Stationnement payant : les recommandations de la CNIL

En général

Les données collectées lors du paiement doivent servir uniquement à mettre en œuvre les règles de tarification du stationnement posées par la collectivité (suivi et contrôle du paiement, établissement du forfait de post-stationnement, gestion des contestations), à l’exclusion de toute autre fin.

Ces données doivent être adéquates à l’objectif poursuivi. La collecte du numéro de plaque d’immatriculation du véhicule peut être pertinente si la collectivité met en œuvre un système d’horodateurs avec des tickets électroniques, une application mobile ou encore un dispositif de pré-contrôle du paiement du stationnement par LAPI.

À savoir : les données collectées dans le cadre de ces dispositifs (horodateur, système de LAPI) peuvent être réutilisées, de manière anonymisée idéalement, à des fins statistiques par l’observatoire du stationnement lorsque la collectivité décide de le mettre en place.

Les spécificités pour les applications mobiles de paiement

Une application mobile de paiement peut proposer à l’utilisateur de garder une trace de ses tickets de stationnement. Dans ce cas, il est recommandé de les conserver en local dans l’application, et non sur un serveur de la collectivité ou de son prestataire.

Les applications mobiles permettant de payer le stationnement ou de s’acquitter d’un FPS sont des téléservices et doivent être conformes au référentiel général de sécurité (RGS). En cas de recours à un prestataire, celui-ci doit apporter des garanties spécifiques en matière de sécurité.

Les données collectées par les dispositifs LAPI ne peuvent servir qu’à réaliser des pré-contrôles du paiement du stationnement pour faciliter le travail des agents de contrôle, puis à gérer l’éventuelle procédure qui s’en suit.

La constatation de l’irrégularité de stationnement et l’établissement du forfait post-stationnement (FPS) doivent toujours être réalisés par un agent assermenté (article L2333-87 du code général des collectivités territoriales (CGCT) et articles R2333-120-1 et suivants).

Afin d’effectuer les pré-contrôles, les dispositifs LAPI peuvent collecter :

• les numéros de plaques d’immatriculation ;
• l’horodatage ;
• la géolocalisation des véhicules.

Le principe

La collectivité peut procéder à la collecte de photographies du contexte de stationnement à la seule fin de constatation de l’irrégularité et d’établissement du FPS à distance par l’agent en charge du contrôle.

Par exemple, il s’agit pour l’agent assermenté de confirmer l’identité du véhicule en cause et les règles de stationnement en vigueur, notamment par le biais du marquage au sol, ainsi que la localisation du véhicule par les éléments présents dans son environnement.

En revanche, les photographies éventuellement collectées par un dispositif LAPI ne peuvent pas servir, par exemple, à constater l’absence d’une vignette Crit’Air sur un véhicule concerné dans une zones à faibles émissions mobilité (ZFE-m).

Limiter les données collectées

Les photographies de contexte collectées doivent être strictement nécessaires aux finalités poursuivies. En application du principe de minimisation, leur nombre doit donc être restreint.

Cette possibilité de contrôle ne concerne que ceux ayant été préalablement ciblés par le dispositif LAPI comme étant potentiellement en irrégularité. Cette collecte peut être effectuée à condition que le dispositif de LAPI-stationnement intègre un floutage irréversible et sans intervention humaine de toute donnée personnelle non-nécessaire au traitement (au minimum, les individus ainsi que les plaques d’immatriculation des véhicules non concernés).

Les données collectées relatives aux véhicules en règle, notamment les plaques d’immatriculation, sont supprimées automatiquement par ce dispositif sans qu’aucune d’entre elles ne soit transmise à l’agent assermenté à distance.

Faux-positifs, possibilité de recours et cas particuliers

La CNIL considère que la possibilité de constater l’irrégularité de stationnement à distance n’est proportionnée qu’à la condition :

• d’une part, de restreindre autant que possible le risque de « faux-positifs » détectés par le dispositif LAPI, en particulier pour les véhicules à l’arrêt ou ceux en cours de déchargement. Lorsqu’un doute raisonnable existe, celui-ci doit toujours profiter à l’administré en cause ;
• d’autre part, d’assurer l’effectivité du droit au recours dès la phase du recours administratif préalable obligatoire (RAPO) devant l’autorité dont relève l'agent assermenté ayant établi l’avis de paiement. Pour ce faire, la CNIL estime que l’administré en cause peut demander à avoir accès à tous les éléments sur lesquels l’agent se serait appuyé pour établir le FPS, et que cette possibilité doit être indiquée sur l’avis de paiement.

La vérification de la régularité à distance de certains véhicules pose des difficultés dans certains cas particuliers, tels que les personnes bénéficiant de la gratuité du stationnement en raison de leur handicap (carte de mobilité inclusive ou carte européenne de stationnement). Dans ce cas, la CNIL recommande qu’un contrôle sur place soit maintenu.

Des photographies de l’environnement du véhicule prises par le dispositif LAPI peuvent être conservées afin de garantir un droit au recours effectif des personnes mises en cause. Cette finalité de gestion du contentieux se distingue de celles qui consistent à constater l’irrégularité à distance et à initier la procédure de FPS.

La collectivité devra être vigilante sur :

• le respect de la vie privée des tiers (voir la partie « Le forfait post-stationnement (FPS) à distance » sur le floutage préalable des individus et des plaques d’immatriculation tierces)
• les personnes habilitées à accéder aux éléments conservés à titre probatoire (en conservant, par exemple, ces données en archivage intermédiaire avec un accès restreint aux seules personnes en charge de la gestion du contentieux du stationnement payant).

Si l’agent conclut que le véhicule est en règle : les éléments doivent être supprimés.

Si l’agent constate une irrégularité et établit un forfait post-stationnement (FPS) : les éventuelles photographies du véhicule conservées à des fins probatoires ne doivent l’être que le temps nécessaire pour répondre aux contestations ou aux demandes des conducteurs, et dans la limite des délais de recours applicables.

En l’occurrence, la personne destinataire de l’avis de paiement du FPS dispose d’un délai d’un mois pour déposer un recours administratif préalable obligatoire (RAPO) à compter de la date de notification de l’avis de paiement, et dispose d’un délai de trois mois pour procéder à son règlement. Les délais de conservation devront être adaptés en fonction de la durée du recours concerné (RAPO, recours devant la Commission du contentieux du stationnement payant, recours en cassation devant le Conseil d’Etat).

En cas de collecte quasi-systématique des plaques d’immatriculations des véhicules

Certains services mis en œuvre par les collectivités conduisent à une collecte quasi-systématique du numéro de plaque d’immatriculation des véhicules en stationnement. Celui-ci est associé à des données de géolocalisation et à un horodatage, conduisant la collectivité à disposer d’un recensement de l’ensemble des véhicules ayant payé le stationnement sur son territoire à un instant T. Un tel traitement présente des risques importants pour la vie privée des personnes fournissant leurs numéros de plaque et doit bénéficier de mesures techniques et organisationnelles de nature à assurer au haut niveau de sécurité de l’ensemble des données traitées.

Ces mesures doivent notamment inclure des mécanismes d’authentification fiables des personnes habilitées à accéder aux données, une gestion stricte des habilitations, des contrôles d’intégrité des données et un encadrement contractuel précis des opérations confiées à des sous-traitants, incluant la fixation d’objectifs de sécurité.

En cas de stockage centralisé des numéros de plaque

Lorsque les services mis en place par les collectivités nécessiteront un stockage centralisé des numéros de plaque collectés pour la gestion du paiement du stationnement, la CNIL recommande que des mesures cryptographiques soient mises en place afin de ne pas conserver ces numéros en clair dans les bases de données des collectivités et de leurs prestataires. Ces mesures pourraient consister en des mécanismes de hachage des numéros de plaque associés à des clés secrètes spécifiques à chaque collectivité. Ces clés périodiquement renouvelées seraient partagées entre les prestataires intervenant pour le compte des collectivités.

Il est néanmoins recommandé, en vertu du principe de respect de la vie privée dès la conception d’un produit ou d’un service (dit « privacy by design »), aux acteurs du stationnement de concevoir leurs futurs services et produits de façon à minimiser les risques pour les conducteurs, notamment en limitant autant que possible la centralisation des données et en mettant en place des mesures de chiffrement, de hachage, et de pseudonymisation des données.

Les données conservées devront faire l’objet de mesures de destruction sécurisées à l’issue de leur durée de conservation au vu de leur nature et de leur volumétrie. Ainsi, les supports de stockage mis au rebus devront être physiquement détruits ou bien faire l’objet de mesures d’effacement sécurisées.

En cas d’utilisation de téléservices (applications mobiles, gestion des FPS, etc.)

Par ailleurs, certains des traitements mis en œuvre par les collectivités (paiement du stationnement en ligne ou via des applications mobiles, paiement des FPS, contestation des FPS) constituent des téléservices. En conséquence, ces traitements doivent être conformes aux normes de sécurité de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et publiées dans le Référentiel général de sécurité.

Ces règles de sécurité d’application obligatoires imposent notamment la réalisation d’une étude des risques sécurité, ainsi qu’une procédure d’homologation des téléservices préalablement à leur ouverture.

Une information des personnes

Les collectivités doivent informer les individus :

• du traitement qui pourra être fait de leurs données personnelles dans le cadre de la gestion du stationnement payant ;
• de la finalité poursuivie ;
• des destinataires éventuels des données collectées dans ce cadre ;
• de la durée de conservation des données collectées ; et
• de leurs droits sur leurs données.

Cette information doit être délivrée par des mesures adaptées à l’ampleur de la collecte. Elle pourra notamment s’effectuer via les horodateurs et le site web des collectivités.

Un droit d’accès et de rectification

S’agissant des droits d’accès et de rectification, les collectivités doivent prévoir les modalités d’exercice par les conducteurs de leurs droits et les en informer. En particulier, en cas d’utilisation de téléservices, les personnes devraient pouvoir les exercer par voie électronique.

Un droit d’opposition, sauf exception

Les personnes dont les données personnelles sont collectées, via l’horodateur ou de dispositif de LAPI notamment, peuvent s’opposer à cette collecte pour des motifs légitimes tenant à la protection de leur vie privée ou à leur situation particulière. Si le responsable du traitement considère que les motifs qui lui sont soumis sont recevables, il devra alors supprimer les données de la personne concernée.

Toutefois, les collectivités ont la possibilité d’exclure le droit d’opposition par délibération de leur organe délibérant, à la condition de le justifier par un motif d’intérêt général, qui peut relever de la bonne gestion et du contrôle du stationnement payant sur la voie publique.