Par une délibération en date du 12 novembre 2019, la CNIL a mis en demeure le ministère de l’intérieur de se mettre en conformité sous 3 mois concernant des manquements constatés sur le traitement des données à caractère personnel effectué dans le cadre du traitement automatisé des radars tronçons.
Les faits :
Les radars tronçons permettent de calculer la vitesse moyenne d’un véhicule moyennant deux bornes espacées de plusieurs kilomètres.
Ces derniers sont équipés du système LAPI (lecture automatique des plaques d’immatriculation) permettant de prendre des clichés des véhicules, relever la plaque d’immatriculation ainsi que l’heure exacte du passage du véhicule. A partir ce ces informations, le logiciel calcule la vitesse moyenne pratiquée sur le tronçon par chaque véhicule. Tout dépassement de la vitesse maximale autorisée est envoyé au Centre national du contrôle automatisé de Rennes chargé de l’envoi des contraventions. Les données collectées concernent aussi bien les véhicules ayant commis une infraction que les autres et constituent des données à caractère personnel : numéros de plaque d’immatriculation (même tronqués) couplés, à un horodatage et une localisation, clichés des véhicules et de leurs passagers.
La CNIL a effectué 3 contrôles sur place, y-compris auprès du prestataire en septembre, octobre et décembre 2018, concernant les radars tronçons, lui permettant de constater plusieurs manquements.
Manquement à l’obligation d’appliquer une durée de conservation des données proportionnée à la finalité du traitement :
L’arrêté du 13/10/2004, portant création d’un système de contrôle automatisé, prévoit une durée de conservation de maximum 24h concernant les plaques d’immatriculation des véhicules n’ayant pas commis d’infraction. Or, le Ministère de l’intérieur applique une durée de conservation de 13 mois pour les numéros complets et de 4 ans pour les numéros tronqués de deux caractères.
Concernant les données sur les véhicules en infraction ayant fait l’objet de contravention, la CNIL a constaté que certaines données étaient conservées depuis plus de 13 ans alors que la durée de conservation maximale prévue par l’arrêté est de 10 ans.
Manquement à l’obligation de mettre en place des mesures techniques suffisantes pour garantir la sécurité des données à caractère personnel :
Lors des contrôles effectués par la CNIL, il a notamment été constaté un manque de robustesse des mots de passe, une traçabilité insatisfaisante des accès ainsi qu’une gestion insuffisante des droits d’accès à l’application au niveau du prestataire.
Décision : la CNIL met en demeure le Ministère de se mettre en conformité sous trois mois en :
– supprimant les données conservées au-delà de la durée prévue
– mettant en place et un système de purge permettant de veiller au respect des durées de conservation
– adoptant toutes les mesures techniques et organisationnelles permettant d’assurer la sécurité et confidentialité des données et en adoptant une durée de conservation proportionnée à la finalité du traitement
– justifiant de ces démarches auprès de la CNIL.
La CNIL a décidé de rendre publique cette mise en demeure compte tenu :
– du nombre particulièrement important de personnes pouvant être impactées par ledit traitement
– du risque au regard de la vie privée s’agissant notamment de la collecte de données relatives aux déplacements des personnes.
Pour en savoir plus :
https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000039445820&fastReqId=190592425&fastPos=2 et https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000039445875&fastReqId=1838018625&fastPos=1
Charlotte URMAN et Marion LUCATTINI – Inlex IP Expertise