Le ministère de l’Intérieur vient d’être mis en demeure par la CNIL. Une procédure assez exceptionnelle. En cause ? Les traitements réalisés derrière les radars-tronçons. Ces dispositifs, censés remettre le conducteur sur la voie de la légalité, s’en étaient un peu trop écartés.
Les radars tronçons ont pour vocation de calculer la vitesse moyenne entre deux points. Contrairement aux radars ponctuels, tous les véhicules sont contrôlés par lecture automatique des plaques. Ceux des conducteurs qui auraient une vitesse supérieure au plafond autorisé sont alors verbalisables. Les données sont envoyées au Centre national de traitement du contrôle automatisé de Rennes, qui se charge ensuite d’adresser les « prunes ».
La CNIL s’est intéressée de près à ces yeux électroniques en réalisant plusieurs contrôles sur place, notamment à Rennes, à Saint-Nazaire sur une section équipée, et enfin chez le prestataire chargé de la maintenance.
Les textes exigent en effet une suppression dans les 24 heures des numéros de plaque de véhicule n’ayant commis aucune infraction. Les autres sont conservés 10 ans, maximum. Plutôt qu’un effacement, la délégation de la CNIL a toutefois constaté que les numéros de plaques étaient simplement « tronqués du deuxième et de l’avant-dernier caractères du numéro d’immatriculation ».
Les services lui ont expliqué que cette mesure avait été prise « à des fins de maintenance technique et, plus précisément, de l’analyse des appariements effectués entre les données collectées par les bornes d’entrée et de sortie afin de s’assurer du bon fonctionnement du système ».
Des numéros de plaque conservés bien trop longtemps
Certes, mais en soulevant le capot, les agents de l’autorité de contrôle ont remarqué que des numéros de plaque d’immatriculation complets et tronqués ne concernant pas des véhicules en infraction « étaient conservés sur l’ETVM [équipements terrain vitesse moyenne] contrôlé depuis le 26 novembre 2017 pour les numéros complets (soit depuis plus de 13 mois) et depuis le 9 juillet 2014 pour les numéros tronqués (soit depuis plus de 4 ans) ». Soit largement au-delà du délai maximal de 24 heures !
Toutes ces informations sont des données personnelles, même les numéros de plaque d’immatriculation tronqués. En effet, « dès lors qu’ils sont couplés, comme en l’espèce, à un horodatage et la localisation du radar-tronçon », ils « sont susceptibles d’être recoupés avec d’autres données, notamment les clichés concernant le véhicule et ses passagers ».
La CNIL a découvert également que des données relatives à des véhicules en infraction étaient conservées depuis le 1er septembre 2005, soit depuis plus de 13 ans, quand le plafond est de 10 ans.
D’autres fois, des données concernant toujours des véhicules en infraction n’avaient pu être transmises à Rennes depuis plus de 3 ans. Problème, ces données « ne devraient pas être conservées plus d’un an après la prise de la photographie, délai au-delà duquel les contraventions sont prescrites, en application de l’article 9 du code de procédure pénale ». La conservation dépasse le seuil des durées nécessaires et proportionnées puisque « les données des véhicules ne peuvent (…) plus être utilisées pour émettre un avis de contravention ».
Des barrières de sécurité en plastique
Ce n’est pas tout. La sécurité informatique de ces traitements a aussi été épinglée : « manque de robustesse des mots de passe de connexion à l’ETVM, traçabilité insatisfaisante des accès, gestion insuffisante des droits d’accès à l’application par le prestataire du ministère de l’Intérieur ». Les détails ont été fournis en annexe, mais celle-ci n’a pas été publiée (Next Inpact a réclamé le document).
La CNIL a ainsi mis en demeure le ministère de l’Intérieur de supprimer, dans un délai de trois mois, les données conservées au-delà des plafonds prévus par les textes, de veiller à l’avenir à respecter ces durées de conservation (24 heures pour les véhicules n’ayant pas commis d’infraction, 1 an à défaut de contravention, et 10 ans en cas de contravention) et enfin, de prendre les mesures nécessaires pour garantir la sécurité des données.
La Place Beauvau devra justifier le respect de ces demandes dans le délai imparti. À défaut, l’État pourra être sanctionné au titre de l’article 20 de la loi Informatique et Libertés.
