| N° de demande d’avis : 25006924. | Thématiques : lutte contre le travail dissimulé, contrôle du temps de travail des personnels roulants de transports routiers non soumis à l’enregistrement automatique par tachygraphe. |
| Organisme(s) à l’origine de la saisine : Ministère de l’aménagement, du territoire et de la décentralisation. | Fondement de la saisine : Article 31.I de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés. |
L’essentiel :
1. Le traitement Mobilic s’inscrit dans le cadre d’un dispositif numérique permettant l’enregistrement certifié des temps de travail des personnels roulants et de conduite de transports routiers de personnes, de marchandises ou de déménagement, publics ou privés, dont le véhicule n’est pas soumis à l’enregistrement automatique par tachygraphe.
2. Au regard des nombreuses utilisations possibles de l’outil, la CNIL invite le ministère à préciser les différentes finalités poursuivies par le traitement.
3. La CNIL demande de ne pas utiliser un moyen d’identification prévu pour des particuliers dans le cadre de démarches administratives (FranceConnect) dans le contexte de plateformes numériques utilisées dans un but professionnel et d’adopter une solution adaptée de type « ProConnect ».
4. La CNIL appelle le ministère à veiller à ce que les employeurs adoptent une politique d’usage alignée avec sa recommandation relative à l’authentification multifacteur, prévoyant notamment la mise à disposition d’un terminal professionnel en cas d’inadéquation du terminal personnel ou de refus des personnels roulants d’utiliser leurs propres terminaux.
5. La CNIL invite le ministère à mettre en œuvre les mesures nécessaires pour assurer que les interfaces tierces présentent un niveau équivalent de conformité au RGPD que l’application Mobilic en elle-même.
La Commission nationale de l’informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment son article 31. I ;
Après avoir entendu le rapport de M. Didier Kling, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :
I. – La saisine
A. – Le contexte
La conduite et l’exploitation des véhicules de transports routiers de personnes, de marchandises ou de déménagement, publics ou privés, sont soumises aux obligations découlant de l’article L. 3311-1 du code des transports, qui encadrent la répartition entre périodes de travail et de repos ainsi que les moyens de contrôle et les dispositifs qui doivent être utilisés.
Ces obligations concernent notamment les personnels roulants de transports routiers non soumis à l’enregistrement automatique par tachygraphe (les « personnels roulants » ou « PR »). Leur temps de travail doit être déclaré au moyen du livret individuel de contrôle (LIC), conformément aux dispositions des articles R. 3312-19 et R. 3312-58 du code des transports.
Le LIC se présentait, dans un premier temps, exclusivement sous format papier. Cependant, ce format est désormais considéré comme obsolète, ne permettant pas de contrôler de manière satisfaisante le respect des règles de temps de travail.
Une version électronique du LIC dénommée Mobilic a en conséquence été créée par un arrêté du 6 mars 2025 relatif à l’horaire de service et au livret individuel de contrôle dans les transports routiers. Conformément aux orientations du Plan national de lutte contre le travail illégal 2019-2021, il s’agit de doter l’Etat d’un outil permettant de contrôler efficacement le temps de travail des salariés opérant sur des véhicules légers.
Pendant une période transitoire de deux ans, le LIC se présenterait au choix sous format papier ou sous format électronique. Le format électronique du LIC deviendrait ensuite obligatoire à partir du 1er janvier 2027.
B. – L’objet de la saisine
Le projet d’arrêté soumis à l’avis de la CNIL vise à encadrer le traitement de données à caractère personnel dénommé Mobilic.
Placé sous la responsabilité de la direction générale des infrastructures, des transports et des mobilités (DGITM), Mobilic se présente comme un ensemble composé d’une application web, d’une interface web, d’APIs, d’une base de données gérée par le ministère et d’un outil de contrôle pour les agents mentionnés à l’article L. 3315-1 du code des transports et à l’article L. 8271-1-2 du code du travail.
Les échanges avec le ministère sur différentes versions du projet d’arrêté ont conduit à des modifications substantielles, en particulier concernant le régime juridique applicable.
II. – L’avis de la CNIL
A. – Sur les finalités
En premier lieu, l’article 1er du projet d’arrêté dispose que le traitement Mobilic « constitue un moyen de lutter contre le travail dissimulé par un enregistrement certifié des temps de travail des PR ».
Si les contrôles opérés par les agents mentionnés à l’article L. 3315-1 du code des transports et à l’article L. 8271-1-2 du code du travail permettent en effet la prévention et la détection de cette infraction pénale, la CNIL relève néanmoins que le recours à Mobilic, compte tenu des données recueillies, permettra de constater d’autres manquements aux réglementations relatives :
– aux activités, aux temps de conduite et de repos des PR ;
– à l’accès aux marchés des transports routiers ;
– à la sécurité et à la circulation routières des véhicules de transport routier ;
– aux infractions relatives au transport routier de marchandises et de voyageurs.
La CNIL invite par conséquent le ministère à clarifier les finalités poursuivies par le traitement Mobilic, en faisant apparaitre tant la lutte contre le travail dissimulé que la vérification du respect des réglementations relatives au transport routier de marchandises et de voyageurs par des PR. La CNIL relève en tout état de cause que la poursuite de ces finalités est nécessaire à l’exécution d’une mission d’intérêt public dont est investi le ministère chargé des transports, en vertu du e du paragraphe 1 de l’article 6 du RGPD.
En second lieu, l’article 1er du projet d’arrêté apparait confondre des finalités et des fonctionnalités du traitement. Or, les finalités, qui correspondent à l’objectif de politique publique poursuivi par le traitement, doivent être distinguées des simples fonctionnalités, qui sont des « moyens » du traitement.
A ce titre, outre les objectifs d’intérêt public évoqués précédemment, il ressort des informations fournies que Mobilic poursuit également certaines finalités dans le cadre de son utilisation par les chefs d’entreprise et leurs représentants. Il s’agit :
– de l’enregistrement et du suivi du temps de travail des PR, conformément aux obligations énoncées aux articles R. 3312-19 et R. 3312-58 du code des transports ;
– de permettre la mise en place d’une API pour assurer la gestion administrative et financière des entreprises, la réception des données par les agents habilités conformément à l’article L. 3315-1 du code des transports et l’interfaçage avec les logiciels tiers de logistiques.
La CNIL prend acte de l’engagement du ministère de préciser les finalités poursuivies et de les distinguer des fonctionnalités du traitement.
B. – Sur les données collectées
1. Les catégories de données collectées
L’article 2 du projet d’arrêté énumère les données à caractère personnel collectées à titre obligatoire et facultatif.
La CNIL recommande au ministère de distinguer les catégories de données nécessaires pour chacune des finalités poursuivies.
2. L’utilisation de FranceConnect
La CNIL prend acte du retrait prévu du moyen d’identification « FranceConnect ». Elle rappelle l’importance d’éviter de mettre en œuvre un tel moyen d’identification prévu pour être utilisé par les particuliers pour leurs démarches administratives et accéder aux services publics dans le contexte de plateformes numériques utilisées dans un but professionnel.
Si le ministère souhaite proposer un second moyen d’authentification, la CNIL l’invite à utiliser une solution adaptée de type « ProConnect » aux utilisateurs éligibles. Elle invite également le ministère à sensibiliser les employeurs au fait que la fourniture d’une adresse électronique professionnelle est nécessaire pour faire usage de ce moyen de connexion (ce qui n’est pas le cas lorsque les utilisateurs créent un compte dédié directement sur la plateforme) et prend acte de ce que ce point sera rappelé lors du parcours d’inscription.
C. – Sur l’exercice des droits
L’article 5 du projet d’arrêté encadre l’exercice des droits des personnes concernées par le traitement Mobilic sur le fondement des articles 105 et 106 de la loi du 6 janvier 1978 susvisée.
La CNIL relève que ces articles font application de la directive n° 2016/680 du 27 avril 2016, dite directive « Police-Justice » alors que le régime applicable au traitement Mobilic relève du RGPD.
La CNIL prend acte de l’engagement du ministère de fonder l’encadrement de l’exercice des droits sur les dispositions pertinentes du RGPD.
Par ailleurs, le deuxième alinéa de l’article 5 du projet d’arrêté dispose que le droit d’opposition ne s’applique pas au traitement, conformément au d du 1 de l’article 23 du RGPD. Cet article vise la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.
Pour autant, la CNIL relève que certaines finalités poursuivies par le traitement ne relèvent pas de la prévention et de la détection d’infractions pénales.
De plus, elle s’interroge sur la possibilité pour les personnes concernées de s’opposer au traitement de leurs données pour certaines finalités, notamment la communication des données aux chefs d’entreprise et leurs représentants utilisant des logiciels tiers interconnectés avec l’API Mobilic pour leur gestion administrative et financière, l’information des gestionnaires et des PR des manquements constatés aux textes applicables ou le traitement de données facultatives.
La CNIL prend acte de l’engagement du ministère de clarifier les conditions dans lesquelles le droit d’opposition est écarté. Elle rappelle à ce titre qu’il est nécessaire de préciser pour quelles finalités il l’est.
D. – Sur l’usage de terminaux personnels
Il ressort des informations transmises par le ministère que les PR peuvent utiliser des terminaux professionnels ou personnels pour accéder aux outils permettant l’enregistrement des informations requises dans le dispositif Mobilic.
Cet usage peut présenter un certain nombre de risque en termes de sécurité du traitement et pour la vie privée des PR, par exemple en cas d’usage de terminaux non sécurisés ou bien avec une politique de verrouillage inadéquate.
Au regard de la législation du travail, les employeurs doivent, en principe, fournir aux employés les moyens et outils dont ils ont besoin pour accomplir leur travail, notamment pour accéder au système d’information. A titre dérogatoire, le recours aux matériels et équipements personnels des salariés est, dans certains cas, possible.
De manière similaire à ce qui est prévu dans la recommandation de la CNIL relative à l’authentification multifacteur du 20 mars 2025, il appartient alors aux employeurs de s’assurer de leur conformité aux droits du travail et de la protection des données à caractère personnel. Les employeurs devront donc prévoir des solutions alternatives pour les employés ne possédant pas d’appareils personnels compatibles, ou ne souhaitant pas, pour des raisons personnelles, les utiliser à des fins professionnelles. Enfin, le RGPD impose à l’employeur des obligations en matière de protection des données dès la conception et par défaut ainsi que de sécurité des données traitées, notamment dans ses articles 5.1.f, 25 et 32.
La CNIL appelle donc le ministère à veiller à ce que les employeurs adoptent une politique d’usage prévoyant notamment la mise à disposition d’un terminal professionnel en cas d’inadéquation du terminal personnel ou de refus des PR d’utiliser leurs terminaux privés. Les documentations mises à dispositions de ces acteurs devraient être claires sur ce sujet.
E. – Sur les interfaces tierces
L’interface Mobilic n’est pas le seul outil permettant l’enregistrement des activités des PR et la consultation des données par le gestionnaire. En effet, le ministère habilite des logiciels tiers qui permettent la collecte des données de suivi et du temps de travail de personnels et leur gestion par le gestionnaire en s’interfaçant avec l’API Mobilic.
La CNIL invite le ministère à mettre en œuvre toutes les mesures nécessaires pour assurer que ces interfaces tierces présentent un niveau équivalent de conformité que l’application Mobilic en elle-même, que ce soit en termes de durée de conservation, de respect des droits des personnes ou de mesures de protection des données dès la conception et par défaut ainsi que de sécurité. La CNIL recommande également au ministère de s’assurer dans le temps de cette conformité, en procédant à des audits fréquents des logiciels habilités à s’interfacer avec l’API de Mobilic.
F. – Sur la sécurité
A l’échéance du délai de conservation, le ministère indique que certaines des données sont anonymisées, pour permettre des analyses statistiques.
La CNIL rappelle que l’anonymisation doit être effective. Elle invite donc le responsable de traitement à réaliser une analyse permettant de démontrer cette effectivité en s’inspirant pour ce faire de l’avis du groupe de l’article 29 n° 05/2014.
La CNIL rappelle l’importance de mettre en œuvre une politique d’habilitation stricte dans le cadre de l’accès à une base de données d’une telle ampleur. Elle recommande que les permissions d’accès soient attribuées pour une durée déterminée et limitée, après validation hiérarchique, qu’elles soient supprimées dès qu’un utilisateur n’est plus habilité et qu’une revue globale des habilitations attribuées soit opérée régulièrement.
La CNIL rappelle que le courriel n’est en général pas un moyen approprié pour transmettre des données à caractère personnel, pour des raisons de sécurité et plus particulièrement de confidentialité des données incluses. Elle prend acte de l’engagement du ministère de supprimer le dispositif de transmission par courriel pour rétablir la transmission via l’interface web sécurisée.
La CNIL prend note de l’évolution prévue du dispositif permettant la tenue du contrôle sur la base d’un QR code présenté par le chauffeur, en ne permettant son scan par un agent de contrôle qu’une seule et unique fois. Cette mesure permet d’éviter la transmission de QR code à des tiers non autorisés à procéder au contrôle.
La CNIL rappelle au responsable de traitement la nécessité de mettre en place un système de journalisation de l’ensemble des utilisateurs habilités (y compris les contrôleurs) et les mesures techniques ou organisationnelles permettant l’exploitation de ces données. En effet, la mise en œuvre d’un mécanisme proactif de contrôle des données de journalisation contribue à la sécurité du traitement par la génération d’alertes. Elle prend acte de l’engagement du ministère de mettre en œuvre un dispositif couvrant l’ensemble des utilisateurs habilités et permettant de garantir l’enregistrement, la conservation et l’exploitation de ces données de manière conforme aux exigences de sécurité et de traçabilité.
Les autres dispositions du projet de décret n’appellent pas d’observations de la part de la CNIL.