Le ministère de l’Intérieur a reçu une mise en demeure de la Commission nationale de l’informatique et des libertés (CNIL) qui l’accuse de ne pas respecter la législation en matière de conservation des données personnelles des automobilistes contrôlés par les radars-tronçons.
Le 4 décembre 2019, la présidente de la Commission nationale de l’informatique et des libertés (CNIL) a annoncé publiquement qu’elle venait de mettre en demeure le ministère de l’Intérieur « de prendre les mesures suffisantes pour garantir la sécurité des données personnelles collectées par les radars-tronçons et s’assurer que ces données ne seront pas conservées au-delà des délais prévus par la législation ».
Tous flashés !
En effet, rappelons que les radars-tronçons calculent la vitesse moyenne d’un véhicule sur une section de route grâce à des bornes de contrôle placées à plusieurs kilomètres de distance. Ces dernières sont dotées d’un système de lecture automatique de plaques d’immatriculation des véhicules, appelé LAPI, qui enregistre le numéro des plaques des véhicules passant devant chaque borne et note l’heure exacte de leur passage. Un calcul est ensuite effectué automatiquement par la machine pour connaître la vitesse moyenne du véhicule entre les deux bornes. En cas de dépassement de la vitesse maximale autorisée sur cette portion du réseau routier, les données des véhicules en infraction sont transmises depuis le radar-tronçon vers le Centre national de traitement du contrôle automatisé basé à Rennes, en Ille-et-Vilaine. Le problème selon la CNIL, c’est que les radars-tronçons ne collectent pas uniquement les données des véhicules en infraction, mais scannent toutes les plaques des véhicules passant devant le système, qu’ils soient en infraction ou non. La CNIL rappelle que « ces informations sont des données à caractère personnel » et que « ces dispositifs doivent donc respecter la législation Informatique et Libertés ». Or, la CNIL affirme avoir justement « constaté plusieurs manquements » à la loi.
Dépassement de la durée légale de conservation des données
Premier reproche : la CNIL déclare que des contrôles ont « permis de constater que les numéros d’immatriculation des véhicules n’ayant pas commis d’infraction sont conservés plus de 13 mois pour les numéros complets et plus de 4 ans pour les numéros tronqués de deux caractères », soit « bien au-delà du délai de vingt-quatre heure prévu » par l’arrêté du 13 octobre 2004 modifié portant création du système de contrôle automatisé.
Garantie insuffisante de la sécurité des données à caractère personnel
Par ailleurs, la CNIL a constaté « un manque de robustesse des mots de passe, une traçabilité insatisfaisante des accès et une gestion insuffisante des droits d’accès à l’application au niveau du prestataire du ministère ».
Trois mois pour se mettre en conformité
En d’autres termes, non seulement les données des automobilistes n’ayant pas commis d’infraction sont collectées, mais en plus elles sont conservées au-delà du délai légal et la sécurité des données à caractère personnel n’est pas garantie. La CNIL demande donc au ministère de l’Intérieur de mettre en place « un mécanisme de purge », en « supprimant le stock de données qui ont été conservées plus longtemps que prévu » et de « prendre toute mesure utile pour garantir pleinement la sécurité des données personnelles traitées ». La CNIL indique par ailleurs que le ministère de l’Intérieur dispose de trois mois pour se mettre en conformité avec la loi Informatique et Libertés. « Si le ministère ne se conforme pas à cette mise en demeure dans le délai imparti (NDLR : soit début mars 2020), la présidente de la CNIL saisira la formation restreinte de la CNIL, qui pourra prononcer une sanction. » Pas sûr que cela fasse trembler le ministère de l’Intérieur…
