Édition du vendredi 17 novembre 2017
Réforme du stationnement : l'importance de la protection des données
La Cnil (Commission nationale de l'informatique et des libertés) a rendu publiques mardi dernier ses recommandations sur la mise en œuvre de la réforme du stationnement, qui entrera en vigueur au 1er janvier prochain. Cette réforme a en effet des conséquences tangibles sur les questions de protection de la vie privée.
À partir du 1er janvier, les collectivités (communes, EPCI ou syndicats) vont gérer en direct les amendes de stationnement, qui deviendront dès lors des FPS ou forfaits de post-stationnement. Beaucoup d’entre elles vont utiliser des techniques de lecture automatisée des plaques d’immatriculation (Lapi) pour procéder aux contrôles. D’autres utiliseront des applications mobiles, des téléservices, des systèmes de tickets électroniques. Conséquence : comme l’écrit la Cnil, les collectivités connaîtront « l’ensemble des véhicules stationnés sur leur territoire à un instant T », ce qui conduit à « révéler des informations détaillées sur la vie privée des individus, remettant en cause la possibilité offerte aux citoyens de circuler dans l’espace public de manière anonyme ».
Il était donc indispensable pour la Cnil de préciser les règles afin que cette collecte se fasse dans le respect le plus strict possible de la vie privée et des principes de la loi Informatique et liberté.
Premièrement, la Cnil rappelle que la possibilité de recourir à la Lapi est « cantonnée au seul stationnement payant » : pas question donc d’en faire usage pour constater les infractions type stationnement gênant ou interdit.
Elle rappelle ensuite les règles essentielles de la loi Informatique et liberté dont les collectivités devront tenir compte dans ce dossier : compatibilité de la collecte de données avec un « objectif initial », limitation de la collecte aux données « strictement nécessaires », limitation dans le temps de la conservation des données, confidentialité, maîtrise des personnes sur les données qui les concernent.
La Cnil donne ensuite un certain nombre de recommandations que l’on trouvera in extenso dans l’avis : paiement, Lapi, sécurité et confidentialité des données traitées, droits des personnes, formalités auprès de la Cnil – la commission fait précisément le tour de toutes les questions. Les élus et techniciens en charge de ces dossiers trouveront donc dans cet avis la réponse à toutes leurs questions.
La commission fait également le point sur un sujet qui va apparaître au printemps prochain : la mise en œuvre du règlement général européen sur la protection des données personnelles (RGPD). Celle-ci interviendra le 25 mai 2018.
Après cette date, précise la Cnil, « les grands principes portés par la loi Informatique et liberté demeureront », mais « de nombreuses formalités auprès de la Cnil vont disparaître ». Le RGPD porte en effet un « changement de culture », en ceci qu’il instaure « une logique de responsabilisation de l’ensemble des acteurs publics et privés ». Il deviendra donc de la responsabilité des collectivités concernées de mettre en place « des mesures techniques et organisationnelles de nature à assurer un niveau optimal de protection des données » et d’apporter la preuve qu’elles se sont préoccupées de ces questions. En particulier, les collectivités devront établir une étude d’impact sur la vie privée (EIVP) sur la collecte des numéros d’immatriculation, visant à démontrer que « les risques pour les droits et libertés des personnes concernées ont été correctement pris en compte par la collectivité et ses éventuels sous-traitants ». La commune et son éventuel prestataire auront également l’obligation de tenir un « registre ».
À partir du 1er janvier, les collectivités (communes, EPCI ou syndicats) vont gérer en direct les amendes de stationnement, qui deviendront dès lors des FPS ou forfaits de post-stationnement. Beaucoup d’entre elles vont utiliser des techniques de lecture automatisée des plaques d’immatriculation (Lapi) pour procéder aux contrôles. D’autres utiliseront des applications mobiles, des téléservices, des systèmes de tickets électroniques. Conséquence : comme l’écrit la Cnil, les collectivités connaîtront « l’ensemble des véhicules stationnés sur leur territoire à un instant T », ce qui conduit à « révéler des informations détaillées sur la vie privée des individus, remettant en cause la possibilité offerte aux citoyens de circuler dans l’espace public de manière anonyme ».
Il était donc indispensable pour la Cnil de préciser les règles afin que cette collecte se fasse dans le respect le plus strict possible de la vie privée et des principes de la loi Informatique et liberté.
Premièrement, la Cnil rappelle que la possibilité de recourir à la Lapi est « cantonnée au seul stationnement payant » : pas question donc d’en faire usage pour constater les infractions type stationnement gênant ou interdit.
Elle rappelle ensuite les règles essentielles de la loi Informatique et liberté dont les collectivités devront tenir compte dans ce dossier : compatibilité de la collecte de données avec un « objectif initial », limitation de la collecte aux données « strictement nécessaires », limitation dans le temps de la conservation des données, confidentialité, maîtrise des personnes sur les données qui les concernent.
La Cnil donne ensuite un certain nombre de recommandations que l’on trouvera in extenso dans l’avis : paiement, Lapi, sécurité et confidentialité des données traitées, droits des personnes, formalités auprès de la Cnil – la commission fait précisément le tour de toutes les questions. Les élus et techniciens en charge de ces dossiers trouveront donc dans cet avis la réponse à toutes leurs questions.
La commission fait également le point sur un sujet qui va apparaître au printemps prochain : la mise en œuvre du règlement général européen sur la protection des données personnelles (RGPD). Celle-ci interviendra le 25 mai 2018.
Après cette date, précise la Cnil, « les grands principes portés par la loi Informatique et liberté demeureront », mais « de nombreuses formalités auprès de la Cnil vont disparaître ». Le RGPD porte en effet un « changement de culture », en ceci qu’il instaure « une logique de responsabilisation de l’ensemble des acteurs publics et privés ». Il deviendra donc de la responsabilité des collectivités concernées de mettre en place « des mesures techniques et organisationnelles de nature à assurer un niveau optimal de protection des données » et d’apporter la preuve qu’elles se sont préoccupées de ces questions. En particulier, les collectivités devront établir une étude d’impact sur la vie privée (EIVP) sur la collecte des numéros d’immatriculation, visant à démontrer que « les risques pour les droits et libertés des personnes concernées ont été correctement pris en compte par la collectivité et ses éventuels sous-traitants ». La commune et son éventuel prestataire auront également l’obligation de tenir un « registre ».
F.L.
Accéder à la page dédiée sur le site de la Cnil.Suivez Maire info sur Twitter : @Maireinfo2