La démocratisation des dispositifs de géolocalisation ou d’exploitation d’images conduit de plus en plus d’entreprises à envisager d’y recourir pour contrôler les habitudes de leurs clients et prévenir d’éventuelles infractions. Des dispositifs de géolocalisation peuvent ainsi permettre à un employeur de surveiller la vitesse de conduite d’un salarié. De même, des caméras de vidéosurveillance « intelligente » peuvent anticiper des infractions en analysant des comportements suspects. Toutefois, ces pratiques, qui peuvent conduire les entreprises à constituer ou à alimenter des fichiers contenant des infractions reliées à des personnes physiques identifiées ou identifiables, sont régies par la Loi « informatique et Libertés » de 1978 et, à compter du 25 mai 2018, par le Règlement européen sur la protection des données à caractère personnel.
En effet, conformément à l’article 9 de la Loi de 1978 modifié par Loi n°2004-801 du 6 août 2004, les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en œuvre que par :
- Les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ;
- Les auxiliaires de justice, pour les stricts besoins de l’exercice des missions qui leur sont confiées par la loi ;
- Les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d’atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d’assurer la défense de ces droits.
La Loi du 6 août 2004 (qui transpose la directive européenne du 24 octobre 1995) prévoyait à l’origine que « les personnes morales victimes d’infractions ou agissant pour le compte desdites victimes pour les stricts besoins de la prévention et de la lutte contre la fraude ainsi que de la réparation du préjudice subi dans les conditions prévues par la loi » puissent également constituer ou alimenter ce type de fichiers d’infractions. Ces personnes morales pouvaient ainsi rassembler un grand nombre d’informations nominatives relatives à des infractions, condamnations et mesures de sûreté. Toutefois, cette disposition a été déclarée non conforme à la Constitution par décision du Conseil constitutionnel n° 2004-499 DC du 29 juillet 2004[1]. Le conseil constitutionnel a notamment indiqué que compte tenu de l’ampleur que pouvait revêtir le traitement de données personnelles ainsi mis en oeuvre et de la nature sensible des informations traitées, le 3° du nouvel article 9 de la loi du 6 janvier 1978 pouvait affecter, par ses conséquences, les intérêts légitimes des personnes concernées ainsi que les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques.
Cependant, selon le Conseil constitutionnel[2], le nouvel article 9 de la loi du 6 janvier 1978, tel qu’il résulte de la déclaration d’inconstitutionnalité, ne saurait être interprété comme privant d’effectivité le droit d’exercer un recours juridictionnel dont dispose toute personne physique ou morale s’agissant des infractions dont elle a été victime. Le Conseil précise que cette réserve d’interprétation est indispensable pour ne pas priver de base légale les traitements légitimement mis en œuvre par chaque personne morale pour suivre les dossiers contentieux relatifs aux infractions dont elle a été elle-même victime. Elle permet ainsi à toute personne de constituer, pour les besoins de l’exercice de son droit au recours, des fichiers de pré-contentieux[3].
Ainsi, dans sa délibération n°2016-189 du 30 juin 2016[4], la CNIL rappelle que, conformément à la décision du Conseil Constitutionnel du 29 juillet 2004, les victimes d’infractions susceptibles de faire valoir leurs droits devant une juridiction peuvent également procéder à la collecte des données relatives à ces infractions.
L’article 25 3° de la Loi de 1978 précise que les traitements, automatisés ou non, portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, sauf ceux qui sont mis en œuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées doivent faire l’objet d’une demande d’autorisation préalable à la CNIL.
Sur cette base, la CNIL a autorisé une banque à effectuer un traitement visant à procéder à la collecte des données relatives à des incivilités de clients à l’égard de ses employés. Elle a, à l’inverse, refusé à une société d’assurance le droit de collecter les données concernant les dépassements de vitesse commis par ses clients[5]. Ces données étaient recueillies par l’intermédiaire d’un dispositif de géolocalisation GPS installé sur la voiture de ses clients.
Par ailleurs, il arrive que la Loi elle-même requière des entreprises qu’elles constituent des fichiers d’infractions. Ainsi, à compter du 1er janvier 2017, l’article 34 de la LOI n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle[6] (codifié à L’article L 121-6 du Code de la route[7]) impose, dans un certain nombre de cas, aux employeurs propriétaires de véhicules utilisés par leurs salariés de révéler l’identité du conducteur ayant commis une infraction routière.
Sauf à établir l’existence d’un vol, d’une usurpation de plaque d’immatriculation ou de tout autre événement de force majeure, l’employeur devra alors, sous 45 jours, communiquer l’identité et les coordonnées du salarié ou prouver qu’il ne peut s’agir d’un salarié de l’entreprise. Pour communiquer ces informations, l’employeur pourra remplir un formulaire en ligne sur le site de l’Agence nationale de traitement automatisé des infractions (www.antai.fr) ou remplir le formulaire joint à l’avis et l’envoyer en recommandé avec avis de réception à l’autorité compétente.
Toutefois, pour les gestionnaires de flottes importantes, un traitement manuel de ces infractions sera difficile, voire impossible. Certaines entreprises travaillent dès à présent sur la création d’outils leur permettant de gérer ces déclarations de manière automatisée. À cette fin, par une Délibération n° 2016-036 du 11 février 2016, la CNIL a prévu une autorisation unique n° AU-010 permettant la mise en œuvre de traitements automatisés de données à caractère personnel relatifs à la gestion du contentieux lié au recouvrement des contraventions au Code de la route et à l’identification des conducteurs dans le cadre du système de contrôle automatisé des infractions au Code de la route[8].
Les traitements sont mis en œuvre par des loueurs de véhicules (organismes publics ou privés) ou par tout organisme mettant des véhicules à disposition de ses collaborateurs ou clients. Les données à caractère personnel enregistrées sont limitativement énumérées par l’autorisation unique : elles sont relatives au conducteur, au contentieux et liées au recouvrement des contraventions. Leur destinataire varie en fonction de leur nature. Les durées de conservation sont définies de façon très précise et ne peuvent excéder 1 mois à compter de la réception de l’avis de contravention, période à l’issue de laquelle les données peuvent être archivées pendant au maximum 18 mois.
L’information sur les droits des personnes concernées se fait par la diffusion à chacune d’entre elles d’une note explicative pouvant figurer dans le contrat de location ou de prêt du véhicule. Par ailleurs, les organismes publics ou privés mettant des véhicules à disposition de leurs collaborateurs procèdent à l’information et à la consultation des instances représentatives du personnel avant la mise en œuvre des traitements. Toutes les précautions utiles pour préserver la sécurité et la confidentialité des données traitées doivent être prises.
Toutefois, ce régime de formalité préalable auprès de la CNIL sera en grande partie réformé par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à partir du 25 mai 2018. Son article 10[9] concerne les traitements des données relatives aux condamnations, aux infractions pénales ou aux mesures de sûreté. Il dispose que ce type de traitement ne pourra désormais être effectué qu’à condition :
- qu’il ait lieu sous le contrôle de l’autorité publique ;
- ou qu’il soit autorisé par le droit de l’Union ou par la législation nationale prévoyant des garanties adéquates concernant les droits et libertés des personnes concernées.
Contrairement au texte de la Directive, le droit national ne pourra plus déroger à ces conditions. De plus, comme c’est déjà le cas dans la Directive de 1995, la centralisation exhaustive des condamnations pénales (la constitution d’un registre complet) ne pourra être effectuée que sous le contrôle de l’autorité publique.
Le Règlement opère donc à nouveau un renvoi au droit national. Il convient donc d’attendre la prochaine Loi « Informatique et Libertés », dont le premier projet est attendu pour juin 2017, pour connaitre le sort réservé aux traitements visant à constituer des fichiers d’infractions hors du contrôle de l’autorité publique, mais dans le respect de garanties adéquates. Le gouvernement français pourrait par exemple choisir de conserver son régime actuel d’autorisation préalable en matière de fichiers d’infractions.
[1] http://www.conseil-constitutionnel.fr/conseil-constitutionnel/francais/les-decisions/acces-par-date/decisions-depuis-1959/2004/2004-499-dc/decision-n-2004-499-dc-du-29-juillet-2004.904.html
[2] http://www.conseil-constitutionnel.fr/conseil-constitutionnel/root/bank/download/2004499DCccc_499dc.pdf
[3] https://www.legifrance.gouv.fr/affichCnil.do;jsessionid=15EB4CFEFF47809E97E536C555D38752.tpdila11v_3?oldAction=rechExpCnil&id=CNILTEXT000032460867&fastReqId=558171376&fastPos=460
[4] https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000033060397&fastReqId=1652442136&fastPos=9
[5] https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000017652179&fastReqId=191473261&fastPos=41
[6] https://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=EDF3F2EF43909E92F977DCB95B519888.tpdila23v_3?cidTexte=JORFTEXT000033418805&idArticle=LEGIARTI000033423776&dateTexte=&categorieLien=id#LEGIARTI000033423776
[7] https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006074228&idArticle=LEGIARTI000033425480&dateTexte=29990101&categorieLien=cid
[8] https://www.cnil.fr/fr/declaration/au-010-recouvrement-des-contraventions-routieres
[9] https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article10