Réforme du stationnement payant : les recommandations de la CNIL

13 novembre 2017

La réforme du stationnement payant conduit les collectivités concernées à recourir à de nouveaux services impliquant la mise en œuvre de traitements de données personnelles. Ces services peuvent notamment impliquer la collecte du numéro de plaque d’immatriculation des véhicules en stationnement ou la mise en place de téléservices. Dans ce contexte, il appartient aux collectivités de s’assurer de la conformité de leur projet aux règles posées par la loi « Informatique et Libertés ».

La réforme du stationnement payant est l’occasion pour les collectivités de développer de nouveaux dispositifs de gestion et de suivi du stationnement. Ainsi, certaines optent pour un système de tickets électroniques, en lieu et place des tickets papier traditionnellement délivrés par les horodateurs. Certaines collectivités proposent aux conducteurs une application mobile, qui leur permet de gérer le paiement de leur stationnement à distance. D’autres prévoient de mettre en place des tarifs spéciaux (abonnés, résidents, temps limité gratuit, tarifs professionnels, etc.), qui vont nécessiter l’utilisation de fichiers particuliers. Certains de ces nouveaux services mis en place par les collectivités nécessitent la collecte systématique des numéros de plaque d’immatriculation lors du paiement du stationnement.

En outre, certaines collectivités ont fait part de leur volonté de recourir à des dispositifs de lecture automatisée de plaques d’immatriculation (LAPI) pour renforcer leurs procédures de contrôle du paiement du stationnement sur voirie.

Enfin, certaines collectivités souhaitent pouvoir collecter et conserver une photographie des véhicules faisant l’objet d’une procédure de forfait de post-stationnement (FPS) à des fins probatoires dans l’éventualité d’une contestation.

Compte tenu de l’impact de ces dispositifs pour la vie privée des automobilistes, la CNIL entend rappeler le cadre rigoureux dans lequel ces dispositifs doivent s’inscrire, en recensant les points de vigilance que les collectivités et leurs prestataires doivent avoir à l’esprit dans la mise en œuvre de ces dispositifs. La CNIL adresse ici quelques recommandations destinées à accompagner au mieux ces acteurs dans la perspective de la réforme.

Les principes clés

Les collectivités doivent tenir compte des 5 principes clés fixés par la loi « Informatique et Libertés » lors de la mise en œuvre ou de l’évolution des traitements portant sur la gestion du stationnement payant :

  • Les données sont collectées pour un but bien déterminé et légitime et ne peuvent être utilisées ultérieurement de façon incompatible avec cet objectif initial.
  • Seules les données strictement nécessaires à la réalisation de l’objectif poursuivi doivent être collectées.
  • Les données ne doivent être conservées que le temps nécessaire à la réalisation de l’objectif poursuivi.
  • Le responsable de traitement doit prendre toutes les mesures utiles pour garantir l’intégrité et la confidentialité des données. Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité que le responsable de traitement doit prendre.
  • Les personnes concernées par les traitements doivent conserver la maitrise des données qui les concernent. Ainsi, la loi prévoit qu’elles doivent avoir été informées du traitement qui est fait de leurs données, ainsi que des droits d’accès, de rectification et d’opposition, pour motifs légitimes, qu’elles détiennent de la loi.

>Collectivités territoriales : les principes clés de la protection des données personnelles

Le paiement du stationnement (horodateur, appli mobile)


La lecture automatisée des plaques d’immatriculation


La conservation d’une photographie du véhicule


La sécurité des données traitées


Les droits des personnes


Les formalités auprès de la CNIL


Et demain, avec le règlement européen ?

Le 25 mai 2018, le règlement européen sera applicable. Les grands principes portés par la loi « Informatique et Libertés » demeureront et les recommandations formulées par la Commission concernant le stationnement paiement resteront valables. En revanche, de nombreuses formalités auprès de la CNIL vont disparaître. En contrepartie, la responsabilité des organismes sera renforcée. Ils devront en effet assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.

  • Responsabilisation et bonne gouvernance :

Avec le RGPD, un véritable changement de culture s’opère. Le règlement instaure une logique de responsabilisation de l’ensemble des acteurs publics et privés. Il va en résulter pour les communes l’obligation d’adopter des mesures techniques et organisationnelles de nature à assurer un niveau optimal de protection des données traitées dans le cadre de la gestion du stationnement payant, mais aussi d’actualiser ces mesures et de démontrer leur pertinence. Ainsi, pour prouver la bonne gouvernance des données, les collectivités vont devoir élaborer une documentation continue des actions menées pour être en capacité de piloter et de démontrer la conformité.

  • La place des sous-traitants :

Les communes ont la possibilité de recourir aux services de prestataires externes pour la gestion du stationnement payant. Il leur appartiendra alors d’encadrer les opérations sous-traitées dans les contrats de prestation de services et de formaliser la politique de confidentialité des données, dans des conditions conformes au RGPD. Les prestataires auxquels les communes sous-traitent la mise en œuvre de tout ou partie de leurs traitements devront obligatoirement participer à la démarche de mise en conformité en aidant les communes à satisfaire leurs obligations « Informatiques et Libertés », sous peine de sanction. La CNIL n’est nullement liée par la répartition conventionnelle de rôles entre la commune et son prestataire.

  • Les outils de la conformité :

  • L’analyse d'impact relative à la protection des données (AIPD) : il appartiendra aux communes d’effectuer une AIPD sur les opérations de traitement impliquant une collecte systématique des numéros de plaque d’immatriculation, compte tenu de la nature et de la portée de ces traitements. Cette étude d’impact vise à démontrer que les risques pour les droits et libertés des personnes concernées ont été correctement pris en compte par la collectivité et ses éventuels sous-traitants.
  • Le registre : la commune et son prestataire vont tous deux devoir tenir un registre, dont le contenu diffère suivant leur rôle.