Radars-tronçons : mise en demeure du ministère de l’Intérieur

04 décembre 2019

La Présidente de la CNIL met en demeure le ministère de l’Intérieur de prendre les mesures suffisantes pour garantir la sécurité des données personnelles collectées par les radars-tronçons et s’assurer que ces données ne seront pas conservées au-delà des délais prévus par la législation.

Les radars-tronçons calculent la vitesse moyenne d’un véhicule sur une section de route grâce à des bornes de contrôle placées à plusieurs kilomètres de distance l’une de l’autre. Ces bornes sont équipées d’un système de lecture automatique de plaques d’immatriculation des véhicules (« LAPI ») qui lit les plaques, prend des clichés des véhicules et note l’heure exacte de passage.

En cas de dépassement de la vitesse maximale autorisée, le radar-tronçon envoie automatiquement les données des véhicules concernés au Centre national de traitement du contrôle automatisé de Rennes, chargé de l’envoi de la contravention.

Les radars-tronçons collectent ainsi des données sur l’ensemble des véhicules qui circulent sur la section contrôlée, qu’ils soient ou non en infraction. Ces informations sont des données à caractère personnel. Ces dispositifs doivent donc respecter la législation « Informatique et libertés ».

A l’occasion de contrôles effectués sur les radars-tronçons, la CNIL a constaté plusieurs manquements.

  1. Un manquement à l’obligation de respecter une durée de conservation des données proportionnée à la finalité du traitement

La CNIL a constaté que les durées de conservation définies par l’arrêté du 13 octobre 2004 modifié portant création du système de contrôle automatisé ne sont pas respectées.

En particulier, le contrôle a permis de constater que les numéros de plaque d’immatriculation des véhicules n’ayant pas commis d’infraction sont conservés plus de 13 mois pour les numéros complets, et plus de 4 ans pour les numéros tronqués de deux caractères, bien au-delà du délai de vingt-quatre heures prévu par l’arrêté.

Le ministère de l’Intérieur est donc mis en demeure de respecter l’arrêté de 2004 en mettant en place un mécanisme de purge et en supprimant le stock de données qui ont été conservées plus longtemps que prévu.

  1. Un manquement à l’obligation de mettre en place des mesures techniques suffisantes pour garantir la sécurité des données à caractère personnel

Le contrôle a permis de constater que les mesures de sécurité mises en place doivent être renforcées.

En effet, la CNIL a constaté un manque de robustesse des mots de passe, une traçabilité insatisfaisante des accès et une gestion insuffisante des droits d’accès à l’application au niveau du prestataire du ministère.

Compte tenu de ce constat, le ministère de l’Intérieur est mis en demeure de prendre toute mesure utile pour garantir pleinement la sécurité des données personnelles traitées.

Le ministère de l’intérieur a trois mois pour se conformer à la loi « Informatique et Libertés » sur les deux manquements constatés par la CNIL.

Compte tenu notamment du nombre particulièrement important de personnes susceptibles d’être impactées par le traitement mis en œuvre et du risque particulier au regard de la vie privée en raison de la collecte de données relatives aux déplacements des personnes, cette mise en demeure est rendue publique.

Si le ministère ne se conforme pas à cette mise en demeure dans le délai imparti, la Présidente saisira la formation restreinte de la CNIL, qui pourra prononcer une sanction.

Les mots clés associés à cet article