Le ministère de l’Intérieur est mis en demeure par la Cnil pour plusieurs manquements liés aux traitements de données personnelles par les radars-tronçons. Le ministère ne respecte pas notamment la durée légale de conservation des données.
Est-ce que ce sera une raison supplémentaire pour certains automobilistes de détester les radars-tronçons ? Les traitements de données réalisés par le biais de ces appareils de contrôle de la vitesse valent au ministère de l’Intérieur une mise en demeure publique de la Cnil.
L’autorité rappelle que ces bornes, qui calculent la vitesse moyenne d’un véhicule sur une section de route, collecte des données personnelles. Elles sont en effet équipées d’un système de lecture automatique de plaques d’immatriculation.
Les données d’immatriculation conservées plus de 13 mois et non 24 heures
Les radars-tronçons capturent les données d’immatriculation, ainsi que des images des véhicules contrôlés et l’heure précise associée, c’est à dire des données liées aux déplacements des citoyens. Et cela, qu’il y ait infraction ou non.
La Cnil souligne que par conséquent les informations collectées relèvent de données à caractère personnel. Les radars-tronçons sont dès lors soumis aux obligations de la loi Informatiques et Libertés.
Problème : l’utilisation faite de ces dispositifs par le ministère de l’Intérieur n’est pas conforme à la législation sur la protection des données personnelles. Le régulateur a relevé « plusieurs manquements. »
La Cnil constate en particulier une infraction en matière de durée de conservation des données. Cette durée est pourtant définie précisément dans un arrêté datant de 2004, qui la limite en principe à 24 heures.
Les contrôles de la Cnil révèlent que les plaques d’immatriculation complètes sont néanmoins conservées plus de 13 mois. Et ce pour les véhicules pourtant non-associés à une infraction.
La sécurité des données personnelles insuffisante
Certaines données d’immatriculation, les numéros tronqués de deux caractères, sont même conservées plus de 4 ans. On est très au-delà des 24 heures prévues par l’arrêté, confirme donc la Cnil.
Ce premier manquement grave vaut au ministère une mise en demeure. Celui-ci doit d’ici 3 mois mettre « en place un mécanisme de purge » et supprimer « le stock de données qui ont été conservées plus longtemps que prévu. »
Ce n’est pas le seul manquement majeur constaté par l’autorité de protection. Le second porte sur le non-respect de « l’obligation de mettre en place des mesures techniques suffisantes pour garantir la sécurité des données à caractère personnel. »
Les mesures de sécurité s’avèrent ainsi insuffisantes, en raison notamment d’un « manque de robustesse des mots de passe, une traçabilité insatisfaisante des accès et une gestion insuffisante des droits d’accès à l’application au niveau du prestataire du ministère. »
Ces lacunes justifient elles aussi la mise en demeure de la Place Beauvau, tenue sous trois mois de « prendre toute mesure utile pour garantir pleinement la sécurité des données personnelles traitées. » A défaut, le ministère pourra écoper d’une sanction.
Exclusif régulation Data
Cookies et autres traceurs : les règles changent pour le marketing
Avant même l’arrivée du règlement européen ePrivacy, la Cnil appliquera dès mars 2020 de nouvelles recommandations sur les cookies et autres traceurs. C’est un principe de consentement plus strict, celui du RGPD, qui s’appliquera sur l’utilisation des traceurs.