-automatiques et de pré-contrôle AFS2R sont donc conformes à la doctrine d’emploi préconisée par la CNIL puisqu’un agent est toujours en temps réel aux commandes de l’outil.

Beaucoup de confusion existe quant à l’usage des LAPI. Certains croient même à tort que l’outil serait illégal. Voilà 10 points forts sur lesquels sont basés l’utilisation légale des voitures LAPI « semi-automatique » brevetée par AFS2R

L’article L.2212 et suivants du Code général des collectivités territoriales

L’article indique que la gestion des infractions au code de la route relève des pouvoirs du Maire. Le Maire délègue ses pouvoirs de police aux APJ-A et ASVP compétents sur le territoire communal selon les dispositions du code de procédure pénale (articles 429 et 537).

Dans le cadre de la police administrative et judiciaire liée au stationnement et aux infractions en général, la constitution de bases de données est prévue par les formulaires RU-09 et AU-16 disponibles sur le site de la CNIL. La CNIL a par ailleurs récemment formulé un avis qui autorise l’usage des LAPI par les collectivités en matière de contrôle du stationnement (avis du 17 novembre 2017).

NB : Tous les produits AFS2R sont dédiés à la police de la route.

Relation et échanges entre la CNIL et AFS2R

Le modèle juridique utilisé par AFS2R a été contrôlé par la CNIL a plusieurs reprises.

Un contrôle « collectivité locale » a donné lieu à un rapport dont la seule demande vis-à-vis de la collectivité et des agents assermentés est de disposer d’identifiants suffisamment sécurisés pour la gestion des données personnelles.

Cette modification a été prise en compte immédiatement.

Le RGDP entré en vigueur le 25 mai 2018

Le RGPD étend l’usage des LAPI à la seule responsabilité des collectivités (responsable des traitements) sans demande ni autorisation préalable.

Selon le règlement UE 2016/679 du Parlement et du Conseil, l’utilisation du LAPI est licite puisque fondé sur les deux principes de licéité suivants :

  • Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis
  • Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;

Les recommandations de la CNIL : principes clés

Les collectivités doivent tenir compte des 5 principes clés fixés par la loi « Informatique et Libertés » lors de la mise en œuvre ou de l’évolution des traitements portant sur la gestion du stationnement payant :

  1. Les données sont collectées pour un but bien déterminé et légitime et ne peuvent être utilisées ultérieurement de façon incompatible avec cet objectif initial.
  2. Seules les données strictement nécessaires à la réalisation de l’objectif poursuivi doivent être collectées.
  3. Les données ne doivent être conservées que le temps nécessaire à la réalisation de l’objectif poursuivi.
  4. Le responsable de traitement doit prendre toutes les mesures utiles pour garantir l’intégrité et la confidentialité des données. Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité que le responsable de traitement doit prendre.
  5. Les personnes concernées par les traitements doivent conserver la maîtrise des données qui les concernent. Ainsi, la loi prévoit qu’elles doivent avoir été informées du traitement qui est fait de leurs données, ainsi que des droits d’accès, de rectification et d’opposition, pour motifs légitimes, qu’elles détiennent de la loi.

Des formalités en moins

Le 25 mai 2018, le règlement européen est devenu applicable. Les grands principes portés par la loi « Informatique et Libertés » demeureront et les recommandations formulées par la Commission concernant le stationnement payant resteront valables.

En revanche, de nombreuses formalités auprès de la CNIL vont disparaître.

En contrepartie, la responsabilité des organismes sera renforcée. Ils devront en effet assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.

Le devoir des communes

Les communes ont l’obligation :

  • d’adopter des mesures techniques et organisationnelles de nature à assurer un niveau optimal de protection des données traitées dans le cadre de la gestion du stationnement payant,
  • mais aussi d’actualiser ces mesures et de démontrer leur pertinence. Ainsi, pour prouver la bonne gouvernance des données, les collectivités vont devoir élaborer une documentation continue des actions menées pour être en capacité de piloter et de démontrer la conformité.

« Tout automatique » versus méthode « semi-automatique AFS2R »

L’article 10 de la loi « Informatique et Libertés » interdit la prise de décision produisant des effets juridiques sur le seul fondement d’un traitement automatisé. Dès lors, les collectivités ne sauraient en aucun cas recourir à un quelconque dispositif de contrôle du paiement du stationnement automatisé de bout en bout.

S’agissant de la possibilité de réaliser ce constat et d’établir le FPS à distance, la Commission constate l’impossibilité de mettre en œuvre cette pratique au regard notamment des difficultés qu’elle poserait pour les personnes bénéficiant de la gratuité du stationnement en raison de leur handicap.

NB : La méthode « semi-automatique » d’AFS2R impose la présence d’un agent assermenté qui pilote l’outil sur toute la chaine de verbalisation ou d’émission du FPS. La question des PMR est à l’étude par le Ministère de l’intérieur et des associations. La solution de déclaration via smartphone, application mobile ou via des horodateurs apparaissent comme favorables.

Le respect de la durée de conservation des données

S’agissant de la durée de conservation des données collectées par les dispositifs de LAPI, la collectivité doit prévoir la suppression de la base de l’immatriculation des véhicules dont le stationnement a fait l’objet d’un paiement dès qu’un rapprochement avec le serveur de tickets a permis de constater que le véhicule est en règle.

Lorsqu’il s’avère, après rapprochement, qu’il y a absence ou insuffisance de paiement, l’immatriculation des véhicules suspectés de ne pas être en règle devra être supprimée une fois que le constat par l’agent de contrôle est réalisé et que la procédure de FPS est, le cas échéant, initiée.

En effet, une fois que la procédure de FPS est initiée, les données collectées par le dispositif de LAPI ne sont plus utiles pour la collectivité.

Les photos, des éléments de preuves indispensables

A cet égard, la Commission estime que l’agent qui procède au constat et initie la procédure de FPS peut collecter une photographie du véhicule concerné à des fins probatoires.

Cette finalité se distingue de celle qui consiste à initier les procédures de FPS et n’apparaît pas indispensable à ces procédures puisque le constat et l’élaboration du FPS sont réalisés par un agent habilité et font foi jusqu’à preuve du contraire.

Néanmoins, la conservation d’une image permet de disposer d’éléments de preuve en cas de contestation et de répondre aux demandes des conducteurs. La Commission n’est donc pas opposée à cette pratique.

L’article L233-1 du code de la sécurité intérieure

L’article prévoit expressément un usage « sécurité intérieure » des LAPI. Cet usage concerne les véhicules recherchés. Les collectivités locales ne disposent pas de la compétence pour gérer des problématiques de sécurité intérieure (décision de juin 2016 de la CNIL et du Conseil d’État)

NB : L’usage des systèmes LAPI-VAO conçus par AFS2R est fondamentalement différent dans le cadre du stationnement: il s’agit de la captation manuelle via un outil informatique de données qui relèvent de la police de la route & du contrôle du stationnement.