Réponse du ministère de l’Intérieur : L’article 63 de la loi n° 2014-58 du 27 janvier 2014 de modernisation de l’action publique territoriale et d’affirmation des métropoles, applicable depuis le 1er janvier 2018, a dépénalisé le non-respect du stationnement payant par les automobilistes. Lorsqu’une redevance de stationnement sur la voie publique n’est pas ou est insuffisamment réglée, l’automobiliste s’expose au paiement d’un forfait post-stationnement (FPS) dont le montant est librement fixé par la collectivité territoriale concernée qui est aussi chargée de sa constatation et de son recouvrement. À cet effet, certaines collectivités se sont dotées de dispositifs de lecture automatique des plaques d’immatriculation (LAPI), fixes ou mobiles, afin de procéder à la détection du non-paiement du stationnement payant, ce qui nécessite notamment la collecte systématique des numéros de plaque d’immatriculation lors du paiement du stationnement. Ce dispositif de LAPI est ensuite employé dans le cadre des verbalisations assistées par ordinateur (VAO).
Interrogée par plusieurs collectivités, dont la mairie de Paris, ainsi que par le groupement des autorités responsables de transport, la Commission nationale de l’informatique et des libertés (CNIL) s’est prononcée sur le cadre juridique de la mise en œuvre d’un traitement de données à caractère personnel fondé sur l’usage de VAO via les dispositifs de LAPI. Compte tenu de la dépénalisation du non-respect du stationnement payant et au regard des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, la CNIL estime que la mise en œuvre de tels traitements est dispensée d’une autorisation préalable par un acte réglementaire spécifique.
Si les formalités préalables à l’usage de ce dispositif se sont assouplies dans le cadre du FPS, la CNIL a cependant posé des conditions strictes pour y recourir dans ses recommandations du 14 novembre 2017 relatives à la réforme du stationnement payant, actualisées depuis sur son site internet pour tenir compte de l’entrée en vigueur, au 25 mai 2018, du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD).
D’une part, la mise en œuvre de VAO via les dispositifs LAPI est soumise au respect des dispositions de la loi du 6 janvier 1978 susmentionnée ainsi que du RGPD. Par conséquent, ces dispositifs ne peuvent collecter que les seules plaques des véhicules en stationnement, assorties de la date et de l’heure du contrôle ainsi que de la géolocalisation, à l’exclusion de toute autre image ou donnée à caractère personnel. Les données relatives à l’immatriculation doivent être supprimées immédiatement après avoir réalisé le rapprochement avec les données du serveur pour les véhicules en règle, et à l’issue du constat pour les véhicules pour lesquelles une présomption d’insuffisance ou de non-paiement est envoyée aux contrôleurs assermentés. Le système projeté doit avoir pour seul objet de permettre un pré-contrôle afin d’orienter les contrôles des agents assermentés. Ainsi, ce système ne doit pas permettre le constat de non-paiement du stationnement sur le seul fondement d’un traitement automatisé de données à caractère personnel, conformément à l’article 10 de la loi du 6 janvier 1978 susmentionnée. Le contrôle de la situation des personnes bénéficiant du stationnement gratuit, conformément à la loi n° 2015-300 du 18 mars 2015 visant à faciliter le stationnement des personnes en situation de handicap titulaires de la carte de stationnement, est juridiquement la même que celle des autres conducteurs. Il revient alors à chaque commune de trouver quelle est la meilleure solution technique pour optimiser ce dispositif en tenant compte des différences entre les conducteurs. La CNIL précise par ailleurs sur son site internet qu’il appartient aux communes d’effectuer une analyse d’impact relative à la protection des données (AIPD) sur les opérations de traitement impliquant une collecte systématique des numéros de plaque d’immatriculation, compte tenu de la nature et de la portée des traitements associés à l’usage du LAPI. L’obligation de réalisation de cette AIPD préalablement à la mise en œuvre du traitement, prévue par l’article 35 du RGPD, vise à démontrer que les risques pour les droits et libertés des personnes concernées ont été correctement pris en compte par la collectivité et ses éventuels sous-traitants.
D’autre part, la mise en œuvre du dispositif de VAO via les dispositifs LAPI implique nécessairement d’être associée à la création d’un second traitement, ayant pour objet la collecte des plaques d’immatriculation dans les horodateurs. Selon la CNIL, ce second traitement nécessite que des garanties fortes soient prévues afin de limiter le risque d’une atteinte disproportionnée à la vie privée des conducteurs. Les numéros de plaque et la localisation des véhicules ne doivent pas faire l’objet d’un enregistrement centralisé, afin de se prémunir contre toute possibilité de disposer d’un recensement en temps réel de l’ensemble des plaques d’immatriculation des véhicules stationnés dans une collectivité.
Un haut niveau de sécurité de l’ensemble des données traitées dans le cadre de ce dispositif doit être assuré. Les droits des conducteurs sur leurs données à caractère personnel – droits d’information, d’opposition, d’accès, de rectification et d’effacement – doivent également être respectés. En outre, conformément à l’article 30 du RGPD, la commune et son éventuel prestataire sont tenus de tenir un registre des activités de traitement permettant de recenser leurs traitements de données et de disposer d’une vue d’ensemble de l’usage fait des données à caractère personnel collectées.