Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Radars-tronçons : le ministère de l’Intérieur flashé par la CNIL

Christophe castagné
Droit 3 min
Radars-tronçons : le ministère de l’Intérieur flashé par la CNIL

Le ministère de l’Intérieur vient d’être mis en demeure par la CNIL. Une procédure assez exceptionnelle. En cause ? Les traitements réalisés derrière les radars-tronçons. Ces dispositifs, censés remettre le conducteur sur la voie de la légalité, s’en étaient un peu trop écartés.

Les radars tronçons ont pour vocation de calculer la vitesse moyenne entre deux points. Contrairement aux radars ponctuels, tous les véhicules sont contrôlés par lecture automatique des plaques. Ceux des conducteurs qui auraient une vitesse supérieure au plafond autorisé sont alors verbalisables. Les données sont envoyées au Centre national de traitement du contrôle automatisé de Rennes, qui se charge ensuite d’adresser les « prunes ».

La CNIL s’est intéressée de près à ces yeux électroniques en réalisant plusieurs contrôles sur place, notamment à Rennes, à Saint-Nazaire sur une section équipée, et enfin chez le prestataire chargé de la maintenance.

Les textes exigent en effet une suppression dans les 24 heures des numéros de plaque de véhicule n’ayant commis aucune infraction. Les autres sont conservés 10 ans, maximum. Plutôt qu’un effacement, la délégation de la CNIL a toutefois constaté que les numéros de plaques étaient simplement « tronqués du deuxième et de l’avant-dernier caractères du numéro d’immatriculation ».

Les services lui ont expliqué que cette mesure avait été prise « à des fins de maintenance technique et, plus précisément, de l’analyse des appariements effectués entre les données collectées par les bornes d’entrée et de sortie afin de s’assurer du bon fonctionnement du système ».

Des numéros de plaque conservés bien trop longtemps

Certes, mais en soulevant le capot, les agents de l’autorité de contrôle ont remarqué que des numéros de plaque d’immatriculation complets et tronqués ne concernant pas des véhicules en infraction « étaient conservés sur l’ETVM [équipements terrain vitesse moyenne] contrôlé depuis le 26 novembre 2017 pour les numéros complets (soit depuis plus de 13 mois) et depuis le 9 juillet 2014 pour les numéros tronqués (soit depuis plus de 4 ans) ». Soit largement au-delà du délai maximal de 24 heures !

Toutes ces informations sont des données personnelles, même les numéros de plaque d’immatriculation tronqués. En effet, « dès lors qu’ils sont couplés, comme en l’espèce, à un horodatage et la localisation du radar-tronçon », ils « sont susceptibles d’être recoupés avec d’autres données, notamment les clichés concernant le véhicule et ses passagers ».

La CNIL a découvert également que des données relatives à des véhicules en infraction étaient conservées depuis le 1er septembre 2005, soit depuis plus de 13 ans, quand le plafond est de 10 ans.

D’autres fois, des données concernant toujours des véhicules en infraction n’avaient pu être transmises à Rennes depuis plus de 3 ans. Problème, ces données « ne devraient pas être conservées plus d’un an après la prise de la photographie, délai au-delà duquel les contraventions sont prescrites, en application de l’article 9 du code de procédure pénale ». La conservation dépasse le seuil des durées nécessaires et proportionnées puisque « les données des véhicules ne peuvent (…) plus être utilisées pour émettre un avis de contravention ».

Des barrières de sécurité en plastique

Ce n’est pas tout. La sécurité informatique de ces traitements a aussi été épinglée : « manque de robustesse des mots de passe de connexion à l’ETVM, traçabilité insatisfaisante des accès, gestion insuffisante des droits d’accès à l’application par le prestataire du ministère de l’Intérieur ». Les détails ont été fournis en annexe, mais celle-ci n’a pas été publiée (Next Inpact a réclamé le document).

La CNIL a ainsi mis en demeure le ministère de l’Intérieur de supprimer, dans un délai de trois mois, les données conservées au-delà des plafonds prévus par les textes, de veiller à l’avenir à respecter ces durées de conservation (24 heures pour les véhicules n’ayant pas commis d’infraction, 1 an à défaut de contravention, et 10 ans en cas de contravention) et enfin, de prendre les mesures nécessaires pour garantir la sécurité des données.

La Place Beauvau devra justifier le respect de ces demandes dans le délai imparti. À défaut, l’État pourra être sanctionné au titre de l’article 20 de la loi Informatique et Libertés.

32 commentaires
Avatar de RuMaRoCO Abonné
Avatar de RuMaRoCORuMaRoCO- 04/12/19 à 10:03:09

Merci la CNIL.  :-)
 

Avatar de SonicGold INpactien
Avatar de SonicGoldSonicGold- 04/12/19 à 10:12:22

"À défaut, l’État pourra être sanctionné au titre de l’article 20 de la loi Informatique et Libertés."

Hein ? Je me mets une amende à moi-même que je récupère derrière ?

Avatar de Arkeen Abonné
Avatar de ArkeenArkeen- 04/12/19 à 10:15:52

Ça laisse présager des "garanties" avancées par #BigBrotherBercy
À l'occas' ça rappelle aux entités étatiques qu'ils ne sont pas au dessus des lois (enfin, en théorie) qu'ils prétendent faire respecter.
Par contre, dans l'article 20, je n'ai rien trouvé qui pourrait sanctionner l'État, il y a des mentions "A l'exception des cas où le traitement est mis en œuvre par l'Etat" à presque chaque ligne.

Édité par Arkeen le 04/12/2019 à 10:16
Avatar de choukky INpactien
Avatar de choukkychoukky- 04/12/19 à 10:19:46

Ce n’est pas tout. La sécurité informatique de ces traitements a aussi été épinglée : « manque de robustesse des mots de passe de connexion à l’ETVM, traçabilité insatisfaisante des accès, gestion insuffisante des droits d’accès à l’application par le prestataire du ministère de l’Intérieur ». Les détails ont été fournis en annexe, mais celle-ci n’a pas été publiée (Next Inpact a réclamé le document).

:musicos: Next Inpact pourrait organiser un petit jeu concours du fameux mot de passe. :oui2:
Je me lance avec un classique comme : admin. :transpi:

Édité par choukky le 04/12/2019 à 10:21
Avatar de sebtx Abonné
Avatar de sebtxsebtx- 04/12/19 à 10:26:06

Pourquoi je ne suis pas étonné....

 

Avatar de Idiogène INpactien
Avatar de IdiogèneIdiogène- 04/12/19 à 10:28:15

7° A l'exception des cas où le traitement est mis en œuvre par l'Etat, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83.

Avatar de fred42 INpactien
Avatar de fred42fred42- 04/12/19 à 10:30:37

Non, pas d'amende dans ce cas si j'ai bien lu l'article de loi, mais l'État risque :

1° Un rappel à l'ordre ;
2° Une injonction de mettre en conformité le traitement (...)

Les autres mesures listées par l'article 20 ne me semble pas applicables à l'État, en particulier parce que le traitement est "à des fins de prévention et de détection des infractions pénales".

Donc Castaner doit être terrorisé.

Par contre, je veux bien que quelqu'un plus fort que moi en droit confirme ou infirme.

Avatar de JoePike INpactien
Avatar de JoePikeJoePike- 04/12/19 à 10:45:35

Je te confirme : Castaner est terrorisé
D'ailleurs c'est surement pour ça qu'ils gardent les photos des terroristes potentiels qui s'enfuient à basse vitesse pour ne pas être repérés
:photo:

Avatar de crocodudule INpactien
Avatar de crocodudulecrocodudule- 04/12/19 à 10:49:38

Heureux de voir l'Etat à nouveau dans le collimateur de la CNIL, avec les GAFAS de l'époque qu'étaient les compagnies d'assurance, c'était la raison d'être de la CNIL.

Avatar de Bourrique INpactien
Avatar de BourriqueBourrique- 04/12/19 à 10:59:46

Pas assez sécurisé !

Si les règles de l'art sont respectées(min,maj,chiffre,car. special :windu: ), ce sera Password123! ou alors Adm1n!
Le nombre de fois où chez les client, le dernier est actif ... :ooo:

Édité par Bourrique le 04/12/2019 à 11:00
Il n'est plus possible de commenter cette actualité.
Page 1 / 4