Délibération n° 2003-38 du 16 septembre 2003 portant adoption d'une recommandation relative à la collecte et au traitement d'informations nominatives par les sociétés de transports collectifs dans le cadre d'applications billettiques

J.O. 255 du 4 novembre 2003 J.O. disponibles Alerte par mail Lois,décrets codes AdmiNet

Texte paru au JORF/LD page 18786
Ce document peut également être consulté sur le site officiel Legifrance

Délibération n° 2003-38 du 16 septembre 2003 portant adoption d'une recommandation relative à la collecte et au traitement d'informations nominatives par les sociétés de transports collectifs dans le cadre d'applications billettiques

NOR : CNIX0306907X

La Commission nationale de l'Informatique et des Libertés,

Vu la convention du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46 /CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret no 78-774 du 17 juillet 1978 modifié pris pour l'application de la loi du 6 janvier 1978 précitée ;

Vu l'article 9 du code civil ;

Vu les articles 226-16 à 226-24 du code pénal ;

Après avoir entendu M. Guy Rosier, commissaire, en son rapport et Mme Charlotte-Marie Pitrat, commissaire du Gouvernement, en ses observations,

Formule les observations suivantes :

La modernisation des transports collectifs a conduit de nombreuses sociétés à proposer de nouveaux titres de transport à leurs usagers, reposant sur l'utilisation de cartes nominatives, magnétiques ou à puce. Il en découle la mise en oeuvre par ces sociétés de traitements automatisés d'informations nominatives, au sens de l'article 5 de la loi du 6 janvier 1978. Ces outils billettiques sont conçus pour faciliter l'accès et les déplacements des voyageurs et leur proposer des services complémentaires.

La commission constate que l'utilisation de ces cartes nominatives entraîne la collecte, à l'occasion de la validation, c'est-à-dire la présentation de la carte devant une borne de contrôle en entrée, sortie du réseau ainsi que, à l'occasion d'une correspondance, des trajets effectués par le titulaire. Vont ainsi être mémorisés, tant sur la carte que dans l'ordinateur central de la société de transport, les dates, heures et lieux des passages ainsi que le numéro de carte utilisé. Or, ce numéro de carte est indirectement nominatif au sens de l'article 4 de la loi du 6 janvier 1978 car il rend possible l'identification du titulaire de la carte dont les coordonnées figurent dans le fichier clientèle.

Dès lors, les traitements automatisés mis en oeuvre pour assurer le bon fonctionnement de ces titres billettiques créent un risque sérieux en matière de protection des données personnelles. En effet, les déplacements des personnes utilisant ces cartes peuvent être reconstitués et ne sont plus anonymes, ce qui est de nature à porter atteinte tant à la liberté, fondamentale et constitutionnelle, d'aller et venir qu'au droit à la vie privée, qui constitue également un principe de valeur constitutionnelle.

La Commission nationale de l'Informatique et des Libertés, qui est chargée de veiller à ce que l'informatique ne porte atteinte ni à la vie privée ni aux libertés individuelles ou publiques, considère qu'il y a lieu d'attacher un soin particulier à la mise en oeuvre de tels traitements.

Cette recommandation est applicable quelle que soit la forme sous laquelle les informations relatives aux déplacements des personnes sont conservées, qu'il s'agisse de traitements automatisés d'informations nominatives ou de fichiers manuels ou mécanographiques.

Recommande :

Sur les finalités du traitement :

En application de l'article 5 (b et c) de la convention du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel : « Les données à caractère personnel faisant l'objet d'un traitement automatisé sont [...] enregistrées pour des finalités déterminées et légitimes et ne sont pas utilisées de manière incompatible avec ces finalités, et sont [...] adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées. »

Les finalités justifiant la mise en oeuvre des traitements de billettique doivent être clairement indiquées et détaillées parmi les cinq catégories suivantes :

Délivrance et utilisation des titres de transport :

- gestion des abonnements et délivrance des titres de transport ;

- gestion des opérations de contrôle des titres de transport ;

- gestion des opérations du service après-vente.

Gestion et suivi des relations commerciales :

- gestion des offres commerciales (partenariats, personnalisation des offres...) ;

- gestion des programmes de fidélisation.

Gestion de la fraude :

- détection de la contrefaçon et de la fraude technologique ;

- instruction des dossiers de fraude technologique ;

- gestion des cartes mises en liste noire suite à une perte ou un vol ;

- gestion des cartes mises en liste noire suite à la détection d'un usage abusif ;

- gestion des cartes mises en liste noire suite à un incident de paiement.

Analyses statistiques d'utilisation des réseaux :

- analyses statistiques du trafic ;

- analyses statistiques de la nature des titres de transport délivrés ;

- analyses statistiques d'utilisation par type de titres de transport.

Mesure de la qualité du fonctionnement du système :

- analyses des problèmes techniques liés à la carte ;

- analyses des problèmes techniques liés aux valideurs ;

- détection des anomalies fonctionnelles du système d'information.

Sur la nature des informations collectées :

La collecte et le traitement des données relatives aux déplacements des personnes, sous la forme de la date, de l'heure et du lieu de la validation du titre de transport via une borne de contrôle en entrée ou sortie du réseau de transport, sont susceptibles de porter atteinte à la liberté d'aller et venir et au droit à la vie privée lorsque ces données sont associées à un élément permettant d'identifier la personne concernée, en l'occurrence le numéro de la carte.

Les traitements appliqués aux données relatives aux déplacements des personnes devraient donc être anonymisés, à l'exception de ce qui relève de la gestion de la lutte contre la fraude.

En toute hypothèse, il est hautement souhaitable que la possibilité de circuler de façon anonyme, au moyen d'un titre billetique ou non, soit maintenue.

Le nombre d'événements de validation enregistrés dans la carte, qui varie actuellement entre deux et six, devrait, à l'occasion du passage à la prochaine génération de carte, être limité à quatre.

La collecte de la photographie devant figurer sur le support du titre de transport doit être accompagnée de la possibilité, pour l'usager, de s'opposer à sa conservation, sous une forme numérique.

Sur la durée de conservation des données relatives aux déplacements des personnes dans le cadre de la lutte contre la fraude :

Il paraît nécessaire de distinguer deux délais, selon qu'il s'agit de détecter la fraude dans l'ensemble des cartes utilisées ou, une fois qu'une fraude est détectée, d'en traiter les suites.

Les données relatives aux déplacements des personnes, sous la forme d'une indication de la date, de l'heure et du lieu, associées à un élément permettant d'identifier la personne à laquelle elles sont rattachées, tel un numéro de carte, ne devraient être conservées que le temps nécessaire à la détection de la fraude. Ce délai ne devrait pas excéder deux jours consécutifs, y compris le délai de sauvegarde.

Suite à la détection d'une fraude, les données susmentionnées ne devraient être conservées que le temps de déterminer s'il s'agit d'une fraude avérée et dans un tel cas le temps de l'instruction de l'affaire par les autorités judiciaires.

Sur l'information des personnes concernées :

En application des articles 26 et 27 de la loi du 6 janvier 1978, toute personne peut s'opposer, pour des raisons légitimes, à ce que des informations nominatives la concernant fassent l'objet d'un traitement, et doit être informée de ses droits d'accès et de rectification. En outre, l'article 10 de la directive 95-46 du 24 octobre 1995 dispose que les personnes dont les données à caractère personnel font l'objet du traitement doivent également être informées de l'identité du responsable du traitement ainsi que des finalités du traitement auquel les données sont destinées.

Dès lors, les personnes concernées par les traitements billetiques doivent être informées que des données relatives à leurs déplacements sont collectées, les finalités de traitements mis en oeuvre doivent leur être précisées et la possibilité d'utiliser des titres de transport anonymes doit être portée à leur connaissance.

Les personnes concernées doivent également être informées des destinataires des données, notamment dans le cadre d'une intermodalité développée entre différents réseaux de transports.

Sur le droit d'accès et de rectification :

Toute personne utilisant une carte nominative doit être clairement informée des modalités d'exercice du droit d'accès et obtenir toutes les informations la concernant, qu'elles se situent dans le système central ou au sein de la carte.

Le droit d'accès s'applique à l'ensemble des informations relatives à la personne, qu'il s'agisse d'informations collectées directement auprès des personnes concernées ou d'informations éventuellement collectées auprès de tiers.

Sur les formalités préalables à l'automatisation :

En application des articles 15 et 16 de la loi du 6 janvier 1978, les traitements automatisés d'informations nominatives mis en oeuvre par les entreprises de transports collectifs doivent préalablement faire l'objet d'une demande d'avis, en cas de délégation de service public ou d'une déclaration ordinaire dans les autres cas, auprès de la Commission nationale de l'Informatique et des Libertés, l'omission de ces formalités préalables étant passible des sanctions prévues à l'article 226-16 du code pénal.

Sur les mesures de sécurité et de confidentialité :

En application des articles 29 et 45 de la loi du 6 janvier 1978, les entreprises de transports collectifs ordonnant ou effectuant un traitement d'informations nominatives s'engagent, vis-à-vis des personnes concernées, à prendre toutes mesures utiles afin de préserver la sécurité et la confidentialité des informations, et notamment d'empêcher qu'elles soient déformées, endommagées ou communiquées à des tiers non autorisés.

S'agissant des données enregistrées au sein même de la carte, qu'elle soit à puce ou magnétique, le responsable du traitement doit mettre en oeuvre les moyens nécessaires afin de s'assurer que, en dehors des nécessités de contrôle du titre de transport, seul le titulaire de ce titre a accès à ces données.

Sur les dispositions particulières à prendre en cas de mise en oeuvre d'un traitement mutualisé par plusieurs transporteurs relatif à la détection de la fraude et à la gestion des pertes ou vols des supports des titres de transport :

Les personnes concernées doivent être informées au moment de la collecte des données de l'existence du traitement mis en oeuvre, de sa finalité, des destinataires des données et de l'existence d'un droit d'accès et de rectification.

Les motifs d'inscription dans le fichier doivent être objectifs, clairs et prédéterminés.

Une gestion rigoureuse des habilitations et des contrôles d'accès (codes de 6 à 8 caractères alphanumériques) afin de se prémunir contre les risques d'intrusion et de détournement ainsi que la définition d'algorithmes de chiffrement avancés (norme SSL 128 bits) devraient être mis en place.

Ces mêmes recommandations s'appliquent à la mise en oeuvre d'un traitement mutualisé d'incidents de paiement. Dans un tel cas, seules les créances présentant un caractère certain devraient faire l'objet d'une inscription et les cas de contestation sérieuse et étayée devraient suspendre l'inscription ou au minimum être signalés par un astérisque.

De même, l'inscription devrait être précédée par une notification préalable accompagnée d'un délai de régularisation permettant d'éviter l'inscription dans une telle base de données.

Le président,

M. Gentot