III. MIEUX PROTÉGER LES DONNÉES PERSONNELLES DANS LE DOMAINE DE LA CIRCULATION DES VÉHICULES ROUTIERS
Votre commission s'est saisie pour avis de trois articles du projet de loi qui visent à faciliter la mise en place de traitements de données personnelles dans le domaine de la circulation des véhicules routiers (accès aux données des « véhicules connectés » et contrôle automatisé des voies réservées ainsi que des zones à faibles émissions).
Elle a jugé nécessaire de supprimer trois habilitations relatives aux données des « véhicules connectés » rédigées de façon trop large et imprécise, estimant que ces dispositions méritaient d'être retravaillées en vue de la séance, le Gouvernement n'ayant, à ce stade, pas prévu de garanties suffisantes ni répondu pleinement aux attentes des collectivités. Votre commission a également souhaité améliorer et mieux sécuriser juridiquement certains dispositifs de contrôle automatisé des véhicules, dont l'utilité est réelle mais qui sont susceptibles de porter une atteinte disproportionnée à la vie privée des automobilistes, de leurs passagers et des tiers.
A. SUPPRIMER UNE HABILITATION À LÉGIFÉRER PAR ORDONNANCES TROP IMPRÉCISE CONCERNANT L'ACCÈS AUX DONNÉES DES « VÉHICULES CONNECTÉS »
L' article 13 du projet de loi vise à habiliter le Gouvernement à légiférer par ordonnances pour définir certains régimes particuliers d'accès aux données des véhicules dits « connectés ». Ces ordonnances pourraient ainsi autoriser :
- l'accès des forces de l'ordre et des secours aux données des véhicules routiers connectés (y compris les données issues des dispositifs de navigation et d'aide à la conduite), pour l'exercice de leurs missions ;
- la mise à disposition, pour les enquêtes judiciaires et administratives à la suite d'accidents de la route, des données des enregistreurs d'incidents (y compris en cas de délégation de conduite, pour les futurs véhicules « autonomes ») ;
- et la correction à distance de certaines failles de sécurité.
|
Les sources et utilisations possibles des données des « véhicules connectés » Tant l'électronique embarquée des véhicules - dont les habitacles sont désormais couramment équipés d'une multitude de capteurs installés dès la première monte par les constructeurs (relevé d'utilisation du moteur, du rythme, de la vitesse, de l'ouverture des portes) - que les usagers eux-mêmes - via des dispositifs mobiles (boîtiers télématiques, GPS, applications...) - génèrent une grande variété de données relatives à la conduite automobile, à l'utilisation des équipements ou à l'environnement. Ces données représentent un enjeu économique croissant pour toute la chaîne d'acteurs privés qui en valorise le recueil, le traitement et l'exploitation (constructeurs automobiles, créateurs d'applications, gestionnaires d'infrastructures routières...). Elles constituent aussi une source d'information qui peut se révéler très utile pour les pouvoirs publics (services de secours, collectivités, autorités organisatrices de la mobilité...). Agrégées et retraitées, elles permettent d'optimiser l'utilisation des infrastructures de transport, d'améliorer la sécurité routière ou de développer des services s'inscrivant dans un objectif de développement durable. Elles peuvent aussi trouver des applications dans les domaines du paiement électronique, de la gestion du trafic, des aides à la mobilité ou de l'appel d'urgence embarqué. |
Les données générées dans le cadre de l'utilisation des véhicules sont pour la plupart associées à une personne physique (conducteur, titulaire de la carte grise, passager) et, à ce titre, présentent le caractère de données personnelles au sens de la loi « Informatique et libertés » 6 ( * ) et des textes européens 7 ( * ) régissant la protection de ces données.
Il peut ainsi d'abord s'agir de données directement identifiantes (par exemple le nom du conducteur). Mais la notion de données personnelles recouvre également un ensemble plus vaste de données, dites « indirectement identifiantes », et qui peuvent être rattachées à une personne physique par croisement avec d'autres fichiers, comme par exemple les données retraçant les trajets effectués, les données d'usage du véhicule (celles relatives au style de conduite ou au nombre de kilomètres parcourus) ou les données techniques du véhicule (celles relatives à l'état d'usure de certaines pièces).
Au vu des bénéfices économiques et sociaux considérables que l'utilisation des données des véhicules connectés est susceptible de procurer pour améliorer la mobilité de nos concitoyens, votre rapporteur souhaite naturellement que notre législation soit suffisamment souple pour prendre pleinement en compte et anticiper l'évolution rapide des technologies en la matière. Elle note d'ailleurs avec satisfaction que l'état du droit offre déjà de nombreuses possibilités permettant une juste conciliation entre respect de la vie privée et innovation technologique , comme en témoignent les lignes directrices sur les véhicules connectés 8 ( * ) adoptées par la CNIL après consultation des acteurs du secteur.
Votre rapporteur regrette, de façon générale, que le Gouvernement ait encore une fois préféré procéder par voie d'ordonnance plutôt que de laisser le Parlement discuter du fond des dispositions envisagées. Elle n'est pas convaincue en l'espèce par l'argument tiré de la grande technicité du texte dont s'est prévalue, lors de son audition, la ministre chargée des transports.
Surtout, si elle en comprend l'objectif, votre rapporteur juge, en l'état, que le champ de l'habilitation demandée par le présent article est trop large . En particulier, les finalités des traitements de données ne sont pas clairement encadrées par l'habilitation, alors même que l'atteinte à la vie privée des automobilistes pourra être considérable - le recueil de données de géolocalisation en temps réel ne semble ainsi pas exclu de l'habilitation demandée.
La rédaction proposée est en outre parfois trop imprécise, certains termes (« véhicules connectés », « forces de l'ordre ») n'ayant pas une définition juridique bien circonscrite.
Inversement, l'habilitation mériterait de voir son champ partiellement étendu, puisqu'elle ne prévoit pas de ménager un accès à certaines de ces données pour les gestionnaires d'infrastructures ni pour les autorités organisatrices de la mobilité.
Les services du ministère de la Transition écologique et solidaire ayant envisagé de retravailler ce sujet avec les rapporteurs pour avis et au fond, afin notamment de mieux préciser les finalités de ces traitements de données, votre commission a proposé, dans l'attente, la suppression de cet article par un amendement COM-131 . Elle invite en conséquence le Gouvernement à proposer une nouvelle rédaction plus satisfaisante en vue de la discussion en séance.
* 6 Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
* 7 À savoir :
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), dit « RGPD » ;
- et la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, dite « directive police-justice ».
* 8 « Pack de conformité » véhicules connectés et données personnelles (octobre 2017). Consultable en ligne à l'adresse suivante :
https://www.cnil.fr/sites/default/files/atoms/files/pack_vehicules_connectes_web.pdf