• Home  / 
  • DELIBERATION 03-008

DELIBERATION 03-008

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation des données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret n° 78-774 du du 17 juillet 1978, pris pour l'application de la loi susvisée ;

Vu la demande d'avis n° 826335 relative au traitement ayant pour finalité l'exploitation des données de validation des passes Navigo présenté par la RATP ;

Vu le projet d'acte réglementaire du résident-directeur général de la RATP portant création du traitement ;

Après avoir entendu Monsieur Guy Rosier, commissaire, en son rapport et Madame Catherine Pozzo di Borgo, commissaire adjoint du Gouvernement, en ses observations ;

FORMULE LES OBSERVATIONS SUIVANTES :

La RATP a saisi la Commission le 22 avril 2002 d'une demande d'avis concernant la mise en oeuvre d'un traitement de statistiques de validation et de détection de titres frauduleux dans le cadre du dispositif de télébillettique dénommé "Navigo". La Commission a examiné ce traitement lors de la séance plénière du 27 juin 2002 et a estimé devoir différer son avis définitif sur la demande dont elle était saisie, dans l'attente de compléments d'informations.

Ainsi à la suite de nombreux entretiens, la RATP a fait parvenir à la CNIL, le 5 novembre 2002, un dossier exposant les modifications proposées au traitement télébillettique "Navigo".

Le passe "Navigo" est un système de billettique qui s'inscrit dans le contexte de la généralisation de la télébillettique en Ile-de-France, devant à terme être mise en oeuvre par toutes les entreprises de transport en commun de la région, sous le pilotage du syndicat des transports d'Ile de France (STIF).

Il s'agit d'une carte à puce permettant le passage des contrôles d'accès "sans contact" grâce à une transmission radio. La télétransmission des données s'effectue à distance, lorsque l'on approche la carte de la cible de validation repérée sur les tourniquets et portillons. Ce titre de transport devrait, selon les responsables du projet, apporter une amélioration notable du service rendu aux voyageurs par l'utilisation du même passe quel que soit le transporteur (train, métro ou bus) et un passage plus fluide aux tourniquets, les usagers n'ayant plus à introduire un ticket.

La diffusion du passe sans contact Navigo doit s'échelonner jusqu'en 2007, avec trois phases principales : conversion, initiée dès 2002, des abonnements annuels de type carte "Intégrale" et carte "Imagine R" réservée aux moins de 26 ans, puis celle des abonnements mensuels et hebdomadaires d'ici 2004 et enfin celle des billets à la journée et carnets d'ici 2007.

Dans le cadre de cette généralisation, la RATP a saisi la Commission d'une demande d'avis qui, au delà de l'objectif ci-dessus rappelé, a pour finalité d'assurer les opérations d'après-vente et le contrôle des titres de transport, de mesurer la qualité du fonctionnement du système en vue d'en améliorer le fonctionnement, d'établir des statistiques d'utilisation des réseaux, de détecter la contrefaçon éventuelle des titres de transport et d'une manière générale toute fraude technologique.

Les données contenues dans le passe "Navigo" sont le numéro de série du passe et sa période de validité, le numéro d'abonnement, le type de contrat, sa validité temporelle et géographique, la date, l'heure et lieu des trois dernières validations, et enfin en cas de refus de validation, la date, l'heure, le lieu, et le motif du refus.

S'agissant des données remontant vers le système central, les valideurs, tourniquets et portillons communiquent les informations vers un serveur chargé de trier et redistribuer les données vers les différents serveurs du système central en fonction des traitements à appliquer. Ainsi, ce serveur reçoit les données relatives au numéro de série du passe, la date, l'heure, le lieu, le contrat concerné, l'authentifiant du passe, l'identifiant anonyme du passe, le type d'événement (entrée, sortie, correspondance, réseau) et le résultat de la validation.

Les destinataires des données diffèrent en fonction des traitements appliqués : d'une manière générale, il s'agit du responsable de l'ingénierie et de la maintenance, de la cellule surveillance de la fraude, des contrôleurs et des agents de guichet, ces derniers n'ayant accès qu'au numéro du passe et n'étant pas en mesure de faire la corrélation entre le numéro du passe et le numéro de dossier client contenant les informations nominatives.

Il n'est pas prévu de faire de rapprochement entre les historiques de validation des passes (numéro de passe et données de géolocalisation) et les porteurs propriétaires de ces passes.

Les traitements programmés pour la gestion des fraudes sont le contrôle de cohérence entre le numéro de contrat et le numéro de série de la carte, la vérification de la validité de l'authentifiant et le contrôle visant à identifier une utilisation anormale du passe.

Le système est paramétré afin d'invalider les cartes en cas de perte ou de vol de celles-ci, de cessation de paiement ou de duplication de la carte. Aucune action automatique ne découle d'un traitement informatique car toute invalidation de la carte appelle une intervention humaine.

S'agissant du traitement portant sur les données de validation, les problèmes liés à la traçabilité, à l'anonymat des déplacements et à la mise sous surveillance d'une carte aux fins de suivre son porteur ont été résolus de la manière suivante dans la nouvelle version du dossier présenté par la RATP : le traitement indirectement nominatif des données relatives aux déplacements des individus est exclusivement limité à une finalité de lutte contre la fraude, la RATP ayant, suite aux recommandations de la CNIL, décidé d'intégrer un identifiant anonyme du passe afin de rendre tous les autres traitements anonymes.

En effet, c'est uniquement dans le cadre du traitement de détection de la fraude que les données de validation, contenant des informations relatives aux déplacements des personnes, sont associées au numéro de carte, information indirectement nominative puisque pouvant être rattachée à l'identité d'un usager. Pour tous les autres traitements, le numéro de série de la carte est remplacé par un "identifiant anonyme du passe", à définir par le STIF, calculé à partir du numéro de série de la carte et de l'authentifiant du passe inscrit en usine au moyen d'une fonction de "hachage" ne permettant pas le calcul inverse.

Afin de rendre impossible l'accès aux données relatives aux déplacements des personnes associées au numéro de la carte en dehors du traitement de la fraude, les conditions d'accès à ces données ont été renforcées et les données transitant sur le serveur chargé de la redistribution des données sont effacées en fin de journée qu'elles aient pu être redistribuées dans les différentes parties du système central ou non.

Enfin, la RATP garantit que les usagers auront toujours la possibilité de continuer à voyager anonymement tout en bénéficiant d'un titre télébillettique.

S'agissant de l'adéquation du dispositif par rapport à la finalité de contrôle de la fraude, la Commission estime que cette préoccupation est légitime mais elle s'interroge toutefois sur la nécessité de faire remonter les informations relatives aux déplacements. Elle estime dès lors nécessaire qu'une étude de faisabilité soit réalisée sur la mise en place d'un procédé technique permettant d'éviter la remontée de telles informations.

Par ailleurs, au delà de la lutte contre la fraude et compte tenu des nombreuses expérimentations poursuivies par la RATP depuis 1992 en matière de "passe sans contact", il n'est pas douteux que cette solution technique est appelée à se développer en direction de partenariats de nature commerciale visant les usagers. Le traitement sur lequel se prononce la Commission ne traite aucunement de ces aspects qui feront l'objet d'une attention toute particulière de sa part.

S'agissant de la durée de conservation des données relatives aux déplacements, les données de validation associées au numéro de carte ne sont conservées qu'une journée plus une au maximum (J+1) et ceci dans la seule finalité d'un traitement de la fraude, tous les autres traitements étant anonymisés. Les informations relatives aux cartes ayant donné lieu à une alarme sont conservées deux semaines pour analyse et jusqu'à six mois en cas de fraude avérée, hors procédure à judiciaire.

Cette durée limitée à un jour plus un au maximum paraît de nature à empêcher les détournements de finalité.

S'agissant de la durée de conservation sur le passe lui-même, les données de validation s'écrasent au fur et à mesure et seuls les trois derniers déplacements sont lisibles sur le passe.

S'agissant de l'exercice du droit d'accès et conformément aux recommandations de la Commission, l'accès aux données contenues dans le passe s'effectuera désormais uniquement auprès des guichets de la RATP, ce qui permettra aux agents de la RATP de s'assurer, par un contrôle visuel, qu'ils délivrent les informations au véritable titulaire du passe "Navigo" dont la photo figure sur le passe.

Enfin, un accès aux données relatives aux " listes noires " est aménagé ; il s'exercera en s'adressant au département commercial de la RATP.

S'agissant de la période transitoire, la RATP prévoit une période transitoire jusqu'en fin 2003 en vue d'assurer une mise en oeuvre optimum du système, de procéder aux corrections nécessaires et permettre au Syndicat des transports d'Ile-de-France (STIF) de définir la fonction de "hachage" devant conduire, au plus tard, à partir de 2004, à anonymiser les traitements.

Pour faire suite aux recommandations de la Commission, la RATP a procédé à la modification des traitements envisagés pendant cette période. En effet, pour les traitements, autres que la lutte contre la fraude, nécessitant la remontée du numéro de carte, seule la date du trajet figurera dans le système, le lieu étant systématiquement occulté ce qui apparaît satisfaisant au regard de la liberté d'aller et venir, étant observé que, après la mise en place du "hachage", la donnée "lieu" sera uniquement collectée pour les relevés statistiques anonymes.

Le dispositif ainsi mis en oeuvre apparaît dès lors adapté et proportionné aux objectifs poursuivis par la RATP. Toutefois, la Commission souhaite pouvoir se prononcer à titre définitif à l'issue de la phase transitoire et devra donc être saisie d'un nouveau dossier avant la fin de l'année 2003.

EMET UN AVIS FAVORABLE au projet présenté sous réserve :

1. que l'article 1 du projet d'acte réglementaire précise que le traitement envisagé ne concerne que les abonnements annuels et est établi jusqu'à la fin de l'année 2003.

2. que soit précisé, à l'article 2 du projet d'acte réglementaire que l'exploitation de la mention "lieu" au titre des données contenues dans les systèmes centraux - transaction de validation - n'aura pas lieu, hormis pour le traitement de la fraude, pendant la phase transitoire (donc jusqu'à la fin de 2003) et ne sera effective qu'à compter de l'anonymisation des traitements.

DEMANDE :

1. que la Commission soit saisie dans les meilleurs délais d'une demande de conseil afin de pouvoir évaluer la fonction de "hachage" devant être définie par le STIF.

2. qu'une étude de faisabilité sur la mise en place d'un procédé technique permettant d'éviter la remontée dans les systèmes centraux d'informations relatives aux points d'entrée et de sortie des usagers soit réalisée.

3. qu'un bilan quantitatif et qualitatif soit établi sur les conditions de déploiement du passe sans contact Navigo à l'issue de la phase transitoire.

Le Président, Michel GENTOT.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: