Articles

En droit, différentes lois se superposent. Elles composent un « mille-feuilles » qui rend les interprétations en matière de législation difficile. Les différentes juridictions et compétences se croisent. Petit tour d’horizon des compétences de chaque institution pour y voir plus clair.

Le principe de primauté

Le droit européen (que ce soit des traités, des principes généraux du droit européen, des règlements, des directives, ou des décisions) l’emporte sur le droit national. Dans le cas d’une disposition contraire du droit national : c’est le principe de primauté du droit européen qui s’applique. En bref, le droit international est supérieur au droit national.

Le droit européen

La déclaration 17 du Droit Européen relative à la primauté, annexée à l’Acte final du traité de Lisbonne, précise en effet que « les traités et le droit adopté par l’Union sur la base des traités priment le droit des États membres ».

Le RGPD

Il est intéressant de rappeler que le RGDP reprend les principes validés par le conseil constitutionnel français.  qui dès 1999, notamment en matière de sécurité routière et contrôles associés, où la juridiction suprême française confirme que la sécurité des personnes et des biens sont des principes à valeur constitutionnelle et que leur mise en œuvre ne saurait être empêchée par des normes de rang inférieur (type loi ou règlement – pour rappel, le RU-09 est assis sur un simple arrêté).

La Constitution Française

En France, depuis la Constitution de 1946, le droit national n’est plus considéré comme indépendant du droit international. Les deux droits forment un ordre juridique uniforme. Et, l’article 55 de la Constitution de 1958 reconnaît aux « traités ou accords régulièrement ratifiés ou approuvés […] une autorité supérieure à celle des lois ».

La CNIL

La Commission Nationale de l’Informatique et des Libertés (CNIL) a pour mission de réguler les données personnelles dans l’univers numérique. Dans ce cadre, la CNIL accompagne les professionnels et collectivités dans leur mise en conformité. Elle aide aussi les particuliers à garder la main sur leurs données personnelles.

Les missions de la CNIL :

  • Informer sur les droits
  • Accompagner la mise en conformité RDPD et conseiller
  • Préparer et anticiper les méthodes numériques de demain

  • Contrôler le traitement des données et donner des recommandations

Droit et LAPI

En conclusion, et dans les cas où la loi française et la loi européenne (RGPD entre autres) apportent des éclairages différents, c’est la droit européen qui prime.

Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité.

C’est pourquoi le RGDP prévoit des limitations à certains principes spécifiques quand l’objectif est de garantir la sécurité publique, la prévention de la vie humaine, l’intérêt public ou encore la prévention des infractions pénales. Ces limitations peuvent être de nature suivantes :

  • le droit à l’information,
  • le droit d’accès aux données à caractère personnel,
  • le droit de rectification ou d’effacement de ces données,
  • le droit à la portabilité des données,
  • le droit d’opposition…

RGPD ne concerne pas les infractions pénales

Le RGDP ne s’appliquerait plus précisément pas aux activités de traitement relatifs :

  • à la prévention et à la détection des infractions pénales
  • aux enquêtes, à la poursuite ou à l’exécution de sanctions pénales
  • à la protection contre les menaces pour la sécurité publique

Ces sujets qui concernent directement AFS2R font en effet l’objet d’un acte juridique spécifique de l’Union.

Les missions d’intérêts publiques ne sont pas affectées par RGPD

Le texte européen mentionne aussi que le traitement des données est considéré licite si, et dans la mesure où, certaines conditions sont remplies. Trois d’entre-elles reposent sur le fondement même de l’activité d’AFS2R :

  • le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
  • le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
  • le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.

Quid des dispositions nationales

Enfin et en ce qui concerne le traitement de données à caractère personnel nécessaire au respect d’une obligation légale, ou à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, le RGDP autorise voire invite les États-membres à maintenir ou à introduire des dispositions nationales destinées à préciser davantage l’application des règles du RGDP.

Les systèmes de vidéoverbalisation reposent sur l’enregistrement d’images, de numéros de plaques d’immatriculation, de point GPS et de dates précises, jour comme heure. La transcription informatique de ces données induit forcément la question du respect du droit de la protection des données personnelles. La loi informatique et libertés est protégé en France par la CNIL qui se base sur 5 principes forts pour favoriser le respect de la protection des données personnelles. Il s’agit de la finalité, la pertinence et la conservation, le droit d’être informé, et la sécurité. Zoom sur la manière dont AFS2R respecte ces principes.

 

Principe CNIL 1 : La finalité

Avant toute collecte et utilisation de données personnelles, le responsable de traitement doit précisément annoncer aux personnes concernées ce à quoi elles vont lui servir. Ces objectifs, appelés « finalités », doivent respecter les droits et libertés des individus. Ils limitent la manière dont le responsable pourra utiliser ou réutiliser ces données dans le futur.

 

⇒ La Pratique AFS2R

Chaque fichier généré par nos services à une finalité bien identifiée : mieux contrôler le stationnement, juguler les fraudes sur l’espace public, sécuriser les usagers vulnérables (piétons, PMR), diminuer les déplacements carbonés, favoriser les mobilités alternatives… D’une part, les objectifs poursuivis sont clairement exposés, d’autres parts, ils ont une visée collective d’optimisation des usages et de sécurisation de l’espace public.

 

Principe CNIL 2 & 3 : La pertinence et la conservation

Seules les données strictement nécessaires à la réalisation de l’objectif peuvent être collectées : c’est le principe de minimisation de la collecte. Le responsable de traitement ne doit donc pas collecter plus de données que ce dont il a vraiment besoin. Il doit également faire attention au caractère sensible de certaines données. Une fois que l’objectif poursuivi par la collecte des données est atteint, il n’y a plus lieu de les conserver et elles doivent être supprimées. Cette durée de conservation doit être définie au préalable par responsable du traitement, en tenant compte des éventuelles obligations à conserver certaines données.

 

⇒ La Pratique AFS2R

 La durée de conservation des données est entièrement paramétrable. Elle s’ajuste, selon la ville utilisatrice du dispositif, au droit de l’Etat ou pays dans lequel on se trouve, aux besoins spécifiques de la collectivité, aux besoins relatifs au droit de la défense, comme au temps de traitement effectif moyen de finalisation de la mission de contrôle par les agents terrain.  Nous ne conservons jamais les données plus d’un an en base. Les données collectées sont réduites aux informations indispensables à la constatation d’une infraction ou d’un FPS. Elles correspondent à un point GPS, une plaque d’immatriculation, une marque et une couleur de véhicule. Les images conservées ne contiennent aucun visage et permettent le floutage manuelle des données étrangères au bon fonctionnement de la mission publique.

 

Principe CNIL 4 : Le droit d’être informé 

Des données concernant des personnes peuvent être collectées à la condition essentielle qu’elles aient été informées de cette opération. Ces personnes disposent également de certains droits qu’elles peuvent exercer auprès de l’organisme qui détient ces données le concernant : un droit d’accéder à ces données, un droit de les rectifier et enfin un droit de s’opposer à leur utilisation.

 

⇒ La Pratique AFS2R

Le RGDP, en vigueur depuis le 25 mai 2018, rappelle que le droit à l’anonymat est un principe de rang inférieur à celui de la sécurité des communautés et de la bonne gestion des missions de service public. Le contrôle du stationnement, dirigé par les villes et les polices municipales, relève des obligations des collectivités. Le fait même qu’il s’agisse d’une mission de service public valide de plein droit (cela correspond en effet à l’une des deux conditions évoquées par le droit européen) l’usage automatisé des données personnelles.

 

Principe CNIL 5 : La sécurité

Le responsable de traitement doit prendre toutes les mesures nécessaires pour garantir la sécurité des données qu’il a collectées mais aussi leur confidentialité, c’est-à-dire s’assurer que seules les personnes autorisées y accèdent. Ces mesures pourront être déterminées en fonction des risques pesant sur ce fichier (sensibilité des données, objectif du traitement…)

 

⇒ La Pratique AFS2R

L’outil AFS2R dispose de clés de cryptage des données et respecte toutes les conditions requises en matière de cybersécurité. Nous mettons en place pour chacune des villes utilisatrices de nos outils une interface propre. Les comptes administrateurs paramétrés minimisent strictement l’accès aux données selon les besoins et la typologie d’usager.  Les codes d’accès sont modifiables tous les 2 mois.

Beaucoup de confusion existe quant à l’usage des LAPI. Certains croient même à tort que l’outil serait illégal. Voilà 10 points forts sur lesquels sont basés l’utilisation légale des voitures LAPI « semi-automatique » brevetée par AFS2R

L’article L.2212 et suivants du Code général des collectivités territoriales

L’article indique que la gestion des infractions au code de la route relève des pouvoirs du Maire. Le Maire délègue ses pouvoirs de police aux APJ-A et ASVP compétents sur le territoire communal selon les dispositions du code de procédure pénale (articles 429 et 537).

Dans le cadre de la police administrative et judiciaire liée au stationnement et aux infractions en général, la constitution de bases de données est prévue par les formulaires RU-09 et AU-16 disponibles sur le site de la CNIL. La CNIL a par ailleurs récemment formulé un avis qui autorise l’usage des LAPI par les collectivités en matière de contrôle du stationnement (avis du 17 novembre 2017).

NB : Tous les produits AFS2R sont dédiés à la police de la route.

Relation et échanges entre la CNIL et AFS2R

Le modèle juridique utilisé par AFS2R a été contrôlé par la CNIL a plusieurs reprises.

Un contrôle « collectivité locale » a donné lieu à un rapport dont la seule demande vis-à-vis de la collectivité et des agents assermentés est de disposer d’identifiants suffisamment sécurisés pour la gestion des données personnelles.

Cette modification a été prise en compte immédiatement.

Le RGDP entré en vigueur le 25 mai 2018

Le RGPD étend l’usage des LAPI à la seule responsabilité des collectivités (responsable des traitements) sans demande ni autorisation préalable.

Selon le règlement UE 2016/679 du Parlement et du Conseil, l’utilisation du LAPI est licite puisque fondé sur les deux principes de licéité suivants :

  • Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis
  • Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;

Les recommandations de la CNIL : principes clés

Les collectivités doivent tenir compte des 5 principes clés fixés par la loi « Informatique et Libertés » lors de la mise en œuvre ou de l’évolution des traitements portant sur la gestion du stationnement payant :

  1. Les données sont collectées pour un but bien déterminé et légitime et ne peuvent être utilisées ultérieurement de façon incompatible avec cet objectif initial.
  2. Seules les données strictement nécessaires à la réalisation de l’objectif poursuivi doivent être collectées.
  3. Les données ne doivent être conservées que le temps nécessaire à la réalisation de l’objectif poursuivi.
  4. Le responsable de traitement doit prendre toutes les mesures utiles pour garantir l’intégrité et la confidentialité des données. Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité que le responsable de traitement doit prendre.
  5. Les personnes concernées par les traitements doivent conserver la maîtrise des données qui les concernent. Ainsi, la loi prévoit qu’elles doivent avoir été informées du traitement qui est fait de leurs données, ainsi que des droits d’accès, de rectification et d’opposition, pour motifs légitimes, qu’elles détiennent de la loi.

Des formalités en moins

Le 25 mai 2018, le règlement européen est devenu applicable. Les grands principes portés par la loi « Informatique et Libertés » demeureront et les recommandations formulées par la Commission concernant le stationnement payant resteront valables.

En revanche, de nombreuses formalités auprès de la CNIL vont disparaître.

En contrepartie, la responsabilité des organismes sera renforcée. Ils devront en effet assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.

Le devoir des communes

Les communes ont l’obligation :

  • d’adopter des mesures techniques et organisationnelles de nature à assurer un niveau optimal de protection des données traitées dans le cadre de la gestion du stationnement payant,
  • mais aussi d’actualiser ces mesures et de démontrer leur pertinence. Ainsi, pour prouver la bonne gouvernance des données, les collectivités vont devoir élaborer une documentation continue des actions menées pour être en capacité de piloter et de démontrer la conformité.

« Tout automatique » versus méthode « semi-automatique AFS2R »

L’article 10 de la loi « Informatique et Libertés » interdit la prise de décision produisant des effets juridiques sur le seul fondement d’un traitement automatisé. Dès lors, les collectivités ne sauraient en aucun cas recourir à un quelconque dispositif de contrôle du paiement du stationnement automatisé de bout en bout.

S’agissant de la possibilité de réaliser ce constat et d’établir le FPS à distance, la Commission constate l’impossibilité de mettre en œuvre cette pratique au regard notamment des difficultés qu’elle poserait pour les personnes bénéficiant de la gratuité du stationnement en raison de leur handicap.

NB : La méthode « semi-automatique » d’AFS2R impose la présence d’un agent assermenté qui pilote l’outil sur toute la chaine de verbalisation ou d’émission du FPS. La question des PMR est à l’étude par le Ministère de l’intérieur et des associations. La solution de déclaration via smartphone, application mobile ou via des horodateurs apparaissent comme favorables.

Le respect de la durée de conservation des données

S’agissant de la durée de conservation des données collectées par les dispositifs de LAPI, la collectivité doit prévoir la suppression de la base de l’immatriculation des véhicules dont le stationnement a fait l’objet d’un paiement dès qu’un rapprochement avec le serveur de tickets a permis de constater que le véhicule est en règle.

Lorsqu’il s’avère, après rapprochement, qu’il y a absence ou insuffisance de paiement, l’immatriculation des véhicules suspectés de ne pas être en règle devra être supprimée une fois que le constat par l’agent de contrôle est réalisé et que la procédure de FPS est, le cas échéant, initiée.

En effet, une fois que la procédure de FPS est initiée, les données collectées par le dispositif de LAPI ne sont plus utiles pour la collectivité.

Les photos, des éléments de preuves indispensables

A cet égard, la Commission estime que l’agent qui procède au constat et initie la procédure de FPS peut collecter une photographie du véhicule concerné à des fins probatoires.

Cette finalité se distingue de celle qui consiste à initier les procédures de FPS et n’apparaît pas indispensable à ces procédures puisque le constat et l’élaboration du FPS sont réalisés par un agent habilité et font foi jusqu’à preuve du contraire.

Néanmoins, la conservation d’une image permet de disposer d’éléments de preuve en cas de contestation et de répondre aux demandes des conducteurs. La Commission n’est donc pas opposée à cette pratique.

L’article L233-1 du code de la sécurité intérieure

L’article prévoit expressément un usage « sécurité intérieure » des LAPI. Cet usage concerne les véhicules recherchés. Les collectivités locales ne disposent pas de la compétence pour gérer des problématiques de sécurité intérieure (décision de juin 2016 de la CNIL et du Conseil d’État)

NB : L’usage des systèmes LAPI-VAO conçus par AFS2R est fondamentalement différent dans le cadre du stationnement: il s’agit de la captation manuelle via un outil informatique de données qui relèvent de la police de la route & du contrôle du stationnement.