La CNIL n’est pas contente de la gestion par l’Etat des radars-tronçons, également appelés radars de vitesse moyenne. Elle vient de le faire bruyamment savoir dans un communiqué rare par sa teneur et son ton.

« Compte tenu notamment du nombre particulièrement important de personnes susceptibles d’être impactées par le traitement mis en œuvre et du risque particulier au regard de la vie privée en raison de la collecte de données relatives aux déplacements des personnes, cette mise en demeure est rendue publique », écrit la Commission nationale informatique et libertés.

Comme leur nom l’indique, les fameux-fumeux radars-tronçons sont chargés de mesurer une vitesse sur une section donnée de route. Pour cela, des bornes lisent automatiquement les plaques d’immatriculation, prennent des clichés tout en notant l’heure de passage. En cas d’excès de vitesse, ils envoient automatiquement l’info au centre de contrôle automatisé de Rennes qui édite ensuite la prune. Elle est pas belle, la vie… ? Voilà pour le principe.

4 ans… au lieu de 24 heures !
Mais, rappelle la CNIL, les informations recueillies sont des données à caractère personnel. Et, en tant que telles, « elles doivent donc respecter la législation "Informatique et libertés" ». Ce qui n’est apparemment pas le cas… Bien au contraire. La Commission a en effet constaté plusieurs manquements « à l’occasion de contrôles effectués sur les radars-tronçons ».

Le premier manquement porte « sur l’obligation de respecter une durée de conservation des données proportionnée à la finalité du traitement ». En l’occurrence, ladite durée est plutôt disproportionnée !

En particulier, remarque la Commission, « les numéros de plaques d’immatriculation des véhicules n’ayant pas commis d’infraction sont conservés plus de 13 mois pour les numéros complets, et plus de 4 ans pour les numéros tronqués de deux caractères, bien au-delà du délai de 24 heures prévu ». Une paille, sans doute… Mais qui ne fait pas vraiment rire la CNIL. Elle met d’ailleurs carrément « en demeure le ministère de l’Intérieur de mettre en place un mécanisme de purge et en supprimant le stock de données qui ont été conservées plus longtemps que prévu » !

3 mois pour se mettre en règle
Le deuxième manquement a trait à « l’obligation de mettre en place des mesures techniques suffisantes pour garantir la sécurité des données à caractère personnel ». En clair, le constat est celui « d’un manque de robustesse des mots de passe, une traçabilité insatisfaisante des accès et une gestion insuffisante des droits d’accès à l’application au niveau du prestataire du ministère ».

Là encore, la CNIL met en demeure l’État de résoudre le problème.

Il a désormais 3 mois pour se conformer à la loi “informatique et libertés” dont la CNIL est garante. Dans le cas contraire, une sanction pourrait être prise, sans que le communiqué de la CNIL en précise la teneur.

Publicité