• Home  / 
  • DELIBERATION 04-020

DELIBERATION 04-020

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Saisie pour avis, en application de l'article 15 de la loi du 6 janvier 1978, par la Régie Autonome des Transports Parisiens (RATP), d'un projet d'acte réglementaire portant création d'un traitement ayant pour finalité l'exploitation des données de validation des passes "Navigo" ;

Vu la Convention européenne de sauvegarde des Droits de l'homme et des libertés fondamentales du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive n° 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation des données ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés et le décret n° 78-774 du 17 juillet 1978 pris pour son application ;

Vu la délibération n° 03-008 de la Commission nationale de l'informatique et des libertés relative à la mise en oeuvre par la RATP d'un traitement automatisé d'informations nominatives ayant pour finalité l'exploitation des données de validation des passes "Navigo" ;

Vu la délibération n° 03-038 de la Commission nationale de l'informatique et des libertés portant recommandation relative à la collecte et au traitement d'informations nominatives par les sociétés de transports collectifs dans le cadre d'applications billettiques ;

Après avoir entendu M. Guy ROSIER, commissaire, en son rapport, et Mme Charlotte-Marie PITRAT, commissaire du Gouvernement, en ses observations ;

Formule les observations suivantes :

Le passe "Navigo" est un système de billettique qui s'inscrit dans le contexte de la généralisation de la billettique en Ile-de-France, devant à terme être mise en oeuvre par toutes les entreprises de transports collectifs de la région, sous le pilotage du syndicat des transports d'Ile de France (STIF). Il s'agit d'une carte à puce permettant le passage des contrôles d'accès "sans contact" grâce à une transmission radio. La télétransmission des données s'effectue à distance, lorsque l'on approche la carte de la cible de validation repérée sur les tourniquets et portillons.

La diffusion du passe sans contact Navigo doit s'échelonner jusqu'en 2007, avec trois phases principales : conversion, initiée dès 2002, des abonnements annuels de type carte "Intégrale" et carte "Imagine R" réservée aux moins de 26 ans, puis celle des abonnements mensuels et hebdomadaires d'ici 2004 et enfin celle des billets à la journée et carnets d'ici 2007.

La RATP indique qu'il s'agit d'assurer les opérations d'après-vente et le contrôle des titres transport, de mesurer la qualité du fonctionnement du système en vue d'en améliorer le fonctionnement, d'établir des statistiques d'utilisation des réseaux, de détecter la contrefaçon éventuelle des titres de transport et d'une manière générale toute fraude technologique.

Les données contenues dans le passe "Navigo" sont le numéro de série du passe et sa période de validité, le numéro d'abonnement, le type de contrat, sa validité temporelle et géographique, la date, l'heure et lieu des trois dernières validations et enfin, en cas de refus de validation, la date, l'heure, le lieu, et le motif du refus.

S'agissant des données remontant vers le système central, les valideurs, tourniquets et portillons communiquent les informations vers un serveur chargé de trier et redistribuer les données vers les différents serveurs du système central en fonction des traitements à appliquer. Ainsi, ce serveur reçoit les données relatives au numéro de série du passe, la date, l'heure, le lieu, le contrat concerné, l'authentifiant du passe, le type d'événement (entrée, sortie, correspondance, réseau) et le résultat de la validation.

Les destinataires des données diffèrent en fonction des traitements appliqués : d'une manière générale, il s'agit du responsable de l'ingénierie et de la maintenance, de la cellule surveillance de la fraude, des contrôleurs et des agents de guichet, ces derniers n'ayant accès qu'au numéro du passe et n'étant pas en mesure de faire la corrélation entre le numéro du passe et le numéro de dossier client contenant les informations nominatives.

Il n'est pas prévu de faire de rapprochement entre les historiques de validation des passes (numéro de passe et données de géolocalisation) et les porteurs propriétaires de ces passes.

Les traitements programmés pour la gestion des fraudes sont le contrôle de cohérence entre le numéro de contrat et le numéro de série de la carte, la vérification de la validité de l'authentifiant et le contrôle visant à identifier une utilisation anormale du passe.

Le système est paramétré afin d'invalider les cartes en cas de perte ou de vol de celles-ci, de cessation de paiement ou de duplication de la carte. Aucune action automatique ne découle d'un traitement informatique car toute invalidation de la carte appelle une intervention humaine.

La Commission a examiné le dossier de mise en oeuvre du passe "Navigo" le 27 février 2003 et a émis un avis favorable assorti de plusieurs réserves et demandes, devant conduire la RATP à présenter un nouveau dossier devant la Commission avant la fin de l'année 2003. C'est dans ce contexte que la RATP a adressé à la Commission le 21 octobre 2003 une nouvelle demande d'avis.

S'agissant du traitement portant sur les données de validation, les problèmes liés à la traçabilité, à l'anonymat des déplacements et à la mise sous surveillance d'une carte aux fins de suivre son porteur ont été résolus de la manière suivante dans la nouvelle version du dossier présenté par la RATP : le traitement indirectement nominatif des données relatives aux déplacements des individus est exclusivement limité à une finalité de lutte contre la fraude, la RATP ayant décidé de dissocier les données relatives au lieu de la validation du numéro de carte lors des traitements.

En effet, c'est uniquement dans le cadre du traitement de détection de la fraude que les données de validation, contenant des informations relatives aux déplacements des personnes, sont associées au numéro de carte, information indirectement nominative puisque pouvant être rattachée à l'identité d'un usager.

S'agissant des traitements statistiques, seules les données relatives au lieu de validation, à la date et au type de contrat sont utilisées, à l'exclusion de toute information directement ou indirectement nominative telle que le numéro de carte, ce qui apparaît satisfaisant au regard de la liberté d'aller et venir.

Afin de rendre impossible l'accès aux données relatives aux déplacements des personnes associées au numéro de la carte en dehors du traitement de la fraude, les conditions d'accès à ces données ont été renforcées et les données transitant sur le serveur chargé de la redistribution des données sont effacées en fin de journée qu'elles aient pu être redistribuées dans les différentes parties du système central ou non.

Enfin, s'il appartient à la RATP de déterminer le choix des moyens propres à améliorer la qualité du service public dont elle a la charge, le choix de ces moyens ne doit pas conduire à priver les usagers de la possibilité d'utiliser un service de transport public de manière anonyme, s'ils le souhaitent. A cet égard, la Commission considère que le fait d'imposer un coût supplémentaire pour les usagers faisant le choix d'une carte "orange" télébillettique déclarative, sans recueil d'information sur le porteur de la carte, remettrait en cause la possibilité d'aller et venir anonymement. Par conséquent, la Commission estime que le choix d'une carte "Orange" télébillettique déclarative ne doit pas s'accompagner d'un surcoût par rapport au choix d'une carte "Orange" télébillettique nominative.

S'agissant de la mise en oeuvre d'un "identifiant anonyme du passe", la RATP s'engage à recourir à une fonction de "hachage" dont l'objet est d'anonymiser les traitements et qui doit être définie par le Syndicat des transports d'Ile-de-France (STIF).

Pour tous les traitements, en dehors de la lutte contre la fraude, le numéro de série de la carte sera remplacé par un "identifiant anonyme du passe" calculé à partir du numéro de série de la carte et de l'authentifiant du passe inscrit en usine au moyen d'une fonction de "hachage" ne permettant pas le calcul inverse.

Le dispositif ainsi mis en oeuvre apparaît dès lors adapté et proportionné aux objectifs poursuivis par la RATP. Toutefois, la Commission devra être saisie d'une demande de conseil afin de pouvoir évaluer la fonction de "hachage" définie par le STIF. En outre, la RATP devra saisir la Commission d'une demande d'avis modificative à l'occasion de la mise en oeuvre de ce procédé d'anonymisation.

Emet un avis favorable au projet présenté sous réserve :

1. que l'article 1 du projet d'acte réglementaire soit rédigé de la façon suivante :

"Il est créé à la RATP un traitement automatisé d'informations nominatives relatif à la gestion des données de validation des titres de transport du "passe Navigo" dont les finalités sont :

. la gestion des titres de transport

- gestion des opérations de validation automatique des titres de transport

- gestion des opérations de contrôle des titres de transport par les personnels habilités de la RATP

- gestion des opérations d'après-vente

. la gestion de la fraude

- détection de la fraude éventuelle des titres de transport et d'une manière générale de toute fraude technologique

- invalidation des cartes déclarées perdues ou volées

- invalidation des contrats résiliés ou non prolongés,

. l'élaboration d'analyses statistiques d'utilisation des réseaux

. la mesure de la qualité de fonctionnement du système

- analyse des problèmes techniques liés à la carte

- analyse des problèmes techniques liés au valideur

- analyse des anomalies fonctionnelles du système d'information

2. que l'article 2 du projet d'acte réglementaire soit ainsi complété :

"Pour les traitements autres que la lutte contre la fraude, seules les données relatives à la date et au type de contrat sont utilisées, à l'exclusion de toute information directement ou indirectement nominative".

Prend acte de l'engagement de la RATP de procéder à une déclaration de modification du présent acte réglementaire une fois que la fonction de "hachage" aura été définie par le STIF et validée par la CNIL.

Le Président, Alex TURK

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: