Infractions au Code de la route avec un véhicule de société : modifications de la décision unique d’autorisation de la Cnil pour le traitement automatisé des contraventions

La délibération n° 2017-218 du 13 juillet 2017 de la Cnil (Commission nationale de l’informatique et des libertés) modifie les conditions fixées par la décision d’autorisation unique n° AU-010 (délibération n° 2016-036 du 11 février 2016) relative au recouvrement des infractions routières, et auxquelles doivent répondre les organismes publics ou privés souhaitant établir avec l’ANTAI (Agence nationale de traitement automatisé des infractions) un échange automatisé d’informations permettant de désigner leur collaborateur ou client auteur de l’infraction. Ces modifications portent sur le type de données à caractère personnel échangées, le destinataire, la durée de conservation et la sécurité de ces données. Les organismes privés ou publics ayant effectué un engagement de conformité aux conditions précédentes de l’autorisation unique, ont jusqu’au 26 mars 2018 pour tenir compte des présentes modifications.

Pour mémoire, dès lors qu’un organisme public ou privé met à disposition de ses collaborateurs ou de ses clients un parc automobile, de plus de 1 000 véhicules, la Cnil autorise l’automatisation des échanges d’information de désignation du conducteur en concluant une convention avec l’ANTAI. Cet échange permet d’interroger les personnes morales titulaires du certificat d’immatriculation ou détentrices du véhicule sur l’identité et les coordonnées du conducteur présumé du véhicule afin de lui envoyer directement l’avis de contravention.

Ainsi, le responsable de traitement qui met en œuvre un traitement de données à caractère personnel ayant pour finalités la désignation auprès de l’ANTAI du conducteur du véhicule pour lequel une infraction a été constatée, le suivi de la procédure de recouvrement des contraventions au Code de la route, ainsi que la réalisation de statistiques est tenu d’adresser à la Cnil un engagement de conformité de ce traitement automatisé aux caractéristiques de la décision d’autorisation unique n° AU-010.

Les principales modifications apportées aux conditions que doit respecter l’engagement de conformité, sont les suivantes :

  • Le destinataire des données (article 3)

Dans la cadre de la procédure de désignation, le destinataire des données à caractère personnel est désormais l’ANTAI, et non plus le Centre national de traitement.

  • Les données à caractère personnel traitées (article 1er)

Des données supplémentaires sont exigées telles que la fonction de l’auteur de l’infraction, la date et le lieu d’obtention du permis de conduire, ou encore d’autres informations relatives à la contravention.

  • Conservation des données (article 4)

Les responsables de traitement peuvent conserver dans leur base active les données précitées le temps de procéder à la désignation, qui ne peut dépasser quarante-cinq jours à compter de la réception de l’avis de contravention. A l’issue de cette période, les données peuvent être archivées au maximum douze mois. Dans le cadre des requêtes effectuées par l’ANTAI sur les conducteurs de véhicules ayant commis une infraction au Code de la route, les organismes publics ou privés ne peuvent garder aucune trace de ces requêtes.

  • Sécurité des données (article 5)

De nouvelles exigences visent la sécurisation du traitement automatisé de données.

Pour rappel, dans un communiqué du 20 janvier 2017, l’ISTNF (Institut de santé au travail du Nord de la France) rappelle que l’obligation des employeurs de dévoiler l’identité et l’adresse du salarié ayant commis une infraction au Code de la route, avec un véhicule de l’entreprise, ne concerne qu’une liste limitée d’infractions, parmi lesquelles le dépassement des vitesses maximales autorisées ou encore le non port de la ceinture de sécurité. L’ISTNF indique également la marche à suivre pour un employeur dont le salarié a effectivement commis l’une ou plusieurs de ces 12 infractions.

Sources :

Délibération de la Cnil n° 2017-218 du 13 juillet 2017 modifiant l’autorisation unique de mise en œuvre de traitements automatisés de données à caractère personnel relatifs à la gestion du contentieux lié au recouvrement des contraventions au code de la route et à l’identification des conducteurs dans le cadre du système de contrôle automatisé des infractions au code de la route (décision d’autorisation unique n° AU-010), JO du 26 septembre 2017