Radars-tronçons : le ministère de l’Intérieur flashé par la CNIL
Christophe castagné
Le 04 décembre 2019 à 09h39
4 min
Droit
Droit
Le ministère de l’Intérieur vient d’être mis en demeure par la CNIL. Une procédure assez exceptionnelle. En cause ? Les traitements réalisés derrière les radars-tronçons. Ces dispositifs, censés remettre le conducteur sur la voie de la légalité, s’en étaient un peu trop écartés.
Les radars tronçons ont pour vocation de calculer la vitesse moyenne entre deux points. Contrairement aux radars ponctuels, tous les véhicules sont contrôlés par lecture automatique des plaques. Ceux des conducteurs qui auraient une vitesse supérieure au plafond autorisé sont alors verbalisables. Les données sont envoyées au Centre national de traitement du contrôle automatisé de Rennes, qui se charge ensuite d’adresser les « prunes ».
La CNIL s’est intéressée de près à ces yeux électroniques en réalisant plusieurs contrôles sur place, notamment à Rennes, à Saint-Nazaire sur une section équipée, et enfin chez le prestataire chargé de la maintenance.
Les textes exigent en effet une suppression dans les 24 heures des numéros de plaque de véhicule n’ayant commis aucune infraction. Les autres sont conservés 10 ans, maximum. Plutôt qu’un effacement, la délégation de la CNIL a toutefois constaté que les numéros de plaques étaient simplement « tronqués du deuxième et de l’avant-dernier caractères du numéro d’immatriculation ».
Les services lui ont expliqué que cette mesure avait été prise « à des fins de maintenance technique et, plus précisément, de l’analyse des appariements effectués entre les données collectées par les bornes d’entrée et de sortie afin de s’assurer du bon fonctionnement du système ».
Des numéros de plaque conservés bien trop longtemps
Certes, mais en soulevant le capot, les agents de l’autorité de contrôle ont remarqué que des numéros de plaque d’immatriculation complets et tronqués ne concernant pas des véhicules en infraction « étaient conservés sur l’ETVM [équipements terrain vitesse moyenne] contrôlé depuis le 26 novembre 2017 pour les numéros complets (soit depuis plus de 13 mois) et depuis le 9 juillet 2014 pour les numéros tronqués (soit depuis plus de 4 ans) ». Soit largement au-delà du délai maximal de 24 heures !
Toutes ces informations sont des données personnelles, même les numéros de plaque d’immatriculation tronqués. En effet, « dès lors qu’ils sont couplés, comme en l’espèce, à un horodatage et la localisation du radar-tronçon », ils « sont susceptibles d’être recoupés avec d’autres données, notamment les clichés concernant le véhicule et ses passagers ».
La CNIL a découvert également que des données relatives à des véhicules en infraction étaient conservées depuis le 1er septembre 2005, soit depuis plus de 13 ans, quand le plafond est de 10 ans.
D’autres fois, des données concernant toujours des véhicules en infraction n’avaient pu être transmises à Rennes depuis plus de 3 ans. Problème, ces données « ne devraient pas être conservées plus d’un an après la prise de la photographie, délai au-delà duquel les contraventions sont prescrites, en application de l’article 9 du code de procédure pénale ». La conservation dépasse le seuil des durées nécessaires et proportionnées puisque « les données des véhicules ne peuvent (…) plus être utilisées pour émettre un avis de contravention ».
Des barrières de sécurité en plastique
Ce n’est pas tout. La sécurité informatique de ces traitements a aussi été épinglée : « manque de robustesse des mots de passe de connexion à l’ETVM, traçabilité insatisfaisante des accès, gestion insuffisante des droits d’accès à l’application par le prestataire du ministère de l’Intérieur ». Les détails ont été fournis en annexe, mais celle-ci n’a pas été publiée (Next Inpact a réclamé le document).
La CNIL a ainsi mis en demeure le ministère de l’Intérieur de supprimer, dans un délai de trois mois, les données conservées au-delà des plafonds prévus par les textes, de veiller à l’avenir à respecter ces durées de conservation (24 heures pour les véhicules n’ayant pas commis d’infraction, 1 an à défaut de contravention, et 10 ans en cas de contravention) et enfin, de prendre les mesures nécessaires pour garantir la sécurité des données.
La Place Beauvau devra justifier le respect de ces demandes dans le délai imparti. À défaut, l’État pourra être sanctionné au titre de l’article 20 de la loi Informatique et Libertés.
Radars-tronçons : le ministère de l’Intérieur flashé par la CNIL
-
Des numéros de plaque conservés bien trop longtemps
-
Des barrières de sécurité en plastique
Commentaires (31)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 04/12/2019 à 10h59
Pas assez sécurisé !
Si les règles de l’art sont respectées(min,maj,chiffre,car. special " /> ), ce sera Password123! ou alors Adm1n!
Le nombre de fois où chez les client, le dernier est actif … " />
Le 04/12/2019 à 12h02
Terroristes qui, sur le fondement du II-3° de l’article 20 peuvent cependant être informés des vices du traitement.
3° A l’exception des traitements qui intéressent la sûreté de l’Etat ou la défense, de communiquer à la personne concernée une violation de données à caractère personnel ;
Cela va en faire du papier à traiter pour un système dématérialisé. Ou pas.
Le 04/12/2019 à 12h27
Person of Interest
Heureusement que la CNIL veille un peu mais on va toujours vers plus de fichage de la population.
Le 04/12/2019 à 13h15
Je serais curieux de savoir pourquoi quand on nous demande d’ajouter un caractère spécial celui que l’on choisit généralement est le ‘!’.
Le 04/12/2019 à 13h49
GG la CNIL !
En revanche, bye bye le budget des prochaines années, ils vont pas avoir de cadeau avec tout ça…
Le 04/12/2019 à 14h20
Le 04/12/2019 à 15h13
(pensée) “font chier avec leur caractères spéciaux ” ?
Le 04/12/2019 à 15h26
Perso c’est plus souvent le ‘@’ que le ‘!’. J’utilise aussi le ‘#’ de plus en plus;
Le 04/12/2019 à 15h47
Parce que pas mal de caractères spéciaux peuvent être “interprétés” si la gestion de mot de passe est faite avec les pieds:
* , # , @, \ , /, % par exemple, ont des significations particulières.
On peut ainsi avoir des cas ou le caractère spécial contenu dans un mot de passe est interprété lors de l’encodage, donnant un mot de passe encodé, qui lorqu ‘on le décode ne renvoie plus la bonne réponse.
Le 04/12/2019 à 15h48
Pensée “A faut un caractère spécial, donc je mets le premier qui me passe sous les doigts/par la tête”
Le 04/12/2019 à 16h10
Ah bah ça les radars c’est tellement utile pour tracker les déplacements des voitures. ^^
Le 04/12/2019 à 17h58
Le 05/12/2019 à 08h51
Le 05/12/2019 à 12h02
C’est vrai que déjà on l’ajoute à la fin du mot de passe, mais plus parce que l’interface nous dit qu’on a oublié un caractère spécial lors de la création du mot de passe. Compliqué d’être original.
En y réfléchissant, on est peut-être trop marqués par l’écriture du français, comme pour la tendance de mettre les majuscules au début.
Le 05/12/2019 à 12h40
Jcrois pas qu’ils aient encore l’accord avec Google pour l’avoir en temps réel comme ça. ;)
Ils ont la triangularisation par les antennes mais c’est pas très précis.
Et pour suivre le déplacement d’un véhicule tu as plus souvent la plaque que le numéro de téléphone du propriétaire (et faudrait que ce soit lui qui conduise).
Bon avec les gps dans les voitures ça viendra avec Android auto je pense. Un petit mail a Google et dans les 5 minutes ils ont accès a ton gps et aux futures cams dans ta voiture ca va être beau…
Le 05/12/2019 à 13h13
Le 04/12/2019 à 10h03
Merci la CNIL. :-)
Le 04/12/2019 à 10h12
“À défaut, l’État pourra être sanctionné au titre de l’article 20 de la loi Informatique et Libertés.”
Hein ? Je me mets une amende à moi-même que je récupère derrière ?
Le 04/12/2019 à 10h15
Ça laisse présager des “garanties” avancées par #BigBrotherBercy
À l’occas’ ça rappelle aux entités étatiques qu’ils ne sont pas au dessus des lois (enfin, en théorie) qu’ils prétendent faire respecter.
Par contre, dans l’article 20, je n’ai rien trouvé qui pourrait sanctionner l’État, il y a des mentions “A l’exception des cas où le traitement est mis en œuvre par l’Etat” à presque chaque ligne.
Le 04/12/2019 à 10h19
Ce n’est pas tout. La sécurité informatique de ces traitements a aussi été épinglée : « manque de robustesse des mots de passe de connexion à l’ETVM, traçabilité insatisfaisante des accès, gestion insuffisante des droits d’accès à l’application par le prestataire du ministère de l’Intérieur ». Les détails ont été fournis en annexe, mais celle-ci n’a pas été publiée (Next Inpact a réclamé le document).
" /> Next Inpact pourrait organiser un petit jeu concours du fameux mot de passe.
Je me lance avec un classique comme : admin. " />
Le 04/12/2019 à 10h26
Pourquoi je ne suis pas étonné….
Le 04/12/2019 à 10h28
7° A l’exception des cas où le traitement est mis en œuvre par l’Etat, une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l’article 83 du règlement (UE) 2016⁄679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d’euros et 4 % dudit chiffre d’affaires. La formation restreinte prend en compte, dans la détermination du montant de l’amende, les critères précisés au même article 83.
Le 04/12/2019 à 10h30
Non, pas d’amende dans ce cas si j’ai bien lu l’article de loi, mais l’État risque :
1° Un rappel à l’ordre ;
2° Une injonction de mettre en conformité le traitement (…)
Les autres mesures listées par l’article 20 ne me semble pas applicables à l’État, en particulier parce que le traitement est “à des fins de prévention et de détection des infractions pénales”.
Donc Castaner doit être terrorisé.
Par contre, je veux bien que quelqu’un plus fort que moi en droit confirme ou infirme.
Le 04/12/2019 à 10h45
Je te confirme : Castaner est terrorisé
D’ailleurs c’est surement pour ça qu’ils gardent les photos des terroristes potentiels qui s’enfuient à basse vitesse pour ne pas être repérés
" />
Le 04/12/2019 à 10h49
Heureux de voir l’Etat à nouveau dans le collimateur de la CNIL, avec les GAFAS de l’époque qu’étaient les compagnies d’assurance, c’était la raison d’être de la CNIL.
Le 05/12/2019 à 16h57
Si je ne m’abuse, le mot de passe encodé étant hashé (si le boulot est bien fait), on ne compare pas la version “décodée” mais bien les 2 hash avec la même fonction d’encodage donc les caractères spéciaux ne posent pas de problème.
Le 06/12/2019 à 01h31
Le 06/12/2019 à 14h46
Le 07/12/2019 à 05h18
azerty
12345678
P@55w0rD
Je vais bien finir par le trouver ce mot de passe à la noix. @_@’
Le 07/12/2019 à 15h13
Toutes ces informations sont des données personnelles, même les numéros de plaque d’immatriculation tronqués.
On pourrait donc s’intéresser aux parkings privés qui scannent la plaque à l’entrée pour établir le temps de stationnement en sortie, sans consentement du proprio de la voiture…
Le 10/12/2019 à 00h06
C’est recommandé en fait…. Le privé dans l’immense majorité des cas est invité à prendre appui sur l’état.
On a seulement régressé (suite à la crise économique) en précisant que la granulométrie de l’identité c’est mieux (et moins cher) que celle du béton.
Le gain (ou le grain…) n’est pas particulièrement intéressant. C’est d’ailleurs étonnant que des acteurs privés qui, il y a 40 ans, râlaient bec et ongles contre la fonction publique, y trouvent aujourd’hui un caractère rassérénant pour traiter leurs turpitudes alors l’état essaye de faire pareil pour contre-balancer… mais se plante systématiquement dans son rôle d’arbitre qu’il ne veut pas assumer franco.