Depuis le 1er janvier dernier et dans le cadre de la Loi de Modernisation de la Justice du 21ème siècle, en tant que personne morale, vous avez l'obligation de donner l'identité du conducteur d'un de vos véhicules, sous peine que votre société reçoive un PV pour non désignation de 450€. Le fait de devoir désigner vos salariés dans de tels cas conduit logiquement à un traitement de données personnelles. Ce qui nécessite une nouvelle organisation et de jongler avec des données personnelles…
Evoquer le traitement de données personnelles nécessite de se conformer aux règles édictées par la Commission Nationale de l'Informatique et des Libertés (CNIL).
Ainsi, sur ce sujet, la CNIL a adopté, le 13 juillet 2017, une nouvelle délibération visant à se mettre au goût du jour des nouvelles dispositions. Elle modifie donc la précédente délibération, datant de 2016 qui est ainsi abrogée et les conditions fixées par la décision d'autorisation unique, portant la référence n° AU-010, relative au recouvrement des contraventions routières.
Les entreprises qui ont adressé un engagement de conformité à l'autorisation AU-010, auprès de la CNIL, ont donc jusqu'au 26 mars 2018, pour se mettre à jour.
Petit rappel des dispositions du Code de la Route
Dans les cas de certaines infractions relevées sans interpellation physique du conducteur et commises avec un véhicule dont le titulaire du certificat d'immatriculation est une personne morale, le représentant légal de cette dernière, doit indiquer l'identité de la personne physique qui conduisait le véhicule. Le représentant légal n'est cependant pas tenu de désigner le conducteur, s'il démontre qu'il y a eu vol, usurpation de plaque d'immatriculation ou événement de force majeure.
Cette démarche doit impérativement être faite, par le représentant légal, un délai de 45 jours à compter de date de l'avis de contravention.
En pratique comment s'opère la désignation ?
- soit via le site l'Agence Nationale de Traitement Automatisé des Infractions ou, par lettre recommandée avec accusé de réception.
- soit, pour les flottes de plus de 1 000 véhicules, en automatisant les échanges d'informations en signant une convention avec l'ANTAI. Cet échange permet d'envoyer directement les avis de contravention aux conducteurs, sans plus passer par l'entreprise.
Quelle est l'implication de la CNIL ?
Pour y parvenir, cela implique que des données personnelles sur les conducteurs soient stockées et transmises par l'entreprise, à destination des autorités. L'entreprise, en tant que responsable de traitement, qui met en œuvre un tel traitement de données personnelles de ses salariés effectue un engagement de conformité, auprès de la CNIL, assurant qu'il respecte les dispositions en vigueur de la nouvelle décision.
Qui collecte des données et pour quelle finalité ?
Le traitement de données mis en œuvre doit répondre aux seules finalités suivantes :
- désigner auprès de l'ANTAI, la personne qui conduisait ou était susceptible de conduire le véhicule lorsque l'infraction a été constatée ;
- suivre la procédure de recouvrement des contraventions au code de la route ;
- réaliser des statistiques, notamment en vue d'adapter les formations de prévention routière.
Si tel n'est pas le cas, une autorisation distincte doit être présentée auprès de la CNIL.
Les principaux changements par rapport à la délibération de 2016…
Concernant le champ d'application : qui sont les entreprises concernées ?
- La délibération 2016 concernaient les traitements mis en œuvre par les organismes publics ou privés ayant pour activité la location ou la mise à disposition de véhicules, qu'ils soient ou non titulaires du certificat d'immatriculation desdits véhicules.
- Avec la délibération 2017, sont concernés les traitements mis en œuvre par les organismes publics ou privés louant ou mettant des véhicules à disposition (notamment de leurs collaborateurs ou clients), qu'ils soient ou non titulaires du certificat d'immatriculation desdits véhicules.
Quelles sont les données qui peuvent être collectées, concernant l'identité du conducteur ?
Avec la délibération 2017, l'autorisation a été simplifiée, en opérant une distinction entre :
- Les données pouvant être transmises à l'ANTAI (et non plus le Contrôle National de Traitement du Contrôle Automatisé) dans le cadre de la procédure de désignation : le sexe, la civilité et la fonction de la personne désignée font partie des données autorisées, en plus de son identité, sa date et son lieu de naissance, sa nationalité, ses adresses postales et électroniques, ainsi que le numéro, la date et le lieu d'obtention de son permis de conduire, le numéro de plaque du véhicule.
- Les données traitées par le responsable de traitement au titre du suivi de la procédure de recouvrement des contraventions au Code de la Route : la copie du formulaire de requête en exonération, des documents envoyés à l'ANTAI, le montant de la contravention, etc.
Dans tous les cas, la copie du permis de conduire ne saurait être demandée par le responsable de traitement. En revanche, l'entreprise peut demander au conducteur une attestation sur l'honneur par laquelle il reconnait être titulaire d'un permis valide ou, de le lui présenter ponctuellement.
Qu'en est-il des statistiques réalisées ?
Si les statistiques demeurent possibles, la grande différence repose sur le fait qu'elles doivent désormais être anonymes. L'objectif étant de réaliser des analyses selon les infractions commises et les éventuels sinistres, notamment en vue d'adapter les formations de prévention routière.
Les statistiques réalisées et traitées ne doivent en aucun cas permettre d'établir un lien entre un conducteur et la commission d'infractions.
Quelle est la durée de conservation des données collectées ?
Le délai de conservation des données à caractère personnel, non anonymisées, est de 45 jours à compter de la réception de l'avis de contravention, en base active.
A l'issue de ce délai, il est possible de les archiver pour une période de 12 mois (contre 18 mois dans la délibération 2016).
Pour les données des données anonymes : il n'y a pas de délai maximal pour leur conservation.
Renforcement des mesures de sécurité
Comme pour tout traitement mis en œuvre, le responsable du traitement doit prendre les mesures qui s'imposent pour garantir la sécurité et la confidentialité des données traitées.
Dans le cadre de la délibération 2017, de nouvelles exigences ont donc été fixées (telle des systèmes de gestion des habilitations et de journalisation des accès aux données).
Sources :
Décryptage de la Loi de Modernisation de la Justice du 21ème siècle