Réforme du stationnement payant : les recommandations de la CNIL

Les données collectées lors du paiement du stationnement doivent servir uniquement à mettre en œuvre les règles de tarification du stationnement posées par la collectivité (suivi et contrôle du paiement, établissement du forfait de post-stationnement, gestion des contestations), à l’exclusion de toute autre fin.

Ces données doivent être adéquates au regard de l’objectif poursuivi. Ainsi, la CNIL reconnaît la pertinence de la collecte du numéro de plaque d’immatriculation du véhicule en stationnement dans l’hypothèse où la collectivité met en œuvre un système d’horodateurs avec des tickets électroniques, une application mobile ou encore un dispositif de pré-contrôle du paiement du stationnement par LAPI.

S’agissant de la durée de conservation des données collectées lors du paiement du stationnement (redevance), il convient de distinguer deux hypothèses :

• soit le véhicule ne fait pas l’objet d’un FPS pendant la période durant laquelle la redevance peut être déduite du FPS, auquel cas les données relatives à la redevance doivent être supprimées de la base de stockage des tickets immédiatement à l’issue de cette période. En effet, passée la période pendant laquelle la redevance peut être déduite du montant du FPS, les données afférentes à cette redevance ne présentent plus d’utilité pour la collectivité.
• soit le véhicule a fait l’objet d’un FPS pendant la période pendant laquelle la redevance peut être déduite du FPS, auquel cas il convient de conserver les données relatives à la redevance tant que les délais de contestations du FPS courent.

Les données collectées par les dispositifs de LAPI ne peuvent servir qu’à réaliser des pré-contrôles du paiement du stationnement en vue de faciliter le travail des agents de contrôle.

Il est impératif que les dispositifs de LAPI ne collectent que les numéros de plaque d’immatriculation ainsi que l’horodatage et la géolocalisation du véhicule. Il conviendra à cet égard de limiter le champ de la prise de vue à la seule plaque d’immatriculation, à l’exclusion, par exemple, de tout autre élément situé sur la voie publique à proximité du véhicule ou dans l’habitacle de ce dernier.

S’agissant de la durée de conservation des données collectées par les dispositifs de LAPI, la collectivité doit prévoir la suppression de la base de l’immatriculation des véhicules dont le stationnement a fait l’objet d’un paiement dès qu’un rapprochement avec le serveur de tickets a permis de constater que le véhicule est en règle. Lorsqu’il s’avère, après rapprochement, qu’il y a absence ou insuffisance de paiement, l’immatriculation des véhicules suspectés de ne pas être en règle devra être supprimée une fois que le constat par l’agent de contrôle est réalisé et que la procédure de FPS est, le cas échéant, initiée. En effet, une fois que la procédure de FPS est initiée, les données collectées par le dispositif de LAPI ne sont plus utiles pour la collectivité.

Les textes qui encadrent la mise en œuvre de la réforme prévoient expressément la collecte et le traitement de certaines catégories de données pour l’établissement du FPS (l’heure et le lieu du constat de l’absence ou de l’insuffisance de paiement, le numéro de plaque du véhicule concerné, le montant de la redevance éventuellement payée et le numéro de FPS notamment). Or, ces textes ne font nullement mention de la collecte d’une photographie du véhicule en situation irrégulière à des fins probatoires dans l’hypothèse d’une contestation éventuelle du FPS par le titulaire du certificat d’immatriculation.

A cet égard, la Commission estime que l’agent qui procède au constat et initie la procédure de FPS peut collecter une photographie du véhicule concerné à des fins probatoires. Cette finalité se distingue de celle qui consiste à initier les procédures de FPS et n’apparaît pas indispensable à ces procédures puisque le constat et l’élaboration du FPS sont réalisés par un agent habilité et font foi jusqu’à preuve du contraire. Néanmoins, la conservation d’une image permet de disposer d’éléments de preuve en cas de contestation et de répondre aux demandes des conducteurs. La Commission n’est donc pas opposée à cette pratique.

Lors de la captation de l’image, la collectivité devra être vigilante quant au respect de la vie privée des passagers du véhicule, des passants et des riverains. La Commission suggère aux collectivités concernées d’établir une doctrine d’emploi à destination des agents de contrôle afin de leur fournir les instructions adéquates pour minimiser l’étendue de la collecte et, par exemple, proscrire la prise de vue d’individus, y compris les occupants des véhicules, ou d’entrées d’immeuble.

Certains services mis en œuvre par les collectivités conduisent à une collecte quasi-systématique du numéro de plaque d’immatriculation des véhicules en stationnement. Celui-ci est associé à des données de géolocalisation et à un horodatage, conduisant la collectivité à disposer d’un recensement de l’ensemble des véhicules ayant payé le stationnement sur son territoire à un instant T. Un tel traitement présente des risques importants pour la vie privée des personnes fournissant leurs numéros de plaque et doit donc bénéficier de mesures techniques et organisationnelles de nature à assurer au haut niveau de sécurité de l’ensemble des données traitées.

Ces mesures doivent notamment inclure des mécanismes d’authentification fiables des personnes habilitées à accéder aux données, une gestion stricte des habilitations, des contrôles d’intégrité des données et un encadrement contractuel précis des opérations confiées à des sous-traitants, incluant la fixation d’objectifs de sécurité.

Lorsque les services mis en place par les collectivités nécessiteront un stockage centralisé des numéros de plaque collectés pour la gestion du paiement du stationnement, la Commission recommande que des mesures cryptographiques soient mises en place afin de ne pas conserver ces numéros en clair dans les bases de données des collectivités et de leurs prestataires. Ces mesures pourraient consister en des mécanismes de hachage des numéros de plaque associés à des clés secrètes spécifiques à chaque collectivité. Ces clés périodiquement renouvelées seraient partagées entre les prestataires intervenant pour le compte des collectivités.

Il est néanmoins recommandé, en vertu du principe de respect de la vie privée dès la conception d’un produit ou d’un service (dit « privacy by design »), aux acteurs du stationnement de concevoir leurs futurs services et produits de façon à minimiser les risques pour les conducteurs, notamment en limitant autant que possible la centralisation des données et en mettant en place des mesures de chiffrement, de hachage, et de pseudonymisation des données.

Les données conservées devront faire l’objet de mesures de destruction sécurisées à l’issue de leur durée de conservation au vu de leur nature et de leur volumétrie. Ainsi, les supports de stockage mis au rebus devront être physiquement détruits ou bien faire l’objet de mesures d’effacement sécurisées.

Par ailleurs, certains des traitements mis en œuvre par les collectivités (paiement du stationnement en ligne ou via des applications mobiles, paiement des FPS, contestation des FPS) constituent des téléservices. En conséquence, ces traitements doivent être conformes aux normes de sécurité de l’Agence nationale de la sécurité des systèmes d’information et publiées dans le Référentiel général de sécurité. Ces règles de sécurité d’application obligatoires imposent notamment la réalisation d’une étude des risques sécurité, ainsi qu’une procédure d’homologation des téléservices préalablement à leur ouverture.

Il convient d’informer les citoyens du traitement qui pourra être fait de leurs données personnelles dans le cadre de la gestion du stationnement payant, de la finalité poursuivie, des destinataires éventuels des données collectées dans ce cadre, de la durée de conservation des données collectées et des droits que ces personnes détiennent de la loi.

Cette information doit être délivrée par des mesures adaptées à l’ampleur de la collecte. Elle pourra notamment s’effectuer via les horodateurs et le site Internet des collectivités qui en disposent. En outre, les collectivités pourront s’assurer de leur bonne diffusion en faisant appel à la presse locale ou aux offices de tourisme dans les cités balnéaires.

S’agissant des droits d’accès et de rectification, les collectivités doivent prévoir les modalités d’exercice par les conducteurs de leurs droits et les en informer. En particulier, en cas d’utilisation de téléservices, les personnes devraient pouvoir les exercer par voie électronique.

S’agissant du droit d’opposition, en l’état actuel de la législation, en particulier en l’absence de disposition spécifique sur ce point dans les textes relatifs au stationnement sur voirie, les personnes dont les données personnelles sont collectées, via l’horodateur ou de dispositif de LAPI notamment, peuvent s’opposer à cette collecte pour des motifs légitimes tenant à la protection de leur vie privée ou à leur situation particulière. Si le responsable du traitement considère que les motifs qui lui sont soumis sont recevables, il lui appartiendra alors de procéder à la suppression des données de la personne concernée. Toutefois, dans les faits, cette hypothèse n’aura que peu l’occasion de se produire. En effet, mis à part le cas de l’établissement d’un forfait de post-stationnement, qui justifie alors la conservation des données, les données collectées par les différents dispositifs seront supprimées dans des délais très courts.

En outre, les mesures de sécurité recommandées par la CNIL, telles que les mesures cryptographiques, sont par elles-mêmes de nature à limiter les risques d’atteinte à la vie privée des personnes concernées. Le respect de ces garanties, tant en matière de durée de conservation que de sécurité, est de nature à limiter le risque d’atteinte à la vie privée des conducteurs.

L’essentiel des traitements mis en œuvre à compter du 1^er janvier 2018 pour la gestion du stationnement payant relève du régime de la déclaration (inscription au registre si la collectivité est dotée d’un CIL). Il en va ainsi de la gestion du paiement du stationnement à l’horodateur, de la gestion des FPS ou encore des dispositifs de LAPI utilisés pour le pré-contrôle.

Attention : si la collectivité décide de proposer un service en ligne via le site web de la commune ou une appli mobile, pour le paiement de la redevance ou même du FPS, il s’agira alors d’un téléservice. Il convient alors de procéder à un engagement de conformité au à l’acte réglementaire unique n° 30 (RU-030).