• C'est la CNIL qui le dit

    Par korrigo dans Accueil le 11 Décembre 2012 à 20:00

    L'extrait ci-dessous provient du site internet de la CNIL à l'URL suivante :

    http://www.cnil.fr/la-cnil/ip/actualite-innovation-et-prospective/article/la-tracabilite-des-deplacements/

    ------------------------------------------------------------------------------------------------

    La traçabilité des déplacements

    Un nombre croissant de réseaux de transport collectifs utilisent des cartes à puce afin d’y stocker les titres de transport et des informations liées à leurs détenteurs. Ces dispositifs dénommés « applications billettiques » mémorisent les trajets des usagers et soulèvent donc des interrogations au regard de la liberté d’aller et venir et du droit à la vie privée.

    La modernisation des transports collectifs a conduit de nombreuses sociétés à proposer de nouveaux titres de transport à leurs usagers, reposant sur l’utilisation de cartes nominatives, magnétiques ou à puce, en vue de faciliter l’accès et les déplacements des voyageurs et de leur proposer des services complémentaires.

    La CNIL a eu à plusieurs reprises l’occasion de se prononcer sur la mise en œuvre de tels dispositifs, notamment dans le cadre de l’instruction du dossier présenté par la RATP concernant le passe billettique « Navigo », et a mené des missions de contrôles auprès de cinq sociétés de transports collectifs ayant recours à des applications similaires.

    L’utilisation de ces cartes nominatives entraîne la collecte des informations relatives aux trajets des usagers en entrée et quelques fois en sortie de réseau, ainsi que lors d’une correspondance. Sont ainsi mémorisés, tant sur la carte que dans l’ordinateur central de la société de transport, les date, heure et lieu des passages ainsi que le numéro de la carte utilisée.

    Dès lors, les déplacements des personnes utilisant ces cartes pouvant être reconstitués et n’étant plus anonymes, le traitement de ces information est de nature à porter atteinte tant à la liberté d’aller et venir qu’au droit à la vie privée.

    La CNIL a donc décidé d’émettre une recommandation afin que la collecte et le traitement d'informations nominatives par les sociétés de transports collectifs dans le cadre des applications billettiques soient conformes aux principes de la loi informatique et libertés du 6 janvier 1978.

    La CNIL préconise notamment que les données relatives aux déplacements des personnes ne soient utilisées sous une forme permettant d’identifier les usagers que dans le cadre de la lutte contre la fraude et que pendant le temps nécessaire à la détection de la fraude, ce délai ne devant pas excéder deux jours consécutifs.

    -----------------------------------------------------------------------------------------------

     

    Et le texte de référence est visualisable à l'URL ci-dessous :

    http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/10/

     

    -----------------------------------------------------------------------------------------------

    Délibération n°03-038 du 16 Septembre 2003 portant adoption d'une recommandation relative à la collecte et au traitement d'informations nominatives par les societes de transports collectifs dans le cadre d' applications billettiques

    16 Septembre 2003 - Thème(s) : Déplacement

    La Commission nationale de l'informatique et des libertés ;

    Vu la convention du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

    Vu la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

    Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

    Vu le décret n°78-774 du 17 juillet 1978 modifié pris pour l'application de la loi du 6 janvier 1978 précitée ;

    Vu l'article 9 du code civil ;

    Vu les articles 226-16 à 226-24 du code pénal ;

    Après avoir entendu Monsieur Guy ROSIER, Commissaire, en son rapport et Madame Charlotte-Marie PITRAT, Commissaire du gouvernement, en ses observations.

    Formule les observations suivantes :

    La modernisation des transports collectifs a conduit de nombreuses sociétés à proposer de nouveaux titres de transport à leurs usagers, reposant sur l'utilisation de cartes nominatives, magnétiques ou à puce. Il en découle la mise en œuvre par ces sociétés de traitements automatisés d'informations nominatives, au sens de l'article 5 de la loi du 6 janvier 1978. Ces outils billettiques sont conçus pour faciliter l'accès et les déplacements des voyageurs et leur proposer des services complémentaires.

    La Commission constate que l'utilisation de ces cartes nominatives entraîne la collecte, à l'occasion de la validation, c'est-à-dire la présentation de la carte devant une borne de contrôle en entrée, sortie du réseau, ainsi qu'à l'occasion d'une correspondance, des trajets effectués par le titulaire. Vont ainsi être mémorisés, tant sur la carte que dans l'ordinateur central de la société de transport, les date, heure et lieu des passages ainsi que le numéro de carte utilisé. Or, ce numéro de carte est indirectement nominatif au sens de l'article 4 de la loi du 6 janvier 1978 car il rend possible l'identification du titulaire de la carte dont les coordonnées figurent dans le fichier clientèle.

    Dès lors, les traitements automatisés mis en œuvre pour assurer le bon fonctionnement de ces titres billettiques créent un risque sérieux en matière de protection des données personnelles. En effet, les déplacements des personnes utilisant ces cartes peuvent être reconstitués et ne sont plus anonymes, ce qui est de nature à porter atteinte tant à la liberté, fondamentale et constitutionnelle, d'aller et venir, qu'au droit à la vie privée qui constitue également un principe de valeur constitutionnelle.

    La Commission nationale de l'informatique et des libertés, qui est chargée de veiller à ce que l'informatique ne porte atteinte ni à la vie privée ni aux libertés individuelles ou publiques, considère qu'il y a lieu d'attacher un soin particulier à la mise en œuvre de tels traitements.

    Cette recommandation est applicable quelle que soit la forme sous laquelle les informations relatives aux déplacements des personnes sont conservées, qu'il s'agisse de traitements automatisés d'informations nominatives ou de fichiers manuels ou mécanographiques.

    Recommande :

    Sur les finalités du traitement

    En application de l'article 5 b) et c) de la convention du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel : « Les données à caractère personnel faisant l'objet d'un traitement automatisé sont (…) enregistrées pour des finalités déterminées et légitimes et ne sont pas utilisées de manière incompatible avec ces finalités, et sont (…) adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées ».

    Les finalités justifiant la mise en œuvre des traitements de billettique doivent être clairement indiquées et détaillées parmi les cinq catégories suivantes :

     

    • gestion des abonnements et délivrance des titres de transport

    • gestion des opérations de contrôle des titres de transport
    • gestion des opérations du service après vente

    Gestion et suivi des relations commerciales :

    • gestion des offres commerciales (partenariats, personnalisation des offres, …)
    • gestion des programmes de fidélisation

    Gestion de la fraude :

    • détection de la contrefaçon et de la fraude technologique
    • instruction des dossiers de fraude technologique
    • gestion des cartes mises en liste noire suite à une perte ou un vol
    • gestion des cartes mises en liste noire suite à la détection d'un usage abusif
    • gestion des cartes mises en liste noire suite à un incident de paiement

    Analyses statistiques d'utilisation des réseaux :

    • analyses statistiques du trafic
    • analyses statistiques de la nature des titres de transport délivrés
    • analyses statistiques d'utilisation par type de titres de transport

    Mesure de la qualité du fonctionnement du système :

    • analyses des problèmes techniques liés à la carte
    • analyses des problèmes techniques liés aux valideurs
    • détection des anomalies fonctionnelles du système d'information

    Sur la nature des informations collectées

    La collecte et le traitement des données relatives aux déplacements des personnes, sous la forme de la date, de l'heure et du lieu de la validation du titre de transport via une borne de contrôle en entrée ou sortie du réseau de transport, sont susceptibles de porter atteinte à la liberté d'aller et venir et au droit à la vie privée lorsque ces données sont associées à un élément permettant d'identifier la personne concernée, en l'occurrence le numéro de la carte.

    Les traitements appliqués aux données relatives aux déplacements des personnes devraient donc être anonymisés, à l'exception de ce qui relève de la gestion de la lutte contre la fraude.

    En toute hypothèse, il est hautement souhaitable que la possibilité de circuler de façon anonyme, au moyen d'un titre billettique ou non, soit maintenue.

    Le nombre d'événements de validation enregistrés dans la carte, qui varie actuellement entre deux et six, devrait, à l'occasion du passage à la prochaine génération de carte, être limité à quatre.

    La collecte de la photographie devant figurer sur le support du titre de transport doit être accompagnée de la possibilité, pour l'usager, de s'opposer à sa conservation, sous une forme numérique.

    Sur la durée de conservation des données relatives aux déplacements des personnes dans le cadre de la lutte contre la fraude

    Il paraît nécessaire de distinguer deux délais, selon qu'il s'agit de détecter la fraude dans l'ensemble des cartes utilisées ou, une fois qu'une fraude est détectée, d'en traiter les suites.

    Les données relatives aux déplacements des personnes, sous la forme d'une indication de la date, de l'heure et du lieu, associées à un élément permettant d'identifier la personne à laquelle elles sont rattachées, tels un numéro de carte, ne devraient être conservées que le temps nécessaire à la détection de la fraude. Ce délai ne devrait pas excéder deux jours consécutifs y compris le délai de sauvegarde.

    Suite à la détection d'une fraude, les données susmentionnées ne devraient être conservées que le temps de déterminer s'il s'agit d'une fraude avérée et dans un tel cas, le temps de l'instruction de l'affaire par les autorités judiciaires.

    Sur l'information des personnes concernées

    En application des articles 26 et 27 de la loi du 6 janvier 1978, toute personne peut s'opposer, pour des raisons légitimes, à ce que des informations nominatives la concernant fassent l'objet d'un traitement et doit être informée de ses droits d'accès et de rectification. En outre, l'article 10 de la directive européenne "protectiondes données personnelles" (directive 95/46/CE) du 24 octobre 1995 dispose que les personnes dont les données à caractère personnel font l'objet du traitement doivent également être informées de l'identité du responsable du traitement ainsi que des finalités du traitement auquel les données sont destinées.

    Dès lors, les personnes concernées par les traitements billettiques doivent être informées que des données relatives à leurs déplacements sont collectées, les finalités de traitements mis en œuvre doivent leur être précisées et la possibilité d'utiliser des titres de transports anonymes doit être portée à leur connaissance.

    Les personnes concernées doivent également être informées des destinataires des données, notamment dans le cadre d'une intermodalité développée entre différents réseaux de transports.

    Sur le droit d'accès et de rectification

    Toute personne utilisant une carte nominative doit être clairement informée des modalités d'exercice du droit d'accès et obtenir toutes les informations la concernant, qu'elles se situent dans le système central ou au sein de la carte.

    Le droit d'accès s'applique à l'ensemble des informations relatives à la personne, qu'il s'agisse d'informations collectées directement auprès des personnes concernées ou d'informations éventuellement collectées auprès de tiers.

    Sur les formalités préalables à l'automatisation

    En application des articles 15 et 16 de la loi du 6 janvier 1978, les traitements automatisés d'informations nominatives mis en oeuvre par les entreprises de transports collectifs doivent préalablement faire l'objet d'une demande d'avis, en cas de délégation de service public ou d'une déclaration ordinaire dans les autres cas, auprès de la Commission nationale de l'informatique et des libertés, l'omission de ces formalités préalables étant passible des sanctions prévues à l'article 226-16 du code pénal.


    Sur les mesures de sécurité et de confidentialité

    En application des articles 29 et 45 de la loi du 6 janvier 1978, les entreprises de transports collectifs ordonnant ou effectuant un traitement d'informations nominatives s'engagent, vis-à-vis des personnes concernées, à prendre toutes mesures utiles afin de préserver la sécurité et la confidentialité des informations et notamment d'empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés.

    S'agissant des données enregistrées au sein même de la carte, qu'elle soit à puce ou magnétique, le responsable du traitement doit mettre en œuvre les moyens nécessaires afin de s'assurer que, en dehors des nécessités de contrôle du titre de transport, seul le titulaire de ce titre a accès à ces données.

    Sur les dispositions particulières à prendre en cas de mise en œuvre d'un traitement mutualisé par plusieurs transporteurs relatif à la détection de la fraude et à la gestion des pertes ou vols des supports des titres de transport

    Les personnes concernées doivent être informées au moment de la collecte des données

    • de l'existence du traitement mis en oeuvre,
    • de sa finalité,
    • des destinataires des données et
    • de l'existence d'un droit d'accès et de rectification.

    Les motifs d'inscription dans le fichier doivent être objectifs, clairs et prédéterminés.

    Une gestion rigoureuse des habilitations et des contrôles d'accès (codes de 6 à 8 caractères alphanumériques) afin de se prémunir contre les risques d'intrusion et de détournement, ainsi que la définition d'algorithmes de chiffrement avancés (norme SSL 128 bits) devraient être mis en place.

    Ces mêmes recommandations s'appliquent à la mise en œuvre d'un traitement mutualisé d'incidents de paiement. Dans un tel cas, seules les créances présentant un caractère certain devraient faire l'objet d'une inscription et les cas de contestation sérieuse et étayée devraient suspendre l'inscription ou au minimum être signalés par un astérisque.

    De même, l'inscription devrait être précédée par une notification préalable accompagnée d'un délai de régularisation permettant d'éviter l'inscription dans une telle base de données.

    Le Présiden,

    Michel GENTOT


    votre commentaire