Délibération n° 2025-053 du 10 juillet 2025 portant avis sur un projet d'arrêté portant création d'un traitement de données à caractère personnel relatif au contrôle des véhicules de transport routier équipés de tachygraphes dénommé « TACHOSCAN »
| Numéro | 2025-053 |
| Date | jeudi 10 juillet 2025 |
| Nature | Délibération |
| État | En vigueur |
| Référence | CNILTEXT000052853149 |
| N° de demande d'avis : 25006923. |
Thématiques : transport routier, tachygraphes, contrôle du travail illégal. |
|
Organisme(s) à l'origine de la saisine : ministère de l'aménagement du territoire et de la décentralisation. |
Fondement de la saisine : article 31 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés. |
L'essentiel :
1. Le SI-TACHOSCAN est créé pour la collecte, par les autorités compétentes, des données issues des contrôles de véhicules de transport routier de marchandises et de personnes équipés de tachygraphes à des fins de détection d'infractions pénales, d'enquêtes et de poursuites pénales en la matière.
2. La CNIL invite le ministère à chiffrer les données, notamment les sauvegardes, et à mettre en œuvre les mesures techniques et organisationnelles garantissant la suppression des données sur les postes mobiles une fois transmises vers le stockage centralisé et assurant l'anonymisation des données transmises vers GRECO . Elle invite le ministère à conclure des contrats avec les sous-traitants et à compléter les mentions d'information.
3. La CNIL prend acte de l'engagement du ministère à garantir la mise en place d'un parcours interne efficace permettant de remonter les demandes d'exercice des droits au bon interlocuteur et à former les personnes en charge d'y répondre afin, notamment, d'être en mesure de les traiter dans les délais impartis.
La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ( loi informatique et libertés ), notamment son article 31 ;
Après avoir entendu le rapport de M. Didier Kling, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :
I. - La saisine
A. - Le contexte
Le règlement (UE) n° 165/2014 du Parlement européen et du Conseil du 4 février 2014 relatif aux tachygraphes dans les transports routiers (ci-après règlement UE 165/2014 ) prévoit l'installation obligatoire de tachygraphes dans tous les véhicules de transport routier de marchandises dont la masse totale dépasse 3,5 tonnes et de transport routier de passagers par des véhicules pouvant transporter plus de neuf personnes.
Un tachygraphe est un dispositif installé à bord d'un véhicule routier pour collecter, stocker et fournir d'une manière automatique ou semi-automatique des données sur l'utilisation de ce véhicule, y compris sa vitesse, et des données sur l'activité du conducteur. Il vise à vérifier le respect des différentes réglementations européennes en matière :
- d'accès aux marchés de transports routiers et à la profession de transporteur ainsi qu'à ses conditions d'exercice ; et
- de respect du droit social (durées de conduite, pauses et temps de repos et durée du travail, ainsi que qualification des conducteurs, détachement et travail dissimulé) ;
- à la sécurité et la circulation des véhicules de transport routier (état et entretien des véhicules, assurance, poids et dimensions, règles de circulation) ; et
- au transport d'animaux vivants, de déchets et de marchandises dangereuses.
B. - L'objet de la saisine
La CNIL a été saisie pour avis sur un projet d'arrêté portant création d'un traitement de données à caractère personnel relatif au contrôle des véhicules de transport routier équipés de tachygraphes, dénommé TACHOSCAN . Il permet la collecte, par les autorités compétentes, des données issues des contrôles de véhicules de transport routier de marchandises et de personnes équipés de tachygraphes à des fins de détection d'infractions pénales en la matière, d'enquêtes et de poursuites pénales.
Le ministère chargé des transports est responsable du traitement qui relève du champ d'application de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 dite directive Police-Justice .
II. - L'avis de la CNIL
A. - Sur les finalités du traitement
L'article 1er du projet d'arrêté indique que le traitement permet :
- le téléchargement, l'analyse et l'enregistrement des données recueillies lors des contrôles sur route et en entreprise par les fonctionnaires ou agents de l'Etat chargés du contrôle des transports terrestres ; et
- l'édition du bulletin de contrôle.
Le règlement (UE) n° 165/2014 prévoit, à l'article 9, une fonctionnalité de détection précoce à distance d'une éventuelle manipulation ou utilisation abusive , ainsi que, à l'article 10, la possibilité d'intégrer une interface permettant l'utilisation par un dispositif extérieur des données enregistrées ou produites par le tachygraphe. La CNIL note que le projet de traitement n'a pas pour objet d'encadrer ces deux fonctionnalités.
De plus, la CNIL prend note de ce que l'analyse automatique des données effectuée permet uniquement de les organiser dans un format permettant de les comparer aux exigences règlementaires et ne s'apparente pas à un traitement entièrement automatisé au sens de l'article 95 de la loi informatique et libertés .
B. - Sur les durées de conservation
L'analyse des différents fichiers liés aux véhicules et aux conducteurs est dans un premier temps réalisé sur le terminal mobile mis à disposition des agents de contrôle. Une fois le contrôle terminé, le dossier est transmis vers un espace de stockage centralisé. Ce fonctionnement est nécessaire pour permettre aux agents de mener à bien leurs contrôles même en l'absence de connexion à l'espace de stockage centralisé.
La CNIL prend acte de l'engagement du ministère de fournir des instructions demandant de supprimer les fichiers sur les terminaux mobiles dès la procédure de contrôle et la transmission du dossier vers le stockage centralisé.
La CNIL recommande la mise en œuvre de mesure techniques pour garantir le respect de cette suppression et invite le ministère à mettre en œuvre les mesures organisationnelles nécessaires (contrôles réguliers par la hiérarchie des espaces de stockage locaux) pour garantir le respect de ces instructions jusqu'à la mise en œuvre de ces mesures techniques.
C. - Sur l'information des personnes et l'exercice de leurs droits
Les personnes concernées seront informées, en premier niveau, des modalités de traitement de leurs données à caractère personnel par une mention figurant sur le bulletin de contrôle remis au conducteur ou à l'entreprise. La CNIL invite le ministère à compléter cette information par les éléments manquants en application de l'article 104 (I) de la loi informatique et libertés , a minima par les coordonnées du délégué à la protection des données, puis par les finalités du traitement, l'identité et les coordonnées du responsable du traitement, ainsi que le droit d'introduire une réclamation auprès de la CNIL.
Concernant les droits des personnes concernées, l'article 7 de l'arrêté prévoit qu'ils s'exercent auprès du service déconcentré auquel appartient l'agent auteur du contrôle , dont l'adresse sera précisée sur le bulletin de contrôle.
La CNIL prend acte de l'engagement du ministère à garantir la mise en place d'un parcours interne efficace permettant de remonter les demandes au bon interlocuteur et à former les personnes en charge de répondre aux demandes afin, notamment, d'être en mesure de les traiter dans les délais impartis.
D. - Sur la sous-traitance
Le ministère chargé des transports a recours à un sous-traitant pour le support utilisateurs et le pilotage de la maîtrise d'œuvre.
La CNIL rappelle qu'à ce titre, un contrat encadrant les responsabilités de traitement et comprenant les éléments listés par l'article 96 de la loi informatique et libertés doit être conclu.
E. - Sur la mise en relation avec d'autres traitements
L'article 2 du projet d'arrêté prévoit la mise en relation du traitement TACHOSCAN avec le traitement automatisé d'informations nominatives relatif à la gestion régionalisée des entreprises de transport routier et des contrôles ( GRECO ). Le traitement GRECO sera prochainement remplacé par l'outil du registre et du contrôle des entreprises du transport routier ( ORCET ).
La CNIL relève que le projet d'arrêté devra alors être modifié et mis à jour afin de mentionner ce nouveau traitement.
Si l'AIPD indique que les données stockées ont vocation à être anonymisées, elle ne comporte pas d'analyse permettant de montrer que l'anonymisation est bien effective. La CNIL invite le ministère à mener une telle analyse, en s'inspirant pour ce faire de l'avis du groupe de l'article 29 n° 05/2014.
F. - Sur la sécurité
La CNIL relève que les terminaux mobiles utilisés par les agents lors des contrôles peuvent dans certains cas être partagés entre différents agents.
Elle prend acte de ce que chaque agent a, dans ce cas, une session dédiée avec une authentification individuelle, empêchant la lecture des documents d'un agent par d'autres agents utilisant le même poste.
De plus, la CNIL considère que la nature des données exige que celles-ci fassent l'objet de mesures de chiffrement conformes à l'annexe B1 du référentiel général de sécurité notamment en ce qui concerne les sauvegardes.
Les autres dispositions du projet d'arrêté n'appellent pas d'observations de la part de la CNIL.
La présidente,
M.-L. Denis
Délibération n° 2026-026 du 19 mars 2026 portant avis sur un projet de traitement à des fins de recherche scientifique relatif à la mise en oeuvre d’une analyse discursive et interactionnelle en intervention précoce en psychiatrie
L'Université de Montpellier Paul-Valéry a sollicité un avis de la CNIL sur un projet de recherche en psychiatrie impliquant le traitement de données sensibles. La Commission a émis un avis favorable, assorti de recommandations pour atténuer les risques de réidentification, notamment par la pseudonymisation et la suppression des données non pertinentes après analyse. Elle rappelle également l'obligation d'informer les personnes concernées et de vérifier l'application de la dérogation prévue pour la recherche scientifique.
19/03/2026
Délibération n° HABS-2026-001 du 19 mars 2026 habilitant des agents de la Commission nationale de l’informatique et des libertés à établir un rapport en application du cinquième alinéa de l'article 22-1 de la loi n° 78-17 du 6 janvier 1978 modifiée
La CNIL, en tant qu'organisme concerné, a adopté une délibération interne portant habilitation. Cette décision vise à habiliter vingt-cinq agents spécifiques de sa direction des contrôles et des sanctions à établir des rapports dans le cadre de ses pouvoirs de contrôle. Les habilitations sont accordées pour une durée de cinq ans et remplacent une précédente délibération. Aucune sanction n'est mentionnée, cette délibération étant un acte d'organisation interne de l'autorité.
19/03/2026
Délibération n° 2026-023 du 12 mars 2026 portant avis sur un projet de loi renforçant la sécurité du quotidien
La CNIL émet un avis sur un projet de loi du ministère de l'Intérieur visant à renforcer la sécurité du quotidien. Elle relève plusieurs manquements ou risques concernant l'élargissement de l'usage des caméras individuelles à des acteurs privés, l'expérimentation prolongée de traitements algorithmiques sur vidéosurveillance et drones, et la généralisation des dispositifs LAPI avec des durées de conservation allongées. La Commission souligne la nécessité de strictes limites, d'un meilleur encadrement et du respect du principe de proportionnalité pour ces dispositifs intrusifs, afin de protéger les libertés individuelles.
12/03/2026
Délibération n° 2026-019 du 05 mars 2026 portant avis sur un projet de traitement à des fins de recherche scientifique dont l’objectif est d’étudier l’état du droit de la filiation procréative des personnes transgenres (PROTRANS)
L'Université Lumière Lyon 2 a sollicité un avis de la CNIL pour un projet de recherche scientifique sur la filiation procréative des personnes transgenres, impliquant le traitement de données sensibles. La CNIL émet un avis favorable mais formule des recommandations, notamment sur la nécessité de clarifier la répartition des responsabilités entre les universités co-responsables du traitement. Elle souligne également les risques de collecte incidente de données lors des entretiens et de réidentification des personnes, en raison du faible nombre de participants et de la collecte d'informations telles que la commune de naissance dans les décisions de justice.
05/03/2026