• Home  / 
  • DELIBERATION 03-038

DELIBERATION 03-038

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés ;

Vu la convention du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret n° 78-774 du 17 juillet 1978 modifié pris pour l'application de la loi du 6 janvier 1978 précitée ;

Vu l'article 9 du code civil ;

Vu les articles 226-16 à 226-24 du code pénal ;

Après avoir entendu Monsieur Guy ROSIER, Commissaire, en son rapport et Madame Charlotte-Marie PITRAT, Commissaire du gouvernement, en ses observations.

Formule les observations suivantes :

La modernisation des transports collectifs a conduit de nombreuses sociétés à proposer de nouveaux titres de transport à leurs usagers, reposant sur l'utilisation de cartes nominatives, magnétiques ou à puce. Il en découle la mise en oeuvre par ces sociétés de traitements automatisés d'informations nominatives, au sens de l'article 5 de la loi du 6 janvier 1978. Ces outils billettiques sont conçus pour faciliter l'accès et les déplacements des voyageurs et leur proposer des services complémentaires.

La Commission constate que l'utilisation de ces cartes nominatives entraîne la collecte, à l'occasion de la validation, c'est-à-dire la présentation de la carte devant une borne de contrôle en entrée, sortie du réseau, ainsi qu'à l'occasion d'une correspondance, des trajets effectués par le titulaire. Vont ainsi être mémorisés, tant sur la carte que dans l'ordinateur central de la société de transport, les date, heure et lieu des passages ainsi que le numéro de carte utilisé. Or, ce numéro de carte est indirectement nominatif au sens de l'article 4 de la loi du 6 janvier 1978 car il rend possible l'identification du titulaire de la carte dont les coordonnées figurent dans le fichier clientèle.

Dès lors, les traitements automatisés mis en oeuvre pour assurer le bon fonctionnement de ces titres billettiques créent un risque sérieux en matière de protection des données personnelles. En effet, les déplacements des personnes utilisant ces cartes peuvent être reconstitués et ne sont plus anonymes, ce qui est de nature à porter atteinte tant à la liberté, fondamentale et constitutionnelle, d'aller et venir, qu'au droit à la vie privée qui constitue également un principe de valeur constitutionnelle.

La Commission nationale de l'informatique et des libertés, qui est chargée de veiller à ce que l'informatique ne porte atteinte ni à la vie privée ni aux libertés individuelles ou publiques, considère qu'il y a lieu d'attacher un soin particulier à la mise en oeuvre de tels traitements.

Cette recommandation est applicable quelle que soit la forme sous laquelle les informations relatives aux déplacements des personnes sont conservées, qu'il s'agisse de traitements automatisés d'informations nominatives ou de fichiers manuels ou mécanographiques.

Recommande :

Sur les finalités du traitement

En application de l'article 5 b) et c) de la convention du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel : "Les données à caractère personnel faisant l'objet d'un traitement automatisé sont (...) enregistrées pour des finalités déterminées et légitimes et ne sont pas utilisées de manière incompatible avec ces finalités, et sont (...) adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées".

Les finalités justifiant la mise en oeuvre des traitements de billettique doivent être clairement indiquées et détaillées parmi les cinq catégories suivantes :

Délivrance et utilisation des titres de transport :

. gestion des abonnements et délivrance des titres de transport

. gestion des opérations de contrôle des titres de transport

. gestion des opérations du service après vente

Gestion et suivi des relations commerciales :

. gestion des offres commerciales (partenariats, personnalisation des offres, ...)

. gestion des programmes de fidélisation

Gestion de la fraude :

. détection de la contrefaçon et de la fraude technologique

. instruction des dossiers de fraude technologique

. gestion des cartes mises en liste noire suite à une perte ou un vol

. gestion des cartes mises en liste noire suite à la détection d'un usage abusif

. gestion des cartes mises en liste noire suite à un incident de paiement

Analyses statistiques d'utilisation des réseaux :

. analyses statistiques du trafic

. analyses statistiques de la nature des titres de transport délivrés

. analyses statistiques d'utilisation par type de titres de transport

Mesure de la qualité du fonctionnement du système :

. analyses des problèmes techniques liés à la carte

. analyses des problèmes techniques liés aux valideurs

. détection des anomalies fonctionnelles du système d'information

Sur la nature des informations collectées

La collecte et le traitement des données relatives aux déplacements des personnes, sous la forme de la date, de l'heure et du lieu de la validation du titre de transport via une borne de contrôle en entrée ou sortie du réseau de transport, sont susceptibles de porter atteinte à la liberté d'aller et venir et au droit à la vie privée lorsque ces données sont associées à un élément permettant d'identifier la personne concernée, en l'occurrence le numéro de la carte.

Les traitements appliqués aux données relatives aux déplacements des personnes devraient donc être anonymisés, à l'exception de ce qui relève de la gestion de la lutte contre la fraude.

En toute hypothèse, il est hautement souhaitable que la possibilité de circuler de façon anonyme, au moyen d'un titre billettique ou non, soit maintenue.

Le nombre d'événements de validation enregistrés dans la carte, qui varie actuellement entre deux et six, devrait, à l'occasion du passage à la prochaine génération de carte, être limité à quatre.

La collecte de la photographie devant figurer sur le support du titre de transport doit être accompagnée de la possibilité, pour l'usager, de s'opposer à sa conservation, sous une forme numérique.

Sur la durée de conservation des données relatives aux déplacements des personnes dans le cadre de la lutte contre la fraude

Il paraît nécessaire de distinguer deux délais, selon qu'il s'agit de détecter la fraude dans l'ensemble des cartes utilisées ou, une fois qu'une fraude est détectée, d'en traiter les suites.

Les données relatives aux déplacements des personnes, sous la forme d'une indication de la date, de l'heure et du lieu, associées à un élément permettant d'identifier la personne à laquelle elles sont rattachées, tels un numéro de carte, ne devraient être conservées que le temps nécessaire à la détection de la fraude. Ce délai ne devrait pas excéder deux jours consécutifs y compris le délai de sauvegarde.

Suite à la détection d'une fraude, les données susmentionnées ne devraient être conservées que le temps de déterminer s'il s'agit d'une fraude avérée et dans un tel cas, le temps de l'instruction de l'affaire par les autorités judiciaires.

Sur l'information des personnes concernées

En application des articles 26 et 27 de la loi du 6 janvier 1978, toute personne peut s'opposer, pour des raisons légitimes, à ce que des informations nominatives la concernant fassent l'objet d'un traitement et doit être informée de ses droits d'accès et de rectification. En outre, l'article 10 de la directive 95-46 du 24 octobre 1995 dispose que les personnes dont les données à caractère personnel font l'objet du traitement doivent également être informées de l'identité du responsable du traitement ainsi que des finalités du traitement auquel les données sont destinées.

Dès lors, les personnes concernées par les traitements billettiques doivent être informées que des données relatives à leurs déplacements sont collectées, les finalités de traitements mis en oeuvre doivent leur être précisées et la possibilité d'utiliser des titres de transports anonymes doit être portée à leur connaissance.

Les personnes concernées doivent également être informées des destinataires des données, notamment dans le cadre d'une intermodalité développée entre différents réseaux de transports.

Sur le droit d'accès et de rectification

Toute personne utilisant une carte nominative doit être clairement informée des modalités d'exercice du droit d'accès et obtenir toutes les informations la concernant, qu'elles se situent dans le système central ou au sein de la carte.

Le droit d'accès s'applique à l'ensemble des informations relatives à la personne, qu'il s'agisse d'informations collectées directement auprès des personnes concernées ou d'informations éventuellement collectées auprès de tiers.

Sur les formalités préalables à l'automatisation

En application des articles 15 et 16 de la loi du 6 janvier 1978, les traitements automatisés d'informations nominatives mis en oeuvre par les entreprises de transports collectifs doivent préalablement faire l'objet d'une demande d'avis, en cas de délégation de service public ou d'une déclaration ordinaire dans les autres cas, auprès de la Commission nationale de l'informatique et des libertés, l'omission de ces formalités préalables étant passible des sanctions prévues à l'article 226-16 du code pénal.

Sur les mesures de sécurité et de confidentialité

En application des articles 29 et 45 de la loi du 6 janvier 1978, les entreprises de transports collectifs ordonnant ou effectuant un traitement d'informations nominatives s'engagent, vis-à-vis des personnes concernées, à prendre toutes mesures utiles afin de préserver la sécurité et la confidentialité des informations et notamment d'empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés.

S'agissant des données enregistrées au sein même de la carte, qu'elle soit à puce ou magnétique, le responsable du traitement doit mettre en oeuvre les moyens nécessaires afin de s'assurer que, en dehors des nécessités de contrôle du titre de transport, seul le titulaire de ce titre a accès à ces données.

Sur les dispositions particulières à prendre en cas de mise en oeuvre d'un traitement mutualisé par plusieurs transporteurs relatif à la détection de la fraude et à la gestion des pertes ou vols des supports des titres de transport

Les personnes concernées doivent être informées au moment de la collecte des données de l'existence du traitement mis en oeuvre, de sa finalité, des destinataires des données et de l'existence d'un droit d'accès et de rectification.

Les motifs d'inscription dans le fichier doivent être objectifs, clairs et prédéterminés.

Une gestion rigoureuse des habilitations et des contrôles d'accès (codes de 6 à 8 caractères alphanumériques) afin de se prémunir contre les risques d'intrusion et de détournement, ainsi que la définition d'algorithmes de chiffrement avancés (norme SSL 128 bits) devraient être mis en place.

Ces mêmes recommandations s'appliquent à la mise en oeuvre d'un traitement mutualisé d'incidents de paiement. Dans un tel cas, seules les créances présentant un caractère certain devraient faire l'objet d'une inscription et les cas de contestation sérieuse et étayée devraient suspendre l'inscription ou au minimum être signalés par un astérisque.

De même, l'inscription devrait être précédée par une notification préalable accompagnée d'un délai de régularisation permettant d'éviter l'inscription dans une telle base de données.

Le Président, Michel GENTOT.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: