Chercher

Recherche avancée

Stationnement dépénalisé et respect de la vie privée: nouvelle autorisation nécessaire

Depuis plusieurs années, le stationnement payant, le stationnement à durée limitée (zones bleues) et le stationnement sur des emplacements réservés aux détenteurs de carte communale de stationnement ont été dépénalisés.

La gestion de ces stationnements, et donc l’encaissement des taxes et redevances auxquelles ils donnent lieu, est effectuée soit "en interne" par la police locale, l’administration communale ou une régie communale ordinaire, soit "en externe" par un concessionnaire privé ou une régie communale autonome.

L’adéquation de l’accès au répertoire de la DIV, en vue d’identifier les contrevenants éventuels, avec la loi relative à la protection de la vie privée[1] (LVP) a longtemps été sujet à des controverses, principalement en ce qui concerne les concessionnaires privés et les régies communales autonomes[2]. Ces controverses ont été suivies de près par l’Union des Villes et des Communes de Wallonie, soucieuse de l’établissement d’un cadre cohérent en la matière.

En vue de mettre un terme à cette incertitude juridique, la loi du 22 février 1965 permettant aux communes d’établir des redevances de stationnement applicables aux véhicules à moteur a été modifiée en janvier 2009. Dorénavant, elle permet explicitement aux communes, à leur concessionnaire ainsi qu’aux régies communales autonomes de demander l’identité du titulaire du numéro de la marque d’immatriculation à la DIV à condition de respecter la LVP, notamment son article 36 bis.

Cette disposition prévoit que "toute communication électronique de données personnelles par un service public fédéral ou par un organisme public avec personnalité juridique qui relève de l’Autorité fédérale, exige une autorisation de principe du Comité sectoriel (pour l’Autorité fédérale)", institué au sein de la Commission de la protection de la vie privée.

1. Qui doit bénéficier d’une autorisation ?

L’autorisation bénéficie au responsable de traitement. Celui-ci est défini à l’article 1er, par. 4 de la LVP, comme "la personne physique ou morale, l’association de fait ou l’administration publique qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel".

Selon les travaux préparatoires, "l'important est que le responsable du traitement soit la personne, l'instance administrative, la société, l'association, etc., qui dispose du pouvoir de décision sur le traitement effectué"[3]. En pratique, l’on regardera la personne réellement compétente pour gérer le stationnement, en particulier celle chargée de la réclamation des redevances.

Ainsi, selon le comité, si le concessionnaire privé ou la régie communale autonome est chargée effectivement de l’encaissement de la redevance, elle sera la responsable du traitement, et partant la bénéficiaire de l’autorisation. A l’inverse, il s’agira de la commune.

Soulignons que lorsque la commune, chargée de la gestion du stationnement, a recours à un tiers, ce dernier agira comme sous-traitant. Si ce sous-traitant a accès aux données personnelles de la DIV, la LVP devra également être respectée, notamment son article 16 qui impose une série d’obligations à la commune tant dans le choix du sous-traitant que dans le contenu du contrat passé avec celui-ci.

2. Quelle procédure pour bénéficier de cette autorisation ?

Sur base d’une demande formulée officiellement par le SPF Mobilité et Transports, le Comité sectoriel a délivré une autorisation unique applicable tant aux villes et communes qu’aux concessionnaires privés et aux régies communales autonomes[4].

Pour bénéficier individuellement de cette autorisation générale, ceux-ci doivent envoyer une déclaration d’engagement de conformité[5] dans laquelle ils s’engagent à respecter les conditions fixées par le Comité sectoriel dans sa délibération d’autorisation unique. En outre, les utilisateurs de données doivent également remplir un formulaire pour l’évaluation de leurs mesures de sécurité. Ce formulaire est disponible sur le site internet de la Commission[6].

Notons que lorsque le bénéficiaire de l’autorisation est un concessionnaire privé ou une régie communale autonome, celui-ci doit également envoyer la preuve qu’il bénéficie du droit de percevoir des rétributions (contrat de concessions, statut de la régie,…).

Le Comité sectoriel analyse les documents remis par les destinataires de données. Si l’engagement de conformité et les mesures de sécurité sont concluants, le comité notifie individuellement au responsable de traitement qu’il bénéficie bien de l’autorisation.

Enfin, la commune, le concessionnaire privé ou la régie communale autonome pourront conclure une convention avec la DIV visant à la communication de l’identité des titulaires de plaques d’immatriculation.

3. Que couvre la déclaration d’engagement de conformité ?

Par sa déclaration d’engagement de conformité qu’il remet au Comité sectoriel, le responsable de traitement déclare respecter les différents principes abordés dans la délibération du comité: finalité de la consultation, principe de proportionnalité, caractère sensible des données, etc.

Passons ces principes en revue.

3.1. Finalité de la consultation du répertoire de la DIV

Selon l’article 4 de la LVP, "les données à caractère personnel doivent être traitées loyalement et licitement, collectées pour des finalités déterminées, explicites et légitimes".

Ces finalités sont prévues dans l’arrêté royal du 20 juillet 2001 relatif à l’immatriculation des véhicules, lequel vise notamment "l'identification de la personne physique ou morale par laquelle sont dues les taxes ou les redevances liées à l'acquisition, l'immatriculation, la mise en circulation, l'utilisation ou la mise hors circulation d'un véhicule"[7] ainsi que dans la loi du 22 février 1965. Le Conseil d’état a effectivement été d’avis "que l’arrêté royal du 20 juillet 2001 en lui-même ne constitue pas une base légale suffisante pour donner accès au répertoire matricule de la DIV dans le but de recouvrir la redevance de stationnement sur la voie publique"[8].

Cette loi ne permet la consultation du répertoire de la DIV par les concessionnaires privés et les RCA que pour le stationnement sur la voie publique, en ce compris les parkings publics. Les personnes privées ne sont donc pas habilitées à accéder au répertoire de la DIV dans le cadre de leur constatation sur dans des parkings privés.

A ce sujet, le comité estime qu’une société privée qui gère à la fois des parkings publics et privés devra être à même de justifier le fait que les demandes de données à la DIV concernent bel et bien la gestion d’un parking public.

3.2 Principe de proportionnalité

Selon ce même article 4, les données doivent être "adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont obtenues et pour lesquelles elles sont traitées ultérieurement".

Ce principe implique de choisir le moyen adéquat, nécessaire et le moins attentatoire à la vie privée pour atteindre l’objectif visé. Ainsi, il ne faut obtenir de la DIV que les informations indispensables au recouvrement de la redevance, à savoir les nom, prénom et adresse du titulaire du certificat d’immatriculation.

Sur la base de ce principe de proportionnalité, le comité estime également que "lorsqu’il est possible d’éviter de se mettre dans une situation nécessitant l’identification personnelle des utilisateurs n’ayant pas payé leurs redevances de parking, notamment en équipant de barrières ou d’autres systèmes qui empêchent les véhicules de quitter le parking sans paiement, il convient d’opter pour ces options".

Si nous mesurons totalement l’importance de protéger la vie privée des usagers, nous regrettons cependant l’interprétation excessive du principe de proportionnalité qu’en fait la commission. En effet, le recours au répertoire de la DIV n’a lieu que lorsque l’usager, conscient qu’il entre dans une zone de stationnement réglementée, décide de ne pas s’y conformer et accepte par conséquent que son identité soit contrôlée en vue de la perception de la redevance ou de la taxe. En stationnant son véhicule à cet endroit règlementé, il s’engage volontairement à payer la taxe ou la redevance due à la suite d’un éventuel contrôle. Nous espérons donc qu’une interprétation souple de ce principe de proportionnalité prévaudra.

3.3 Caractère sensible des données

Selon le comité, l’article 8 de la LVP, portant sur les données considérées comme judiciaires, doit être respecté vu que celles-ci "sont collectées ou traitées en vue d’être utilisées dans le cadre de recours en justice ou si elles peuvent mener à des sanctions administratives".  

L’on rappellera cependant, à l’inverse de ce qu’énonce le comité, que le stationnement dépénalisé, relevant de la police spéciale, ne peut donner lieu à aucune sanction administrative. En effet,  comme toute mesure permanente ou périodique, la mise en place de zones de stationnement, par le biais d’un règlement complémentaire de circulation routière, est expressément exclues de la compétence de la police administrative générale des communes par l’article 10 des lois coordonnées de 1968 et de l’article 135, par. 2, al. 2, 1°, de la nouvelle loi communale. Par conséquent, le stationnement dépénalisé ne peut donner lieu qu’à une taxe ou une redevance dont le non-paiement peut éventuellement conduire à une action en justice.

Cet article 8 impose aux responsables du traitement ou, le cas échéant, à leur sous-traitant de désigner les catégories de personnes ayant accès aux données à caractère personnel, avec une description précise de leurs fonctions par rapport au traitement de ces données. La liste des catégories des personnes désignéesdoit être tenue à la disposition de la commission.

Les responsables de traitement doivent en outre veiller à ce que légalement, statutairement ou contractuellement, ces personnes désignées soient tenues au respect du caractère confidentiel des données[9].

3.4 Fréquence des communications et durée de l’autorisation

La fréquence des communications de données, dépendant de la nécessité d’identifier ceux qui sont en défaut de paiement, est indéterminée. L’autorisation du comité aux communes, régies communales autonomes et concessionnaires privées est à durée indéterminée.

Il est cependant essentiel que, par leur déclaration de conformité, ces bénéficiaires déclarent être effectivement chargés de l’encaissement les redevances. S’ils n’en sont plus en charge, par exemple lorsque le contrat de concession a pris fin, ils perdent ipso facto leur droit de demander les données à la DIV.

Le Comité estime par ailleurs que tout bénéficiaire de l’autorisation doit "accepter les possibilités de contrôle et inspection des services compétents (police, justice et Commission de la protection de la vie privée), se plier aux éventuelles recommandations ou aux éventuels retraits d’autorisation".

3.5 Durée de conservation des données 

Les données devant servir exclusivement à l’encaissement des redevances et taxes, celles-ci devront être supprimées dès qu’elles ne sont plus nécessaires. Selon le Comité, l’intérêt de ce principe est d’éviter que les responsables de traitement ne constituent "une base de données parallèle à celle de la DIV et qui serait utilisée pour les éventuels besoins futurs (si un client se retrouve à nouveau redevable d’une redevance)".

Pour le Comité, les bénéficiaires de l’autorisation "ne pourront en tout état de cause pas les conserver au-delà de la réception de la somme due". Nous ne partageons pas ce point de vue. En effet, les données obtenues auprès de la DIV restent nécessaires au-delà de l’encaissement proprement dit de la somme. Ce ne sera qu’à l’expiration de tout délai permettant à l’usager de remettre en cause cet encaissement, que ces données devraient à notre sens être supprimées, et ce tout particulièrement en ce qui concerne la perception de taxes pour lesquelles la commune bénéficie du privilège de l’exécution d’office.

3.6 Transparence du traitement des données

Selon l’article 9 de la LVP, la collecte directe ou indirecte de données implique le respect de règles de transparence. En l’espèce, deux sortes de collectes ont lieu: le relevé sur le terrain des numéros de plaque d’immatriculation et l’obtention des coordonnées auprès de la DIV. La première collecte est directe vu que les responsables de traitement obtiennent les données directement auprès des personnes concernées via leur véhicule. La seconde par contre constitue une collecte indirecte de données, celle-ci s’effectuant auprès de la DIV.

Le relevé des numéros de plaque d’immatriculation sur le terrain impose le respect des obligations d’informations prévues à l’article 9, par. 1er. Ainsi le responsable du traitement doit fournir à la personne concernée, au plus tard au moment où ces données sont obtenues, au moins son nom et son adresse, les finalités du traitement et l’existence d’un droit d’accès (art. 10) et de rectification (art. 12), et ce excepté lorsque la personne concernée en est déjà clairement informée.

Quant aux demandes de coordonnées auprès de la DIV, on leur applique les obligations stipulées à l’article 9, par. 2 de la loi. Cette disposition prévoit toutefois que le responsable de traitement est dispensé de délivrer ces informations "lorsque l'enregistrement ou la communication des données à caractère personnel est effectué en vue de l'application d'une disposition prévue par ou en vertu d'une loi, d'un décret ou d'une ordonnance". Le comité précise que cette dispense ne l’empêche cependant pas de s’assurer que des garanties appropriées à l’égard de la protection des droits fondamentaux des personnes concernées existent.

Pour le comité, il est dès lors nécessaire "que les personnes concernées soient clairement informées, en toutes hypothèses, du nom du responsable, de la finalité du traitement, de l’origine des données collectées, ainsi que l’existence d’un droit d’accès et de rectification des données les concernant". Cette information devra avoir lieu tant sur le site internet du responsable de traitement que sur les demandes de paiement adressées aux usagers.

3.7 Personnes chargées du traitement des données

Les données obtenues ne pourront être traitées en interne que par les personnes en ayant besoin dans l’exercice de leurs fonctions.

Ainsi, pour la commune, il s’agira exclusivement du receveur communal, en vertu de l’article L.1124-40 du Code de la démocratie locale et de la décentralisation.

Pour les concessionnaires privés ou les régies communales autonomes, le Comité estime qu’il "conviendra d’identifier les personnes en charge de l’encaissement des redevances (par ex. le comptable spécial de la régie) et de ne permettre l’accès aux données qu’à ces personnes (mesures techniques empêchant les autres travailleurs d’y avoir accès)".

En aucun cas, les données obtenues auprès de la DIV ne pourront être communiquées à un tiers, sauf lorsque cette communication est rendue nécessaire dans le cadre d’une éventuelle poursuite en justice.

3.8 Principe de sécurité

Le principe de sécurité implique la protection des données contre la destruction accidentelle ou non autorisée, la perte accidentelle ainsi que toute modification, accès ou traitement non autorisé.

Il appartient donc à chaque responsable de traitement de mettre en place des mesures techniques et/ou organisationnelles en vue de garantir la confidentialité de ces données, lesquels seront décrites dans le formulaire pour l’évaluation de leurs mesures de sécurité.

Le comité estime en outre que la communication actuelle des données de la DIV par courrier électronique ne rencontre pas ce principe de sécurité dès lors que l’identité du correspondant, destinataire de ces courriels, n’est pas suffisamment garantie. Il précise cependant que "si l’utilisation d’une plateforme électronique sécurisée pourrait être une solution plus adaptée à plus long terme, l’utilisation actuelle de l’e-mail pourrait être admise si toutefois elle était combinée à un système technique garantissant l’identité des parties ainsi que l’intégrité du contenu de l’information (par exemple, en utilisant un système de signature électronique)". A notre connaissance cependant, la méthode de communication des données de la DIV restera, à court terme, inchangée.

4. Conclusion

Dès leur dépénalisation, les principes de gestion du stationnement payant, en zones bleues ou sur les emplacements réservés au titulaire de carte communale de stationnement, ont vu certains de leurs fondements légaux remis en question. Tel était notamment le cas de l’accès au répertoire de la DIV et du respect de la vie privée, en particulier en ce qui concerne les concessionnaires privés. Dès le début de ces polémiques, l’Union des Villes et des Communes de Wallonie a veillé à la mise sur pied d’un cadre juridique clair, respectant notamment les libertés fondamentales.

Après la modification récente de la loi de 1965, le Comité sectoriel pour l’autorité fédérale a rendu une délibération posant les principes qui permettent de concilier l’obtention de ces données à caractère personnel et la loi relative à la protection de la vie privée. Par cette délibération, le comité atteste dès lors que l’accès au répertoire de la DIV est légalement conciliable avec le respect de la vie privée, à condition que certaines mesures soient prises pour garantir celle-ci.

Les communes, les concessionnaires privés et les régies communales autonomes sont donc appelés à se conformer au contenu de cette délibération et à fournir au comité un formulaire permettant l’évaluation de leurs mesures de sécurité. Le comité se prononcera individuellement sur l’adéquation de chaque politique de gestion du stationnement dépénalisé avec la réglementation en vigueur.
 
A la suite de ces décisions, il sera éventuellement possible de dégager les bonnes pratiques existantes en la matière. L’Union des Villes et Communes de Wallonie ne manquera pas de partager celles-ci avec ses membres.

----------

1. [Remonter] L. 8.12.1992 rel. à la protection de la vie privée à l’égard des traitements de données à caractère personnel.
2. [Remonter] V. notamment l’avis d’initiative de la Commission de la protection de la vie privée 37/2003 du 28.8.03 et la délibération de son Comité sectoriel pour l’Autorité fédérale AF 02/2007 du 7.2.2007 ; J.P. Ostende, 1er canton, 22.1.2008, inforum n°225726.
3. [Remonter] Proj. de L. transposant la Directive 95/46/CE du 24.10.1995 du Parlement européen et du Conseil rel. à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, Exposé des motifs, Doc. parl., Ch. Repr., sess. ord. 1997-98, n°49-1566/1, p. 15.
4. [Remonter] Délibération du Comité sectoriel pour l’Autorité fédérale n° 12/2009 du 1.10.2009 portant autorisation unique pour l’accès au répertoire de la DIV à des fins d’identification des personnes qui sont débitrices, du fait de l’utilisation d’un véhicule, d’une rétribution, taxe ou redevance de stationnement.
5. [Remonter] http://www.privacycommission.be/fr/static/pdf/fo-af/mod-leadh-sionafma09-012.pdf
6. [Remonter] http://www.privacycommission.be/fr/static/pdf/fo-af/formulaire-evaluation-af-250210.pdf
7. [Remonter] A.R. 20.7.2001 rel. à l’immatriculation des véhicules, art. 6, par. 2, 2°.
8. [Remonter] Projet de loi portant des dispositions diverses (I), Exposé des motifs, Doc. parl., Ch. repr., sess. ord. 2008-09, n°52-1608/1, p.16.
9. [Remonter] A.R. 13.2.2001 portant exécution de la L. 8.12.1992 rel. à la protection de la vie privée à l'égard des traitements de données à caractère personnel, art. 25.

Articles connexes

Stationnement dépénalisé - Décret du 27 octobre 2011
Ce nouveau décret, fortement réclamé par l'Union, ajoute trois articles au décret du 19 décembre 2007 relatif à la tutelle d’approbation de la Région wallonne sur les règlements complémentaires relatifs aux voies publiques et à la circulation des transports en commun. (Décembre 2011)
Stationnement dépénalisé : autorisation dorénavant nécessaire pour l’accès à la DIV
La DIV nous informe "qu’après le 1er janvier 2011, elle ne communiquera plus aucune donnée de son répertoire à des tiers en dehors des conventions de communication de données conclues avec l’autorisation explicite de la Commission de la Protection de la Vie privée". (Novembre 2010)
Stationnement dépénalisé : conséquences de l’arrêt de la Cour constitutionnelle
Le 27 mai dernier, la Cour constitutionnelle a rendu un arrêt en matière de stationnement dépénalisé (zones bleues, zones payantes et cartes riverains) dont la presse a largement fait écho, tirant parfois des conclusions hâtives de cette jurisprudence. (Mai 2010)
Stationnement dépénalisé: la Cour de Cassation se prononce sur le principe des concessions de service public
Par stationnement dépénalisé on entend le stationnement payant, le stationnement à durée limitée (communément appelé le stationnement en zones bleues) et le stationnement sur des emplacements réservés aux détenteurs de carte communale de stationnement. (Août 2009)