Radars-tronçons : le ministère de l’Intérieur flashé par la CNIL

Radars-tronçons : le ministère de l’Intérieur flashé par la CNIL

Christophe castagné

Avatar de l'auteur
Marc Rees

Publié dans

Droit

04/12/2019 4 minutes
32

Radars-tronçons : le ministère de l’Intérieur flashé par la CNIL

Le ministère de l’Intérieur vient d’être mis en demeure par la CNIL. Une procédure assez exceptionnelle. En cause ? Les traitements réalisés derrière les radars-tronçons. Ces dispositifs, censés remettre le conducteur sur la voie de la légalité, s’en étaient un peu trop écartés.

Les radars tronçons ont pour vocation de calculer la vitesse moyenne entre deux points. Contrairement aux radars ponctuels, tous les véhicules sont contrôlés par lecture automatique des plaques. Ceux des conducteurs qui auraient une vitesse supérieure au plafond autorisé sont alors verbalisables. Les données sont envoyées au Centre national de traitement du contrôle automatisé de Rennes, qui se charge ensuite d’adresser les « prunes ».

La CNIL s’est intéressée de près à ces yeux électroniques en réalisant plusieurs contrôles sur place, notamment à Rennes, à Saint-Nazaire sur une section équipée, et enfin chez le prestataire chargé de la maintenance.

Les textes exigent en effet une suppression dans les 24 heures des numéros de plaque de véhicule n’ayant commis aucune infraction. Les autres sont conservés 10 ans, maximum. Plutôt qu’un effacement, la délégation de la CNIL a toutefois constaté que les numéros de plaques étaient simplement « tronqués du deuxième et de l’avant-dernier caractères du numéro d’immatriculation ».

Les services lui ont expliqué que cette mesure avait été prise « à des fins de maintenance technique et, plus précisément, de l’analyse des appariements effectués entre les données collectées par les bornes d’entrée et de sortie afin de s’assurer du bon fonctionnement du système ».

Des numéros de plaque conservés bien trop longtemps

Certes, mais en soulevant le capot, les agents de l’autorité de contrôle ont remarqué que des numéros de plaque d’immatriculation complets et tronqués ne concernant pas des véhicules en infraction « étaient conservés sur l’ETVM [équipements terrain vitesse moyenne] contrôlé depuis le 26 novembre 2017 pour les numéros complets (soit depuis plus de 13 mois) et depuis le 9 juillet 2014 pour les numéros tronqués (soit depuis plus de 4 ans) ». Soit largement au-delà du délai maximal de 24 heures !

Toutes ces informations sont des données personnelles, même les numéros de plaque d’immatriculation tronqués. En effet, « dès lors qu’ils sont couplés, comme en l’espèce, à un horodatage et la localisation du radar-tronçon », ils « sont susceptibles d’être recoupés avec d’autres données, notamment les clichés concernant le véhicule et ses passagers ».

La CNIL a découvert également que des données relatives à des véhicules en infraction étaient conservées depuis le 1er septembre 2005, soit depuis plus de 13 ans, quand le plafond est de 10 ans.

D’autres fois, des données concernant toujours des véhicules en infraction n’avaient pu être transmises à Rennes depuis plus de 3 ans. Problème, ces données « ne devraient pas être conservées plus d’un an après la prise de la photographie, délai au-delà duquel les contraventions sont prescrites, en application de l’article 9 du code de procédure pénale ». La conservation dépasse le seuil des durées nécessaires et proportionnées puisque « les données des véhicules ne peuvent (…) plus être utilisées pour émettre un avis de contravention ».

Des barrières de sécurité en plastique

Ce n’est pas tout. La sécurité informatique de ces traitements a aussi été épinglée : « manque de robustesse des mots de passe de connexion à l’ETVM, traçabilité insatisfaisante des accès, gestion insuffisante des droits d’accès à l’application par le prestataire du ministère de l’Intérieur ». Les détails ont été fournis en annexe, mais celle-ci n’a pas été publiée (Next Inpact a réclamé le document).

La CNIL a ainsi mis en demeure le ministère de l’Intérieur de supprimer, dans un délai de trois mois, les données conservées au-delà des plafonds prévus par les textes, de veiller à l’avenir à respecter ces durées de conservation (24 heures pour les véhicules n’ayant pas commis d’infraction, 1 an à défaut de contravention, et 10 ans en cas de contravention) et enfin, de prendre les mesures nécessaires pour garantir la sécurité des données.

La Place Beauvau devra justifier le respect de ces demandes dans le délai imparti. À défaut, l’État pourra être sanctionné au titre de l’article 20 de la loi Informatique et Libertés.

32

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Des numéros de plaque conservés bien trop longtemps

Des barrières de sécurité en plastique

Commentaires (32)


Merci la CNIL.  :-)

 


“À défaut, l’État pourra être sanctionné au titre de l’article 20 de la loi Informatique et Libertés.”



Hein ? Je me mets une amende à moi-même que je récupère derrière ?


Ça laisse présager des “garanties” avancées par #BigBrotherBercy

À l’occas’ ça rappelle aux entités étatiques qu’ils ne sont pas au dessus des lois (enfin, en théorie) qu’ils prétendent faire respecter.

Par contre, dans l’article 20, je n’ai rien trouvé qui pourrait sanctionner l’État, il y a des mentions “A l’exception des cas où le traitement est mis en œuvre par l’Etat” à presque chaque ligne.




Ce n’est pas tout. La sécurité informatique de ces traitements a aussi été épinglée : « manque de robustesse des mots de passe de connexion à l’ETVM, traçabilité insatisfaisante des accès, gestion insuffisante des droits d’accès à l’application par le prestataire du ministère de l’Intérieur ». Les détails ont été fournis en annexe, mais celle-ci n’a pas été publiée (Next Inpact a réclamé le document).



<img data-src=" /> Next Inpact pourrait organiser un petit jeu concours du fameux mot de passe. :oui2:

Je me lance avec un classique comme : admin. <img data-src=" />


Pourquoi je ne suis pas étonné….



&nbsp;




7° A l’exception des cas où le traitement est mis en œuvre par l’Etat, une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l’article 83 du règlement (UE) 2016679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d’euros et 4 % dudit chiffre d’affaires. La formation restreinte prend en compte, dans la détermination du montant de l’amende, les critères précisés au même article 83.


Non, pas d’amende dans ce cas si j’ai bien lu l’article de loi, mais l’État risque :



1° Un rappel à l’ordre ;

2° Une injonction de mettre en conformité le traitement (…)



Les autres mesures listées par l’article 20 ne me semble pas applicables à l’État, en particulier parce que le traitement est “à des fins de prévention et de détection des infractions pénales”.



Donc Castaner doit être terrorisé.



Par contre, je veux bien que quelqu’un plus fort que moi en droit confirme ou infirme.


Je te confirme : Castaner est terrorisé

D’ailleurs c’est surement pour ça qu’ils gardent les photos des terroristes potentiels qui s’enfuient à basse vitesse pour ne pas être repérés

<img data-src=" />


Heureux de voir l’Etat à nouveau dans le collimateur de la CNIL, avec les GAFAS de l’époque qu’étaient les compagnies d’assurance, c’était la raison d’être de la CNIL.


Pas assez sécurisé !



Si les règles de l’art sont respectées(min,maj,chiffre,car. special <img data-src=" /> ), ce sera Password123! ou alors Adm1n!

Le nombre de fois où chez les client, le dernier est actif … <img data-src=" />


Terroristes qui, sur le fondement du II-3° de l’article 20 peuvent cependant être informés des vices du traitement.





3° A l’exception des traitements qui intéressent la sûreté de l’Etat ou la défense, de communiquer à la personne concernée une violation de données à caractère personnel ;





Cela va en faire du papier à traiter pour un système dématérialisé. Ou pas.


Person of Interest



Heureusement que la CNIL veille un peu mais on va toujours vers plus de fichage de la population.


Je serais curieux de savoir pourquoi quand on nous demande d’ajouter un caractère spécial celui que l’on choisit généralement est le ‘!’.


GG la CNIL !



En revanche, bye bye le budget des prochaines années, ils vont pas avoir de cadeau avec tout ça…








Z-os a écrit :



Je serais curieux de savoir pourquoi quand on nous demande d’ajouter un caractère spécial celui que l’on choisit généralement est le ‘!’.





Plus facile, y’a pas besoin de faire de combinaison de touches.

Cela dit le * et $ aussi..



(pensée) “font chier avec leur caractères spéciaux ” ?


Perso c’est plus souvent le ‘@’ que le ‘!’. J’utilise aussi le ‘#’ de plus en plus;


Parce que pas mal de caractères spéciaux peuvent être “interprétés” si la gestion de mot de passe est faite avec les pieds:

&nbsp;* , # , @,&nbsp; \ , /, % par exemple, ont des significations particulières.



On peut ainsi avoir des cas ou le caractère spécial contenu dans un mot de passe est interprété lors de l’encodage, donnant un mot de passe encodé, qui lorqu ‘on le décode ne renvoie plus la bonne réponse.

&nbsp;


Pensée “A faut un caractère spécial, donc je mets le premier qui me passe sous les doigts/par la tête”


Ah bah ça les radars c’est tellement utile pour tracker les déplacements des voitures. ^^








gazgaz78 a écrit :



Ah bah ça les radars c’est tellement utile pour tracker les déplacements des voitures. ^^





Bof. Avec ton smartphone dans la poche, c’est en temps réel. Mais bon, avec un gvt facho, toute information est bonne à prendre.<img data-src=" />









grx44 a écrit :



Parce que pas mal de caractères spéciaux peuvent être “interprétés” si la gestion de mot de passe est faite avec les pieds:

 * , # , @,  \ , /, % par exemple, ont des significations particulières.





Le point d’exclamation aussi peut être interprété. Si c’était la vrai raison, on utiliserai bien plus µ, ¤ ou £ <img data-src=" />

Non, tout simplement c’est un caractère spécial facile à retenir et facile à entrer. La raison d’être même des mots de passe faibles.



C’est vrai que déjà on l’ajoute à la fin du mot de passe, mais plus parce que l’interface nous dit qu’on a oublié un caractère spécial lors de la création du mot de passe. Compliqué d’être original.



En y réfléchissant, on est peut-être trop marqués par l’écriture du français, comme pour la tendance de mettre les majuscules au début.


Jcrois pas qu’ils aient encore l’accord avec Google pour l’avoir en temps réel comme ça. ;)

Ils ont la triangularisation par les antennes mais c’est pas très précis.



Et pour suivre le déplacement d’un véhicule tu as plus souvent la plaque que le numéro de téléphone du propriétaire (et faudrait que ce soit lui qui conduise).



Bon avec les gps dans les voitures ça viendra avec Android auto je pense. Un petit mail a Google et dans les 5 minutes ils ont accès a ton gps et aux futures cams dans ta voiture ca va être beau…








gazgaz78 a écrit :



Jcrois pas qu’ils aient encore l’accord avec Google pour l’avoir en temps réel comme ça. ;)

Ils ont la triangularisation par les antennes mais c’est pas très précis.



Et pour suivre le déplacement d’un véhicule tu as plus souvent la plaque que le numéro de téléphone du propriétaire (et faudrait que ce soit lui qui conduise).



Bon avec les gps dans les voitures ça viendra avec Android auto je pense. Un petit mail a Google et dans les 5 minutes ils ont accès a ton gps et aux futures cams dans ta voiture ca va être beau…



Ou pas.

Il y a encore qques garde-fous judiciaires à passer, ca ne se fait justement pas en 5 min…



Si je ne m’abuse, le mot de passe encodé étant hashé (si le boulot est bien fait), on ne compare pas la version “décodée” mais bien les 2 hash avec la même fonction d’encodage donc les caractères spéciaux ne posent pas de problème.








Z-os a écrit :



C’est vrai que déjà on l’ajoute à la fin du mot de passe, mais plus parce que l’interface nous dit qu’on a oublié un caractère spécial lors de la création du mot de passe. Compliqué d’être original.



En y réfléchissant, on est peut-être trop marqués par l’écriture du français, comme pour la tendance de mettre les majuscules au début.





Je laisse l’originalité à KeepassX. Il fait bien le job et ça évite de se faire des nœuds au cerveau. <img data-src=" />









Z-os a écrit :



En y réfléchissant, on est peut-être trop marqués par l’écriture du français, comme pour la tendance de mettre les majuscules au début.





Probablement. Mais d’une manière général, les humains sont trop marqué par des biais en tout genre facilement détectables et exploitables par un programme.

La meilleure solution à l’heure actuelle, c’est les gestionnaires de mot de passe : ils génèrent un mot de passe réellement aléatoire, que l’utilisateur n’a pas à retenir.



azerty

12345678

P@55w0rD

Je vais bien finir par le trouver ce mot de passe à la noix. @_@’




Toutes ces informations sont des données personnelles, même les numéros de plaque d’immatriculation tronqués.





On pourrait donc s’intéresser aux parkings privés qui scannent la plaque à l’entrée pour établir le temps de stationnement en sortie, sans consentement du proprio de la voiture…


C’est recommandé en fait…. Le privé dans l’immense majorité des cas est invité à prendre appui sur l’état.



On a seulement régressé (suite à la crise économique) en précisant que la granulométrie de l’identité c’est mieux (et moins cher) que celle du béton.

Le gain (ou le grain…) n’est pas particulièrement intéressant. C’est d’ailleurs étonnant que des acteurs privés qui, il y a 40 ans, râlaient bec et ongles contre la fonction publique, y trouvent aujourd’hui un caractère rassérénant pour traiter leurs turpitudes alors l’état essaye de faire pareil pour contre-balancer… mais se plante systématiquement dans son rôle d’arbitre qu’il ne veut pas assumer franco.