COLLECTIVITES LOCALES : La CNIL a annoncé dans le cadre de son programme de contrôle 2018 que l’une de ses priorités sera de contrôler la conformité des traitements relatifs à la gestion des services de stationnements payants réalisés au moyen d’équipements connectés. Cette annonce intervient dans un contexte d’évolutions importantes concernant ces services.
En effet, la loi « MAPTAM » n° 2014-58 du 27 janvier 2014 de modernisation de l’action publique territoriale et d’affirmation des métropoles avait modifié les règles en la matière à compter de janvier 2018 et il incombe désormais aux collectivités locales de prendre en charge la gestion du stationnement payant sur la voie publique. Cette loi dépénalise notamment certaines infractions liées au stationnement payant avec la disparition de l’amende au profit d’un forfait de post-stationnement (FPS).
Le contrôle du paiement des redevances de stationnement et la notification des forfaits de post-stationnement pouvant être traités par des prestataires, de nombreuses données personnelles des usagers seront donc transférées à ces derniers dans des conditions qui doivent être encadrées.
La CNIL relève dans son programme de contrôle que de nouveaux outils vont être mis en œuvre comme les dispositifs de lecture automatisée de plaques d’immatriculation (LAPI) pour accroître l’efficacité des procédures de contrôle et du paiement du stationnement. Dispositif qui pose de nombreuses questions et au sujet duquel la CNIL avait déjà formulé des recommandations [1] :
- Quel contrôle des données collectées, de leur qualité et de la proportionnalité de la collecte?
- Quel choix des outils, par exemple au regard du principe du privacy-by-design?
- Comment faciliter l’exercice des droits des personnes concernées?
QUELS ENJEUX RGPD?
Ces enjeux sont potentiellement très nombreux pour les collectivités locales et concernent les éléments suivants:
- la cartographie des données collectées et leur classement par catégories de données par les collectivités et les prestataires qui devront les identifier;
- le traitement des risques pour la vie privée à propos de la collecte de données sensibles;
- la marge de latitude laissée par les collectivités locales à ces prestataires dans le cadre de ces traitements de données;
Par ailleurs, le traitement de ces données peut aussi interpeller au regard du niveau de sécurité qui sera défini et mis en place, alors que la collecte et le traitement de ces données pourra s’apparenter à une forme de profilage.
Enfin, si ce traitement de données était encadré par un mécanisme de formalités préalables et avait fait l’objet d’une délibération de la CNIL n°2018-137 du 19 avril 2018 autorisant l’Agence nationale du traitement automatisé des infractions (ANTAI) à mettre en œuvre un traitement de données à caractère personnel dénommé « Service FPS – ANTAI », le cadre légal post-RGPD supprime ces déclarations mais renforce les obligations des collectivités locales et de leurs prestataires.
QUELLES OBLIGATIONS POUR LES COLLECTIVITES LOCALES ET LEURS SOUS-TRAITANTS?
Les obligations pesant sur les collectivités locales et leurs prestataires sont nombreuses. Ces derniers devront notamment:
- Assurer une information des personnes concernées (quelles sont les données collectées, pour quelles finalités, à qui sont-elles transférées, comment peuvent-elles y avoir accès) : cette information devra ensuite être portée à la connaissance des personnes de manière effective et transparente (l’information ne devra pas être diluée dans les CGU d’une application mobile ou lors de l’inscription à un abonnement);
- Respecter les bases légales du traitement de données;
- Respecter les principes de finalités et éviter les détournements de finalités lors d’un traitement de données ou de recoupements d’informations);
- Respecter les principes de minimisation des données (la collecte devra respecter les principes de nécessité et de pertinence et devra être accompagnée par des formulaires, des lignes directrices ou des chartes encadrant de manière préventive les conditions de collectes des données. Ces démarches concernent également toutes les applications mobiles, logiciels et de manière générale les outils informatiques qui devront être conçus « privacy-by-design» en protégeant la vie privée des personnes dès la conception de ces applications;
- Prévoir des durées de conservations (par exemple en prévoyant que les bases de données permettent des suppressions automatiques de données une fois les vérifications effectuées);
- Assurer la sécurité des données et vérifier que les sous-traitants présentent des garanties de sécurité suffisante.
- Gérer les destinataires des données et créer un système d’habilitations.
Ces obligations pourront être déclinées à travers les mesures concrètes suivantes:
- La mise en place du DPO, obligatoire pour les collectivités et en charge du respect du RGPD;
- Le registre des activités de traitement, tenu par le responsable de traitement et chaque sous-traitant;
- Des analyses d’impact;
- Des contrats formalisant la relation avec les prestataires et sous-traitants pour formaliser la répartition des rôles et insérer le cas échéant des dispositions relatives à la confidentialité.
Ce dispositif nouveau s’inscrit dans une démarche de plus en plus connectée des collectivités locales, liée aux développement des applications smart-city et à l’essor de l’Open data. La ville intelligente repose ainsi sur des mécanismes permettant de collecter des données en masse pour les réutiliser afin d’améliorer les infrastructures, d’optimiser l’espace ou de mieux gérer les transports publics. De telles mutations continuent cependant à interpeller du fait des risques de profilage ou de surveillance qu’elles génèrent. Autant de questions qui seront à suivre de près au fur et à mesure de la mise en conformité des collectivités locales et de leurs prestataires et sous-traitants.
Références
[1] https://www.cnil.fr/fr/reforme-du-stationnement-payant-les-recommandations-de-la-cnil
[2] https://www.collectivites-locales.gouv.fr/stationnement-payant
[3] https://www.legifrance.gouv.fr/ceta/id/CETATEXT000034017907/
[4] https://www.cnil.fr/fr/profilage-et-decision-entierement-automatisee
[5] https://www.cnil.fr/sites/default/files/atoms/files/20171025_wp251_enpdf_profilage.pdf