DélibérationEn vigueur

Délibération 2025-092 du 25 septembre 2025

Délibération n° 2025-092 du 25 septembre 2025 portant avis sur un projet de décret relatif aux données et informations de circulation et de sécurité routières visées à l’article L. 1513-2 du code des transports pour l’application des règlements (UE) 2022/670, (UE) 886/2013 et (UE) 885/2013 et aux articles D. 1514-1, D 1514-2 et D 1514-3 du code des transports

Numéro	2025-092
Date	jeudi 25 septembre 2025
Nature	Délibération
Type d'acte	Avis
État	En vigueur
Référence	CNILTEXT000053722020

Résumé IA

La CNIL émet un avis sur un projet de décret du Ministère de l'aménagement du territoire et de la décentralisation concernant la mise à disposition de données de trafic routier. Elle constate que le projet prévoit des niveaux de garantie différents pour deux finalités distinctes (services d'information routière et missions de service public). La Commission recommande d'harmoniser ces garanties, notamment en imposant une anonymisation systématique en amont, de clarifier les responsabilités des acteurs et d'assurer la conformité avec la directive sur la vie privée et les communications électroniques.

Texte intégral

N° de demande d’avis : 25008238	Thématiques : Systèmes de transport intelligents, STI, données embarquées, données de circulation, anonymisation, point d’accès national
Organisme(s) à l’origine de la saisine : Ministère de l’aménagement du territoire et de la décentralisation	Fondement de la saisine : Article L.1513-2 du code des transports

L’essentiel :

Le projet de décret précise les modalités de mise à disposition de données de trafic routier, en vue de deux finalités distinctes :

à des fins de mise à disposition de services d'information en temps réel sur la circulation routière et la sécurité routière (art. L. 1513-1 et suivants du code des transports) ;
à des fins de prévention et de gestion des accidents de circulation, d’amélioration des conditions de sécurité de trafic, et d’autres missions de service public (articles L. 1514-1 et suivants du même code).

La CNIL estime nécessaire que les mêmes garanties, s’agissant notamment de l’anonymisation en amont de la mise à disposition, soient prévues pour les deux finalités. Elle demande donc que le projet de décret soit modifié sur ce point.

Elle recommande par ailleurs que les responsabilités des différents acteurs soient clarifiées à l’égard des traitements de données à caractère personnel réalisés en amont de la mise à disposition.

Enfin, elle attire l’attention du ministère sur la mise en conformité des collectes des données qui seront réalisées au regard de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 (directive vie privée et communications électroniques).

___________________

La Commission nationale de l'informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;

Vu le code des transports, notamment son article L. 1513-2 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ("loi informatique et libertés") ;

Après avoir entendu le rapport de M. Didier Kling, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,

Adopte la délibération suivante :

I. La saisine

A. Le contexte

a. Les textes encadrant les systèmes intelligents de transport

L’expression "systèmes de transport intelligents" ("STI") a été utilisée par la directive européenne 2010/40 ("directive ITS") pour désigner les systèmes d’information utilisés dans le domaine du transport routier afin de communiquer, en temps réel, à l’ensemble des utilisateurs des infrastructures routières certaines informations relatives à :

l’état de ces infrastructures (par exemple, les dégradations des conditions de circulation dues à des conditions climatiques, fermeture des voies, etc.),
l’état de circulation (tronçons de ralentissements…),
l’offre du transport public (par exemple, l’état de circulation d’une ligne de bus),
l’état de l’offre de parking sur les aires de repos des autoroutes,
ou encore l’accessibilité des stations d’essence ou de recharge pour les véhicules électriques.

A cette fin, chaque Etat membre doit mettre en place un opérateur appelé "point d’accès national" ("PAN" ; en France, il s’agit du portail "www.bison-fute.gouv.fr") ayant notamment pour fonction de centraliser, agréger et rendre disponibles les données correspondantes à l’ensemble des acteurs concernés. Une obligation a ainsi été faite à ces acteurs d’agréger en temps réel certaines données qu’ils détiennent, et de mettre l’agrégat à disposition via le PAN.

La directive 2010/40 a fait l’objet de plusieurs aménagements et précisions au niveau européen, et a été mise à jour par la directive (UE) 2023/2661 "concernant le cadre pour le déploiement de STI dans le domaine du transport routier et d’interfaces avec d’autres modes de transport". La date limite de transposition de cette nouvelle directive a été fixée au 21 décembre 2025.

En France, cette transposition résulte de la loi n° 2025-391 du 30 avril 2025 "portant diverses dispositions d'adaptation au droit de l'Union européenne en matière économique, financière, environnementale, énergétique, de transport, de santé et de circulation des personnes" ("loi DDADUE 2025").

Ce texte a introduit dans le code des transports ("CT") un article L. 1513-2, lequel :

contient une liste des "détenteurs et utilisateurs des données" soumis à l’obligation de mise à disposition d’une partie de données qu’ils possèdent, via le PAN, et
prévoit que les modalités d'application de cet article, et en particulier la liste des catégories de données devant être mises à disposition via la PAN, devront être définies par voie d’actes réglementaires pris après avis de la CNIL et de l'Autorité de régulation des transports (ART).

b. Les deux séries d’obligations

Les obligations découlant des articles L. 1513-1 à L. 1513-3 du CT (section relative aux "systèmes de transport intelligents"), s’ajoutent à des obligations découlant des articles L. 1514-1 à L. 1514-9 du CT préexistants (section relative aux "données du véhicule").

Ces deux séries de dispositions portent, en partie, sur des données identiques mais sont indépendantes les unes des autres, visent des objectifs différents et ne s’adressent pas aux mêmes acteurs.

Les articles L. 1513-1 à L. 1513-3 du CT ont pour finalité l’information du public en temps réel sur la circulation routière et la sécurité routière.

A cette fin, ils créent une obligation, pour de nombreux acteurs (gestionnaires du domaine public routier, autorités investies des pouvoirs de police de la circulation, exploitants des systèmes de péage, distributeurs de carburants, exploitants d’aires de stationnement, fournisseurs de services d’assistance numérique aux déplacements, détenteurs des données embarquées, etc.) de mettre une partie de leurs données (telles que celles relatives au taux d’occupation des parkings sur les aires de repos, aux travaux routiers, aux accidents de circulation, à la présence des personnes sur les voies, etc.), "à disposition" des autres acteurs impliqués.

Les articles L. 1514-1 et suivants du CT concernent les "données du véhicule". Ils visent des finalités essentiellement de sécurité routière, de gestion du trafic et d’aménagement du territoire.
- Les obligations ne concernent que les "constructeurs de véhicules et leurs mandataires" et n’obligent ces derniers à partager leurs données qu’avec certaines autorités et organismes publics.

Dans ces conditions, le ministère a sollicité l’avis de la CNIL sur cinq projets d’actes réglementaires (deux décrets et trois arrêtés) dont une partie ne concerne que la transposition de la directive précitée, et une autre partie concerne les deux régimes (celui résultant des articles L. 1513-1 et suivants du code des transports, et celui résultant des articles L. 1514-1 et suivants) à la fois.

B. L’objet de la saisine

Le projet de décret soumis pour avis contient des dispositions d’application pour les obligations tirées à la fois des articles L. 1513-1 à L. 1513-3 du CT et de celles tirées des articles L. 1514-1 et suivants du même code.

A ce titre, il contient notamment une liste des catégories de données susceptibles d’être mises à disposition via le PAN dans chacun de ces deux cadres, ainsi que des précisions concernant les principales modalités de ces mises à disposition.

II. L’avis de la CNIL

A. Les observations préalables

a. Sur le rôle des différents organismes concernés par l’obligation de mise à disposition des données

Le projet ne donne pas d’indications sur le statut des organismes concernés par l’obligation de mise à disposition des données à l’égard des traitements mis en place, que ce soit lors de la primo-collecte des données ou lors de leur mise à disposition via le PAN.

La détermination de leur statut étant nécessaire pour clarifier leurs obligations en matière de protection des données, la CNIL appelle le ministère à compléter le projet de décret en ce sens afin d’assurer la sécurité juridique de l’ensemble des acteurs concernés.

b. Sur l’accès à distance aux données embarquées des véhicules

L’article 1^er de la directive 2008/63/CE du 20 juin 2008 dite "vie privée et communications électroniques", non visée par le projet de décret, contient des dispositions régissant les données produites par un "équipement terminal", à savoir "tout équipement qui est connecté directement ou indirectement à l’interface d'un réseau public de télécommunications pour transmettre, traiter ou recevoir des informations".

De son côté, le projet de décret soumis à l’avis de la CNIL contient, entre autres, des dispositions relatives à la mise à disposition, via le PAN, de "données embarquées", définies par l’article 2.29 du règlement délégué (UE) n° 2022/670 comme "toute donnée créée par le véhicule, un dispositif embarqué intégré dans le véhicule ou des dispositifs personnels offrant des applications informatiques pendant l’utilisation du véhicule".

Or, comme la CNIL l’a rappelé dans sa délibération (CNIL, SP, 30 mars 2021, délibération portant avis sur un projet d’ordonnance issu de l’article 32 de la loi d’orientation des mobilités relatif à l’accès aux données des véhicules n° 2021-036) les dispositions de l’article 82 de la loi "informatique et libertés" subordonnent en principe tout accès aux informations stockées dans un équipement terminal d’un utilisateur, au consentement explicite et préalable de l’utilisateur de ce dernier. Cette obligation est par ailleurs indépendante de la qualification de données à caractère personnel, dans l’équipement terminal de l’utilisateur, et couvrirait ainsi même les données anonymisées à la source.

En l’état, le projet de décret ne précise pas de quelle manière les constructeurs de véhicules, leurs mandataires ou les fournisseurs des applications d’assistance à la conduite pourraient accéder aux données dont elles ont l’obligation d’assurer la mise à disposition.

La CNIL attire l’attention du ministère sur le fait que, dans l’hypothèse où de tels accès s’opèreraient à distance par le biais d’un réseau de télécommunications, l’article 82 de la loi "informatique et libertés" modifiée est susceptible de s’appliquer.

Dans un tel cas, le consentement des utilisateurs – entendus comme les utilisateurs du véhicule – devra être recueilli préalablement à tout accès ou transmission, sauf si ces opérations entrent dans le cadre de l’une des exceptions prévues par ce texte.

c. Sur les techniques d’anonymisation des données

c.1) Sur l’anonymisation des données relatives à la fourniture de services d'information en temps réel sur la circulation routière et la sécurité routière

Le projet de l’article D. 1513-9 indique que le traitement de données sur le fondement de l’article L. 1513-2 du code des transports doit assurer leur sécurité, cette exigence étant définie dans le projet d’article comme comprenant notamment l’objectif d’anonymisation des données et informations transmises.

Cette formulation diffère de celle figurant actuellement aux articles L. 1514-1 et suivants du code des transports, lesquels prévoient que "[les données transmises par les différentes parties prenantes au PAN] sont anonymisées par un procédé garantissant la suppression irréversible du lien entre lesdites données et le numéro de série ou tout identifiant du véhicule, de son conducteur, propriétaire ou locataire".

Au regard de l’importance de l’enjeu d’anonymisation, la CNIL estime nécessaire que le le projet d’article D. 1513-9 du code des transports soit complété de manière à mentionner explicitement l’obligation, pour l’ensemble des acteurs visés à l’article L. 1513-2 de ce code, d’anonymiser à la source les données qu’ils mettent à disposition via le PAN, dans les conditions prévues par les articles L. 1514-1 et suivants du même code. Elle prend acte de l’engagement du ministère de modifier le projet en ce sens.

c.2) Sur l’anonymisation des données du véhicule transmises sur le fondement des articles L. 1514-1 et suivants du CT

Comme évoqué précédemment, les articles L. 1514-1 et suivants du code des transports prévoient d’ores et déjà que les entités fournissant les données doivent opérer une anonymisation de ces données en amont de leur mise à disposition via le PAN.

A cet égard, la CNIL relève que plusieurs règlements UE complétant la directive ITS, tel que par exemple le règlement délégué 886/2013, prévoient actuellement l’utilisation d’un standard de transmission de données spécifique appelé DATEX II.

La documentation présentant ce standard évoque les scénarios de collecte et de transmission d’informations parmi lesquelles figurent le modèle du véhicule, sa couleur, son numéro de plaque d’immatriculation et son numéro de série.

Interrogé sur la question de la compatibilité de tels contenus avec l’obligation d’anonymisation des données à la source, le ministère a indiqué que le projet de décret pourrait être modifié de manière à préciser, à l’article D. 1514-5, que : "Les données mentionnées aux articles L. 1514-1, L. 1514-2 et L. 1514-3 du code des transports et précisées aux articles D. 1514-1, D. 1514-2 et D. 1514-3 du même code sont transmises selon un format précisé par arrêté du ministre en charge des transports. Quel que soit le format retenu par le constructeur du véhicule terrestre à moteur ou son mandataire, les champs relatifs à l'identification, la pseudonymisation ou toute autre information permettant d’établir un lien entre les données et le numéro de série ou tout identifiant du véhicule, de son conducteur, propriétaire ou locataire seront systématiquement ignorés et laissés vides."

La CNIL accueille favorablement cet engagement du ministère.

c.3) Sur l’anonymisation des données transmises sur le fondement de l’article L. 1513-2 du CT

La CNIL relève que le projet d’article D. 1513-11 du CT prévoit que "Le PAN visé à l’article 5 du règlement délégué (UE) 885/2013, à l’article 7 du règlement délégué (UE) 886/2013 et à l’article 3 du règlement délégué (UE) 2022/670 référence les données auxquelles les détenteurs et utilisateurs de données mentionnés à l’article 1 du présent décret sont tenus de fournir l’accès en application des dispositions de ces règlements."

Or, l’article 7 du règlement délégué (UE) n° 886/2013, directement cité dans l’article projeté, dispose que "Les exploitants d’infrastructures routières et/ou les prestataires de services, publics et/ou privés [assujettis à l’obligation de mise à disposition de données] rendent ces données disponibles au format DATEX II (CEN/TS 16157) ou dans un format lisible par machine totalement compatible et interopérable avec DATEX II, via un point d’accès."

La CNIL, constatant que le format DATEX II permet de transférer des informations non anonymisées, prend acte de l’engagement du ministère de modifier le projet d’article D. 1513-11 de manière à prévoir qu’aucune donnée identifiant directement le véhicule, ses passagers, ou des personnes présentes sur les voies ne pourra être transmise au PAN par les acteurs concernés.

c.4) Sur les modalités d’anonymisation

Par ailleurs et de manière générale conformément à l’article 25 du RGPD, la CNIL recommande, lorsque cela est techniquement possible, que l’anonymisation des données soit réalisée à l’intérieur du véhicule.

Elle préconise que les textes règlementaires imposent aux constructeurs d’intégrer des mécanismes d’anonymisation lors de la conception des systèmes intégrés ou de tout dispositif visant à produire des données au sein des véhicules.

Afin d’assurer une anonymisation effective, les procédés d’anonymisation mis en œuvre doivent respecter les trois critères définis dans l’avis du groupe de l’article 29 n° 05/2014 sur les techniques d’anonymisation (individualisation, corrélation et inférence). Si ces trois critères ne peuvent être réunis, une étude des risques de réidentification doit être menée afin de démontrer que les risques liés à la production et à la mise à disposition du jeu de données anonymes n’ont pas d’impact sur la vie privée et les libertés des personnes concernées.

A cet égard, une vigilance particulière doit être assurée s’agissant de certaines données, (par exemple, les données de géolocalisation horodatées, ou encore les données produites par les capteurs de type caméras), dont l’anonymisation pourrait s’avérer plus complexe et qui seraient, en cas d’échec, source de risques pour la vie privée des personnes concernées. La CNIL rappelle que la seule suppression du numéro de série ou de tout autre identifiant ne saurait garantir le caractère anonyme des données concernées et rappelle qu’à défaut d’anonymisation "complète", le RGPD est pleinement applicable.

B. Sur le rôle des différents organismes concernés par l’obligation de mise à disposition des données

Le projet de l’article D. 1513-5 du code des transports mentionne à plusieurs reprises les expressions suivantes :

"les prestataires de services d’information en temps réel sur la circulation routière et la sécurité routière visés au 6° [de l’article L. 1513-2 du CT]" et
"les fournisseurs de services numériques d’assistance aux déplacements visés au 7° du même article".

Interrogé sur les critères permettant de qualifier un acteur donné au regard de l’une ou l’autre de ces catégories, le ministère a précisé que :

le terme "fournisseurs de services numériques d’assistance au déplacement" renvoie en particulier aux applications qui fournissent à la fois un service d’information pour les déplacements routiers et pour les déplacements multimodaux ;
le terme "prestataires de services d’information en temps réel sur la circulation routière et la sécurité routière visés au 6° [de l’article L. 1513-2 du CT]" comprend l’ensemble des applications qui fournissent des services d’information pour les déplacements routiers (peu important si des services d’information sur les déplacement sont également fournis, ou pas).

Par ailleurs, le ministère a précisé que pour les besoins d’application de l’article L. 1513-2 du code des transports, seuls sont pris en compte les applicatifs en ligne permettant de calculer un trajet entre deux points, avec le suivi de géolocalisation en temps réel de l’utilisateur (ce qui exclut les dispositifs qui fournissent aux utilisateurs des informations sans nécessiter pour cela la collecte des données horodatées de géolocalisation).

Or, la CNIL relève que si certaines obligations résultant du projet d’article D. 1513-5 sont communes à ces deux catégories d’acteurs, certaines n’en concernent qu’une seule. Tel est le cas des deux derniers alinéas de cet article, qui prévoient que les obligations de fourniture des données concernent "les prestataires de services d’information en temps réel", sans pour autant viser les "fournisseurs de services numériques d’assistance aux déplacements".

La CNIL observe qu’en l’état, ces deux notions ne semblent pas être clairement définies, ce qui crée un risque juridique pour les acteurs concernés.

Dans ces conditions, elle prend acte de l’engagement du ministère de clarifier le projet de texte de manière à préciser que la notion de "fournisseurs de services numériques d’assistance au déplacement" est incluse dans celle des "prestataires de services d’information en temps réel sur les déplacements".

Les autres dispositions du projet de décret n’appellent pas d’observations de la part de la CNIL.

La présidente,

M.-L. Denis

Délibérations similaires

DélibérationAvis

Délibération n° 2026-026 du 19 mars 2026 portant avis sur un projet de traitement à des fins de recherche scientifique relatif à la mise en oeuvre d’une analyse discursive et interactionnelle en intervention précoce en psychiatrie

L'Université de Montpellier Paul-Valéry a sollicité un avis de la CNIL sur un projet de recherche en psychiatrie impliquant le traitement de données sensibles. La Commission a émis un avis favorable, assorti de recommandations pour atténuer les risques de réidentification, notamment par la pseudonymisation et la suppression des données non pertinentes après analyse. Elle rappelle également l'obligation d'informer les personnes concernées et de vérifier l'application de la dérogation prévue pour la recherche scientifique.

19/03/2026

DélibérationDisposition interne CNIL

Délibération n° HABS-2026-001 du 19 mars 2026 habilitant des agents de la Commission nationale de l’informatique et des libertés à établir un rapport en application du cinquième alinéa de l'article 22-1 de la loi n° 78-17 du 6 janvier 1978 modifiée

La CNIL, en tant qu'organisme concerné, a adopté une délibération interne portant habilitation. Cette décision vise à habiliter vingt-cinq agents spécifiques de sa direction des contrôles et des sanctions à établir des rapports dans le cadre de ses pouvoirs de contrôle. Les habilitations sont accordées pour une durée de cinq ans et remplacent une précédente délibération. Aucune sanction n'est mentionnée, cette délibération étant un acte d'organisation interne de l'autorité.

19/03/2026

DélibérationAvis

Délibération n° 2026-023 du 12 mars 2026 portant avis sur un projet de loi renforçant la sécurité du quotidien

La CNIL émet un avis sur un projet de loi du ministère de l'Intérieur visant à renforcer la sécurité du quotidien. Elle relève plusieurs manquements ou risques concernant l'élargissement de l'usage des caméras individuelles à des acteurs privés, l'expérimentation prolongée de traitements algorithmiques sur vidéosurveillance et drones, et la généralisation des dispositifs LAPI avec des durées de conservation allongées. La Commission souligne la nécessité de strictes limites, d'un meilleur encadrement et du respect du principe de proportionnalité pour ces dispositifs intrusifs, afin de protéger les libertés individuelles.

12/03/2026

DélibérationAvis

Délibération n° 2026-019 du 05 mars 2026 portant avis sur un projet de traitement à des fins de recherche scientifique dont l’objectif est d’étudier l’état du droit de la filiation procréative des personnes transgenres (PROTRANS)

L'Université Lumière Lyon 2 a sollicité un avis de la CNIL pour un projet de recherche scientifique sur la filiation procréative des personnes transgenres, impliquant le traitement de données sensibles. La CNIL émet un avis favorable mais formule des recommandations, notamment sur la nécessité de clarifier la répartition des responsabilités entre les universités co-responsables du traitement. Elle souligne également les risques de collecte incidente de données lors des entretiens et de réidentification des personnes, en raison du faible nombre de participants et de la collecte d'informations telles que la commune de naissance dans les décisions de justice.

05/03/2026

← Retour aux délibérations Voir sur Légifrance →

Délibération 2025-092 du 25 septembre 2025

N° de demande d’avis : 25008238	Thématiques : Systèmes de transport intelligents, STI, données embarquées, données de circulation, anonymisation, point d’accès national
Organisme(s) à l’origine de la saisine : Ministère de l’aménagement du territoire et de la décentralisation	Fondement de la saisine : Article L.1513-2 du code des transports

L’essentiel :

Le projet de décret précise les modalités de mise à disposition de données de trafic routier, en vue de deux finalités distinctes :

à des fins de mise à disposition de services d'information en temps réel sur la circulation routière et la sécurité routière (art. L. 1513-1 et suivants du code des transports) ;
à des fins de prévention et de gestion des accidents de circulation, d’amélioration des conditions de sécurité de trafic, et d’autres missions de service public (articles L. 1514-1 et suivants du même code).

___________________

La Commission nationale de l'informatique et des libertés,

Vu le code des transports, notamment son article L. 1513-2 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ("loi informatique et libertés") ;

Après avoir entendu le rapport de M. Didier Kling, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,

Adopte la délibération suivante :

I. La saisine

A. Le contexte

a. Les textes encadrant les systèmes intelligents de transport

l’état de ces infrastructures (par exemple, les dégradations des conditions de circulation dues à des conditions climatiques, fermeture des voies, etc.),
l’état de circulation (tronçons de ralentissements…),
l’offre du transport public (par exemple, l’état de circulation d’une ligne de bus),
l’état de l’offre de parking sur les aires de repos des autoroutes,
ou encore l’accessibilité des stations d’essence ou de recharge pour les véhicules électriques.

Ce texte a introduit dans le code des transports ("CT") un article L. 1513-2, lequel :

contient une liste des "détenteurs et utilisateurs des données" soumis à l’obligation de mise à disposition d’une partie de données qu’ils possèdent, via le PAN, et
prévoit que les modalités d'application de cet article, et en particulier la liste des catégories de données devant être mises à disposition via la PAN, devront être définies par voie d’actes réglementaires pris après avis de la CNIL et de l'Autorité de régulation des transports (ART).

b. Les deux séries d’obligations

Les articles L. 1513-1 à L. 1513-3 du CT ont pour finalité l’information du public en temps réel sur la circulation routière et la sécurité routière.

Les articles L. 1514-1 et suivants du CT concernent les "données du véhicule". Ils visent des finalités essentiellement de sécurité routière, de gestion du trafic et d’aménagement du territoire.
- Les obligations ne concernent que les "constructeurs de véhicules et leurs mandataires" et n’obligent ces derniers à partager leurs données qu’avec certaines autorités et organismes publics.

B. L’objet de la saisine

II. L’avis de la CNIL

A. Les observations préalables

a. Sur le rôle des différents organismes concernés par l’obligation de mise à disposition des données

b. Sur l’accès à distance aux données embarquées des véhicules

c. Sur les techniques d’anonymisation des données

c.1) Sur l’anonymisation des données relatives à la fourniture de services d'information en temps réel sur la circulation routière et la sécurité routière

c.2) Sur l’anonymisation des données du véhicule transmises sur le fondement des articles L. 1514-1 et suivants du CT

La CNIL accueille favorablement cet engagement du ministère.

c.3) Sur l’anonymisation des données transmises sur le fondement de l’article L. 1513-2 du CT

c.4) Sur les modalités d’anonymisation

B. Sur le rôle des différents organismes concernés par l’obligation de mise à disposition des données

Le projet de l’article D. 1513-5 du code des transports mentionne à plusieurs reprises les expressions suivantes :

"les prestataires de services d’information en temps réel sur la circulation routière et la sécurité routière visés au 6° [de l’article L. 1513-2 du CT]" et
"les fournisseurs de services numériques d’assistance aux déplacements visés au 7° du même article".

Interrogé sur les critères permettant de qualifier un acteur donné au regard de l’une ou l’autre de ces catégories, le ministère a précisé que :

le terme "fournisseurs de services numériques d’assistance au déplacement" renvoie en particulier aux applications qui fournissent à la fois un service d’information pour les déplacements routiers et pour les déplacements multimodaux ;
le terme "prestataires de services d’information en temps réel sur la circulation routière et la sécurité routière visés au 6° [de l’article L. 1513-2 du CT]" comprend l’ensemble des applications qui fournissent des services d’information pour les déplacements routiers (peu important si des services d’information sur les déplacement sont également fournis, ou pas).

La CNIL observe qu’en l’état, ces deux notions ne semblent pas être clairement définies, ce qui crée un risque juridique pour les acteurs concernés.

Les autres dispositions du projet de décret n’appellent pas d’observations de la part de la CNIL.

La présidente,

M.-L. Denis