Question : L’entreprise ou la collectivité, qui met à la disposition de salariés ou collaborateurs des véhicules de service ou de fonction, peut-elle collecter et archiver les informations liées aux pertes de points des permis de conduire ?

D’abord, qu’est-ce que le RGPD ? C’est l’acronyme pour Règlement Général pour la Protection des Données, issu du règlement (UE) 2016/769 du parlement européen et du Conseil du 27/04/2016 (relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE), entré en application depuis le 25 mai 2018 (application qui avait été repoussée de 2 ans), dans tous les états membres de l’Union européenne, sans que des textes nationaux (loi, décrets…) ne soient nécessaires. Néanmoins, une loi n°2018-493 du 20 juin 2018 adaptant la législation française au RGPD a été publiée au JO du 21 juin 2018, ainsi qu’un décret n°2018-687 du 1er août 2018 mettant en conformité les textes règlementaires avec la loi informatique et libertés du 6 janvier 1978.

Quels sont les grands principes du RGPD et de la loi ? Mettre en œuvre une gouvernance de protection des données personnelles (« accountability » en anglais) dès la conception du traitement, en assurer la sécurité tout au long du processus, être en capacité d’en rendre compte à tout moment grâce à un ensemble de règles, de bonnes pratiques et de ressources (humaines et matérielles).

Concernant les infractions routières, nous rappelons que le représentant légal de la personne morale titulaire de certificats d'immatriculation de véhicules mis à disposition (de service, de fonction, ou en location), devait, dans un délai de 45 jours suivant l'envoi ou la remise de l’avis de contravention, dénoncer le conducteur contrevenant, sauf exceptions, sous peine de sanctions pénales (cf. article L.121-6 du code de la route).

D’un autre côté, l’article L.223-7 du code de la route dispose que : « Les informations relatives au nombre de points détenus par le titulaire d'un permis de conduire ne peuvent être collectées que par les autorités administratives et judiciaires qui doivent en connaître, à l'exclusion des employeurs, assureurs et toutes autres personnes physiques ou morales. Toute infraction aux dispositions de l'alinéa précédent est punie des peines prévues à l’article 226-21 du code pénal. La divulgation des mêmes informations à des tiers non autorisés est punie des peines prévues à l’article 226-22 du code pénal », étant précisé que les articles 226-21 et 226-22 du code pénal prévoient des peines de 5 ans d'emprisonnement et de 300.000 € d'amende.

La CNIL – Commission Nationale de l’Informatique et des Libertés – a rappelé sur son site https://www.cnil.fr/fr/declaration/au-010-recouvrement-des-contraventions-routieres que depuis l’entrée en application du RGPD, les autorisations uniques AU adoptées par la CNIL n’ont plus de valeur juridique à compter du 25/05/2018, mais que dans l’attente de la production de référentiels RGPD, la Commission décidait de les maintenir accessibles afin de permettre aux responsables de traitement d’orienter leurs premières actions de mise en conformité.

Donc, pour l’instant, et dans l’attente des référentiels CNIL sur ce sujet, les responsables de traitement se reporteront à la délibération de la CNIL n°2017-218 du 13 juillet 2017 https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000035638668&categorieLien=id « modifiant l'autorisation unique de mise en œuvre de traitements automatisés de données à caractère personnel relatifs à la gestion du contentieux lié au recouvrement des contraventions au code de la route et à l'identification des conducteurs dans le cadre du système de contrôle automatisé des infractions au code de la route (décision d'autorisation unique n° AU-010) », de laquelle il ressort que :

 

  • pour désigner la personne qui conduisait ou était susceptible de conduire le véhicule, il est possible :
    • (i) soit de procéder de manière ponctuelle via le site web de l'ANTAI (« Agence nationale de traitement automatisé des infractions ») ou par lettre recommandée avec accusé de réception,
    • (ii) soit, pour les flottes de plus de 1.000 véhicules, d'automatiser les échanges d'informations de désignation en concluant une convention avec l'ANTAI. Cet échange permet d'interroger les personnes morales titulaires du certificat d'immatriculation ou détentrices du véhicule sur l'identité et les coordonnées du conducteur présumé du véhicule afin de lui envoyer directement l'avis de contravention ;
  • Le responsable de traitement qui met en œuvre un traitement de données à caractère personnel ayant pour finalités la désignation auprès de l'ANTAI du conducteur du véhicule pour lequel une infraction a été constatée, le suivi de la procédure de recouvrement des contraventions au code de la route, ainsi que la réalisation de statistiques, notamment en vue d'adapter les formations de prévention routière, dans le respect des dispositions de cette décision unique, adresse à la Commission un engagement de conformité de celui-ci aux caractéristiques de la présente autorisation, les responsables de traitement qui adressent à la commission une déclaration comportant un engagement de conformité pour leurs traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisés à mettre en œuvre ces traitements ;
  • les seules données à caractère personnel pouvant être transmises à l'ANTAI dans le cadre de la procédure de désignation sont :
    • Les données relatives à la personne qui conduisait ou était susceptible de conduire le véhicule lorsque la contravention a été constatée (le nom, le nom d'usage, le(s) prénom(s), le sexe et, le cas échéant, la civilité de la personne ; la date et le lieu de naissance ; la nationalité ; l'adresse postale et, le cas échéant, l'adresse électronique ; le cas échéant, la fonction de la personne ; le numéro, la date et le lieu d'obtention du permis de conduire ; le numéro d'immatriculation du véhicule concerné) ;
    • Les autres données suivantes (le nom, le prénom et les coordonnées du représentant du responsable de traitement et, le cas échéant, d'un contact au sein de l'organisme concerné ; le numéro et la date de l'avis de contravention ; le cas échéant, la date et heure du début de location et la date et heure de fin de location ; le cas échéant, la date et heure de l'infraction ; le cas échéant, la copie de l'avis de contravention) ;
  • les seules données à caractère personnel traitées par le responsable de traitement au titre du suivi de la procédure de recouvrement des contraventions au code de la route sont : 1. la copie du formulaire de requête en exonération, ainsi que de l'ensemble des documents envoyés à l'ANTAI ; 2. le numéro, la date et l'heure du contrat de location ou de mise à disposition du véhicule ; 3. le montant de la contravention ;
  • la copie du permis de conduire ne saurait être demandée par le responsable de traitement pour l'une des finalités précitées. La CNIL a précisé que la conservation de la copie du permis de conduire par l’entité mettant à disposition un véhicule est excessive au regard de l’article 6-3° de la loi du 6 janvier 1978 modifiée : la conservation d’une copie du permis de conduire effectuée à un instant « T » ne garantit pas à cette entité que le conducteur auquel elle a confié un véhicule dispose toujours d’un permis valide puisque le nombre de points est susceptible de varier dans le temps sans que le permis n’en porte trace. L’entité peut en revanche demander au conducteur une attestation sur l’honneur par laquelle il déclare être titulaire d’un permis de conduire en cours de validité, ainsi que la présentation ponctuelle du permis de conduire, mais sans en conserver de copie ;
  • le responsable de traitement peut également réaliser des statistiques anonymes sur la base de données traitées ne permettant en aucun cas d'établir un lien entre un conducteur et la commission d'infractions ;
  • dans le cadre de la procédure de désignation, les responsables de traitement peuvent conserver dans leur base active les données précitées le temps de procéder à la désignation, qui ne saurait en tout état de cause excéder 45 jours à compter de la réception de l'avis de contravention. A l'issue de cette période, les données peuvent être archivées, en archivage intermédiaire (https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000017651957), au maximum le temps de la prescription en matière contraventionnelle, à savoir 12 mois. Les données anonymisées peuvent être conservées sans limitation de durée. Dans l'hypothèse d'une désignation automatisée et de la conclusion d'une convention avec l'ANTAI, les traces des requêtes effectuées par l'ANTAI sur les conducteurs de véhicules ayant commis une infraction au code de la route sont détruites après le retour d'information à l'ANTAI. En aucun cas les organismes publics ou privés ne peuvent garder trace de ces requêtes, les consolider ou les archiver ;
  • le responsable du traitement prend toutes précautions utiles au regard des risques présentés par le traitement pour préserver la sécurité et la confidentialité des données traitées. Il doit, notamment au moment de leur collecte, durant leur transmission et leur conservation, empêcher qu'elles soient déformées, endommagées ou que des tiers non autorisés puissent en prendre connaissance ;
  • le responsable du traitement procède, conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée en août 2004, à l'information des personnes susceptibles d'être concernées par la diffusion à chacune d'entre elles d'une note explicative pouvant figurer, le cas échéant, dans le contrat de location ou de prêt du véhicule. Par ailleurs, les organismes publics ou privés mettant des véhicules à disposition de leurs collaborateurs veillent également, conformément aux dispositions du code du travail et à la législation applicable aux trois fonctions publiques, à l'information et, le cas échéant, à la consultation des instances représentatives du personnel compétentes avant la mise en œuvre des traitements visés ;
  • les droits des personnes à l'égard des traitements de données, définis au chapitre V de la loi du 6 janvier 1978 modifiée, s'exercent auprès du ou des services que le responsable de traitement aura désignés ;
  • tout traitement automatisé de données à caractère personnel relatif à la gestion de la procédure de recouvrement des contraventions au code de la route qui n'est pas conforme aux dispositions de la délibération n°2017-218, doit faire l'objet d'une demande d'autorisation auprès de la commission dans les formes prescrites par les articles 25-I (3°), 25-I (5°) et 30 de la loi du 6 janvier 1978 modifiée.

 

Stéphane VACCA

Avocat au barreau de Paris

22, avenue de l'Observatoire - 75014 Paris

tél.:   +33.(0)9.67.39.51.62

fax.:  +33.(0)1.45.38.57.10

web: www.vacca-avocat.fr

blog: www.vacca-avocat-blog.com