Commission nationale de l’informatique et des libertés
r
présenté en séance plénière
le 16 septembre 2003
Rapport d’ensemble sur les contrôles effectués auprès de
cinq sociétés de transport en commun mettant en oeuvre
des applications billettiques
Rapporteur
Rédacteur(s) :
DOC Définitif Contrôle billettique Mise à jour : 10/9/2003 DECO /
C:\Users\ff\AppData\Local\Microsoft\Windows\INetCache\Content.Outlook\2FSGPXQJ\20161215_Rapport SP_Rapport d'ensemble sur les
contrôles effectués auprès de cinq sociétés de transport en commun mettant en oeuvre des applications billettiques_VD (3).doc
1 / 8
Commission nationale de l’informatique et des libertés
Sommaire
I. LES INFORMATIONS COLLECTEES ET LES FINALITES DE
TRAITEMENTS ...................................................................................................................... 3
A. traitement des données de validation ............................................................................. 3
B. Les diverses finalités de traitements ............................................................................... 4
1. Les finalités assignées au traitement des données de validation ................................ 4 2. L’anonymisation des traitements statistiques ............................................................. 4 3. La mise en œuvre d’une liste noire et la détection de la fraude et la gestion des
pertes ou vols des titres de transport .......................................................................... 5
4. La mise en œuvre d’une liste noire relative aux incidents de paiement ...................... 5
II.
L’ANALYSE COMPORTEMENTALE DE LA CLIENTELE ET LA
GESTION DE « PROFILS CLIENTS » ................................................................................ 5
A. La gestion de profils clients et les croisements des données ......................................... 5
B. L’utilisation d’une liste de personnes bénéficiant des services du centre communal
d’action sociale ................................................................................................................. 6
III.
LES AUTRES OBSERVATIONS ........................................................................... 7
A. La durée de conservation des données ........................................................................... 7
B. Les mesures de sécurité et de confidentialité ................................................................. 7
C. L’information des personnes concernées ....................................................................... 8
D. Les formalités déclaratives .............................................................................................. 8
d
C:\Users\ff\AppData\Local\Microsoft\Windows\INetCache\Content.Outlook\2FSGPXQJ\20161215_Rapport SP_Rapport d'ensemble sur les
contrôles effectués auprès de cinq sociétés de transport en commun mettant en oeuvre des applications billettiques_VD (3).doc
2 / 8
Commission nationale de l’informatique et des libertés
A titre liminaire, il est à signaler que seule la Société Lyonnaise des Transports en Commun
(SLTC) a fait part de propositions de correction du compte rendu ou d'ajouts dont il importe
de lui donner acte1.
I.
Les informations collectées et les finalités des traitements
A. traitement des données de validation
Les missions de vérification sur place ont permis de constater que toutes les sociétés
contrôlées procèdent à la collecte et au traitement des données relatives aux déplacements des
personnes, à partir de la date, de l’heure et du lieu de la validation des titres de transport en
entrée du réseau de transport en commun. Ces informations sont associées à un élément
permettant d’identifier le titulaire du titre de transport, à savoir le plus souvent le numéro de la
carte.
Les comptes rendus adressés aux sociétés concernées relevaient en conséquence que la
collecte des données de validation était susceptible de constituer une atteinte à la liberté
d’aller et venir anonymement.
Après analyse des documents de réponse adressés par les sociétés contrôlées, seule la Société
d’Economie Mixte des transports Urbains de la Région de Valenciennes (SEMURVAL)
propose la mise en œuvre d’un procédé technique tendant à ne plus permettre de relier la
validation au porteur d’une carte : il s’agit de remplacer, dans le fichier comportant les
données de validation, le numéro de carte par un identifiant unique et anonyme entièrement
déconnecté du numéro de carte initial.
Pour leur part, deux sociétés font valoir les considérations suivantes : la Société Lyonnaise
des Transports en Commun (SLTC) fait observer qu’en l’absence d’indication du lieu de
sortie du réseau, il ne lui est pas possible de retracer l’intégralité d’un parcours et la Société
d’Economie Mixte des Transports Amiénois (SEMTA) précise que la notion de point d’arrêt
n’existe pas sur son réseau et qu’elle ne dispose que de l’information relative au numéro de
ligne.
1 Les autres sociétés de transport ont uniquement fait des observations sur les questions de fond.
C:\Users\ff\AppData\Local\Microsoft\Windows\INetCache\Content.Outlook\2FSGPXQJ\20161215_Rapport SP_Rapport d'ensemble sur les
contrôles effectués auprès de cinq sociétés de transport en commun mettant en oeuvre des applications billettiques_VD (3).doc
3 / 8
Commission nationale de l’informatique et des libertés
La SLTC indique également qu’elle ne peut connaître individuellement les trajets des
passagers étant donné que, d’une part, les données relatives aux clients et aux validations sont
partagées entre différents serveurs indépendants les uns des autres et que d’autre part, le
recoupement des informations permettant de relier une validation à un usager identifié ne peut
être effectué que manuellement par l’administrateur du système soumis à une obligation
formelle de confidentialité et ne pouvant agir que sur ordre du directeur général.
1. Les finalités assignées au traitement des données de validation
Les sociétés contrôlées indiquent procéder au traitement des données de validation associées
au numéro de carte afin de lutter contre la fraude, de permettre la reconstitution des cartes à la
suite d’une perte ou d’un vol, de développer et d’assurer la gestion des « cartes à jetons » pour
lesquelles le client paie à l’avance un nombre de tickets, ceux-ci étant débités au fur et à
mesure des validations. La Régie des Transports Marseillais (RTM) est la seule à ajouter
qu’elle procède à des offres commerciales reposant notamment sur l’analyse des données de
validation.
2. L’anonymisation des traitements statistiques
S’agissant des traitements à finalité statistique, les sociétés contrôlées soit ont signalé qu’ils
sont d’ores et déjà anonymes soit ont pris l’engagement de mettre en œuvre un algorithme de
hachage afin de les anonymiser pour l’avenir.
C:\Users\ff\AppData\Local\Microsoft\Windows\INetCache\Content.Outlook\2FSGPXQJ\20161215_Rapport SP_Rapport d'ensemble sur les
contrôles effectués auprès de cinq sociétés de transport en commun mettant en oeuvre des applications billettiques_VD (3).doc
4 / 8
Commission nationale de l’informatique et des libertés
3. La mise en œuvre d’une liste noire pour la détection de la fraude et la
gestion des pertes ou vols des titres de transport
Les missions de vérification sur place ont permis de constater que toutes les sociétés
contrôlées établissent une liste noire relative à la détection de la fraude et à la gestion des
pertes ou vols des titres de transport, alors que ces traitements n’étaient pas prévus dans les
demandes d’avis initiales.
Comme pour les autres sociétés la liste noire est établie à partir des seuls numéros de cartes
perdues ou volées. Il apparaît que les informations transmises aux valideurs, ne contiennent
qu’une liste partielle et régulièrement actualisée dans la mesure où les appareils ont des
capacités de stockage réduites. Les mécanismes de purge présentés apparaissent satisfaisants.
Il a été indiqué par la SEMIACS à Nice et la Société Lyonnaise des Transports en Commun
(SLTC) que lorsqu’une carte invalidée est présentée devant un valideur, le procédé technique
mis en œuvre entraîne l’interdiction définitive de la carte, ce qui permet ensuite de la
supprimer de la liste noire.
4. La mise en œuvre d’une liste noire relative aux incidents de paiement
Seule la Société Lyonnaise des Transports en Commun (SLTC) indique procéder à une
gestion des impayés. Les autres sociétés n’ont pas fait d’observations sur ce point.
II.
L’analyse comportementale de la clientèle et la gestion de
« profils clients »
A. La gestion de profils clients et les croisements des données
Il a été constaté que la Régie des Transports Marseillais (RTM) procède au « profilage » de sa
clientèle selon les thèmes « portefeuille / clients », « validations / clients », « ventes /
clients », « évènements / clients ». Il s’agit par exemple, de connaître pour un client donné le
type de titre de transport et d’analyser ses validations. Ces informations sont croisées avec les
données directement nominatives du client (ses nom, prénom, date de naissance) et avec
d’autres indirectement nominatives (code quartier ou collectivité d’appartenance).
D’importantes listes de codes clients sont alors constituées afin de pouvoir les exploiter sous
la forme de mailings.
C:\Users\ff\AppData\Local\Microsoft\Windows\INetCache\Content.Outlook\2FSGPXQJ\20161215_Rapport SP_Rapport d'ensemble sur les
contrôles effectués auprès de cinq sociétés de transport en commun mettant en oeuvre des applications billettiques_VD (3).doc
5 / 8
Commission nationale de l’informatique et des libertés
En outre, le système billettique établit une multitude de catégories2, auxquelles correspondent
une tarification et une durée de validité préétablies à l’abonnement souscrit : ainsi peuvent
être établis des profils précis des usagers en fonction des critères leur permettant de bénéficier
d’une tarification spécifique.
Or, ces traitements de marketing commercial ne sont aucunement mentionnés dans la
demande d’avis en date du 31 janvier 1996 et la RTM n’a émis aucun commentaire sur les
observations présentées dans le compte rendu qui lui a été adressé.
Il est, par ailleurs, relevé que le fichier client de la SEMIACS à Nice contient 39 profils
clients auxquels sont associées des tarifications prédéfinies. Comme il lui a été recommandé
de ne pas se réferer à des catégories socioprofessionnelles, telles que par exemple,
« personnels actifs cadres », « personnels actifs non cadres », « conseillers municipaux »,
« demandeur d’emploi » ou « police municipale », cette société a indiqué que l’autorité
organisatrice exigeait ce mode de fonctionnement afin de justifier de la vente des titres de
transport à tarif réduit donnant lieu à des versements de compensations tarifaires.
B. L’utilisation d’une liste de personnes bénéficiant des services du centre
communal d’action sociale
La SEMIACS à Nice a déclaré, dans le cadre de la gestion du fichier client en référence à la
norme simplifiée n°11, procéder au traitement automatisé de la liste établie par le centre
communal d’action sociale (CCAS) des personnes bénéficiant de réductions ou de gratuité sur
le réseau.
A la suite du compte rendu de la mission de vérification, la SEMIACS a précisé, d’une part,
qu’elle reçoit uniquement les dossiers des personnes autorisées à recevoir une carte de libre
circulation, d’autre part, que les informations transmises portent sur le nom, la date de
naissance, l’adresse et la catégorie du droit accordé (non imposable, invalide du travail,
invalide civil et mutilé de guerre).
2 Le fichier relatif aux collectivités locales comporte à lui seul 488 catégories.
C:\Users\ff\AppData\Local\Microsoft\Windows\INetCache\Content.Outlook\2FSGPXQJ\20161215_Rapport SP_Rapport d'ensemble sur les
contrôles effectués auprès de cinq sociétés de transport en commun mettant en oeuvre des applications billettiques_VD (3).doc
6 / 8
Commission nationale de l’informatique et des libertés
III. Les autres observations
A. La durée de conservation des données
Les missions de vérification sur place ont permis de constater que les durées de conservation
appliquées tant aux données de validation qu’aux données « client » étaient, d’une part,
différentes de celles mentionnées dans les demandes d’avis initiales, d’autre part,
disproportionnées au regard des dispositions de l’article 5 e) de la Convention du 28 janvier
1981 du Conseil de l’Europe.
S’agissant de la conservation des données « client », mises à part la SEMIACS de Nice qui
s’engage à effectuer une demande d’avis modificative et la Société Lyonnaise des Transports
en Commun (SLTC) qui applique une durée de conservation satisfaisante, toutes les autres
sociétés contrôlées n’ont pas fait d’observations sur ce point.
S’agissant toutefois de la durée de conservation appliquée aux données de validation, la
SEMIACS à Nice et la Société Lyonnaise des Transports en Commun (SLTC) estiment que
celle-ci est incompressible compte tenu des traitements à réaliser. Les autres sociétés n’ont
pas apporté de précisions sur ce point.
B. Les mesures de sécurité et de confidentialité
Il a été indiqué à la Société d’Economie Mixte des Transports Amiénois (SEMTA)
qu’il serait
souhaitable que les sauvegardes de la base de données soient conservées dans une armoire
forte ignifugée et géographiquement éloignée du serveur.
Par ailleurs, il convient de rappeler que la SEMIACS à Nice distribuait un lecteur permettant
à tout titulaire d’une carte de consulter les données qui y sont stockées, y compris les 6
derniers trajets effectués. Il avait été préconisé que ce dispositif ne puisse être utilisé qu’après
saisie d’un mot de passe ou à défaut que la lecture de la carte ne soit possible qu’auprès d’un
guichet. La SEMIACS a indiqué qu’il n’était pas techniquement possible d’intégrer au
dispositif un système de mot de passe mais a proposé de limiter l’usage de ce lecteur aux
besoins internes dans le cadre du contrôle des titres de transport et de ne plus le fournir aux
particuliers.
C:\Users\ff\AppData\Local\Microsoft\Windows\INetCache\Content.Outlook\2FSGPXQJ\20161215_Rapport SP_Rapport d'ensemble sur les
contrôles effectués auprès de cinq sociétés de transport en commun mettant en oeuvre des applications billettiques_VD (3).doc
7 / 8
Commission nationale de l’informatique et des libertés
C. L’information des personnes concernées
Il est apparu que l’information des usagers n’était pas satisfaisante lors de la collecte des
données : les comptes rendus ont donc rappelé les obligations résultant de l’article 27 de la loi
du 6 janvier 1978.
Toutes les sociétés concernées ont pris l’engagement de procéder aux modifications
nécessaires afin de se conformer à leurs obligations. Seule la Société d’Economie Mixte des
transports Urbains de la Région de Valenciennes (SEMURVAL) n’a pas présenté
d’observations sur ce point.
D. Les formalités déclaratives
Il a été prescrit à la Société d’Economie Mixte des Transports Amiénois (SEMTA) d’adresser
une demande d’avis
relative
au traitement de billettique ainsi qu’une demande d’avis pour les
traitements automatisés résultant du suivi des véhicules par système GSM/GPS.
C:\Users\ff\AppData\Local\Microsoft\Windows\INetCache\Content.Outlook\2FSGPXQJ\20161215_Rapport SP_Rapport d'ensemble sur les
contrôles effectués auprès de cinq sociétés de transport en commun mettant en oeuvre des applications billettiques_VD (3).doc
8 / 8