| N° de demande d’avis : 25008238. | Thématiques : Systèmes de transport intelligents, STI, données de circulation, point d’accès national. |
| Organisme(s) à l’origine de la saisine : ministère de l’aménagement du territoire et de la décentralisation. | Fondement de la saisine : article L.1513-2 du code des transports. |
L’essentiel :
La CNIL recommande que les responsabilités des différents acteurs soient clarifiées à l’égard des traitements de données à caractère personnel réalisés en amont de la mise à disposition.
Elle invite le ministère à limiter l’obligation de numérisation aux seules données et informations collectées après l’entrée en vigueur du décret projeté, par les organismes concernés.
Enfin, elle invite le ministère à clarifier les conditions d’anonymisation des données transmises.
La Commission nationale de l’informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu le code des transports, notamment son article L. 1513-2 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (« loi informatique et libertés ») ;
Après avoir entendu le rapport de M. Didier Kling, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :
I. – La saisine
A. – Le contexte
La loi n° 2025-391 portant diverses dispositions d’adaptation au droit de l’Union européenne en matière économique, financière, environnementale, énergétique, de transport, de santé et de circulation des personnes (« loi DDADUE 2025 ») est venue transposer, le 30 avril 2025, la directive (UE) 2023/2661 du Parlement et du Conseil du 22 novembre 2023 modifiant la directive 2010/40/UE concernant le cadre pour le déploiement de systèmes de transport intelligents (« STI ») dans le domaine du transport routier et d’interfaces avec d’autres modes de transport en France.
Les systèmes de transport intelligents (« STI ») sont basés sur la communication de données agrégées concernant les conditions de trafic routier aux « prestataires de services d’information en temps réel », via un « point d’accès national » (le « PAN »), par l’ensemble des acteurs susceptibles de détenir certaines données relatives à la circulation (autorités investies des pouvoirs de police de la circulation, gestionnaires des péages, constructeurs de véhicules dotés de systèmes de collecte et de transmission de données embarquées, fournisseurs des applicatifs d’assistance à la conduite, etc.).
La loi DDADUE 2025 a notamment introduit dans le code des transports un article L. 1513-2, lequel :
– contient une liste des différentes catégories de « détenteurs et utilisateurs des données et d’informations permettant la mise à disposition de services d’information en temps réel sur la circulation routière et la sécurité routière » soumis à l’obligation de mettre ces données à disposition des utilisateurs potentiels ; et
– prévoit que les modalités d’application de cette disposition, et en particulier la liste des catégories de données devant être mises à disposition, devront être définies par voie réglementaire après avis de la CNIL et de l’Autorité de régulation des transports (ART).
B. – L’objet de la saisine
Le projet de décret est pris pour application de l’article L. 1513-2 du code des transports.
Il impose à une partie des organismes énumérés à cet article l’obligation de numériser les données qu’ils détiennent. Il précise également quelles catégories de données doivent être mises à disposition, via le PAN, pour chaque catégorie d’acteurs.
II. – L’avis de la CNIL
L’article 1er du décret insère une nouvelle section « Obligations de numérisation des données routières » dans le code des transports.
Composée d’un article unique D. 1513-10, elle a notamment pour objet de :
– préciser les catégories d’acteurs soumis à l’obligation « d’enregistrement numérique des données dont ils disposent, quel que soit leur format initial et dès lors que l’information sous-jacente existe » ;
– prévoir que « les données concernées et leurs formats numériques [seront] précisés par arrêté du ministre chargé des transports ».
En premier lieu, la CNIL constate que la mise en œuvre du système des transports intelligents nécessite trois étapes distinctes de traitement de données :
– dans un premier temps, les constructeurs des véhicules terrestres à moteur ou leur mandataires devront collecter des données brutes dont le projet de décret ne précise pas la nature. Certaines de ces données pourraient, selon toute probabilité, présenter un lien avec des personnes identifiées ou identifiables (par exemple, une information relative à la présence d’un véhicule spécifique à un endroit et à un moment donnés), et être donc soumises à la réglementation applicable en la matière (notamment le RGPD et la loi « informatique et libertés » modifiée) ;
– dans un second temps, le constructeur ou son mandataire devront extraire, à partir de ces données brutes, des informations agrégées, lesquelles ne devront en principe plus présenter de lien avec des personnes identifiées ou identifiables, et dont le traitement n’aurait de ce fait pas vocation à être encadré par les règles applicables en matière de protection des données à caractère personnel ;
– enfin, dans un troisième temps, une fois que les données sont agrégées, le constructeur du véhicule ou son mandataire doit les « transmettre au PAN en respectant la convention de la transmission des données ».
A cet égard, la CNIL observe que le projet crée une obligation de transmission de données pour certaines catégories d’acteurs sans toutefois clarifier leur statut à l’égard de traitements de données à caractère personnel susceptibles d’être mis en œuvre dans ce cadre.
La détermination de leur statut étant un préalable nécessaire pour clarifier leurs obligations au regard des règles en matière de protection des données, la CNIL appelle le ministère à apporter cette clarification à même d’assurer la sécurité juridique de l’ensemble des acteurs concernés.
En deuxième lieu, pour l’obligation de numérisation, la CNIL observe que le texte ne distingue pas entre les données déjà détenues par les parties prenantes à la date d’entrée en vigueur de ce texte, et celles qui seront collectées après cette date. De plus, s’agissant des données déjà détenues, aucune limite temporelle n’est prévue pour limiter les données devant être numérisées.
A cet égard, la CNIL observe que le projet de décret est pris pour l’application de l’article L. 1513-2 du code des transports relatif à la mise à disposition de services d’information en temps réel sur la circulation routière et la sécurité routière. Par conséquent, une obligation de numérisation de données collectées avant l’entrée en vigueur du décret projeté n’apparait pas justifiée.
Dans ces conditions, la CNIL invite le ministère à modifier le projet de manière à limiter l’obligation de numérisation de données aux seules données et informations collectées par les organismes concernés, après son entrée en vigueur ou, à défaut, encadrer la profondeur historique des données à numériser.
En troisième lieu, la CNIL observe que la réglementation européenne relative aux systèmes de transport intelligents impose actuellement aux parties prenantes l’utilisation du standard de transmission de données appelé DATEX II.
La documentation technique relative à ce standard évoque les scénarios de collecte et de transmission d’informations telles que le modèle du véhicule, sa couleur, son numéro de plaque d’immatriculation et son numéro de série.
Interrogé sur la question de la compatibilité de tels contenus avec l’obligation d’anonymisation des données à la source, le ministère a indiqué que seule une partie des possibilités offertes par le standard DATEX II était actuellement utilisée par les détenteurs et les utilisateurs de données et d’informations permettant la mise à disposition de services d’information en temps réel sur la circulation routière et la sécurité routière, de sorte que seules les données anonymes étaient actuellement transmises dans ce cadre.
Par ailleurs, la CNIL prend acte de l’engagement du ministère de modifier le projet de décret afin de clarifier le fait que, quels que soient les formats numériques retenus pour la communication des données en question, ces formats ne permettront en aucun cas de réidentifier les véhicules concernés, leurs conducteurs, leurs propriétaires, leurs locataires ou leurs passagers.
Les autres dispositions du projet de décret n’appellent pas d’observations de la part de la CNIL.