L’essentiel :

1. Le projet d’arrêté vise à encadrer le traitement de données à caractère personnel pour la constatation et la poursuite des infractions de défaut de paiement du péage. Il constitue un acte réglementaire unique (ARU) auquel devront se référer les sociétés de concession autoroutière (SCA) mettant en œuvre ces traitements.
2. A ces fins, des dispositifs de lecture automatisée de plaques d’immatriculation (LAPI) sont déployés à grande échelle par les SCA.
3. Afin de limiter les risques pour les droits et libertés des personnes, notamment ceux liés au suivi des déplacements, la CNIL demande que le projet de texte soit complété de plusieurs garanties :
– dès lors que l’action publique est éteinte (par exemple, par le règlement de l’avis de paiement majoré), les données collectées par les SCA doivent être supprimées sans délai ;
– si le véhicule est équipé d’un boîtier de télépéage, la collecte de la plaque d’immatriculation n’est justifiée qu’en cas d’absence de détection du boîtier lors du passage en zone de péage.
4. Au-delà du périmètre de l’arrêté, la CNIL demande que l’information des personnes sur les dispositifs de LAPI soit assurée sur les axes en flux libre.

La Commission nationale de l’informatique et des libertés,
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (loi « informatique et libertés »), notamment son article 31 et son titre III ;
Sur la proposition de M. Didier Kling, commissaire, et après avoir entendu les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :

I. – La saisine
A. – Le contexte

Tout usager d’une autoroute ou d’un ouvrage routier soumis à péage doit s’acquitter du montant du péage sous peine d’amende. Ce péage, qui se matérialise essentiellement par une barrière physique, évolue progressivement depuis 2019 vers un système dit de « flux libre » introduit par la loi n° 2019-1428 du 24 décembre 2019 d’orientation des mobilités (LOM).
La loi n° 2010-788 du 12 juillet 2010 (dite loi « Grenelle II ») a donné aux agents des sociétés concessionnaires d’autoroutes ou d’ouvrages (SCA) les pouvoirs de constater les infractions liées aux défauts et paiement et de proposer une transaction au contrevenant. Pour l’identifier, ces agents assermentés peuvent accéder au système d’immatriculation des véhicules (SIV) qui recense les coordonnées du titulaire du certificat d’immatriculation et les caractéristiques techniques du véhicule.
La constatation des infractions diffère selon la nature des dispositifs :

– dans le cas des péages avec barrières, l’infraction relative au défaut de paiement (qui se matérialise, par exemple, par le forçage de la barrière ou le fait de coller le véhicule devant soi) est immédiatement constatée au moyen d’un dispositif de vidéoprotection complété, le cas échéant, par un dispositif de lecture automatisé de plaques d’immatriculation (LAPI) ;
– dans le cas des péages dits « en flux libre », l’infraction relative au défaut de paiement est constituée au bout de soixante-douze heures suivant son passage, en l’absence d’acquittement du péage par l’usager. En l’absence de boîtier de télépéage, l’utilisateur dispose de ce délai pour régler sa redevance sur le site web de l’exploitant ou chez un buraliste affilié au réseau Nirio, à partir de sa plaque d’immatriculation. La captation de la plaque d’immatriculation du véhicule de l’usager via un dispositif de LAPI est, ici, centrale : elle permet tant le paiement de la redevance que l’identification du contrevenant.

Dès lors que l’infraction est constituée, une procédure de transaction est proposée par l’exploitant. Un avis de paiement majoré est adressé au domicile du contrevenant, lequel dispose de deux mois pour le régler, ce qui éteint alors l’action publique. A défaut de paiement ou en cas de contestation de l’intéressé auprès de la SCA, cette dernière adresse le procès-verbal de contravention à l’officier du ministère public (OMP) en charge des poursuites.
L’évolution progressive vers le péage de type « flux libre » a pour conséquence la collecte automatisée à grande échelle des plaques d’immatriculation et des trajets effectués par les usagers (de l’ordre de plusieurs millions de trajets par mois). Les préoccupations en matière de libertés individuelles et publiques induites par la collecte des déplacements des usagers des autoroutes sont régulièrement remontées par la société civile. De surcroît, la démultiplication des fraudes aux plaques d’immatriculation (usurpation ou fausses plaques par exemple) sur ces axes, accroit ces préoccupations, dès lors que les titulaires légitimes des plaques seront susceptibles d’être régulièrement poursuivis pour non-paiement.
Dans ce cadre, et conformément à l’article 1^er de la loi « informatique et libertés », la CNIL sera particulièrement vigilante quant aux conditions de développement de ces systèmes.

B. – L’objet de la saisine

Le projet d’arrêté soumis pour avis constitue un acte réglementaire unique (ARU) au sens du IV de l’article 31 de la loi « informatique et libertés ».
Les SCA, en leur qualité de responsables des traitements, devront s’engager à s’y conformer afin de mettre en œuvre les traitements de données relatifs :

– à l’identification des véhicules dans le cadre de la constatation des infractions de non-paiement du péage ;
– à la procédure de transaction ;
– et le cas échéant, « la gestion des protestations et des contentieux ».

Une analyse d’impact relative à la protection des données cadre est jointe au projet (« AIPD-cadre »).
Le projet d’arrêté encadre plusieurs traitements de données à caractère personnel, notamment la collecte des plaques d’immatriculation des véhicules via des dispositifs de LAPI afin de permettre l’identification de l’auteur de l’infraction. Le projet d’arrêté ne porte pas sur les traitements relatifs à la collecte des plaques dans le cadre de la facturation du trajet, qui relèvent du RGPD, et dont les SCA doivent assurer la licéité, notamment au regard de l’exercice du droit d’opposition. Il appartient à cet égard au ministère soit d’assurer l’effectivité de l’exercice de ce droit par des dispositifs appropriés soit de l’écarter explicitement.
Suite aux premières observations des services de la CNIL sur le projet de texte, une saisine rectificative a été transmise par le ministère.

II. – L’avis de la CNIL
A. – Sur les finalités du traitement

L’article 1^er du projet d’arrêté liste les finalités poursuivies par les traitements mis en œuvre par les SCA.
La CNIL s’interroge sur l’emploi du terme « poursuite » dans le titre de l’arrêté, susceptible de prêter à confusion sur les attributions des SCA. En effet, bien que les SCA puissent être amenées à déposer plainte contre les conducteurs qui éludent de manière habituelle le paiement du péage et à suivre les contentieux, les poursuites sont menées par le ministère public.
Par souci de clarté, la CNIL invite le ministère à modifier le titre de l’arrêté afin de retirer le terme « poursuite », ce que celui-ci s’est engagé à faire.

B. – Sur les données collectées

L’article 2 du projet d’arrêté prévoit que les images des véhicules et des plaques d’immatriculation, issues des caméras de vidéoprotection et des capteurs de LAPI, sont collectées par les SCA.
Cependant, sur l’autoroute, le passage d’un véhicule en zone de péage, avec ou sans barrières, peut être détecté grâce à un boîtier de télépéage, fourni dans le cadre d’un contrat de service de télépéage. Ce boîtier, qui n’est pas rattaché à un véhicule mais au titulaire du contrat, permet le paiement automatique de la redevance lors de sa détection.
Ainsi, dans le cas d’une détection de boîtier, le défaut de paiement n’apparait pas possible. En cas d’éventuelles difficultés liées au moyen de paiement (RIB périmé par exemple), l’identification de l’usager se fera au moyen des informations contractuelles, dans le cadre de la relation commerciale.
La CNIL considère que la collecte de la plaque d’immatriculation n’est justifiée qu’en cas d’absence de détection du boîtier de télépéage. Elle demande que le projet de texte soit modifié en ce sens.
Par ailleurs, le ministère a précisé que les images issues des dispositifs de LAPI ne doivent pas permettre l’identification des occupants des véhicules. La CNIL prend acte de ce que les SCA doivent mettre en œuvre les mesures techniques ad hoc prévues par l’AIPD-cadre (par exemple, au moyen d’angles de prise de vue à hauteur de plaque ou encore, le floutage de l’habitacle du véhicule).

C. – Sur les durées de conservation

L’article 5 du projet d’arrêté prévoit que « pour les infractions prévues aux articles R. 419-1 et R. 419-2, en cas d’extinction de l’action publique suite à une transaction, le responsable de traitement supprime les données au maximum 6 mois après cette transaction ».
Le ministère a précisé que le délai de six mois constitue un plafond opérationnel couvrant l’ensemble des process des différentes SCA.
Conformément à l’article 4 de la loi « informatique et libertés », les données à caractère personnel ne doivent être conservées sous une forme permettant l’identification des personnes que le temps strictement nécessaire à la réalisation des finalités poursuivies.
A cet égard, la CNIL relève que le règlement de l’avis de paiement majoré adressé dans le cadre de la procédure transactionnelle éteignant l’action publique, les données concernées n’ont plus lieu d’être conservées, et doivent être supprimées sans délai. La durée opérationnelle de six mois n’apparait en tout état de cause pas justifiée en l’espèce.
Par conséquent, la CNIL demande que le projet de texte soit modifié en ce sens.

D. – Sur l’information des personnes concernées

Le I de l’article 7 du projet d’arrêté prévoit que les usagers sont informés des données collectées, des traitements mis en œuvre et de leurs droits par des mentions d’information publiées sur le site internet des responsables du traitement.
Ces mentions devront contenir l’ensemble des informations mentionnées aux I et II de l’article 104 de la loi « informatique et libertés ».
Au regard du risque de défaut de paiement plus élevé sur les axes en flux-libre, la CNIL prend acte de ce que le site du ministère de la transition écologique et de l’aménagement du territoire fournit une présentation générale du « flux libre ».
Elle recommande que ce dernier soit complété des informations sur les modalités de collecte et de gestion des données personnelles ainsi que sur les modalités relatives à l’exercice des droits des personnes, en cas de défaut de paiement du péage.
A cet égard, le ministère a précisé que la présentation introductive du système de péage sur le site web du ministère serait modifiée comme suit : « Une autoroute à péage en flux libre est une autoroute payante, mais sans barrière de péage. Ce dispositif permet de ne plus avoir à s’arrêter, car des portiques équipés notamment de cameras de lecture des plaques d’immatriculation calculent automatiquement pendant le trajet ce que chaque automobiliste doit payer. La suppression des barrières de péages permet de réduire les risques d’accrochage, de passer moins de temps sur la route et d’économiser du carburant ».
Enfin plus largement et au-delà du périmètre de l’arrêté, s’agissant des dispositifs de LAPI déployés sur les axes en flux libre, la CNIL s’interroge sur l’absence actuelle de signalisation permettant l’information des usagers sur le traitement des plaques d’immatriculation.
Elle invite donc le ministère à rapidement déployer une information claire et visible des usagers au plus tard au moment de la collecte de ces données.

E. – Sur les aspects techniques et mesures de sécurité

Des mesures de sécurité, qui ont vocation à être mises en place par les SCA, en particulier, dans le cadre des traitements dont elles seront responsables, sont énumérées dans l’AIPD-cadre.
La CNIL invite le ministère à compléter cette dernière sur les questions de sécurisation et de limitation des accès aux données, ainsi que d’habilitation, afin en particulier que les responsables du traitement s’assurent que l’accès aux données ne soit effectivement possible que pour les personnes citées au I de l’article 6, « à raison de leurs attributions et dans la limite du besoin d’en connaître ». Cette précision apparaît nécessaire pour répondre adéquatement aux risques d’accès illégitime aux données traitées.
Les autres dispositions du projet d’arrêté n’appellent pas d’observations de la part de la CNIL.