Après avoir entendu le rapport de Mme Marie-Laure DENIS, présidente, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés (ci-après « la Commission ») a été saisie le 19 mars 2021 par le ministère de la transition écologique, puis le 25 juin 2021 par saisine rectificative, d'un projet d'arrêté pris en application de l'article R. 3120-41 du code des transports.
L'article L. 3120-6 du code des transports, introduit par la loi n° 2016-1920 du 29 décembre 2016 relative à la régulation, à la responsabilisation et à la simplification dans le secteur du transport public particulier de personnes, prévoit que l'autorité administrative peut imposer, notamment aux centrales de réservations, la transmission périodique, à des fins statistiques, des données nécessaires à la connaissance de l'activité du secteur du transport public particulier de personnes (T3P).
L'article R. 3120-41 du code des transports prévoit, notamment, que le ministre chargé des transports est l'autorité administrative chargée de réaliser les études statistiques et précise que la nature, l'antériorité et la durée de conservation des données susceptibles d'être demandées et, le cas échéant, la périodicité minimale de leur communication, sont fixées par arrêté des ministres chargés de l'économie et des transports.
La Commission, qui s'était prononcée sur le décret introduisant cette disposition, avait demandé à être saisie pour avis de tout projet d'acte réglementaire pris en application de ce décret.
Si les dispositions relatives à l'antériorité et la périodicité minimale de la collecte des données n'appellent pas d'observations particulières de la Commission, elle considère que, compte tenu de la quantité et de l'ampleur de la collecte des données envisagées, le traitement doit présenter d'importantes garanties relatives à la protection des données et, par ailleurs, que le traitement de données sous forme nominative n'est pas nécessaire dès lors qu'il est possible de recourir au code statistique non signifiant (CSNS). En outre, elle s'interroge sur la collecte de certaines données au regard de l'interdiction de collecter des données à caractère personnel relatives aux passagers et rappelle que l'anonymisation des résultats statistiques doit être effective.
Sur la nature des données susceptibles d'être demandées :
L'article 1er du projet d'arrêté vient préciser les données dont la transmission périodique, à des fins statistiques, sera susceptible d'être demandée.
La Commission relève que les données susceptibles d'être demandées présentent une très grande diversité (données relatives à la localisation de la course, données relatives à la distance parcourue, plaques d'immatriculation, etc.) dont le ministère a justifié la pertinence lors des échanges avec les services. Plus particulièrement, la Commission relève qu'un niveau de granularité fin est nécessaire pour réaliser des statistiques précises, par exemple pour mesurer la fréquentation de lieux précis (aéroports, monuments etc.). La Commission relève en outre que le projet d'arrêté adressé par saisine rectificative prévoit de réduire le caractère intrusif du traitement via la collecte de coordonnées GPS arrondies à la troisième décimale (ce qui correspond à une précision de 80 mètres). Une précision de 80 mètres peut néanmoins, notamment dans des zones d'habitation peu denses, révéler des informations précises sur les trajets.
Conformément au principe de minimisation, la Commission invite donc le ministère à réduire davantage la précision des données de localisation collectées en utilisant par exemple une précision variable selon la taille de la maille IRIS concernée, cette dernière étant un indicateur fiable de la densité du territoire. Elle l'invite en outre à agréger, dès leur réception, les données les plus précises relatives aux courses, pour éviter que ne puissent être identifiés des trajets précis.
Compte tenu de la quantité et de l'ampleur de la collecte des données envisagées, le traitement doit présenter d'importantes garanties relatives à la protection des données. La Commission invite donc le ministère à être particulièrement vigilant concernant la sécurité du traitement ainsi que sur la nécessité de prévoir des garanties fortes. Sur ce dernier point, elle prend notamment acte des précisions du ministère selon lesquelles les données listées correspondent à celles susceptibles d'être demandées mais que seules certaines données feront l'objet d'une collecte régulière. Elle invite néanmoins le ministère à les faire figurer dans le projet d'arrêté, qui devrait indiquer la nature des données faisant l'objet d'une collecte régulière, les personnes qu'elles concernent et les modalités pratiques de cette collecte.
Sur le traitement de données sous forme nominative et le recours au code statistique non signifiant (CSNS) :
Le projet d'arrêté permet le traitement de données sous une forme nominative pour une durée de 5 ans à compter de la fin de l'année civile à laquelle elles sont rattachées.
Si la Commission ne remet pas en cause la nécessité de traiter, dans ce cadre, des données identifiantes pour quantifier l'activité des chauffeurs travaillant souvent simultanément sur plusieurs plateformes de mise en relation avec des clients sur une période donnée, et suivre leur évolution au fil du temps, elle s'interroge sur la proportionnalité de la collecte de données nominatives.
A cet égard, le ministère s'est engagé à recourir au code statistique non signifiant (CSNS) attribué par l'INSEE en substitution, à l'issue d'une opération cryptographique, du numéro d'inscription au répertoire national d'identification des personnes physiques conformément au décret n° 2016-1930 du 28 décembre 2016 portant simplification des formalités préalables relatives à des traitements à finalité statistique ou de recherche. Elle relève qu'en cas de recours au CSNS, les données sont traitées sous une forme identifiante mais non nominative.
La Commission considère que le traitement de données sous forme nominative n'est pas nécessaire pour la réalisation de statistiques dès lors que le CSNS, qui sera prochainement opérationnel, a précisément pour objet de permettre la réalisation de traitements ayant une finalité de statistique publique à partir de données pseudonymisées dans un cadre respectant le droit des personnes à la protection de leurs données à caractère personnel. Le traitement de données nominatives devra alors se limiter à la transmission des éléments d'états civils nécessaires à l'INSEE qui est en charge de la conversion du NIR en CSNS. Pour ces raisons, la Commission préconise l'inscription, dans le projet d'arrêté, du seul recours au CSNS pour les traitements ayant une finalité statistique et invite le ministère à préciser, dans le projet de décret, que les données nominatives seront uniquement traitées dans le cadre de leur transmission à l'INSEE à des fins de conversion.
S'agissant de la durée de conservation des données sous une forme indirectement identifiante, la Commission prend acte de l'inscription dans le projet d'arrêté d'une durée de dix ans. Elle relève que cette durée ne concerne pas les données non agrégées les plus précises (heures de début et de fin, adresses d'origine et de destination, montants de la course) qui ne pourront être conservées que cinq ans à compter de la fin de l'année civile à laquelle elles sont rattachées. Elle rappelle en outre que l'inscription d'une durée de conservation de dix ans signifie que, même si le décret n° 2016-1930 précité permet de demander le renouvellement du CSNS à l'issue de l'expiration de sa durée de validité maximale de dix ans, toutes les données identifiantes devront, en l'espèce, être supprimées à l'issue du délai de dix ans. Elles ne pourront donc pas être conservées pour une durée supérieure même en cas de renouvellement du CSNS, que celui-ci ait lieu au cours du délai de validité de dix ans ou à son expiration.
Sur la publication de résultats statistiques :
Le projet d'arrêté prévoit la consolidation des données collectées sur l'ensemble du pays, dans l'objectif d'obtenir et de publier des résultats statistiques.
La Commission rappelle que l'anonymisation des résultats statistiques doit être effective. Le ministère doit donc réaliser une analyse permettant de démontrer que ses processus d'anonymisation respectent les trois critères définis par l'avis du groupe de l'article 29 n° 05/2014. A défaut, si ces trois critères ne peuvent être réunis, une étude des risques de réidentification doit être menée. Le cas échéant, des mesures complémentaires doivent être mises en œuvre afin de limiter les risques de réidentification des personnes, notamment en limitant les interrogations ciblées et le niveau de détail des données fournies.