La protection des données personnelles n’est visiblement pas la priorité de la police judiciaire. À l’issue de contrôles effectués en 2019, la CNIL a constaté une série de manquements concernant le traitement des données du fichier automatisé des empreintes digitales (FAED). Celui-ci rassemble les empreintes digitales de plus de six millions de personnes, théoriquement mises en cause dans des procédures pénales, accompagnées de diverses informations (sexe, nom, prénom, nature de l’affaire, etc.).
Premier problème : le contrôle d’accès est beaucoup trop faible. Pour se connecter, les fonctionnaires de police n’ont besoin que d’un identifiant et d’un mot de passe de huit caractères, ce qui est ridiculement faible. Selon l’ANSSI, l’entropie d’un tel code secret est au mieux de 52 bits. Or, l’agence de sécurité considère que 64 bits est déjà « très faible ». Certes, ce fichier n’est accessible que depuis les locaux de la police judiciaire, mais la CNIL souligne que « de nombreuses personnes extérieures aux forces de police sont susceptibles de se trouver légitimement dans ces locaux (personnel d’entretien, avocats, médecins, etc.) ».
A découvrir aussi en vidéo :
La manière dont les données de ce fichier sont constituées et traitées n’est pas non plus dans les clous. La CNIL constate que le FAED ne respecte ni le périmètre des données autorisées ni la durée maximale de conservation. Par ailleurs, des données de personnes mises hors de cause ont également été trouvées dans cette base de données, alors qu’elles auraient dû être effacées. Enfin, les limiers de la CNIL ont également trouvé plusieurs millions d’anciennes fiches d’empreintes en papier qui n’ont plus lieu d’exister.
L’autorité a donc enjoint le ministère de l’Intérieur de revoir son fichier et de se mettre en conformité au plus tard le 31 décembre 2021, sauf pour la suppression des fiches en papier, qui doivent être supprimées d’ici au 31 décembre 2022.
Source: CNIL
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
