le 19/12/2019

La CNIL met en demeure le ministère de l’Intérieur sur le traitement des données des radars-tronçons

Décision n° MED 2019-027 du 12 novembre 2019 mettant en demeure le ministère de l’Intérieur

L’arrêté du 13 octobre 2004 encadre le système de contrôle automatisé de la vitesse des véhicules sur un tronçon de route déterminé par un dispositif de lecture automatique de plaques d’immatriculation des véhicules (LAPI). Ce dispositif permet la collecte et le traitement de données de l’ensemble des véhicules qui circulent sur ce tronçon par le ministère de l’Intérieur. Plus précisément, les données collectées sont les clichés concernant le véhicule et ses passagers, le lieu, la date et l’heure des clichés, la voie de circulation du véhicule et enfin le numéro d’immatriculation du véhicule.

À l’occasion de trois contrôles sur place de septembre à décembre 2018, la CNIL a constaté plusieurs manquements relatifs aux durées de conservation et à la sécurité des données dans la mise en œuvre du traitement de données personnelles des radars-tronçons.

En conséquence, par une délibération en date du 12 novembre 2019, la CNIL a prononcé une mise en demeure à l’encontre du ministère de l’Intérieur et a décidé de la rendre publique en raison notamment du nombre important de personnes susceptibles d’être concernées et du risque particulier au regard du respect de la vie privée des personnes.

 

  1. Sur les manquements relatifs aux durées de conservation des données

Tout d’abord, lors de son contrôle, la délégation de la CNIL a constaté que les données des véhicules n’étant pas en infraction ont été conservés sur le radar contrôlé plus de 13 mois pour les numéros de plaques d’immatriculation complets et plus de 4 ans pour les numéros tronqués de deux caractères. Or, la CNIL rappelle que les numéros de plaques des véhicules n’ayant pas commis d’infraction ne doivent pas être conservés plus de 24 heures.

Ensuite, lors de son contrôle auprès du Centre national de traitement du contrôle automatisé de Rennes (ci-après le CNT), la délégation de la CNIL a constaté la présence de messages relatifs à des infractions, contenant les données des véhicules, conservés au CNT depuis plus de 13 ans. Or, l’autorité de contrôle rappelle que la durée de conservation de ces données, en cas d’infraction à la limitation de vitesse, ne doit pas dépasser 10 ans.

Enfin, la délégation de la commission a constaté que les messages en échec d’envoi au CNT étaient conservés plus de 3 ans, alors que la durée de conservation applicable à ces données n’est que d’un an. En effet, au-delà de cette durée d’un an, les contraventions non envoyées au CNT sont prescrites.

En conséquence, la CNIL met en demeure le ministère de l’Intérieur de respecter l’arrêté de 2004 en mettant en place un mécanisme de purge et en supprimant le stock de données qui ont été conservées plus longtemps que prévu.

 

  1. Sur le manquement à l’obligation d’assurer la sécurité des données personnelles

Sur l’obligation d’assurer la sécurité du traitement des données à caractère personnel, la CNIL constate trois manquements susceptibles de porter atteinte à la sécurité des traitements de données :

  • Un manque de robustesse des mots de passe de connexion au radar ;
  • Une traçabilité insatisfaisante des accès ;
  • Une gestion insuffisante des droits d’accès par le prestataire du ministère de l’Intérieur.

En conséquence, la CNIL demande au ministère de l’Intérieur de prendre toute mesure nécessaire pour garantir la sécurité des données.

 

Pour conclure, la CNIL donne un délai de trois mois au ministère de l’Intérieur pour se conformer à la loi « Informatique et Libertés » sur ces deux manquements. Si le ministère ne se conforme pas à cette mise en demeure dans le délai imparti, la formation restreinte de la CNIL sera susceptible d’être saisie et pourra prononcer l’une des mesures correctrices prévues à l’article 20 de la loi « Informatique et Libertés ». Toutefois, la CNIL ne pourra pas prononcer une amende administrative puisqu’une telle sanction n’est pas applicable aux traitements mis en œuvre par les services de l’Etat.