Un bilan 2023 marquant pour la CNIL

A lire aussi sur DPO PARTAGE

Le Conseil d’État confirme l’amende de 40 millions d’euros contre Criteo : une décision clé pour le reciblage publicitaire

Caméras de surveillance et captation sonore : les règles CNIL pour la vidéoprotection

Attaque supply chain sur LiteLLM : 3,4 millions de téléchargements quotidiens compromis en trois heures

Le bilan 2023 des sanctions de la Commission Nationale de l’Informatique et des Libertés (CNIL) met en lumière une année particulièrement active. Avec 42 sanctions prononcées, pour un montant avoisinant les 90 millions d’euros, et 168 mises en demeure, l’autorité de régulation française démontre son engagement croissant en faveur de la protection des données personnelles, avec un bémol sur le dispositif LAPI.

Bilan 2023 CNIL

Cette année, la CNIL a traité plus de 16 000 plaintes 12.200 en 2022), réalisé 340 contrôles, et a vu le nombre de ses sanctions augmenter significativement. Cette hausse s’explique notamment par la mise en œuvre de la procédure de sanctions simplifiées, une recrudescence des réclamations et une coopération européenne renforcée.

Les sanctions ont touché divers secteurs, allant de la publicité et du commerce en ligne à la sécurité des données, en passant par la géolocalisation des véhicules et les droits des salariés. Elles ont visé aussi bien des petites entreprises que des multinationales, soulignant l’importance du respect du RGPD pour tous les acteurs économiques.

Une partie des décisions a été prise en collaboration avec les homologues européens de la CNIL, illustrant l’efficacité du guichet unique du RGPD et la volonté d’une approche coordonnée au niveau européen.

La CNIL a également mis l’accent sur les manquements en matière de coopération et de sécurité des données personnelles. La procédure de sanction simplifiée a permis de répondre efficacement aux attentes des plaignants, avec des décisions couvrant des problématiques telles que la géolocalisation des véhicules ou la vidéosurveillance des salariés.

Le recours accru aux mises en demeure témoigne de la volonté de la CNIL de privilégier la mise en conformité des organismes à la sanction. Ces mises en demeure ont concerné des thématiques variées, démontrant une fois de plus la diversité des enjeux liés à la protection des données.

Parmi les sujets sensibles abordés, l’utilisation des dispositifs LAPI (Lecteurs Automatisés de Plaques d’Immatriculation) par certaines communes soulève un problème particulier. Ces dispositifs, destinés à des finalités de police administrative et judiciaire, tels que le contrôle des infractions routières, sont en effet réservés aux services de police nationale et de gendarmerie. La CNIL a relevé que leur mise en œuvre par les communes était en infraction avec la réglementation, posant ainsi un sérieux questionnement sur l’usage et le contrôle des technologies de surveillance par les autorités locales.

Ce bilan 2023 illustre la complexité croissante des défis en matière de protection des données et la nécessité d’une vigilance constante de la part des autorités de régulation. Alors que la CNIL continue de renforcer sa démarche répressive, la question de l’adéquation des moyens légaux avec les technologies de surveillance, comme le montre le cas des dispositifs LAPI, reste un enjeu majeur pour l’avenir.

Qu’est ce que le dispositif LAPI ?

Le dispositif LAPI, pour Lecture Automatisée des Plaques d’Immatriculation, est une technologie avancée utilisée par les forces de l’ordre pour automatiser la lecture et le contrôle des plaques d’immatriculation des véhicules. Mis en place par un arrêté du 18 mai 2009, ce système est conçu pour faciliter la constatation des infractions telles que le vol et le recel de véhicules volés, ainsi que pour prévenir et réprimer les actes de terrorisme et préserver l’ordre public lors d’événements spécifiques.

Les véhicules équipés du dispositif LAPI sont dotés de caméras capables de capturer et de lire les plaques d’immatriculation de tous les véhicules qui entrent dans leur champ de vision. Ces données sont ensuite comparées en temps réel avec les bases de données nationales et européennes, telles que le Fichier des Véhicules Volés (FVV) et le Système d’Information Schengen (SIS), permettant de générer des alertes en cas de correspondance positive. En plus de la plaque d’immatriculation, le système peut capturer une image du véhicule et, potentiellement, des occupants, bien que ces derniers ne soient pas reconnaissables sur les images. Les données capturées incluent également la date, l’heure, et la géolocalisation précise de la prise de vue.

Cependant, l’utilisation de LAPI soulève des questions concernant la collaboration entre la police municipale et la police nationale, particulièrement dans le contexte de la sécurité intérieure et des mesures antiterroristes. Les policiers municipaux, actuellement restreints dans leur accès aux fichiers nationaux d’immatriculation pour identifier des véhicules suspects, aspirent à une plus grande autonomie. Ils souhaitent une révision de la procédure pour faciliter la détection des véhicules recherchés sans devoir systématiquement passer par la police nationale, ce qui pourrait alléger les procédures opérationnelles et rendre l’appréhension des suspects plus efficace.

Enfin, le terme « LAPI » est un acronyme qui se réfère à la technologie de lecture automatique des plaques d’immatriculation, une innovation majeure dans le domaine de la sécurité et de la surveillance routière. Il est capable de scanner jusqu’à 1800 plaques par heure et de stocker les photos jusqu’à 8 jours, représentant un outil précieux pour la gestion et le contrôle des infractions routières.

La mise en œuvre de LAPI illustre l’évolution technologique dans les méthodes de surveillance et de contrôle par les autorités, offrant des capacités avancées de détection et de suivi des véhicules. Toutefois, son déploiement et son utilisation soulèvent également des questions sur l’équilibre entre la sécurité et le respect de la vie privée, nécessitant une régulation et une transparence continues.

Que pense la CNIL du dispositif LAPI ?

Le 25 août 2020, la Commission Nationale de l’Informatique et des Libertés (CNIL) a émis une mise en garde importante à l’égard des communes concernant l’utilisation des dispositifs de lecture automatisée des plaques d’immatriculation (LAPI) pour la verbalisation automatisée. La CNIL souligne (en 2020) que, selon la réglementation en vigueur, il est expressément interdit aux municipalités d’utiliser de tels systèmes qui reposent sur la capture photographique des véhicules et de leurs plaques d’immatriculation dans le but de détecter et de constater des infractions. Cette position a conduit à l’envoi de mises en demeure à quatre communes ayant recours à cette pratique prohibée.

Cette initiative fait suite à une série de contrôles effectués par la CNIL, révélant une tendance croissante parmi les collectivités à automatiser la verbalisation pour des infractions pouvant être relevées sur leur territoire, comme le stationnement gênant. Certaines d’entre elles ont opté pour la « verbalisation assistée par ordinateur », équipant les véhicules de la police municipale de caméras LAPI pour une collecte automatique des données relatives aux véhicules en infraction.

Bien que l’utilisation des dispositifs LAPI soit autorisée pour le contrôle du forfait de post-stationnement, la CNIL précise que la capture et le traitement des images des véhicules, en particulier pour ce qui concerne les plaques d’immatriculation en vue de l’exercice du pouvoir de police judiciaire (lié aux contraventions prévues par le code de la route), demeurent interdits sans une révision réglementaire. L’arrêté du 14 avril 2009 autorisant les communes à mettre en œuvre des traitements automatisés pour la constatation et la poursuite d’infractions pénales n’inclut pas la collecte de fichiers photographiques.

A lire aussi sur le meme sujet :