Sécurité des données et traçabilité des actions.
Le responsable du traitement prend toutes précautions utiles pour préserver la sécurité et la confidentialité des données traitées et notamment pour empêcher qu'elles soient déformées, endommagées ou que des tiers non autorisés puissent en prendre connaissance.
En particulier, les accès aux traitements de données s'effectuent au moyen d'un identifiant et d'un mot de passe individuels, régulièrement renouvelés et d'un niveau de complexité adéquat, conformément à l'état de l'art et aux recommandations émises par la commission, ou par tout autre moyen d'authentification présentant un même niveau de fiabilité. Ces accès font l'objet d'une journalisation.
Les agents assermentés ainsi que les agents assermentés et agréés par le procureur de la République peuvent disposer d'un assistant électronique individuel, sous réserve que les garanties de sécurité suivantes soient apportées :
1. L'accès à l'assistant électronique individuel doit être protégé par un identifiant et un mot de passe individuels, régulièrement renouvelés et d'un niveau de complexité adéquat, conformément à l'état de l'art et aux recommandations émises par la commission, ou par tout autre moyen d'authentification présentant un même niveau de fiabilité.
2. Les données stockées sur l'assistant électronique individuel doivent être chiffrées conformément à l'état de l'art et aux recommandations émises par la commission.
3. Les échanges de données entre l'assistant électronique individuel et le fichier d'infractions doivent faire l'objet de mesures de chiffrement et d'authentification afin de garantir la confidentialité des données transmises, notamment lorsque celles-ci transitent par des réseaux sans fil ou ouverts au public.
4. L'assistant électronique individuel doit faire l'objet de mesures de sécurité permettant d'interdire toute extraction de données non autorisée.
5. Lorsque l'assistant électronique individuel est relié à une imprimante permettant l'impression de bulletins de régularisation ou de procès-verbaux, les modalités de transmission des données entre les appareils doivent garantir la confidentialité des données ainsi échangées, notamment en chiffrant les échanges de données et en authentifiant l'appareil destinataire. De plus, toute impression réalisée doit pouvoir être tracée.
6. Toute consultation du fichier d'infractions à des fins de constatation du délit d'habitude doit faire l'objet de mesures de traçabilité permettant d'imputer les interrogations du fichier à l'agent les ayant réalisées. Doivent ainsi être conservés, pendant six mois, l'identifiant de l'agent à l'origine de l'opération, l'horodatage de l'opération, ainsi que le détail de l'interrogation effectuée. La consultation n'est autorisée que sur la base de l'état civil complet (nom, prénom, date de naissance) des contrevenants, aucune consultation globale du fichier ne devant être possible :
― dans le cas où l'assistant électronique individuel est utilisé pour la détection du délit d'habitude via une interrogation à distance du fichier d'infractions, les traces de cette interrogation doivent être immédiatement enregistrées dans le fichier d'infractions. Des mesures d'authentification de l'appareil doivent également être mises en place et l'autorisation de consultation doit être révocable en cas de perte de l'appareil ;
― dans le cas où l'assistant électronique individuel est utilisé pour la détection du délit d'habitude via la consultation d'une copie locale du fichier d'infractions, les traces de l'interrogation doivent être enregistrées dans le fichier d'infractions central lors de la mise à jour quotidienne de la copie locale. L'accès à cette copie locale du fichier d'infractions doit être subordonné à la mise en place d'une authentification renforcée des agents assermentés, ainsi que de mesures visant à empêcher tout accès frauduleux aux données en cas de perte de l'appareil.