Téléchargez la pièce jointe originale
(PDF file)

Ceci est une version HTML d'une pièce jointe à la demande d'accès à l'information 'Demande de communication de rapport présenté en séance plénière'.


 
Commission nationale 
de l’informatique et des libertés 

 présenté en séance plénière  
le 16 septembre 2003 
 
 
 
 
 
 
 Rapport d’ensemble sur les contrôles effectués auprès de 
cinq sociétés de transport en commun mettant en oeuvre 
des applications billettiques  
  
   
Rapporteur    
 
 
 
 
Rédacteur(s) : 
  
 
 
DOC Définitif  Contrôle billettique Mise à jour :  10/9/2003  DECO / 
C:\Users\ff\AppData\Local\Microsoft\Windows\INetCache\Content.Outlook\2FSGPXQJ\20161215_Rapport  SP_Rapport  d'ensemble  sur  les 
contrôles effectués auprès de cinq sociétés de transport en commun mettant en oeuvre des applications billettiques_VD (3).doc 
1 / 8 
Commission nationale de l’informatique et des libertés 
Sommaire 
 
I.  LES INFORMATIONS COLLECTEES ET LES FINALITES DE 
TRAITEMENTS ...................................................................................................................... 3 
A. traitement des données de validation ............................................................................. 3 
B. Les diverses finalités de traitements ............................................................................... 4 
1.  Les finalités assignées au traitement des données de validation ................................ 4 
2.  L’anonymisation des traitements statistiques ............................................................. 4 
3.  La mise en œuvre d’une liste noire et la détection de la fraude et la gestion des 
pertes ou vols des titres de transport .......................................................................... 5 
4.  La mise en œuvre d’une liste noire relative aux incidents de paiement ...................... 5  
II. 
L’ANALYSE COMPORTEMENTALE DE LA CLIENTELE ET LA 
GESTION DE « PROFILS CLIENTS » ................................................................................ 5 
A. La gestion de profils clients et les croisements des données ......................................... 5 
B. L’utilisation d’une liste de personnes bénéficiant des services du centre communal 
d’action sociale ................................................................................................................. 6 
III. 
LES AUTRES OBSERVATIONS ........................................................................... 7 
A. La durée de conservation des données ........................................................................... 7 
B. Les mesures de sécurité et de confidentialité ................................................................. 7 
C. L’information des personnes concernées ....................................................................... 8 
D. Les formalités déclaratives .............................................................................................. 8 
 
  

C:\Users\ff\AppData\Local\Microsoft\Windows\INetCache\Content.Outlook\2FSGPXQJ\20161215_Rapport  SP_Rapport  d'ensemble  sur  les 
contrôles effectués auprès de cinq sociétés de transport en commun mettant en oeuvre des applications billettiques_VD (3).doc 
2 / 8 
Commission nationale de l’informatique et des libertés 
A titre liminaire, il est à signaler que seule la Société Lyonnaise des Transports en Commun 
(SLTC) a fait part de propositions de correction du compte rendu ou d'ajouts dont il importe 
de lui donner acte1. 
 
I. 
Les informations collectées et les finalités des traitements 
A. traitement des données de validation 
 
Les  missions  de  vérification  sur  place  ont  permis  de  constater  que  toutes  les  sociétés 
contrôlées procèdent à la collecte et au traitement des données relatives aux déplacements des 
personnes, à partir de la date, de l’heure et du lieu de la validation des titres de transport en 
entrée  du  réseau  de  transport  en  commun.  Ces  informations  sont  associées  à  un  élément 
permettant d’identifier le titulaire du titre de transport, à savoir le plus souvent le numéro de la 
carte. 
 
Les  comptes  rendus  adressés  aux  sociétés  concernées  relevaient  en  conséquence  que  la 
collecte  des  données  de  validation  était  susceptible  de  constituer  une  atteinte  à  la  liberté 
d’aller et venir anonymement. 
 
Après analyse des documents de réponse adressés par les sociétés contrôlées, seule la Société 
d’Economie  Mixte  des  transports  Urbains  de  la  Région  de  Valenciennes  (SEMURVAL) 
propose  la  mise  en  œuvre  d’un  procédé  technique  tendant  à  ne  plus  permettre  de  relier  la 
validation  au  porteur  d’une  carte :  il  s’agit  de  remplacer,  dans  le  fichier  comportant  les 
données de validation, le numéro de carte par un identifiant  unique et  anonyme  entièrement 
déconnecté du numéro de carte initial.  
 
 
 
 
 
Pour  leur  part,  deux  sociétés  font  valoir  les  considérations  suivantes :  la  Société  Lyonnaise 
des  Transports  en  Commun  (SLTC)  fait  observer  qu’en  l’absence  d’indication  du  lieu  de 
sortie du réseau, il ne lui est pas possible de retracer l’intégralité d’un parcours et la Société 
d’Economie Mixte des Transports Amiénois (SEMTA) précise que la notion de point d’arrêt 
n’existe pas sur son réseau et qu’elle ne dispose que de l’information relative au numéro de 
ligne. 
 
 
 
 
 
 
 
 
 
 
                                                 
1 Les autres sociétés de transport ont uniquement fait des observations sur les questions de fond. 
C:\Users\ff\AppData\Local\Microsoft\Windows\INetCache\Content.Outlook\2FSGPXQJ\20161215_Rapport  SP_Rapport  d'ensemble  sur  les 
contrôles effectués auprès de cinq sociétés de transport en commun mettant en oeuvre des applications billettiques_VD (3).doc 
3 / 8 
Commission nationale de l’informatique et des libertés 
 
La  SLTC  indique  également  qu’elle  ne  peut  connaître  individuellement  les  trajets  des 
passagers étant donné que, d’une part, les données relatives aux clients et aux validations sont 
partagées  entre  différents  serveurs  indépendants  les  uns  des  autres  et  que  d’autre  part,  le 
recoupement des informations permettant de relier une validation à un usager identifié ne peut 
être  effectué  que  manuellement  par  l’administrateur  du  système  soumis  à  une  obligation 
formelle de confidentialité et ne pouvant agir que sur ordre du directeur général.  
 
 
 
 
  
1.  Les finalités assignées au traitement des données de validation 
Les sociétés contrôlées indiquent procéder au traitement des données de validation associées 
au numéro de carte afin de lutter contre la fraude, de permettre la reconstitution des cartes à la 
suite d’une perte ou d’un vol, de développer et d’assurer la gestion des « cartes à jetons » pour 
lesquelles  le  client  paie  à  l’avance  un  nombre  de  tickets,  ceux-ci  étant  débités  au  fur  et  à 
mesure  des  validations.  La  Régie  des  Transports  Marseillais  (RTM)  est  la  seule  à  ajouter 
qu’elle procède à des offres commerciales reposant notamment sur l’analyse des données de 
validation. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
2.  L’anonymisation des traitements statistiques 
S’agissant des traitements à finalité statistique, les sociétés contrôlées soit ont signalé qu’ils 
sont d’ores et déjà anonymes soit ont pris l’engagement de mettre en œuvre un algorithme de 
hachage afin de les anonymiser pour l’avenir. 
 
 
 
C:\Users\ff\AppData\Local\Microsoft\Windows\INetCache\Content.Outlook\2FSGPXQJ\20161215_Rapport  SP_Rapport  d'ensemble  sur  les 
contrôles effectués auprès de cinq sociétés de transport en commun mettant en oeuvre des applications billettiques_VD (3).doc 
4 / 8 
Commission nationale de l’informatique et des libertés 
3.  La  mise  en  œuvre  d’une  liste  noire  pour  la  détection  de  la  fraude  et  la 
gestion des pertes ou vols des titres de transport 
Les  missions  de  vérification  sur  place  ont  permis  de  constater  que  toutes  les  sociétés 
contrôlées  établissent  une  liste  noire  relative  à  la  détection  de  la  fraude  et  à  la  gestion  des 
pertes ou vols  des  titres  de transport, alors que  ces traitements n’étaient  pas prévus dans les 
demandes d’avis initiales. 
 
 
 
 
 
 
 
 
Comme pour les autres sociétés la liste noire est établie à partir des seuls numéros de cartes 
perdues  ou  volées.  Il  apparaît  que  les  informations  transmises  aux  valideurs,  ne  contiennent 
qu’une  liste  partielle  et  régulièrement  actualisée  dans  la  mesure  où  les  appareils  ont  des 
capacités de stockage réduites. Les mécanismes de purge présentés apparaissent satisfaisants. 
 
Il a été indiqué par la SEMIACS à Nice et la Société Lyonnaise des Transports en Commun 
(SLTC) que lorsqu’une carte invalidée est présentée devant un valideur, le procédé technique 
mis  en  œuvre  entraîne  l’interdiction  définitive  de  la  carte,  ce  qui  permet  ensuite  de  la 
supprimer de la liste noire. 
4.  La mise en œuvre d’une liste noire relative aux incidents de paiement 
Seule  la  Société  Lyonnaise  des  Transports  en  Commun  (SLTC)  indique  procéder  à  une 
gestion des impayés. Les autres sociétés n’ont pas fait d’observations sur ce point. 
 
 
 
 
II. 
L’analyse  comportementale  de  la  clientèle  et  la  gestion  de 
« profils clients » 
A. La gestion de profils clients et les croisements des données 
 
Il a été constaté que la Régie des Transports Marseillais (RTM) procède au « profilage » de sa 
clientèle  selon  les  thèmes  « portefeuille  /  clients »,  « validations  /  clients »,  « ventes  / 
clients », « évènements / clients ». Il s’agit par exemple, de connaître pour un client donné le 
type de titre de transport et d’analyser ses validations. Ces informations sont croisées avec les 
données  directement  nominatives  du  client  (ses  nom,  prénom,  date  de  naissance)  et  avec 
d’autres  indirectement  nominatives  (code  quartier  ou  collectivité  d’appartenance). 
D’importantes listes de codes clients sont alors constituées afin de pouvoir les exploiter sous 
la forme de mailings. 
 
C:\Users\ff\AppData\Local\Microsoft\Windows\INetCache\Content.Outlook\2FSGPXQJ\20161215_Rapport  SP_Rapport  d'ensemble  sur  les 
contrôles effectués auprès de cinq sociétés de transport en commun mettant en oeuvre des applications billettiques_VD (3).doc 
5 / 8 
Commission nationale de l’informatique et des libertés 
En outre, le système billettique établit une multitude de catégories2, auxquelles correspondent 
une  tarification  et  une  durée  de  validité  préétablies  à  l’abonnement  souscrit :  ainsi  peuvent 
être établis des profils précis des usagers en fonction des critères leur permettant de bénéficier 
d’une tarification spécifique. 
Or,  ces  traitements  de  marketing  commercial  ne  sont  aucunement  mentionnés  dans  la 
demande d’avis en date du 31 janvier 1996 et la RTM n’a émis aucun commentaire sur les 
observations présentées dans le compte rendu qui lui a été adressé.  
   
 
  
Il  est,  par  ailleurs,  relevé  que  le  fichier  client  de  la  SEMIACS  à  Nice  contient  39  profils 
clients auxquels sont associées des tarifications prédéfinies. Comme il lui a été recommandé 
de  ne  pas  se  réferer  à  des  catégories  socioprofessionnelles,  telles  que  par  exemple, 
« personnels  actifs  cadres »,  « personnels  actifs  non  cadres »,  « conseillers  municipaux », 
« demandeur  d’emploi »  ou  « police  municipale »,  cette  société  a  indiqué  que  l’autorité 
organisatrice  exigeait  ce  mode  de  fonctionnement  afin  de  justifier  de  la  vente  des  titres  de 
transport à tarif réduit donnant lieu à des versements de compensations tarifaires. 
 
 
 
 
 
B. L’utilisation  d’une  liste  de  personnes  bénéficiant  des  services  du  centre 
communal d’action sociale 
 
La SEMIACS à Nice a déclaré, dans le cadre de la gestion du fichier client en référence à la 
norme  simplifiée  n°11,  procéder  au  traitement  automatisé  de  la  liste  établie  par  le  centre 
communal d’action sociale (CCAS) des personnes bénéficiant de réductions ou de gratuité sur 
le réseau. 
 
A la suite du compte rendu de la mission de vérification, la SEMIACS a précisé, d’une part, 
qu’elle reçoit uniquement les dossiers des personnes autorisées à recevoir une carte de libre 
circulation,  d’autre  part,  que  les  informations  transmises  portent  sur  le  nom,  la  date  de 
naissance,  l’adresse  et  la  catégorie  du  droit  accordé  (non  imposable,  invalide  du  travail, 
invalide civil et mutilé de guerre). 
 
 
 
 
 
 
 
                                                 
2 Le fichier relatif aux collectivités locales comporte à lui seul 488 catégories. 
C:\Users\ff\AppData\Local\Microsoft\Windows\INetCache\Content.Outlook\2FSGPXQJ\20161215_Rapport  SP_Rapport  d'ensemble  sur  les 
contrôles effectués auprès de cinq sociétés de transport en commun mettant en oeuvre des applications billettiques_VD (3).doc 
6 / 8 
Commission nationale de l’informatique et des libertés 
III.  Les autres observations 
A. La durée de conservation des données 
 
Les missions de vérification sur place ont permis de constater que les durées de conservation 
appliquées  tant  aux  données  de  validation  qu’aux  données  « client »  étaient,  d’une  part, 
différentes  de  celles  mentionnées  dans  les  demandes  d’avis  initiales,  d’autre  part, 
disproportionnées au regard des dispositions de l’article 5 e) de la Convention du 28 janvier 
1981 du Conseil de l’Europe. 
 
S’agissant de la conservation des données  « client », mises à part la SEMIACS de Nice qui 
s’engage à effectuer une demande d’avis modificative et la Société Lyonnaise des Transports 
en  Commun  (SLTC)  qui  applique  une  durée  de  conservation  satisfaisante,  toutes  les  autres 
sociétés contrôlées n’ont pas fait d’observations sur ce point. 
 
S’agissant  toutefois  de  la  durée  de  conservation  appliquée  aux  données  de  validation,  la 
SEMIACS à Nice et  la Société  Lyonnaise des Transports en Commun (SLTC) estiment que 
celle-ci  est  incompressible  compte  tenu  des  traitements  à  réaliser.  Les  autres  sociétés  n’ont 
pas apporté de précisions sur ce point. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
B. Les mesures de sécurité et de confidentialité 
 
Il a été indiqué à la Société d’Economie Mixte des Transports Amiénois (SEMTA) qu’il serait 
souhaitable  que  les  sauvegardes  de  la  base  de  données  soient  conservées  dans  une  armoire 
forte ignifugée et géographiquement éloignée du serveur.  
 
 
 
 
 
 
Par ailleurs, il convient de rappeler que la SEMIACS à Nice distribuait un lecteur permettant 
à  tout  titulaire  d’une  carte  de  consulter  les  données  qui  y  sont  stockées,  y  compris  les  6 
derniers trajets effectués. Il avait été préconisé que ce dispositif ne puisse être utilisé qu’après 
saisie d’un mot de passe ou à défaut que la lecture de la carte ne soit possible qu’auprès d’un 
guichet.  La  SEMIACS  a  indiqué  qu’il  n’était  pas  techniquement  possible  d’intégrer  au 
dispositif  un  système  de  mot  de  passe  mais  a  proposé  de  limiter  l’usage  de  ce  lecteur  aux 
besoins internes dans le cadre du contrôle des titres de transport et de ne plus le fournir aux 
particuliers.  
 
C:\Users\ff\AppData\Local\Microsoft\Windows\INetCache\Content.Outlook\2FSGPXQJ\20161215_Rapport  SP_Rapport  d'ensemble  sur  les 
contrôles effectués auprès de cinq sociétés de transport en commun mettant en oeuvre des applications billettiques_VD (3).doc 
7 / 8 
Commission nationale de l’informatique et des libertés 
 
 
 
 
 
C. L’information des personnes concernées 
 
Il  est  apparu  que  l’information  des  usagers  n’était  pas  satisfaisante  lors  de  la  collecte  des 
données : les comptes rendus ont donc rappelé les obligations résultant de l’article 27 de la loi 
du 6 janvier 1978.  
 
Toutes  les  sociétés  concernées  ont  pris  l’engagement  de  procéder  aux  modifications 
nécessaires afin de se conformer à leurs obligations. Seule la Société d’Economie Mixte des 
transports  Urbains  de  la  Région  de  Valenciennes  (SEMURVAL)  n’a  pas  présenté 
d’observations sur ce point. 
 
 
 
D. Les formalités déclaratives 
 
Il a été prescrit à la Société d’Economie Mixte des Transports Amiénois (SEMTA) d’adresser 
une demande d’avis relative au traitement de billettique ainsi qu’une demande d’avis pour les 
traitements automatisés résultant du suivi des véhicules par système GSM/GPS. 
 
 
 
 
 
 
 
 
 
 
 
C:\Users\ff\AppData\Local\Microsoft\Windows\INetCache\Content.Outlook\2FSGPXQJ\20161215_Rapport  SP_Rapport  d'ensemble  sur  les 
contrôles effectués auprès de cinq sociétés de transport en commun mettant en oeuvre des applications billettiques_VD (3).doc 
8 / 8