L'attaque est aussi rare que douloureuse pour le ministère de l'Intérieur. Non seulement la Commission nationale de l'informatique et des libertés (Cnil) lui a adressé une mise en demeure sévère, mais elle s'est fendue d'un communiqué de presse au vitriol pour dénoncer les conditions de stockage des plaques d'immatriculation scannées par les radars tronçons. Ces derniers ne « flashent » pas les voitures en excès de vitesse : leurs bornes scannent les plaques des véhicules et calculent combien de temps ils mettent pour parcourir la distance entre deux points : si le délai est trop court, une contravention est dressée.

« Ces bornes sont équipées d'un système de lecture automatique de plaques d'immatriculation des véhicules (« LAPI ») qui lit les plaques, prend des clichés des véhicules et note l'heure exacte de passage », relève la Cnil. « Les radars tronçons collectent ainsi des données sur l'ensemble des véhicules qui circulent sur la section contrôlée, qu'ils soient ou non en infraction. Ces informations sont des données à caractère personnel », lit-on dans le communiqué. Problème : lors d'un contrôle sur l'infrastructure technique du système, la Cnil a constaté que l'historique des plaques est conservé beaucoup plus longtemps que prévu et que les conditions de stockage, notamment la sécurisation des accès, laissent largement à désirer.

La Cnil veut « purger » l'historique

« Le contrôle a permis de constater que les numéros des plaques d'immatriculation des véhicules n'ayant pas commis d'infraction sont conservés plus de treize mois pour les numéros complets, et plus de quatre ans pour les numéros tronqués de deux caractères, bien au-delà du délai de vingt-quatre heures prévu par l'arrêté », précise la Cnil. Le gendarme du respect de la vie privée réclame donc la mise en place d'un « mécanisme de purge » et la suppression du « stock de données qui ont été conservées plus longtemps que prévu ».

Par ailleurs, « la Cnil a constaté un manque de robustesse des mots de passe, une traçabilité insatisfaisante des accès et une gestion insuffisante des droits d'accès à l'application au niveau du prestataire du ministère ». Des erreurs inadmissibles pour cet outil de sécurité routière, qui peut facilement être détourné en machine de surveillance généralisée, et dont les garde-fous sont justement la suppression des données après vingt-quatre heures et la protection drastique des accès informatiques.

Menace de sanction

« Le ministère de l'Intérieur a trois mois pour se conformer à la loi informatique et libertés », précise le communiqué. L'autorité administrative indépendante, dont le budget est chaque année maintenu sous pression par le gouvernement, explique avoir rendu cette mise en demeure publique « compte tenu notamment du nombre particulièrement important de personnes susceptibles d'être impactées par (…) la collecte de données relatives (à leurs) déplacements ». Le texte s'achève sur une menace, qui laisse supposer que les échanges n'ont vraiment pas été fructueux entre la commission et la Place Beauvau : « Si le ministère ne se conforme pas à cette mise en demeure dans le délai imparti, la présidente saisira la formation restreinte de la Cnil, qui pourra prononcer une sanction. »

Contacté par Le Point, le ministère de l'Intérieur n'avait pas donné suite lors de la publication de cet article.