La CNIL a rendu son Avis sur l’extension du traitement de données personnelles de lecture automatisée des plaques d’immatriculation.

La Lecture automatisée des plaques d’immatriculation (LAPI)

La Lecture automatisée des plaques d’immatriculation (LAPI) est encadrée par les articles L. 233-1 à L. 233-2 du code de la sécurité intérieure (CSI) et par l’arrêté du 18 mai 2009. Ce dernier est modifié par un projet d’arrêté dont est saisie la CNIL en parallèle de la création d’un traitement dénommé « Système de traitement central LAPI » (STCL), ayant pour objet de centraliser l’information recueillie par les capteurs déployés.

Les modifications apportées à l’arrêté du 18 mai 2009 portent sur les mises en relation, les catégories de données collectées et les durées de conservation. La CNIL rappelle qu’une vigilance particulière doit entourer la mise en œuvre des LAPI en raison des risques potentiels qu’ils comportent au regard de la protection des libertés individuelles et de la vie privée.

L’article 26 de la loi n° 2003-239 du 18 mars 2003

Les dispositifs de lecture automatisée des plaques d’immatriculation, ou LAPI, ont été prévus par l’article 26 de la loi n° 2003-239 du 18 mars 2003 pour la sécurité intérieure modifié par l’article 8 de la loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant diverses mesures relatives à la sécurité et aux contrôles frontaliers, ces dispositifs figurent aux articles L. 233-1 à L. 233-2 du CSI. Ils peuvent notamment collecter les photographies, d’une part, de plaques d’immatriculation, et, d’autre part, des véhicules concernés avec leurs éventuels occupants.

L’arrêté du 18 mai 2009, qui a succédé à l’arrêté du 2 mars 2007 autorisant les LAPI à titre expérimental, définit le cadre réglementaire des traitements de contrôle automatisé des données signalétiques des véhicules utilisés par les services de police, de gendarmerie et des douanes.

Cet arrêté constitue un acte réglementaire unique. La mise en œuvre de dispositifs similaires par les services de police et de gendarmerie nationales et des douanes pourra s’effectuer via un engagement de conformité de celui-ci à la description figurant dans l’arrêté publié.

Extension des traitements LAPI

Le projet soumis à la CNIL modifie substantiellement l’arrêté du 18 mai 2009. Les finalités pour lesquelles les traitements LAPI peuvent être mis en œuvre sont étendues. En outre, trois traitements supplémentaires peuvent être rapprochés avec les traitements LAPI et de nouvelles catégories de données sont collectées. Les durées de conservation sont également modifiées. Enfin, le traitement est mis en conformité avec le nouveau cadre juridique applicable en matière de protection des données.

Une analyse d’impact relative à la protection des données (AIPD) a été transmise à la CNIL conformément à l’article 90 de la loi du 6 janvier 1978 modifiée.

Les finalités poursuivies par le traitement

La CNIL relève que l’arrêté modifié ajoute, à son article 1er, une finalité pour laquelle les traitements LAPI peuvent être mis en œuvre, qui est de :

– faciliter la constatation des infractions au code de la route, de permettre le rassemblement des preuves de ces infractions et la recherche de leurs auteurs ainsi que de mettre en œuvre les dispositions de l’article L. 121-4-1 du code de la route.

Ces dispositions sont relatives à l’interception et éventuellement à la mise en fourrière des véhicules dont le titulaire du certificat d’immatriculation est redevable d’une amende forfaitaire majorée restée impayée ou non contestée dans les délais impartis. L’arrêté reprend la finalité codifiée à l’article L. 233-1-1 du CSI, ajoutée par le législateur à l’article 35 de la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle. Au regard de ce qui précède, la CNIL considère que la modification apportée aux finalités du projet d’arrêté qui lui est soumis est justifiée.

Les données collectées

En premier lieu, le I de l’article 3 du projet d’arrêté modifié prévoit que trois nouvelles catégories de données peuvent être enregistrées dans le traitement :

– le pays d’immatriculation du véhicule ;
– la direction de circulation du véhicule ;
– le code de l’unité ou du service responsable du dispositif de contrôle automatisé.

En deuxième lieu, le II de l’article 3 prévoit qu’en cas de rapprochement révélant une correspondance avec un des numéros d’immatriculation enregistrés dans les traitements mentionnées à l’article 2, quatre nouvelles catégories de données peuvent également être enregistrées :

– la date et l’heure de la correspondance ;
– la nature de la correspondance (immédiate ou différée) ;
– la marque, le modèle et, le cas échéant, la couleur du véhicule ;
– la date d’inscription dans les traitements mentionnées à l’article 2.

En troisième lieu, le III de l’article 3 prévoit que peuvent également être enregistrées les données et informations relatives aux véhicules volés ou signalés suivantes :

– le traitement d’origine ;
– l’identifiant technique dans le traitement d’origine ;
– le numéro d’immatriculation du véhicule signalé ;
– le pays d’immatriculation du véhicule signalé ;
– la marque du véhicule signalé ;
– le modèle du véhicule signalé ;
– la couleur du véhicule signalé ;
– le code de la conduite à tenir associé au motif du signalement ;
– la dangerosité liée au véhicule signalé ;
– les dates d’inscription du véhicule signalé dans les traitements mentionnés à l’article 2 ;
– le service inscripteur du signalement ;
– la direction du service inscripteur du signalement ;
– l’adresse électronique du service inscripteur du signalement ;
– l’adresse électronique du service demandeur du signalement.

Concernant les données liées à la dangerosité du véhicule, la CNIL prend acte du fait que cette donnée, issue du FOVeS, est nécessaire pour la sécurité des personnels et qu’il s’agit de cinq critères de dangerosité. Ils peuvent être cochés par la personne inscrivant le véhicule au fichier (risque d’explosion ; risque radioactif ; risque chimique ; détendeur ou occupant potentiellement dangereux ; immatriculation usurpée).
En quatrième lieu, le IV de l’article 3 du projet d’arrêté modifié précise que peuvent être enregistrées les informations relatives à la demande d’accès au traitement suivantes :

– le numéro ou la référence de la procédure pénale, administrative ou douanière ;
– le cadre et le motif d’enquête.

La CNIL prend acte qu’aucune donnée sensible au sens de l’article 6 de la loi du 6 janvier 1978 modifiée ne pourra être traitée et estime que les données traitées sont pertinentes.

Les mises en relation projetées

L’article 3 du projet d’arrêté soumis pour avis prévoit que les données relatives au numéro d’immatriculation du véhicule collectées par les dispositifs LAPI peuvent faire l’objet d’un rapprochement avec le fichier des véhicules et des objets signalés (FOVeS), le système d’information Schengen (SIS), le système d’immatriculation des véhicules (SIV), le système de contrôle automatisé (SCA), ainsi que le fichier des véhicules assurés (FVA). L’ajout de ces traitements est conforme aux dispositions de l’alinéa 3 de l’article L. 233-2 du CSI.
Le ministère précise que les mises en relations projetées avec les traitements SIV, SCA et FVA ne sont pas opérationnelles à ce jour et que l’analyse d’impact relative à la protection des données sera mise à jour et transmise à la CNIL avant leur mise en relation effective.

La durée de conservation des données

La CNIL prend acte de ce que les durées de conservation prévues par le projet d’arrêté modificatif sont conformes à celles prévues par l’article L. 233-2 du CSI.
Ainsi, l’arrêté modifié prévoit à son article 4, qu’afin de permettre les rapprochements avec les traitements FOVeS, SIS, SIV, SCA, ainsi que FVA, les données et informations mentionnées au I de l’article 3 du projet d’arrêté modifié sont conservées pendant un délai maximum de 15 jours à compter de leur collecte. En l’absence de rapprochement positif avec un des numéros d’immatriculation enregistrés dans les traitements mentionnés à l’article 2 dans ce délai, les données et informations sont effacées automatiquement.
La CNIL relève que pendant cette durée, la consultation de ces données et informations n’ayant pas fait l’objet d’un tel rapprochement positif est, conformément aux termes de l’article L. 233-2 du code de la sécurité intérieure, interdite, sans préjudice des nécessités de leur consultation pour les besoins d’une procédure pénale ou douanière.
En outre, l’article 4 de l’arrêté modifié prévoit qu’en cas de rapprochement positif, les données et informations mentionnées à l’article 3 sont conservées pendant une durée d’un mois à compter de ce rapprochement sans préjudice des nécessités de leur conservation pour les besoins d’une procédure pénale ou douanière. La CNIL prend acte des précisions apportées par le ministère selon lesquelles cette durée est une durée maximum et l’effacement de ces données se fera au terme d’un mois à compter de la date de validation de la levée de doute.

Les accédants et destinataires des données

En premier lieu, l’article 5 du projet d’arrêté modifié énumère les personnes de la police, gendarmerie et des douanes pouvant accéder, à raison de leurs attributions, à tout ou partie des données.
En l’état des finalités poursuivies, l’accès aux données prévu pour ces agents n’appelle pas d’observations particulières de la part de la CNIL.
En second lieu, l’article 5 du projet d’arrêté prévoit que peuvent être destinataires les organismes de coopération internationale en matière de police judiciaire et les services de police étrangers dans les conditions énoncées à l’article L. 235-1 du CSI.
A cet égard, la CNIL prend acte du fait que les transferts de données hors de l’Union européenne seront réalisés dans le cadre de la coopération internationale en matière de police judiciaire et aux services de police étrangers dans le strict respect des engagements internationaux, conformément à l’article L. 235-1 du CSI. Elle prend également acte du fait que ces transferts ne pourront être opérés que sous réserve du respect des conditions énoncées aux articles 112 à 114 de la loi 6 janvier 1978 modifiée.
Cependant, dans la mesure où la transmission des données à ces organismes est prévue par la loi, l’arrêté n’a pas nécessairement à les mentionner.
Au regard de ce qui précède, la CNIL considère que la consultation des données par les personnes mentionnées à l’article 5 du projet d’arrêté apparait justifiée et proportionnée.

Les droits des personnes concernées

En premier lieu, un nouvel article 7 inséré à la suite de l’article 6 prévoit que le droit d’opposition prévu à l’article 110 de la loi du 6 janvier 1978 modifiée ne s’applique pas aux traitements LAPI, ce qui n’appelle pas d’observation au regard des finalités poursuivies.
En second lieu, l’article 7 nouveau du projet d’arrêté modifié prévoit que les droits d’accès, de rectification, d’effacement et à la limitation des données s’exercent directement auprès du responsable des traitements créés.
Ces droits peuvent faire l’objet de restrictions afin d’éviter de gêner des enquêtes, des recherches ou des procédures administratives ou judiciaires ou d’éviter de nuire à la prévention ou à la détection d’infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l’exécution de sanctions pénales ou de protéger la sécurité publique, conformément aux 2° et 3° du II et du III de l’article 107 de cette même loi.
La personne concernée par ces restrictions pourra alors exercer ses droits auprès de la CNIL dans les conditions prévues à l’article 108 de cette même loi, ce qui n’appelle pas d’observation au regard des finalités poursuivies par le traitement projeté.

Les mesures de sécurité

a. Sur l’accès aux données n’ayant pas fait l’objet d’un rapprochement positif avec les données de la base de comparaison

La CNIL prend acte du fait que des mesures de contrôle renforcées sont mises en place concernant l’accès à la base de données dite « BD15 », c’est-à-dire l’accès aux données des véhicules n’ayant pas fait l’objet d’un rapprochement positif avec la base de comparaison (issue de la mise en relation avec le SIS, le FOVeS, etc.).
L’accès à ces données, y compris le cas échéant aux photographies des véhicules, est conditionné au renseignement d’un formulaire demandant de préciser le cadre juridique et le numéro de procédure. Le défaut de renseignement de l’un de ces champs interdit toute consultation. La CNIL recommande au ministère la mise en œuvre d’audits réguliers afin de s’assurer de l’effectivité de cette mesure.

b. Sur l’authentification des personnes accédant au traitement

L’accès technique aux systèmes LAPI et la consultation locale des bases de données sont possibles après une procédure d’authentification par mot de passe. La composition et la longueur des mots de passe utilisés varient selon les modèles de système LAPI.
A cet égard, la CNIL estime que toute connexion aux systèmes LAPI permettant la consultation, la modification, la suppression ou l’export de données à caractère personnel devrait faire l’objet d’une authentification multifacteur, reposant, par exemple, sur la carte à puce des agents habilités et un code d’activation de celle-ci.
La CNIL rappelle également que l’utilisation de comptes nominatifs est indispensable afin de permettre la traçabilité des actions effectuées sur le système. Les identifiants partagés et les comptes de service ne devraient donc pas permettre de procéder à des opérations concernant des données à caractère personnel.

c. Sur les mesures de journalisation

L’article 6 de l’arrêté modifié prévoit que « les opérations de collecte, de modification, de consultation, de communication, de transferts, d’interconnexion et d’effacement des données à caractère personnel » font l’objet d’une journalisation. Parmi ces opérations, le même article prévoit que « les opérations de consultation et de communication enregistrées permettent d’établir l’identité de l’auteur, la date, l’heure et le motif de l’opération ».
A cet égard, la CNIL estime que toutes les interventions concernant des données à caractère personnel devraient faire l’objet d’une journalisation permettant l’identification de leur auteur, dès lors qu’elles ne résultent pas d’opérations automatiques (par exemple liées à la suppression automatique de données dont la durée de conservation aurait expiré).

d. Sur l’homologation de sécurité du traitement

La CNIL rappelle que les infrastructures et services logiciels informatiques qui composent le système d’information et de communication de l’Etat doivent faire l’objet d’une décision d’homologation avant leur mise en exploitation, et doivent par la suite être maintenus en condition de sécurité, conformément aux objectifs 5 et 6 de la politique de sécurité des systèmes d’information de l’Etat (PSSIE). De plus, le décret n° 2022-513 du 8 avril 2022 relatif à la sécurité numérique du système d’information et de communication de l’Etat et de ses établissements publics précise que les systèmes antérieurs à son entrée en vigueur doivent faire l’objet d’une homologation de sécurité dans un délai de deux ans.
A cet égard, la CNIL recommande de procéder aux homologations de sécurité des différents systèmes LAPI avant toute nouvelle mise en relation ou interconnexion avec d’autres traitements, ces interconnexions devant également faire l’objet de procédures d’homologation de sécurité.