L’essentiel : Le Décret n° 2024-1086 du 2 décembre 2024, en application de l’article L. 2241-2-1 du code des transports, encadre le droit de communication des données des contrevenants par les exploitants de services de transport. Ce droit permet d’obtenir des informations telles que le nom, prénom, date et lieu de naissance, ainsi que l’adresse des contrevenants, exclusivement pour le recouvrement des amendes. L’accès à ces données est limité à vingt agents habilités au sein d’une personne morale unique, garantissant ainsi la protection des données personnelles conformément au RGPD.

Le Décret n° 2024-1086 du 2 décembre 2024 pris pour l’application de l’article L. 2241-2-1 du code des transports a précisé les modalités d’exercice du droit de communication de données relatives aux contrevenants à l’initiative des exploitants de services de transports auprès des administrations publiques, par le biais d’une personne morale unique.

L’article L. 2241-2-1 du code des transports

L’article L. 2241-2-1 du code des transports permet aux exploitants de services de transports d’obtenir communication auprès des administrations publiques, de données limités aux noms, prénoms, date et lieu de naissance des contrevenants, ainsi qu’à l’adresse de leur domicile.

Le décret précise les modalités d’obtention de ces informations. Les renseignements transmis ne peuvent être utilisés qu’en vue de permettre le recouvrement des sommes dues au titre de la transaction pénale ou de l’amende forfaitaire majorée.

Les agents qui ont accès aux données des fraudeurs

L’Arrêté du 2 décembre 2024 a également fixé le nombre d’agents de la personne morale unique, commune aux exploitants, mentionnée à l’article L. 2241-2-1 du code des transports susceptibles d’avoir accès aux renseignements communiqués

Le nombre maximal d’agents de la personne morale unique, commune aux exploitants mentionnée à l’article L. 2241-2-1 du code des transports susceptibles d’avoir accès aux renseignements communiqués par cette dernière est fixé à vingt.

Ces agents doivent être spécialement habilités par la personne morale unique, qui prend les mesures nécessaires afin de pouvoir tracer leur accès à ces renseignements.

Les agents visés sont tenus au secret professionnel sous les peines prévues à l’article 226-13 du code pénal.

L’essentiel sur le nouveau dispositif

1. L’article L. 2241-2-1 du code des transports permet aux agents des exploitants de services de transport chargés du recouvrement, d’obtenir communication de la part des administrations publiques et des organismes de sécurité sociale, par l’intermédiaire d’une personne morale unique, d’informations relatives à l’identité et à l’adresse des contrevenants à la police des transports.
2. Avant l’adoption du texte définitif, la CNIL a rappelé que la mise en œuvre de ce dispositif implique des traitements de données à caractère personnel, qui devront donc respecter les exigences du RGPD et de la loi « informatique et libertés ». A cet égard, elle relève que le décret introduit des garanties essentielles pour le respect du droit à la vie privée des personnes concernées. Elle a invité le ministère à compléter le décret concernant la nature des informations pouvant être échangées et les droits des personnes concernées. Elle a considéré que certaines durées de conservation prévues par le projet de décret devaient être révisées afin de respecter les exigences de l’article 5.1.d du RGPD.
3. La CNIL a recommandé également que l’information des personnes concernées soit fournie par l’inscription de mentions au dos du reçu du procès-verbal d’infraction et, le cas échéant, dans l’avis de recouvrement.
4. Enfin, la CNIL rappelle que, dès lors que les traitements mis en œuvre sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques, une analyse d’impact relative à la protection des données à caractère personnel devait être réalisée avant leur mise en œuvre.

Le recouvrement des sommes dues au titre de la transaction

L’article L. 2241-2-1 du code des transports, créé par la loi n° 2016-339 du 22 mars 2016, ouvre la possibilité aux exploitants du service de transport, dans le cadre du recouvrement des sommes dues au titre de la transaction mentionnée à l’article 529-4 du code de procédure pénale, d’obtenir communication de la part des administrations publiques et des organismes de sécurité sociale des informations relatives aux contrevenants. Il impose que cette communication se fasse par l’intermédiaire d’une personne morale unique.

Ce droit de communication vise à fiabiliser les données relatives à l’identité et à l’adresse du contrevenant recueillies lors de la constatation d’une contravention à la police des transports.

Ce dispositif participe à la lutte contre la fraude dans les transports publics en permettant d’améliorer le recouvrement des amendes. Le manque de fiabilité des adresses communiquées par les contrevenants constitue en effet l’un des facteurs pouvant expliquer la faiblesse du taux de recouvrement de ces sommes. L’Union des transporteurs publics et ferroviaires évalue le gain financier du recours à ce dispositif à environ trois millions d’euros, auquel s’imputeront cinq cent mille euros de frais de fonctionnement.

Saisine de la CNIL

La CNIL a été saisie, le 21 juin 2024, par le ministère de la transition écologique et de la cohésion des territoires, d’une demande d’avis relative au projet de décret en Conseil d’Etat pris en application de l’article L. 2241-2-1 du code des transports. Une saisine rectificative a été transmise le 5 juillet 2024.

Le décret :

• a pour objet de préciser les modalités d’exercice de ce droit de communication par le biais d’une personne morale unique, dont il liste les missions ;
• précise le contenu des demandes formulées par les exploitants de services de transport et des réponses fournies par la personne morale unique. Il fixe la durée de conservation des données ;
• renvoie la définition des spécifications techniques du dispositif de fiabilisation des données à des conventions spécifiques conclues entre la personne morale unique et les administrations publiques et organismes de sécurité sociale.

Les conditions générales d’exercice du droit de communication

Le législateur a assorti l’exercice de ce droit de communication de plusieurs garanties de nature à concilier l’objectif poursuivi de lutte contre la fraude et le respect de la vie privée et de la protection des données à caractère personnel : les renseignements transmis ne peuvent être utilisés que dans le cadre du recouvrement des sommes dues et ne peuvent pas être communiqués à d’autres personnes que celles chargées du recouvrement de ces sommes ou qu’à l’autorité judiciaire (en cas d’usurpation d’identité).

Les demandes des exploitants et les réponses sont transmises par l’intermédiaire d’une personne morale unique, dont les agents, spécialement désignés et habilités à cet effet, sont tenus au secret professionnel.

Le décret introduit également plusieurs garanties que la CNIL juge essentielles : il prévoit notamment que seuls les fichiers régulièrement mis à jour soient interrogés et que les renseignements demandés ne soient fournis que si les éléments d’identification de la personne concernée contenus dans la demande ne correspondent qu’à une seule et même personne physique.

Par ailleurs, le texte limite strictement les personnes qui peuvent accéder aux données au sein des exploitants de service de transport et de la personne morale unique, et prévoit que l’habilitation des agents de la personne morale unique soit délivrée à la suite du suivi d’une formation initiale et continue en matière de protection des données à caractère personnel.

La CNIL rappelle que la communication de ces informations aux exploitants de service de transport constituera un traitement de données à caractère personnel, qui devra respecter les dispositions régissant ces traitements. En l’espèce, tant les organismes fournissant les données que la personne morale unique assumeront une part de responsabilité dans le traitement des données. Cette communication est soumise au RGPD.

Le périmètre du droit de communication

Les fichiers concernés par le droit de communication :

Le projet d’article R. 2241-7-3 du code des transports prévoyait que seuls « les fichiers nationaux permettant d’obtenir des adresses de personnes physiques régulièrement mises à jour » entrent dans le champ d’application de l’article L. 2241-2-1 du code des transports.

La formulation employée ne permettait pas de déterminer précisément le ou les fichiers concernés. Le ministère a indiqué que la rédaction employée doit permettre de s’adapter aux éventuelles évolutions du dispositif ou de la configuration et des caractéristiques des fichiers concernés.

Bien que la loi autorise l’interrogation de fichiers des organismes de sécurité sociale, il précise que le dispositif envisagé aura pour le moment recours uniquement à l’interface de programmation d’application recherche des personnes physiques (« API R2P »), produite par la direction générale des finances publiques (DGFiP). Ce choix s’explique, selon le ministère, par la qualité et l’étendue du jeu de données qu’elle contient. Concrètement, cette API interroge :

• la base de données nationale dénommée PERS qui a pour objet de constituer un service unique d’identification des contribuables ;
• le référentiel occurrence fiscal (OCFI) qui dispose des adresses des contribuables, lesquelles sont mises à jour notamment à chaque campagne de recouvrement de l’impôt sur le revenu. Ce référentiel est également alimenté par les fichiers de la Poste, JCC (démarche « je change mes coordonnées ») ainsi que par les mises à jour des contribuables et des agents de la DGFiP via le flux e-contact (messagerie sécurisée de la DGFiP).

Aucun autre fichier ou base de données ne serait consulté dans l’hypothèse où l’API R2P ne permettrait pas d’obtenir les informations demandées.

La CNIL considère que ce choix est de nature à permettre le respect de l’obligation de traiter des données exactes et tenues à jour, conformément à l’article 5.1.c du RGPD.

Elle relève toutefois que le décret vise à la fois les administrations publiques et les organismes de sécurité sociale. Or, le dispositif prévu par le ministère à ce jour n’implique pas la consultation de fichiers des organismes de sécurité sociale. La CNIL prend acte des engagements du ministère de supprimer la mention relative aux fichiers des organismes de sécurité sociale.

La nature des informations échangées :

En premier lieu, l’article R. 2241-7-5 prévoit que les demandes de renseignements comportent le numéro et la date du procès-verbal, les nom et prénom(s) du contrevenant ainsi qu’au moins une des indications suivantes : sa date de naissance ; sa commune de résidence.
Si l’API R2P ne requiert pas les informations relatives à la date et au numéro du procès-verbal, le ministère a précisé que :

• la date du procès-verbal permet à la personne morale unique de contrôler que celui-ci ne date pas de plus de trois mois, l’article 529-5 du code de procédure pénale prévoyant qu’au-delà de ce délai l’amende forfaitaire sera recouvrée par le Trésor public et non plus par l’exploitant du service de transport ;
• le numéro de procès-verbal permet de s’assurer que chaque demande est associée à une infraction effectivement constatée et de limiter le risque d’abus par les agents des exploitants, en complément du contrôle que doit exercer l’exploitant en interne.

La CNIL prend acte des engagements du ministère de préciser, que la date et le numéro du procès-verbal ne sont pas transmis aux administrations publiques. Sous cette réserve, la CNIL considère que ces informations sont de nature à garantir que le droit de communication porte sur des demandes spécifiques et précises et à permettre un contrôle adéquat par la personne morale unique.

En deuxième lieu, le texte ouvre la possibilité de préciser la commune de naissance du contrevenant ou « toute autre information utile » au traitement de leur demande.
Le ministère a affirmé que les informations seront uniquement celles exigées pour le fonctionnement de l’API ou de la plateforme mise en place par la personne morale unique. Il s’agit d’informations relatives :

• au contrevenant : département, pays en plus de la commune de résidence, adresse communiquée par le contrevenant ;
• à des spécificités techniques de l’exploitant du service de transport concerné : identifiant du réseau de l’exploitant, identifiant de connexion à l’application, identifiant supplémentaire (champ libre selon usage des exploitants), date de la demande.

S’agissant de l’identifiant « supplémentaire », le ministère a précisé, d’une part, qu’il ne doit pas s’agir d’une donnée à caractère personnel et, d’autre part, que le champ sera soit supprimé, soit modifié pour répondre à une nomenclature strictement définie en fonction des besoins des opérateurs de transport, soit assorti d’une alerte automatique pour rappeler qu’il ne doit en aucun cas mentionner des données à caractère personnel.

La CNIL en prend acte et invite le ministère à une vigilance renforcée quant à la nature des informations pouvant être communiquées.

Elle invite également à mentionner explicitement que le « lieu de résidence » et le « lieu de naissance » peuvent être traités afin d’inclure, outre la commune, le département et le pays. Sur ce point, la CNIL prend acte des engagements du ministère d’inclure le département et le pays.

La CNIL estime que les « informations utiles », dont la transmission est également possible, ne devraient pas contenir de données à caractère personnel ne correspondant à aucune des catégories mentionnées par le décret.

En troisième lieu, l’article R. 2241-7-5 prévoit que les informations fournies par l’intermédiaire de la personne morale unique comportent uniquement les nom, prénom(s), date et lieu de naissance du contrevenant, ainsi que l’adresse de son domicile.

Ces informations sont conformes à celles prévues par l’article L. 2241-2-1 du code des transports et sont bien nécessaires à la finalité poursuivie.

Le ministère a précisé que, dans l’hypothèse où, pour une personne donnée et identifiée, l’API R2P contiendrait plusieurs adresses, seule la dernière adresse connue sera transmise à l’agent à l’origine de la demande.

En dernier lieu, l’article R. 2241-7-2 prévoit que, s’il ne peut être donné suite à la demande de l’exploitant du service de transport à l’origine de la demande, la raison doit en être indiquée (aucune personne n’a pu être identifiée sur la base des informations communiquées ou, au contraire, plusieurs personnes correspondent aux éléments fournis).

Le recours systématique au dispositif de fiabilisation de l’adresse du contrevenant

Si le décret reste silencieux sur ce point, le ministère a indiqué que le recours au dispositif de fiabilisation serait systématique pour tout recouvrement des sommes dues au titre de la transaction mentionnée à l’article 529-4 du code de procédure pénale.

Le ministère justifie le caractère systématique par :

• l’absence de critères objectifs permettant de faire le tri entre les cas où la fiabilisation serait nécessaire et ceux où les agents de recouvrement pourraient s’en dispenser ;
• la nécessité d’assurer la viabilité économique du dispositif pour les opérateurs qui souhaitent éviter au maximum que les avis de recouvrement soient retournés faute d’avoir utilisé une adresse fiable.

Compte tenu de la finalité du dispositif prévu par la loi (la fiabilisation des données relatives aux contrevenants) et au regard des garanties prévues par le décret, la CNIL considère que le caractère systématique du recours au dispositif ne porte pas une atteinte disproportionnée aux droits et libertés des personnes concernées.

Les durées de conservation des données à caractère personnel

S’agissant de la conservation des données par la personne morale unique :

L’article R. 2241-7-7 prévoit que la personne morale unique peut conserver les demandes de renseignements pour une durée maximale de trois mois à compter de l’établissement du procès-verbal qui fonde la demande. Elle prévoit également que les réponses aux demandes sont supprimées dans un délai maximal d’un mois à compter de leur mise à disposition de l’exploitant de service de transport.

Le ministère a précisé que la possibilité de conserver les demandes de renseignements pendant le délai qui permet aux exploitants de recouvrer les sommes dues (avant transmission au Trésor public) constitue une rédaction de précaution qui doit permettre d’anticiper d’éventuelles difficultés techniques que pourrait rencontrer le système. Il justifie la durée de conservation, par la personne morale unique, des réponses aux demandes mises à la disposition des agents des exploitants, au regard de la disponibilité de ces agents dont il ne peut être exigé qu’ils consultent les réponses et les exploitent instantanément.

La conservation de l’ensemble des demandes pendant trois mois constitue une liste des personnes ayant fait l’objet d’une contravention avec procédure de recouvrement, dès lors que la vérification sera, en pratique, systématique.

La CNIL estime, en l’état du dossier, que seule la conservation du numéro de la demande et du fait qu’elle a été traitée semble utile une fois que la réponse a été apportée, opération qui devrait en pratique être très brève.

Conformément à l’article 5.1.d du RGPD, la durée de conservation des données à caractère personnel doit être déterminée en fonction des finalités pour lesquelles elles sont traitées et non des enjeux techniques inhérents au dispositif.

S’il peut être admis que les données à caractère personnel puissent être conservées au-delà de la transmission des informations, notamment parce que la réponse ne peut être traitée immédiatement par l’exploitant, la possibilité de conserver pendant un délai de trois mois à compter de l’établissement du procès-verbal l’ensemble des demandes reçues ne respecte pas le principe de limitation de la durée de conservation.

La CNIL prend acte des engagements du ministère de préciser, dans le décret, que tant les demandes que les réponses seront supprimées dès réception par l’exploitant de la réponse à la demande. Elle prend également acte de l’engagement du ministère que pour couvrir les cas de dysfonctionnements empêchant une réception immédiate, il sera précisé que le délai ne pourra pas excéder le délai de recouvrement.

S’agissant de la conservation des données par l’administration publique ou les organismes de sécurité sociale :

L’article R. 2241-7-7 prévoit que les administrations publiques et organismes de sécurité sociale conservent les données issues de l’échange pour une durée maximale de six mois.

Le ministère a précisé que ce choix est uniquement dû aux limitations techniques de l’API R2P qui prévoit une seule et unique durée de conservation des données pour l’ensemble des utilisateurs concernés, indépendamment de la finalité poursuivie par une demande en particulier.

Tout d’abord, la CNIL s’interroge sur l’opportunité d’encadrer la durée de conservation des données issues de l’échange (demandes formulées et réponses transmises) dans cet acte règlementaire si celui-ci est commun à tous les usages pour lesquels l’API est amenée à être utilisée.

Si le ministère souhaite règlementer la durée de conservation des données pour le seul usage prévu par le décret, cette durée doit être adaptée aux finalités pour lesquelles les données sont traitées.

En effet, la CNIL considère que le choix d’une solution technique particulière ne doit pas déterminer la définition de la durée de conservation, en application du principe de limitation de la conservation des données posé par l’article 5.1.d du RGPD.

Ainsi, la durée de conservation des échanges devrait être celle nécessaire à la conduite de la procédure de recouvrement ainsi qu’aux fins de preuve en cas de contestation de l’amende forfaitaire majorée pour les infractions à la police des transports.

L’information et les droits des personnes concernées

L’article R. 2241-7-8 du code des transports prévoit que le public est informé par tout moyen approprié de la vérification des données à caractère personnel déclarées par les personnes concernées lors de l’établissement d’un procès-verbal.

Le ministère précise que l’information sera délivrée sur les sites web propres à chaque exploitant ainsi que sur celui du ministère chargé des transports. Une information par voie d’affichage dans les moyens de transports serait également envisagée.

La CNIL recommande que l’information des personnes concernées soit également fournie par l’inscription de mentions au dos du reçu de procès-verbal d’infraction et, le cas échéant, dans l’avis de recouvrement qui est adressé.

En tout état de cause, elle rappelle que cette information doit être concise, compréhensible et aisément accessible, rédigée en des termes clairs et simples, en particulier dans la mesure où elle peut être adressée à des mineurs.

En outre, la CNIL rappelle que dans l’hypothèse où l’avis de contravention serait adressé à une personne qui n’est pas le véritable contrevenant (par exemple, dans le cas d’une usurpation d’identité), cette dernière doit être en mesure de pouvoir contester celui-ci selon des modalités appropriées. Elle invite le ministère à prévoir ces dernières et à les porter à la connaissance des personnes concernées.

Les mesures de sécurité encadrant le droit de communication

La CNIL observe que l’article R. 2241-7-3 du code des transports prévoit que « le droit de communication […] s’exerce par voie dématérialisée dans le cadre d’un dispositif sécurisé », et que l’article R. 2241-7-6 précise que « les échanges d’information entre les exploitants de service de transport et la personne morale unique, d’une part, et la personne morale unique et les administrations publiques et organismes de sécurité sociale d’autre part, sont réalisés dans des conditions sécurisées, de nature à garantir la confidentialité et l’intégrité des données qui transitent ».

Elle prend acte de ces précisions visant à garantir la création d’un dispositif assurant la sécurité des données traitées et du fait que les conditions de mise en œuvre du dispositif seront précisées dans des conventions conclues entre les parties concernées.

La CNIL relève, par ailleurs, que l’article R. 2241-7-4 du code des transports vise à permettre l’identification des agents à l’origine des demandes d’information, afin de garantir la traçabilité des demandes effectuées par le biais de la personne morale unique.

Elle considère que la traçabilité ne devrait pas reposer uniquement sur la personne morale unique mais qu’elle devrait également être effectuée au niveau de l’exploitant du service de transport, notamment pour ce qui concerne la capacité à rendre compte du lien entre les demandes transmises et l’existence d’un procès-verbal.

Enfin, la CNIL considère que les traitements mis en œuvre conformément à l’article L. 2241-2-1 du code des transports sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques et qu’une analyse d’impact relative à la protection des données à caractère personnel devra être réalisée avant leur mise en œuvre.

Q/R juridiques soulevées :

Qu’est-ce que le Décret n° 2024-1086 du 2 décembre 2024 ?

Le Décret n° 2024-1086, pris pour l’application de l’article L. 2241-2-1 du code des transports, établit les modalités d’exercice du droit de communication des données concernant les contrevenants. Ce décret permet aux exploitants de services de transports d’accéder à des informations personnelles, telles que les noms, prénoms, date et lieu de naissance, ainsi que l’adresse des contrevenants, via une personne morale unique. Cette initiative vise à faciliter le recouvrement des amendes et à améliorer l’efficacité des opérations de contrôle dans le secteur des transports publics.

Quels sont les droits des exploitants de services de transport selon l’article L. 2241-2-1 ?

L’article L. 2241-2-1 du code des transports autorise les exploitants de services de transport à demander des informations aux administrations publiques concernant les contrevenants. Les données accessibles se limitent à l’identité et à l’adresse des contrevenants, et ces informations ne peuvent être utilisées que pour le recouvrement des amendes ou des transactions pénales. Cela signifie que les exploitants ne peuvent pas utiliser ces données à d’autres fins, garantissant ainsi une protection des données personnelles conformément aux exigences du RGPD.

Qui a accès aux données des fraudeurs ?

L’Arrêté du 2 décembre 2024 fixe le nombre d’agents de la personne morale unique, qui est commune aux exploitants, pouvant accéder aux données des fraudeurs à un maximum de vingt. Ces agents doivent être habilités spécifiquement par la personne morale unique, qui doit également mettre en place des mesures pour tracer l’accès à ces informations. De plus, ces agents sont tenus au secret professionnel, ce qui renforce la protection des données personnelles traitées dans ce cadre.

Quelles sont les garanties mises en place pour protéger les données personnelles ?

Le législateur a introduit plusieurs garanties pour concilier la lutte contre la fraude et le respect de la vie privée. Les renseignements transmis ne peuvent être utilisés que pour le recouvrement des sommes dues et ne peuvent pas être partagés avec d’autres entités, sauf en cas d’usurpation d’identité. De plus, les demandes et réponses doivent passer par une personne morale unique, et seuls les fichiers régulièrement mis à jour peuvent être interrogés, garantissant ainsi l’exactitude des données.

Comment la CNIL a-t-elle réagi à ce dispositif ?

La CNIL a été saisie pour donner son avis sur le projet de décret et a souligné que la mise en œuvre de ce dispositif doit respecter les exigences du RGPD. Elle a recommandé des garanties pour protéger la vie privée, comme la nécessité d’informer les personnes concernées par des mentions sur les reçus de contravention. La CNIL a également insisté sur la nécessité d’une analyse d’impact sur la protection des données avant la mise en œuvre du dispositif, en raison des risques potentiels pour les droits des individus.

Quelles sont les conditions de conservation des données ?

Le décret prévoit que la personne morale unique peut conserver les demandes de renseignements pour une durée maximale de trois mois à partir de l’établissement du procès-verbal. Les réponses aux demandes doivent être supprimées dans un délai maximal d’un mois après leur mise à disposition à l’exploitant de service de transport. La CNIL a exprimé des réserves sur la durée de conservation, soulignant que celle-ci doit être proportionnelle aux finalités pour lesquelles les données sont traitées, conformément au RGPD.

Comment les personnes concernées sont-elles informées de l’utilisation de leurs données ?

L’article R. 2241-7-8 stipule que le public doit être informé de la vérification des données personnelles lors de l’établissement d’un procès-verbal. Cette information sera diffusée sur les sites web des exploitants et du ministère des transports, ainsi que par affichage dans les moyens de transport. La CNIL recommande également d’inclure des mentions sur les reçus de contravention pour garantir que les personnes concernées soient bien informées de l’utilisation de leurs données.

Quelles mesures de sécurité sont mises en place pour protéger les données ?

Le décret impose que le droit de communication s’exerce par voie dématérialisée dans un cadre sécurisé, garantissant la confidentialité et l’intégrité des données. Les échanges d’informations entre les exploitants et la personne morale unique, ainsi qu’avec les administrations publiques, doivent se faire dans des conditions sécurisées. La CNIL a également souligné l’importance de la traçabilité des demandes, qui doit être assurée non seulement par la personne morale unique, mais aussi par les exploitants de services de transport.