Dans un arrêté du 20 février 2012, Claude Guéant, ministre de l’Intérieur, a donné naissance à un nouveau fichier de données à caractère personnel. Son nom ? ARES, pour « automatisation du registre des entrées et sorties des recours en matière de contravention ».
Le principe de ce texte est simple : glaner et stocker l’ensemble des contestations de personnes ayant été verbalisées pour une infraction routière. Le traitement est même encore plus vaste puisqu’il enregistre aussi les demandes d’exonération. En guise de justification, l’Intérieur revendique sa volonté de « produire des statistiques ».
Seront ainsi aspirées et stockées l’identité du râleur (civilité, nom, prénom, date et lieu de naissance, sexe, adresse) et du propriétaire du véhicule (s’il est différent). L’intérieur veut aussi enregistrer les « données relatives à la vie professionnelle » avec le « nom du responsable légal dans le cas de réclamations de sociétés », sans oublier le véhicule utilisé, l’infraction, et le montant de l’amende. Enfin, seront enregistrées les références permettant l'identification du fonctionnaire qui opère la saisie (nom, numéro d'identification, informations de connexion).
Ainsi, vous prenez une prune, vous demandez une mesure gracieuse ou contestez la matérialité de l’infraction, et l’aspirateur de l’intérieur stockera dans sa mémoire tout cet environnement personnel. Et pas qu’un peu : « La durée de conservation des données dans le traitement est de cinq ans à partir de la date du dernier fait enregistré à l'occasion d'une même affaire » dit l’arrêté. Les données seront donc conservées cinq ans.
Claude Guéant souligne dans l’article 5 de son texte que « le droit d'opposition (…) ne s'applique pas au présent traitement ». Cette possibilité est reconnue par la loi Informatique et liberté. L’article 38 permet à une personne physique « de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement ». Cependant, le texte dit aussi que ce droit d’opposition ne s’applique pas lorsqu’il « a été écarté par une disposition expresse de l’acte autorisant le traitement ».
Quant au droit d’accès et rectification, il faudra se rendre impérativement à la préfecture de police, ou sur Paris à la direction de la sécurité de la police.
Quant aux données enregistrées, elle n’émet aucune réserve particulière. Par exemple, « le projet d'arrêté mentionne aussi le traitement de « données relatives à la vie professionnelle (nom du responsable légal dans le cas de réclamations de sociétés) ». Cette donnée est « effectivement justifiée » selon la CNIL quand est en cause la responsabilité d’une personne morale.
La Commission se satisfait aussi que le fichier enregistrera aussi le nom du fonctionnaire ayant effectué la saisie. « Ces informations contribuent à assurer la sécurité des données en permettant la traçabilité des actions de création et de modification directement dans l'application ».
Enfin, quant à la durée du traitement – cinq ans – la CNIL l’estime « proportionnée aux fins poursuivies par le traitement, dès lors que cette durée peut approximativement correspondre à l'enchaînement des délais légaux » des voies de recours. La CNIL demande simplement que le point de départ de ce délai soit celui du fait constitutif de la contravention « ou tout acte postérieur interruptif de la prescription ».
Sur la sécurisation de ce fichier, la CNIL prend acte que le traitement « est hébergé dans les locaux sécurisés de la préfecture de police et les connexions empruntent un réseau privatif du ministère de l'Intérieur ». Il y aura en outre une « traçabilité complète des actions de création, modification, suppression et consultation ». La CNIL souligne enfin que « l'accès au traitement sera sécurisé par des mots de passe individuels, robustes et régulièrement renouvelés » et que « les accès au traitement seront encadrés par des profils définis au regard des attributions et compétences de chaque utilisateur. »
Le principe de ce texte est simple : glaner et stocker l’ensemble des contestations de personnes ayant été verbalisées pour une infraction routière. Le traitement est même encore plus vaste puisqu’il enregistre aussi les demandes d’exonération. En guise de justification, l’Intérieur revendique sa volonté de « produire des statistiques ».
Seront ainsi aspirées et stockées l’identité du râleur (civilité, nom, prénom, date et lieu de naissance, sexe, adresse) et du propriétaire du véhicule (s’il est différent). L’intérieur veut aussi enregistrer les « données relatives à la vie professionnelle » avec le « nom du responsable légal dans le cas de réclamations de sociétés », sans oublier le véhicule utilisé, l’infraction, et le montant de l’amende. Enfin, seront enregistrées les références permettant l'identification du fonctionnaire qui opère la saisie (nom, numéro d'identification, informations de connexion).
Ainsi, vous prenez une prune, vous demandez une mesure gracieuse ou contestez la matérialité de l’infraction, et l’aspirateur de l’intérieur stockera dans sa mémoire tout cet environnement personnel. Et pas qu’un peu : « La durée de conservation des données dans le traitement est de cinq ans à partir de la date du dernier fait enregistré à l'occasion d'une même affaire » dit l’arrêté. Les données seront donc conservées cinq ans.
Claude Guéant souligne dans l’article 5 de son texte que « le droit d'opposition (…) ne s'applique pas au présent traitement ». Cette possibilité est reconnue par la loi Informatique et liberté. L’article 38 permet à une personne physique « de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement ». Cependant, le texte dit aussi que ce droit d’opposition ne s’applique pas lorsqu’il « a été écarté par une disposition expresse de l’acte autorisant le traitement ».
Quant au droit d’accès et rectification, il faudra se rendre impérativement à la préfecture de police, ou sur Paris à la direction de la sécurité de la police.
L'avis de la CNIL
Dans son avis, publié également au J.O., la CNIL souligne que le traitement sera d’abord réservé à Paris (75) et dans les départements de la petite couronne (92, 93 et 94). Elle précise aussi que si le fichier a bien une finalité statistique, il aidera aussi le ministère public à gérer les recours des personnes verbalisées. En outre, elle « prend acte que ce traitement ne constitue pas un fichier d'antécédents judiciaires en matière contraventionnelle et qu'il ne sera pas utilisé comme tel. »Quant aux données enregistrées, elle n’émet aucune réserve particulière. Par exemple, « le projet d'arrêté mentionne aussi le traitement de « données relatives à la vie professionnelle (nom du responsable légal dans le cas de réclamations de sociétés) ». Cette donnée est « effectivement justifiée » selon la CNIL quand est en cause la responsabilité d’une personne morale.
La Commission se satisfait aussi que le fichier enregistrera aussi le nom du fonctionnaire ayant effectué la saisie. « Ces informations contribuent à assurer la sécurité des données en permettant la traçabilité des actions de création et de modification directement dans l'application ».
Enfin, quant à la durée du traitement – cinq ans – la CNIL l’estime « proportionnée aux fins poursuivies par le traitement, dès lors que cette durée peut approximativement correspondre à l'enchaînement des délais légaux » des voies de recours. La CNIL demande simplement que le point de départ de ce délai soit celui du fait constitutif de la contravention « ou tout acte postérieur interruptif de la prescription ».
Sur la sécurisation de ce fichier, la CNIL prend acte que le traitement « est hébergé dans les locaux sécurisés de la préfecture de police et les connexions empruntent un réseau privatif du ministère de l'Intérieur ». Il y aura en outre une « traçabilité complète des actions de création, modification, suppression et consultation ». La CNIL souligne enfin que « l'accès au traitement sera sécurisé par des mots de passe individuels, robustes et régulièrement renouvelés » et que « les accès au traitement seront encadrés par des profils définis au regard des attributions et compétences de chaque utilisateur. »
