La présidente de la Commission nationale de l'informatique et des libertés (CNIL) reproche à l'État de ne pas suffisamment protéger les données personnelles collectées par ceux que l'on appelle les « radars vitesse moyenne ».
À la différence des radars traditionnels qui mesurent la vitesse des voitures à un instant précis, les radars tronçons, eux, calculent la vitesse moyenne des véhicules sur une portion de route, à l'aide de bornes équipées d'un système de lecture automatique de plaques d'immatriculations, appelé LAPI. Ce système lit les plaques, prend des photos et enregistre l'heure du passage du véhicule. À leur sujet, la CNIL a noté deux manquements majeurs à la sécurisation et à la protection des données personnelles de tous les véhicules circulant sur le tronçon contrôlé.
Les radars tronçons collectent les données de tous les véhicules, même ceux qui respectent les limitations
Avant de développer dans le détail les manquements constatés par le gendarme des données, il est bon de rappeler comment fonctionne le radar tronçon et ce qu'il se passe après le passage d'un véhicule.Lire aussi :
Il va pleuvoir des radars tourelles, avec 1 200 installations supplémentaires d'ici 2020
Il va pleuvoir des radars tourelles, avec 1 200 installations supplémentaires d'ici 2020
Si un véhicule dépasse la vitesse maximale autorisée, le radar envoie automatiquement les données de ce dernier au Centre national de traitement du contrôle automatisé qui se situe - celles et ceux qui ont déjà reçu une contravention pour infraction au Code de la route le savent - à Rennes, qui se charge ensuite d'adresser l'amende.
Mais le radar tronçon collecte en réalité les données de l'ensemble des véhicules qui circulent sur la section contrôlée, ne se contentant donc pas uniquement des citoyens en infraction. Ces informations, considérées comme des données à caractère personnel, sont ainsi protégées par la législation « Informatique et libertés », qui pour la CNIL, a été entravée.
Des données insuffisamment protégées et conservées bien au-delà du délai légal
Le gendarme français des données a notamment constaté un manquement à l'obligation de respecter une durée de conservation des données proportionnée à la finalité du traitement. La CNIL relève ainsi que le ministère de l'Intérieur conserve les numéros de plaque d'immatriculation de véhicules n'ayant pas commis d'infraction pendant plus de 13 mois (pour les numéros complets), et durant plus de 4 ans pour les numéros tronqués de deux caractères.L'État ne respecte donc pas l'arrêté du 13 octobre 2004, portant création du système de contrôle automatisé, qui a établi un délai maximal de conservation de... 24 heures.
Lire aussi :
RGPD : Futura Internationale, spécialiste de la rénovation énergétique, condamnée par la CNIL
RGPD : Futura Internationale, spécialiste de la rénovation énergétique, condamnée par la CNIL
Le second manquement tient à l'obligation de mettre en place des mesures techniques suffisantes pour garantir la sécurité des données à caractère personnel. La CNIL a noté une flagrante faiblesse des mots de passe, ainsi qu'une traçabilité insatisfaisante des accès, en plus d'une gestion insuffisante des droits d'accès à l'application au niveau du prestataire du ministère.
Le ministère dispose de trois mois pour se conformer à la CNIL
Dans une décision prise le 12 novembre 2019 par sa présidente Marie-Laure Denis, et rendue publique le 4 décembre, la commission a ainsi mis en demeure le ministère de l'Intérieur de se conformer à la loi « Informatique et Libertés » en supprimant le stock de données conservées plus longtemps que prévu. Elle lui a également demandé de renforcer la sécurité des données personnelles traitées.Le ministère de l'Intérieur disposait de trois mois, à date de la décision, pour se conformer aux dispositions évoquées par la CNIL qui, en cas de non-respect de celles-ci, sera amenée à prononcer une sanction.
Source : CNIL
