Articles

Ce que dit le RGDP (Règlement général sur la protection des données) ?

Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité.

C’est pourquoi le RGDP prévoit des limitations à certains principes spécifiques quand l’objectif est de garantir la sécurité publique, la prévention de la vie humaine, l’intérêt public ou encore la prévention des infractions pénales. Ces limitations peuvent être de nature suivantes :

  • le droit à l’information,
  • le droit d’accès aux données à caractère personnel,
  • le droit de rectification ou d’effacement de ces données,
  • le droit à la portabilité des données,
  • le droit d’opposition…

RGPD ne concerne pas les infractions pénales

Le RGDP ne s’appliquerait plus précisément pas aux activités de traitement relatifs :

  • à la prévention et à la détection des infractions pénales
  • aux enquêtes, à la poursuite ou à l’exécution de sanctions pénales
  • à la protection contre les menaces pour la sécurité publique

Ces sujets qui concernent directement AFS2R font en effet l’objet d’un acte juridique spécifique de l’Union.

Les missions d’intérêts publiques ne sont pas affectées par RGPD

Le texte européen mentionne aussi que le traitement des données est considéré licite si, et dans la mesure où, certaines conditions sont remplies. Trois d’entre-elles reposent sur le fondement même de l’activité d’AFS2R :

  • le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
  • le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
  • le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.

Quid des dispositions nationales

Enfin et en ce qui concerne le traitement de données à caractère personnel nécessaire au respect d’une obligation légale, ou à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, le RGDP autorise voire invite les États-membres à maintenir ou à introduire des dispositions nationales destinées à préciser davantage l’application des règles du RGDP.

/par

Vidéoverbalisation et respect des données personnelles, c’est possible !

Les systèmes de vidéoverbalisation reposent sur l’enregistrement d’images, de numéros de plaques d’immatriculation, de point GPS et de dates précises, jour comme heure. La transcription informatique de ces données induit forcément la question du respect du droit de la protection des données personnelles. La loi informatique et libertés est protégé en France par la CNIL qui se base sur 5 principes forts pour favoriser le respect de la protection des données personnelles. Il s’agit de la finalité, la pertinence et la conservation, le droit d’être informé, et la sécurité. Zoom sur la manière dont AFS2R respecte ces principes.

 

Principe CNIL 1 : La finalité

Avant toute collecte et utilisation de données personnelles, le responsable de traitement doit précisément annoncer aux personnes concernées ce à quoi elles vont lui servir. Ces objectifs, appelés « finalités », doivent respecter les droits et libertés des individus. Ils limitent la manière dont le responsable pourra utiliser ou réutiliser ces données dans le futur.

 

⇒ La Pratique AFS2R

Chaque fichier généré par nos services à une finalité bien identifiée : mieux contrôler le stationnement, juguler les fraudes sur l’espace public, sécuriser les usagers vulnérables (piétons, PMR), diminuer les déplacements carbonés, favoriser les mobilités alternatives… D’une part, les objectifs poursuivis sont clairement exposés, d’autres parts, ils ont une visée collective d’optimisation des usages et de sécurisation de l’espace public.

 

Principe CNIL 2 & 3 : La pertinence et la conservation

Seules les données strictement nécessaires à la réalisation de l’objectif peuvent être collectées : c’est le principe de minimisation de la collecte. Le responsable de traitement ne doit donc pas collecter plus de données que ce dont il a vraiment besoin. Il doit également faire attention au caractère sensible de certaines données. Une fois que l’objectif poursuivi par la collecte des données est atteint, il n’y a plus lieu de les conserver et elles doivent être supprimées. Cette durée de conservation doit être définie au préalable par responsable du traitement, en tenant compte des éventuelles obligations à conserver certaines données.

 

⇒ La Pratique AFS2R

 La durée de conservation des données est entièrement paramétrable. Elle s’ajuste, selon la ville utilisatrice du dispositif, au droit de l’Etat ou pays dans lequel on se trouve, aux besoins spécifiques de la collectivité, aux besoins relatifs au droit de la défense, comme au temps de traitement effectif moyen de finalisation de la mission de contrôle par les agents terrain.  Nous ne conservons jamais les données plus d’un an en base. Les données collectées sont réduites aux informations indispensables à la constatation d’une infraction ou d’un FPS. Elles correspondent à un point GPS, une plaque d’immatriculation, une marque et une couleur de véhicule. Les images conservées ne contiennent aucun visage et permettent le floutage manuelle des données étrangères au bon fonctionnement de la mission publique.

 

Principe CNIL 4 : Le droit d’être informé 

Des données concernant des personnes peuvent être collectées à la condition essentielle qu’elles aient été informées de cette opération. Ces personnes disposent également de certains droits qu’elles peuvent exercer auprès de l’organisme qui détient ces données le concernant : un droit d’accéder à ces données, un droit de les rectifier et enfin un droit de s’opposer à leur utilisation.

 

⇒ La Pratique AFS2R

Le RGDP, en vigueur depuis le 25 mai 2018, rappelle que le droit à l’anonymat est un principe de rang inférieur à celui de la sécurité des communautés et de la bonne gestion des missions de service public. Le contrôle du stationnement, dirigé par les villes et les polices municipales, relève des obligations des collectivités. Le fait même qu’il s’agisse d’une mission de service public valide de plein droit (cela correspond en effet à l’une des deux conditions évoquées par le droit européen) l’usage automatisé des données personnelles.

 

Principe CNIL 5 : La sécurité

Le responsable de traitement doit prendre toutes les mesures nécessaires pour garantir la sécurité des données qu’il a collectées mais aussi leur confidentialité, c’est-à-dire s’assurer que seules les personnes autorisées y accèdent. Ces mesures pourront être déterminées en fonction des risques pesant sur ce fichier (sensibilité des données, objectif du traitement…)

 

⇒ La Pratique AFS2R

L’outil AFS2R dispose de clés de cryptage des données et respecte toutes les conditions requises en matière de cybersécurité. Nous mettons en place pour chacune des villes utilisatrices de nos outils une interface propre. Les comptes administrateurs paramétrés minimisent strictement l’accès aux données selon les besoins et la typologie d’usager.  Les codes d’accès sont modifiables tous les 2 mois.

/par

LAPI semi-automatique et constatation « à posteriori »

Les services de police municipale peuvent t’ils utiliser un système LAPI en mode « semi-automatique » pour mieux gérer le contrôle du stationnement dans leur commune ? Dans le cadre d’un dispositif de contrôle du stationnement automatisé de bout en bout, la CNIL adopte une position claire. Aucun système automatisée de bout en bout ne doit être utilisé par les collectivités. Aujourd’hui l’utilisation du LAPI, n’induit pas le contrôle à distance. Le contrôle par LAPI s’effectue toujours sous la direction d’un ou plusieurs agents habilités. Cet état de fait vaut aussi bien en mode « semi-automatique » qu’en mode « pré-contrôle« . Points de vue.

La présence d’un agent dans le véhicule

Par l’intermédiaire d’une tablette placée à l’intérieur du véhicule LAPI, l’agent embarqué constate les FPS ou infractions de visu. Il choisit le NATINF et l’enregistre. Il peut, s’il le souhaite, sortir du véhicule pour émettre le FPS (mode pré-contrôle du stationnement payant) ou pour poursuivre la verbalisation (dans le cadre du stationnement gênant).

Constatation en temps réel

L’agent peut aussi choisir de finaliser l’émission du PV ou du FPS depuis un poste informatique. Un ordinateur ou une tablette peut se trouver soit à l’intérieur du véhicule (pour le caractère instantané) ou dans l’enceinte du service de contrôle municipal. La CNIL accepte que la validation d’un FPS ou d’une infraction s’effectue sous 24H. La validation du FPS peut aussi être effectuée par un second agent (mobile ou sédentaire) en temps réel.

Une meilleure qualité de travail

Dans les faits, la vérification des données captées par un système LAPI semi automatique peut donner lieu selon les cas de figure à un traitement :

  • en temps réel
  • ou à posteriori depuis le poste fixe du service de contrôle. Cela arrive pour des questions de sécurité, d’organisation, d’amélioration de la qualité de travail des agents, ou de volonté d’éviter les erreurs dans l’émission de FPS.

Pour rappel : La validation d’un FPS ou d’une infraction dans un délai de 24H est validé par la CNIL.

L’intérêt de la vérification des données

Ce « pointage » est une formalité qui permet de s’assurer de :

  • la bonne saisie du numéro des plaques d’immatriculation,
  • de la marque du véhicule,
  • de la date et de l’heure de l’infraction ou du FPS,
  • de la véracité des faits
  • du respect du délai de grâce.

Un risque d’erreur très faible

Depuis l’entrée en vigueur de la loi sur la dépénalisation, les services municipaux sont contraints de multiplier le nombre de contrôles. Les erreurs risquent d’être par conséquent encore plus impactantes dans le cadre du pré-contrôle. Le mode semi-automatique rend le risque d’erreur très faible.

La réalité du terrain

En matière de contrôle du stationnement, les agents de la municipalité ont un travail conséquent à gérer. Les chiffres qui concernent le stationnement régulier sont aberrants. En moyenne, seulement 30% des usagers des places de stationnement payent effectivement la privatisation de l’espace public. Dans certaines villes comme Toulouse c’est seulement 10% des usagers qui payaient leur abonnement ou règlaient à l’horodateur.

Le fort taux d’absentéisme des ASVPs

En parallèle, les agents de la surveillance de la voie publique (ASVP) disposent d’un taux d’absentéisme record dans certaines villes, il s’élève en moyenne là où les contextes humains et sécuritaires sont complexes à 30 voire 60%. A titre indicatif dans le privé en France ce même taux est de 4,5 %. Les contrevenants ont donc la voie libre pour profiter du nouveau dispositif légal.

La dépénalisation contraint les PM à l’automatisation des contrôles

Et la dépénalisation dans tout ça ? Le FPS permet aux usagers des places de stationnement payant de régler leur créance à posteriori. Pour que le paiement soit effectif, il faut qu’un agent ait effectivement constater la présence du véhicule sur la place de stationnement payant. La police municipale doit obligatoirement multiplier le nombre de tournées pour récupérer sa créance. Faute de quoi l’usager, même bienveillant ne saura pas en mesure de régler sa dette.

Des ressources humaines et financières limitées

En somme et pour récapitulatif, le contexte est très défavorable à la bonne gestion des services dans les communes. Les villes disposent de ressources limitées. Le paiement des places de stationnement participe au bon fonctionnement des municipalités. Les usagers du domaine public dédié au stationnement n’ont pas l’habitude de payer. Les PM (polices municipales) manquent d’effectif et doivent dans le même temps multiplier les missions de contrôle du stationnement. Dans ce contexte, s’outiller convenablement devient fondamental pour toutes les villes françaises!

La gratuité du stationnement pour les PMR

Du fait de la gratuité du stationnement des personnes à mobilité réduite (PMR), « le contrôle par LAPI nécessite que l’agent se rende sur place ». En réalité, c’est donc l’impossibilité de vérifier l’éventuelle détention d’une carte autorisant la gratuité du stationnement aux personnes à mobilité réduite qui pose question. Il est bon de savoir que dans le même esprit, d’autres publics ont le droit de stationner gratuitement.

Tous les publics concernés par la gratuité

Les véhicules basse émission, les professionnels de santé, les véhicules d’urgence… se trouvent en effet dans le même cas. La solution offerte à ces publics particuliers porte aujourd’hui sur la déclaration volontaire auprès du service municipal et la génération d’une liste d’autorisation spécifique (liste des véhicules qui ne sont pas soumis au FPS).

Des outils pour que les PMR déclarent leurs stationnements

Une autre solution serait de se déclarer sur un site-internet dédié, similaire aux sites internet des fournisseurs de solutions d’e-paiement (paybyphone, whoosh, yespark…). Les autorités et certaines associations convergent vers une solution électronique adaptée aux PMR. Le paiement par smartphone a été en effet validé depuis plusieurs années par les autorités compétentes (dont le conseil de la CNIL).

Temps réel et connexions GPS ou internet

Quand un agent de contrôle interroge les serveurs distants, s’il se situe en zone d’ombre des réseaux de téléphonie mobile, l’information lui reviendra avec un délai, variable, mais nécessairement tardif et donc à posteriori. Dans les faits, la CNIL peut regretter l’absence de caractère instantané, ou en temps réel, du traitement de l’infraction ou FPS, mais c’est concrètement nécessairement le cas dans certains cas de figure en pratique. C’est pourquoi elle concède à une validation des FPS ou infraction sous 24H.

La gestion de la créance et le recouvrement

En dernier lieu, le choix de l’usager de ne pas payer le stationnement immédiatement fait naître au profit de la commune une créance correspondant au forfait de post-stationnement. Or, cette créance se prescrit en principe dans un délai de 5 ans à compter de sa naissance. Le traitement a posteriori s’avère donc une nécessité pour s’assurer de la traçabilité des mauvais payeurs et permettre à la collectivité de prendre, si nécessaire, un titre exécutoire qui lui permettra de récupérer sa créance.

Favorable à un traitement semi-automatique

La Commission nationale de l’informatique et des libertés (CNIL) a rappelé, dans ses recommandations du 14 novembre 2017, les limites de la constatation par vidéo de l’absence de paiement immédiat. La Commission précise que les données collectées par les dispositifs LAPI ne peuvent servir qu’à réaliser des pré-contrôles du paiement du stationnement en vue de faciliter le travail des agents. L’article 10 de la loi Informatique et libertés interdit la prise de décision produisant des effets juridiques sur le seul fondement d’un traitement automatisé. Dès lors, les collectivités ne sauraient en aucun cas recourir à un quelconque dispositif de contrôle du paiement du stationnement automatisé de bout en bout. Le constat de l’absence ou l’insuffisance de paiement et l’initiation de la procédure de FPS doivent ainsi être réalisés par un agent en temps réel. » Or, le véhicule LAPI même en mode semi-automatique est toujours piloté par un agent.

Un agent aux commandes en temps-réel

Les systèmes semi-automatiques et de pré-contrôle AFS2R sont donc conformes à la doctrine d’emploi préconisée par la CNIL puisqu’un agent est toujours en temps réel aux commandes de l’outil.

/par