20161215 Rapport SP Rapport sur un projet d autorisation unique relatif la gestion des applications billettiques mises en place par les exploitants et les autorit s or biff.pdf

Rapport présenté en séance plénière
le 3 juin 2008

Rapport sur un projet d'autorisation unique relatif à la
gestion des applications billettiques mises en place par les
exploitants et les autorités organisatrices de transport
public

Rapporteur

Avec le concours de :


DOC Projet  AU gestion des applications billettique Mise à jour : 28/03/2024 17:17:00   /
C:\Users\ff\Desktop\20161215_Rapport SP_Rapport sur un projet d'autorisation unique relatif à la gestion des applications billettiques mises
en place par les exploitants et les autorités or.doc
1

Commission nationale de l’informatique et des libertés
SOMMAIRE
I.  Rappel de la doctrine de la CNIL ................................................ 3
II.  Opportunité de l’adoption de la décision unique
d’autorisation 5
A.  Un objectif de simplification .......................................................................................... 5
B.  Un objectif d’encadrement réglementaire ...................................................................... 5
C.  Un objectif d’information et de communication ............................................................ 5
III. Les points essentiels du projet de décision unique
d’autorisation 6
A.  Finalités et caractéristiques du traitement ...................................................................... 6
B.  Données à caractère personnel traitées ........................................................................... 7
C.  Durée de conservation .................................................................................................... 7
D.  Mesures de sécurité ........................................................................................................ 8
E.  Information des personnes ............................................................................................. 9
IV. Conclusion.................................................................................... 10

LISTE DES ANNEXES

1) Recommandation n° 03-038 du 16 septembre 2003 relative à la collecte et au
traitement d’informations nominatives par les sociétés de transports collectifs dans le
cadre d’applications billettiques

2) Projet de délibération n° 2008-XXX du 3 juin 2008 portant autorisation unique de
mise en œuvre de traitements automatisés de données à caractère personnel relatifs à la
gestion des applications billettiques par les exploitants de transports publics et par les
autorités organisatrices de transport.

C:\Users\ff\Desktop\20161215_Rapport SP_Rapport sur un projet d'autorisation unique relatif à la gestion des applications billettiques mises
en place par les exploitants et les autorités or.doc
2

Commission nationale de l’informatique et des libertés
La modernisation s’est accompagnée pour de nombreux organismes de transports collectifs de
la délivrance aux usagers de titres de transport à puce, en vue de faciliter leurs déplacements
et de leur proposer des services complémentaires.

C’est ainsi que, dans un premier temps, près d’une trentaine d’organismes sur les cent
soixante dix exploitants de transports publics constituant l’Union des Transporteurs Publics
(UTP) ont souhaité mettre en place un tel dispositif.

A l’occasion de l’instruction des dossiers présentés à cet effet, les services de la CNIL ont
étudié, avec les professionnels intéressés1, ainsi qu’avec l’Union des Transporteurs Publics
(UTP) et avec le Groupement des Autorités Responsables de Transports publics (GART), la
mise en place d’un projet d’autorisation unique correspondant à la majorité des traitements
envisagés.

Aussi, afin d’établir un encadrement réglementaire de ces traitements, votre rapporteur vous
demande de vous prononcer sur l’opportunité de faire application des dispositions de l’article
25-II de la loi du 6 janvier 1978 modifiée en août 2004 aux termes duquel la Commission peut
adopter une décision unique d’autorisation pour des traitements répondant aux mêmes
finalités, portant sur des catégories de données et de destinataires identiques.

I.  Rappel de la doctrine de la CNIL

La CNIL a eu l’occasion, à plusieurs reprises, de se prononcer sur la mise en œuvre de
dispositifs télébillettiques.

Saisie par la RATP le 22 avril 2002 d’une demande d’avis sur le fondement de l’article 15 de
la loi du 6 janvier 19782  concernant la mise en œuvre d’un traitement de statistiques de
validation et de détection de titres frauduleux dans le cadre du dispositif de télébillettique
dénommé « Navigo », la Commission, s’agissant de la traçabilité des déplacements des
personnes et de la durée de conservation des données de validation, a recommandé que :
  -  l’usager puisse continuer à voyager anonymement afin de respecter  le principe
fondamental de la liberté d’aller et venir ;

-  la durée de conservation des données de validation associées à un identifiant soit
limitée, dans le cadre de la lutte contre la fraude technologique, à quarante-huit heures.

Suite à l’instruction  de la demande d’avis3  de la RATP relative au passe billettique
« Navigo » et à cinq missions de contrôle4, la Commission a adopté la recommandation n° 03-

1 Ont ainsi été interrogés la Société Nationale des Chemins de fer de France (SNCF), la Régie Autonome des
Transports Parisiens (RATP), les exploitants de transports publics Keolis, Transdev et Connex Bordeaux
(Veolia), le Syndicat Mixte des Transports pour le Rhône et l'Agglomération Lyonnaise (SYTRAL) et l’ASC
(développeur et intégrateur de solutions billettiques).
2 Ancien article 15 de la loi du 6 janvier 1978.
3 Demande d’avis n° 826 335 de la RATP.
3

Commission nationale de l’informatique et des libertés
038 du 16 septembre 2003 relative à la collecte et au traitement d’informations nominatives
par les sociétés de transports collectifs dans le cadre d’applications billettiques5.

Si la Commission a, en décembre 2004, autorisé la SNCF, sur le fondement de l’article 25-I-
3° de la loi de 1978 modifiée, à gérer les données de validation des passes « navigo »6, elle a,
à l’occasion de l’examen d’un dossier présenté en septembre 20067 par le Conseil général des
Bouches-du-Rhône, considéré que les dispositifs billettiques, ayant parmi leurs finalités la
gestion des impayés, doivent être soumis au régime d’autorisation préalable de la CNIL en
tant que traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs
finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en
l’absence de toute disposition législative ou réglementaire. En effet, l’inscription dans un
fichier du nom de l’abonné ayant eu des impayés a pour conséquence d’invalider le passe et
de rendre impossible tout réabonnement sur le même type d’abonnement pendant une certaine
durée, la lutte contre la fraude technologique n’étant plus dès lors considérée que comme la
simple « remontée d’incidents ».

Il a été décidé de faire application de l’article 25-I-4° de la loi du 6 janvier 1978 modifiée, en
conséquences, pour tous les dispositifs de gestion des titres de transport comptant parmi leur
finalité la gestion des impayés8 : à défaut, les traitements relèvent d’une simple déclaration.

Toutefois, les professionnels consultés par votre rapporteur lui ont fait savoir qu’ils ne
partageaient pas l’analyse juridique de la Commission : ils estiment que l’invalidation d’un
passe résulte d’une inexécution par le client (en l’espèce d’un défaut de paiement) du contrat
de transport, dans lequel il s’oblige à payer son abonnement, étant précisé que le voyageur
dispose toujours de la faculté d’utiliser des tickets à l’unité ou des carnets.

Pour autant la Commission a considéré9 que les dispositifs billettiques comptent parmi leurs
finalités la gestion des impayés : le client en impayés qui n’a pas soldé sa situation ne peut

4 Les contrôles ont été effectués auprès de la Régie des Transports Marseillais (RTM), de la Société d’économie
Mixte des Transports Amiénois (SEMTA), de la Société d’Economie Mixte Intercommunale pour
l’Amélioration de la Circulation et du Stationnement (SEMIACS / Nice), de la Société d’Economie Mixte des
transports Urbains de la Région de Valenciennes (SEMURVAL) et de la Société Lyonnaise des Transports en
Commun (SLTC).
5 Ci-joint en annexe.
6  Délibération 2004-100 du 9 décembre 2004 portant autorisation de la mise en œuvre par la SNCF d’un
traitement automatise de données à caractère personnel relatif à la gestion des données de validation des passes
« Navigo » chargés d’un abonnement annuel, mensuel ou hebdomadaire.
7  Délibération n°2006-201 du 14 septembre 2006 autorisant de la mise en œuvre par le Conseil général des
Bouches-du-Rhône d’un traitement automatisé de données à caractère personnel pour la gestion du système
d’équipement billettique du réseau départemental d’autocars.
8 - Délibération n° 2006-202 du 14 septembre 2006 portant autorisation de mise en œuvre par la SNCF d’un
traitement automatisé de données à caractère personnel pour la gestion des abonnements TAPAS (forme
billetterie ou forme billettique) souscrits par des voyageurs du réseau ferroviaire régional.
- Délibération n° 2007-061 du 25 avril 2007 autorisant la mise en œuvre par la société Connex Chambéry d’un
traitement automatisé de données à caractère personnel « AMARILIS » pour la gestion des abonnements au
service de transport en commun de Chambéry.
- Délibération n° 2007-144 du 21 juin 2007 autorisant la mise en oeuvre par la SNCF d’un nouvel abonnement
intitulé « e-forfait » pour le traitement automatisé de données à caractère personnel ayant pour finalité la gestion
de la clientèle.
4

Commission nationale de l’informatique et des libertés
En l’espèce, l’autorisation unique incite également les exploitants de transports publics et les
autorités organisatrices de transport à respecter la liberté fondamentale, d’aller et venir, et
intrinsèquement le principe du droit à la vie privée.

III.  Les points essentiels du projet de décision unique d’autorisation

A. Finalités et caractéristiques du traitement

Outre la gestion de la délivrance et de l’utilisation des titres de transport billettiques, la
réalisation d’analyses statistiques, la mesure de la qualité du fonctionnement du système et la
détection de la fraude technologique, il apparaît que le dispositif billettique a aussi pour
finalité le suivi des impayés.

S’agissant de cette dernière finalité, il convient de préciser qu’à la suite d’un impayé le badge
billettique des personnes concernées peut être inscrit en liste d’opposition, ce qui a
notamment pour effet d’invalider leur passe billettique et ainsi de ne plus permettre de
déplacements avec ce type de titres de transport jusqu’à la régularisation des sommes dues.
Les personnes concernées sont alors contraintes d’utiliser des tickets à l’unité ou d’autres
abonnements.

Par ailleurs, l’utilisation de ces cartes nominatives entraîne la collecte des informations
relatives aux trajets des usagers en entrée et quelques fois en sortie de réseau, ainsi que lors
d’une correspondance. Sont ainsi mémorisés, tant sur la carte que dans l’ordinateur central de
la société de transport, les date, heure et lieu des passages ainsi que le numéro de la carte
utilisée.

Dès lors, les déplacements des personnes utilisant ces cartes pouvant être reconstitués et
n’étant plus anonymes, le traitement de ces informations est de nature à porter atteinte tant à
la liberté d’aller et venir qu’au droit à la vie privée. C’est pourquoi la CNIL prévoit que les
données relatives aux déplacements des personnes ne soient utilisées sous une forme
permettant d’identifier les usagers que dans le cadre de la lutte contre la fraude
technologique11 et pour une durée très limitée12.

Dans son avis du 8 avril 2004 relative à l’exploitation des données de validation des passes
navigo par la RATP, la CNIL avait estimé qu’il convenait de laisser aux usagers la possibilité
d’utiliser un service de transport public de manière anonyme, sans qu’il en résulte un surcoût
par rapport au choix d’un passe nominatif.

11 Exemples de « fraudes technologiques » : remontées d’un même passe au même moment dans deux stations
très éloignées (la Défense et Nation) ou remontée de plus de 80 validations avec un même passe en une
journée…
12 Cf. infra page 8.
6

Commission nationale de l’informatique et des libertés
-  soit encore par l’application au numéro de carte d’un algorithme cryptographique de
‘hachage’ public réputé fort.

Toutefois, les données de validation contenant des informations relatives aux déplacements
des personnes, associées au numéro de carte ou de l’abonné, élément renvoyant indirectement
à l’identité d’un usager, pourront être conservées pendant 48h maximum et aux seules fins de
lutter contre la fraude technologique16.

Cette durée, conforme à celle retenue par la Commission à l’occasion de l’examen du dossier
« navigo », c’est-à-dire depuis 2004, ne satisfait pas de nombreux exploitants de transport
publics et autorités organisatrices de transport, notamment ceux ayant obtenu des avis tacites
réputés favorables avant la modification de la loi en 200417.

Les informations relatives à la gestion des impayés sont immédiatement retirées de la liste
d’opposition dès régularisation des sommes dues ; à défaut de régulation elles sont conservées
pendant au maximum deux ans, cette durée étant conforme à la doctrine de la Commission18.

D. Mesures de sécurité

Des mesures techniques et organisationnelles doivent être mises en œuvre afin de se prémunir
contre les risques d’intrusion et de détournement de données sur les systèmes informatiques.

Ces mesures doivent en particulier :

•  imposer un contrôle d’accès aux systèmes de gestion des données billettiques, avec une
gestion rigoureuse des habilitations ;

16 Sans doute, la pertinence d’une conservation de 48h pour cette finalité – finalité invoquée par de nombreux
exploitants de transport - n’a pas été prouvée, et même, lors du contrôle « navigo » mené en septembre 2006
auprès de la RATP et du GIE Commutitres, le système de détection des fraudes (SYDEF) n’a indiqué aucune
fraude technologique. Les évènements alors remontés dans le SYDEF étaient les résultats de tests techniques de
validation de titres, effectués par les agents de la RATP. Pour autant, la RATP a maintenu cette finalité en
invoquant son caractère préventif et le fait qu’en l’espèce le SYDEF avait une existence relativement récente.
Par ailleurs, la RATP a précisé que seules les validations douteuses étaient conservées 48h, les autres étant
supprimées au fil de l’eau. Cependant, la Commission n’a pas, dans le cadre des suites du contrôle, imposé à la
RATP de réduire cette durée de 48h.
17 Le Syndicat Mixte des Transports pour le Rhône et l'Agglomération Lyonnaise (le SYTRAL) peut notamment
conserver les données de validation associées à des données d’identification en clair pendant 90 jours.
18 - Délibération n° 2006-202 du 14 septembre 2006 portant autorisation de mise en œuvre par la SNCF d’un
traitement automatisé de données à caractère personnel pour la gestion des abonnements TAPAS (forme
billetterie ou forme billettique) souscrits par des voyageurs du réseau ferroviaire régional.
- Délibération n° 2007-061 du 25 avril 2007 autorisant la mise en œuvre par la société Connex Chambéry d’un
traitement automatisé de données à caractère personnel « AMARILIS » pour la gestion des abonnements au
service de transport en commun de Chambéry.
- Délibération n° 2007-144 du 21 juin 2007 autorisant la mise en oeuvre par la SNCF d’un nouvel abonnement
intitulé « e-forfait » pour le traitement automatisé de données à caractère personnel ayant pour finalité la gestion
de la clientèle

8

Commission nationale de l’informatique et des libertés

LISTE DES ANNEXES

1) Recommandation n° 03-038 du 16 septembre 2003 relative à la collecte et au traitement
d’informations nominatives par les sociétés de transports collectifs dans le cadre
d’applications billettiques

2) Projet de délibération n° 2008-XXX du 3 juin 2008 portant autorisation unique de mise en
œuvre de traitements automatisés de données à caractère personnel relatifs à la gestion des
applications billettiques par les exploitants de transports publics et par les autorités
organisatrices de transport.
12

Commission nationale de l’informatique et des libertés
DELIBERATION N° 03-038 DU 16 SEPTEMBRE 2003 PORTANT ADOPTION
D’UNE RECOMMANDATION RELATIVE À LA COLLECTE ET
AU TRAITEMENT D'INFORMATIONS NOMINATIVES PAR LES SOCIETES
DE TRANSPORTS COLLECTIFS DANS LE CADRE
D’ APPLICATIONS BILLETTIQUES

La Commission nationale de l'informatique et des libertés ;

Vu la convention du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes
à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à
la protection des personnes physiques à l’égard du traitement des données à caractère
personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret n°78-774 du 17 juillet 1978 modifié pris pour l’application de la loi du 6 janvier
1978 précitée ;

Vu l'article 9 du code civil ;

Vu les articles 226-16 à 226-24 du code pénal ;

Après avoir entendu Monsieur Guy ROSIER, Commissaire, en son rapport et Madame
Charlotte-Marie PITRAT, Commissaire du gouvernement, en ses observations.

Formule les observations suivantes :

La modernisation des transports collectifs a conduit de nombreuses sociétés à proposer de
nouveaux titres de transport à leurs usagers, reposant sur l’utilisation de cartes nominatives,
magnétiques ou à puce. Il en découle la mise en œuvre par ces sociétés de traitements
automatisés d’informations nominatives, au sens de l’article 5 de la loi du 6 janvier 1978. Ces
outils billettiques sont conçus pour faciliter l’accès et les déplacements des voyageurs et leur
proposer des services complémentaires.

La Commission constate que l’utilisation de ces cartes nominatives entraîne la collecte, à
l’occasion de la validation, c’est-à-dire la présentation de la carte devant une borne de
contrôle en entrée, sortie du réseau, ainsi qu’à l’occasion d’une correspondance, des trajets
effectués par le titulaire. Vont ainsi être mémorisés, tant sur la carte que dans l’ordinateur
central de la société de transport, les date, heure et lieu des passages ainsi que le numéro de
carte utilisé. Or, ce numéro de carte est indirectement nominatif au sens de l’article 4 de la loi
du 6 janvier 1978 car il rend possible l’identification du titulaire de la carte dont les
coordonnées figurent dans le fichier clientèle.

13

Commission nationale de l’informatique et des libertés
Dès lors, les traitements automatisés mis en œuvre pour assurer le bon fonctionnement de ces
titres billettiques créent un risque sérieux en matière de protection des données personnelles.
En effet, les déplacements des personnes utilisant ces cartes peuvent être reconstitués et ne
sont plus anonymes, ce qui est de nature à porter atteinte tant à la liberté, fondamentale et
constitutionnelle, d’aller et venir, qu’au droit à la vie privée qui constitue également un
principe de valeur constitutionnelle.

La Commission nationale de l’informatique et des libertés, qui est chargée de veiller à ce que
l’informatique ne porte atteinte ni à la vie privée ni aux libertés individuelles ou publiques,
considère qu’il y a lieu d’attacher un soin particulier à la mise en œuvre de tels traitements.

Cette recommandation est applicable quelle que soit la forme sous laquelle les informations
relatives aux déplacements des personnes sont conservées, qu’il s’agisse de traitements
automatisés d'informations nominatives ou de fichiers manuels ou mécanographiques.

Recommande :

Sur les finalités du traitement

En application de l’article 5 b) et c) de la convention du Conseil de l'Europe du 28 janvier
1981 pour la protection des personnes à l'égard du traitement automatisé des données à
caractère personnel : « Les données à caractère personnel faisant l'objet d'un traitement
automatisé sont (…) enregistrées pour des finalités déterminées et légitimes et ne sont pas
utilisées de manière incompatible avec ces finalités, et sont (…) adéquates, pertinentes et non
excessives par rapport aux finalités pour lesquelles elles sont enregistrées ».

Les finalités justifiant la mise en œuvre des traitements de billettique doivent être clairement
indiquées et détaillées parmi les cinq catégories suivantes :

Délivrance et utilisation des titres de transport :
•  gestion des abonnements et délivrance des titres de transport
•  gestion des opérations de contrôle des titres de transport
•  gestion des opérations du service après vente

Gestion et suivi des relations commerciales :
•  gestion des offres commerciales (partenariats, personnalisation des offres, …)
•  gestion des programmes de fidélisation

Gestion de la fraude :
•  détection de la contrefaçon et de la fraude technologique
•  instruction des dossiers de fraude technologique
•  gestion des cartes mises en liste noire suite à une perte ou un vol
•  gestion des cartes mises en liste noire suite à la détection d’un usage abusif
•  gestion des cartes mises en liste noire suite à un incident de paiement

Analyses statistiques d’utilisation des réseaux :
•  analyses statistiques du trafic
14

Commission nationale de l’informatique et des libertés
•  analyses statistiques de la nature des titres de transport délivrés
•  analyses statistiques d’utilisation par type de titres de transport

Mesure de la qualité du fonctionnement du système :
•  analyses des problèmes techniques liés à la carte
•  analyses des problèmes techniques liés aux valideurs
•  détection des anomalies fonctionnelles du système d’information

Sur la nature des informations collectées

La collecte et le traitement des données relatives aux déplacements des personnes, sous la
forme de la date, de l’heure et du lieu de la validation du titre de transport via une borne de
contrôle en entrée ou sortie du réseau de transport, sont susceptibles de porter atteinte à la
liberté d’aller et venir et au droit à la vie privée lorsque ces données sont associées à un
élément permettant d’identifier la personne concernée, en l’occurrence le numéro de la carte.

Les traitements appliqués aux données relatives aux déplacements  des personnes devraient
donc être anonymisés, à l’exception de ce qui relève de la gestion de la lutte contre la fraude.

En toute hypothèse, il est hautement souhaitable que la possibilité de circuler de façon
anonyme, au moyen d’un titre billettique ou non, soit maintenue.

Le nombre d’événements de validation enregistrés dans la carte, qui varie actuellement entre
deux et six, devrait, à l’occasion du passage à la prochaine génération de carte, être limité à
quatre.

La collecte de la photographie devant figurer sur le support du titre de transport doit être
accompagnée de la possibilité, pour l’usager, de s’opposer à sa conservation, sous une forme
numérique.

Sur la durée de conservation des données relatives aux déplacements des personnes dans
le cadre de la lutte contre la fraude

Il paraît nécessaire de distinguer deux délais, selon qu’il s’agit de détecter la fraude dans
l’ensemble des cartes utilisées ou, une fois qu’une fraude est détectée, d’en traiter les suites.

Les données relatives aux déplacements des personnes, sous la forme d’une indication de la
date, de l’heure et du lieu, associées à un élément permettant d’identifier la personne à
laquelle elles sont rattachées, tels un numéro de carte, ne devraient être conservées que le
temps nécessaire à la détection de la fraude. Ce délai ne devrait pas excéder deux jours
consécutifs y compris le délai de sauvegarde.

Suite à la détection d’une fraude, les données susmentionnées ne devraient être conservées
que le temps de déterminer s’il s’agit d’une fraude avérée et dans un tel cas, le temps de
l’instruction de l’affaire par les autorités judiciaires.

15

Commission nationale de l’informatique et des libertés

Sur l’information des personnes concernées

En application des articles 26 et 27 de la loi du 6 janvier 1978, toute personne peut s'opposer,
pour des raisons légitimes, à ce que des informations nominatives la concernant fassent l'objet
d'un traitement et doit être informée de ses droits d’accès et de rectification. En outre, l'article
10 de la directive 95-46 du 24 octobre 1995 dispose que les personnes dont les données à
caractère personnel font l’objet du traitement doivent également être informées de l'identité du
responsable du traitement ainsi que des finalités du traitement auquel les données sont
destinées.

Dès lors, les personnes concernées par les traitements billettiques doivent être informées que
des données relatives à leurs déplacements sont collectées, les finalités de traitements mis en
œuvre doivent leur être précisées et la possibilité d’utiliser des titres de transports
anonymes doit être portée à leur connaissance.

Les personnes concernées doivent également être informées des destinataires des données,
notamment dans le cadre d’une intermodalité développée entre différents réseaux de
transports.

Sur le droit d'accès et de rectification

Toute personne utilisant une carte nominative doit être clairement informée des modalités
d'exercice du droit d'accès et obtenir toutes les informations la concernant, qu’elles se situent
dans le système central ou au sein de la carte.

Le droit d'accès s'applique à l’ensemble des informations relatives à la personne, qu’il s’agisse
d’informations collectées directement auprès des personnes concernées ou d’informations
éventuellement collectées auprès de tiers.

Sur les formalités préalables à l'automatisation

En application des articles 15 et 16 de la loi du 6 janvier 1978, les traitements automatisés
d'informations nominatives mis en oeuvre par les entreprises de transports collectifs doivent
préalablement faire l'objet d'une demande d'avis, en cas de délégation de service public ou
d'une déclaration ordinaire dans les autres cas, auprès de la Commission nationale de
l'informatique et des libertés, l'omission de ces formalités préalables étant passible des
sanctions prévues à l’article 226-16 du code pénal.

Sur les mesures de sécurité et de confidentialité

En application des articles 29 et 45 de la loi du 6 janvier 1978, les entreprises de transports
collectifs ordonnant ou effectuant un traitement d’informations nominatives s'engagent, vis-à-
vis des personnes concernées, à prendre toutes mesures utiles afin de préserver la sécurité et la
confidentialité des informations et notamment d’empêcher qu’elles ne soient déformées,
endommagées ou communiquées à des tiers non autorisés.
16

Commission nationale de l’informatique et des libertés

S’agissant des données enregistrées au sein même de la carte, qu’elle soit à puce ou
magnétique, le responsable du traitement doit mettre en œuvre les moyens nécessaires afin de
s’assurer que, en dehors des nécessités de contrôle du titre de transport, seul le titulaire de ce
titre a accès à ces données.

Sur les dispositions particulières à prendre en cas de mise en œuvre d’un traitement
mutualisé par plusieurs transporteurs relatif à la détection de la fraude et à la gestion
des pertes ou vols des supports des titres de transport

Les personnes concernées doivent être informées au moment de la collecte des données de
l’existence du traitement mis en oeuvre, de sa finalité, des destinataires des données et de
l’existence d’un droit d’accès et de rectification.

Les motifs d’inscription dans le fichier doivent être objectifs, clairs et prédéterminés.

Une gestion rigoureuse des habilitations et des contrôles d’accès (codes de 6 à 8 caractères
alphanumériques) afin de se prémunir contre les risques d’intrusion et de détournement, ainsi
que la définition d’algorithmes de chiffrement avancés (norme SSL 128 bits) devraient être
mis en place.

Ces mêmes recommandations s’appliquent à la mise en œuvre d’un traitement mutualisé
d’incidents de paiement. Dans un tel cas, seules les créances présentant un caractère certain
devraient faire l’objet d’une inscription et les cas de contestation sérieuse et étayée devraient
suspendre l’inscription ou au minimum être signalés par un astérisque.

De même, l’inscription devrait être précédée par une notification préalable accompagnée d’un
délai de régularisation permettant d’éviter l’inscription dans une telle base de données.

Le Président,

Michel GENTOT
17

Commission nationale de l’informatique et des libertés

Projet de délibération n° 2008-XXX du 3 juin 2008 portant autorisation unique de mise
en œuvre de traitements automatisés de données à caractère personnel relatifs à la
gestion des applications billettiques par les exploitants et les autorités organisatrices de
transport publics

(décision d’autorisation unique n°AU- 015)

La Commission nationale de l’informatique et des libertés,

Vu la Convention européenne de sauvegarde des droits de l’homme et des libertés
fondamentales du 4 novembre 1950.

Vu la convention n°108 du Conseil de l’Europe pour la protection des personnes à l’égard du
traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à
la protection des personnes physiques à l’égard du traitement de données à caractère
personnel et à la libre circulation de ces données ;

Vu la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
modifiée par la loi n°2004-801 du 6 août 2004 relative à la protection des personnes
physiques à l’égard des traitements de données à caractère personnel, notamment ses articles
1er et 25-I-4° ;

Vu le décret n°2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6
janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par le décret n°
2007-451 du 25 mars 2007 ;

Vu l’article 9 du Code civil ;

Vu les articles 226-16 à 226-24 du code pénal ;

Vu la délibération n° 03-083 du 16 septembre 2003 portant adoption d’une recommandation
relative à la collecte et au traitement d’informations nominatives par les sociétés de transports
collectifs dans le cadre d’applications billettique ;

Après avoir entendu M. Guy ROSIER, Vice-président délégué, en son rapport et
Mme Catherine POZZO DI BORGO, commissaire du gouvernement en ses observations.


18

Commission nationale de l’informatique et des libertés

Formule les observations suivantes :

La modernisation de nombreux organismes de transports collectifs s’est notamment traduite
par la délivrance de nouveaux titres de transport aux usagers, sous forme de cartes
nominatives à puce, en vue de faciliter leurs déplacements et de leur proposer des services
complémentaires.

L’interopérabilité des systèmes permet, en outre, de voyager avec le même billet sur plusieurs
réseaux et favorise l’harmonisation de la gestion des titres de transport.

Outre l’utilisation des titres de transport, le dispositif billettique vise à assurer la réalisation
d’analyses statistiques, la mesure de la qualité du fonctionnement du système, la détection de
la fraude technologique et le suivi des impayés : il y a lieu, à cet effet, de préciser que
l’inscription d’une personne en liste d’opposition à la suite d’un impayé a pour effet
d’invalider son passe billettique et ainsi ne lui permet plus d’utiliser ce type de titre de
transport jusqu’à la régularisation des sommes dues.

La Commission considère, en conséquence, qu’il y a lieu, dès lors, de faire application de
l’article 25-I-4° de la loi du 6 janvier 1978 modifiée en août 2004 qui soumet à autorisation
préalable de la CNIL « les traitements automatisés susceptibles, du fait de leur nature, de leur
portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation
ou d’un contrat en l’absence de toute disposition législative ou réglementaire ».

Cette autorisation peut, au demeurant, prendre la forme d’une décision unique en application
de l'article 25-II de la loi du 6 janvier 1978 susvisée dès lors que les traitements répondent à
une même finalité, portent sur des catégories de données identiques et ont les mêmes
destinataires ou catégories de destinataires.

Ainsi le responsable de traitement qui mettrait en œuvre un traitement de données à caractère
personnel ayant pour finalité la gestion des applications billettiques, telle que définie ci-après,
pourra, dans le respect des dispositions de la décision unique ainsi établie, adresser à la
Commission un engagement de conformité aux caractéristiques de ladite autorisation.

L’utilisation d’une carte nominative à puce implique la collecte de données concernant les
trajets effectués par le titulaire lors de la validation, c’est-à-dire de la présentation du titre de
transport à une borne de contrôle en entrée et sortie du réseau ou à l’occasion d’une
correspondance. Peuvent ainsi être mémorisés, tant sur la carte qu’au poste central de
l’exploitant de transport, non seulement les date, heure et lieu des passages mais aussi le
numéro de carte utilisé qui rend possible, à partir du fichier clientèle, l’identification du
titulaire de la carte. Dès lors, les déplacements de ce dernier peuvent être reconstitués et ne
sont plus anonymes, ce qui est de nature à porter atteinte tant à la liberté fondamentale d’aller
et venir, qu’au droit à la vie privée. Le respect de ces principes justifie ainsi une vigilance
particulière de la CNIL lorsqu’elle doit  apprécier la pertinence des données collectées,
conformément à l’article 6 de la loi Informatique et Libertés.

La possibilité de circuler de façon anonyme doit, en toute occurrence, être préservée. S’il
appartient à chaque responsable de traitement de déterminer le choix des moyens propres à
améliorer la qualité du service rendu, un tel choix ne saurait conduire à priver les usagers de
la possibilité d’y recourir de manière anonyme, s’ils le souhaitent.
19

Commission nationale de l’informatique et des libertés

Décide  que les responsables de traitement qui adressent à la Commission une déclaration
comportant un engagement de conformité pour les traitements de données à caractère
personnel répondant aux conditions fixées par la présente décision unique sont autorisés à
mettre en œuvre ledit traitement.

Article 1er : Finalités et caractéristiques techniques du traitement

Seuls peuvent faire l’objet d’un engagement de conformité en référence à la présente décision
unique les traitements de billettique mis en œuvre par les exploitants de transport public ainsi
que par les autorités organisatrices de transport dont les finalités sont :

La gestion, la délivrance et l’utilisation des titres de transport :
o  gestion des abonnements et délivrance des titres de transport plein tarif, à tarif réduit
ou même gratuits ;
o  gestion des opérations du service après vente et des réclamations clients.

La gestion et le suivi des relations commerciales :
o  gestion des offres commerciales (par exemple : envoi d’offres par les partenaires
commerciaux) ;
o  gestion des programmes de fidélisation.

La gestion de la fraude :
o  détection de la contrefaçon et de la fraude technologique ;
o  instruction des dossiers de fraude technologique ;
o  gestion des cartes invalidées suite à une perte ou un vol ;
o  gestion des cartes invalidées suite à la détection d’un usage abusif (par exemple :
détection de plusieurs dizaines de passage avec un même passe) ;
o  gestion des cartes invalidées suite à un incident de paiement.

La réalisation d’analyses statistiques d’utilisation des réseaux :
o  analyses statistiques du trafic ;
o  analyses statistiques de la nature des titres de transport délivrés ;
o  analyses statistiques de la clientèle ;
o  analyses statistiques d’utilisation par type de titres de transport.

La mesure de la qualité du fonctionnement du système :
o  analyses des problèmes techniques liés à la carte ;
o  analyses des problèmes techniques liés aux valideurs ;
o  détection des anomalies fonctionnelles du système d’information.

Article 2 : Données à caractère personnel traitées
  •  Au titre des traitements relatifs à la gestion, la délivrance et à l’utilisation des
titres de transport billettiques, à la réalisation d’analyses statistiques, à la mesure
de la qualité du fonctionnement du système et à la détection de la fraude
technologique :
20

Commission nationale de l’informatique et des libertés

-  l’identité (civilité, sexe, nom, prénom) ;
-  la date et le lieu de naissance ;
-  l’adresse postale ;
-  les numéros de téléphone (personnel et portable) et l’adresse courriel
(facultatifs) ;
-  la photographie ;
-  l’identité et l’adresse du payeur lorsque le payeur n’est pas l’abonné ;
-  le mode de paiement ;
-  en cas de paiement de l’abonnement par prélèvement bancaire : le nom de la
banque, l’établissement, le guichet, le numéro de compte et la clé de RIB, la
signature de l’abonné, un relevé d’identité bancaire ;
-  la situation socioprofessionnelle (étudiant-apprenti, actif, scolaire ou autre) ;
-  le nom de l’établissement scolaire ou universitaire ;
-  la classe fréquentée (à titre facultatif );
-  le numéro de client ;
-  l’historique client ;
-  le type d’abonnement ;
-  les données de validation : date, heure, lieu  de la validation ; le nombre
d’événements de validation enregistrés dans la carte doit être limité à quatre et
peut être étendu à six pour des besoins d’interopérabilité. Ces données ne
peuvent être collectées et associées aux données d’identification de l’abonné
(par exemple son numéro de carte), que dans le cadre du traitement de la
détection de la fraude ; ces données, non associées aux numéros de carte ou à
quelque autre moyen d’identification directe des abonnés, peuvent être
collectées à des fins statistiques. Au titre de la gestion de la clientèle, les
informations permettant d’identifier l’utilisateur peuvent être associées à la
date et l’heure de validation, sous réserve que les informations relatives au lieu
soient supprimées dans la limite d’un mois maximum ;
-  les dates de début et de fin de validité de la carte ;
-  le numéro de carte ;
-  le motif de l’inscription sur un fichier d’exclusion d’après une liste fermée ;
-  une copie de la pièce d’identité (uniquement dans l’hypothèse d’une demande
d’abonnement à distance par voie postale ou électronique et non pour une
demande au guichet) ;
-  une copie d’un justificatif de domicile (uniquement dans l’hypothèse d’une
demande d’abonnement à distance par voie postale ou électronique et non pour
une demande au guichet).

Le journal des validations enregistrées sur la carte n’est pas consultable aux bornes de
consultation en libre service.

  •  Au titre des traitements relatifs à la gestion des titres de transports gratuit ou à
tarif réduit, les catégories de données relatives :

-  à la scolarité ;
-  au handicap ;
-  au bénéfice d’une allocation sociale ;
-  à l’âge ;
21

Commission nationale de l’informatique et des libertés
-  au statut de non-imposition sur l’année ;
-  au statut de famille nombreuse ;
-  au statut d’agents exploitants de transport ou des autorités organisatrices et de
leurs ayants-droit.

Les justificatifs fournis pour la délivrance des titres de transport peuvent être scannés et
conservés sur le système d’information et directement accessibles en ligne uniquement à des
fins d’édition du titre de transport et uniquement le temps de la délivrance du titre. Au-delà,
les pièces justificatives ne peuvent être conservées que sur un support indépendant, non
accessible par les systèmes de production, n’autorisant qu’un accès distinct, ponctuel et
motivé auprès d’un service spécifique seul habilité à consulter ce type d’archive et
uniquement à des fins de gestion du titre, de l’abonnement ou du contentieux.

•  Au titre des traitements relatifs à la gestion des impayés :

-  l’identité (nom, prénom) ;
-  la date de naissance ;
-  l’adresse ;
-  le numéro de compte de l’abonné ;
-  le montant de l’impayé ;
-  la banque ;
-  le numéro du chèque ou de carte bancaire ;
-  la date du rejet ;
-  le motif sous la forme d’une liste fermée indiquant par exemple l’absence ou
insuffisance de provision, ou le moyen de paiement invalide ;
-  le nombre d’avertissements avant suspension de l’abonnement
-  les données relatives au règlement des sommes dues.

Des zones bloc-notes peuvent être prévues : les mentions inscrites dans ces zones ne doivent
porter que sur des actes et des faits objectifs et ne peuvent, en aucun cas, faire apparaître,
directement ou indirectement, des données relatives aux infractions commises par les abonnés
et des données relatives aux origines raciales, aux opinions politiques, philosophiques ou
religieuses, aux appartenances syndicales ou aux mœurs de la personne concernée par ces
actes ou ces faits.

Article 3 : Destinataires des informations

Dans la limite de leurs attributions respectives et pour l’exercice des finalités précitées, seuls
peuvent être destinataires des données :

•  au titre des traitements relatifs à la gestion, la délivrance et à l’utilisation des titres
de transport billettiques, la gestion et le suivi des relations commerciales, la
réalisation d’analyses statistiques : les personnes habilitées du service commercial, du
service marketing, du service après vente, du service financier, du service juridique et les
agents des guichets d’accueil et de vente.

•  au titre de la mesure de la qualité du fonctionnement du système et la détection de la
fraude technologique : les personnes habilitées du service technique, de la cellule
surveillance de la fraude ainsi que les agents de guichet pour le seul besoin d’information.

22

Commission nationale de l’informatique et des libertés
•  au titre des traitements relatifs à la gestion des impayés : les personnes habilitées du
service en charge de la gestion des impayés et les agents de guichet, ces derniers n’ayant
accès qu’à une indication de la situation d’ « impayé » de l’abonné.

Dans le cadre des dispositifs interopérables, les données du client pourront  être échangées
entre les réseaux urbains. Toutefois, dans le cadre d’une inscription en liste d’opposition,
seuls les numéros des cartes des usagers dont le passe a été invalidé à la suite d’une perte,
d’un vol, d’un impayé ou d’un défaut, sont transmis aux sociétés de transport dont les
systèmes billettiques sont interopérables, à l’exclusion de toute communication d’autres
données à caractère personnel.

Article 4 : Durée de conservation

L’ensemble des données clients est conservé pendant la durée de la relation contractuelle, et à
l’issue de celle-ci pendant deux ans à des fins commerciales et statistiques pour les clients et
prospects.

Dans le cadre des traitements mis en œuvre, les données de validation font l'objet d'une
anonymisation à bref délai. Cette anonymisation est réalisée, soit par la suppression complète
du numéro de carte, soit par la suppression conjointe de la date, de l’heure et du lieu de
passage, soit encore par l’application au numéro de carte d’un algorithme cryptographique de
‘hachage’ public réputé fort.

Toutefois, les données de validation contenant des informations relatives aux déplacements
des personnes, associées au numéro de carte ou de l’abonné, élément renvoyant indirectement
à l’identité d’un usager, pourront être conservées pendant 48h au maximum et aux seules fins
de lutter contre la fraude technologique.

Les informations relatives à la gestion des impayés sont immédiatement retirées de la liste
d’opposition dès régularisation des sommes dues ; à défaut de régulation,  elles seront
conservées pendant au maximum deux ans à compter de l’inscription.

Article 5 : Mesures de sécurité

Des mesures techniques et organisationnelles sont mises en œuvre afin de se prémunir contre
les risques d’intrusion et de détournement de données sur les systèmes informatiques. Ces
mesures doivent en particulier :

•  imposer un contrôle d’accès aux systèmes de gestion des données billettiques, avec une
gestion rigoureuse des habilitations ;
•  limiter l’accès des paramètres de sécurité et des clés  cryptographiques utilisées à un
nombre minimal d’intervenants désignés et habilités ;
•  protéger la confidentialité et l’intégrité des échanges lors du transfert de données
billettiques sur tout réseau qui n’est pas exclusivement destiné à véhiculer des données
billettiques ;
•  protéger de manière adaptée le système d’information contre des intrusions par le réseau ;
•  faire l’objet d’audits et de mises à jour.

Ces mesures font l’objet de procédures documentées et dont l’application est vérifiable.

23

Commission nationale de l’informatique et des libertés
Si l’anonymisation utilise un algorithme de ‘hachage’, celui-ci est irréversible et doit recourir
à une clé cryptographique renouvelable selon une périodicité au moins annuelle. Les valeurs
anonymisées produites après un renouvellement de clé ne doivent pas pouvoir être liées à
celles qui ont été produites avant celui-ci. La valeur de la clé secrète de ‘hachage’ utilisée ne
doit pas être accessible directement ou indirectement à un seul individu.

Les composants ou les clés sont répartis entre plusieurs organismes ou plusieurs personnes
habilitées, chacune ne disposant au plus que d’un composant ou clé, afin de garantir l’objectif
de sécurité visé.

Article 6 : Information des personnes

Le responsable du traitement procède, conformément aux dispositions de l’article 32 de la loi
du 6 janvier 1978 modifiée en août 2004, à l’information des personnes notamment en ce qui
concerne la finalité du traitement, le caractère obligatoire ou facultatif des réponses et les
modalités d’exercice du droit d’accès et de rectification par un affichage dans les points de
délivrance des cartes ainsi que sur les formulaires d’abonnement.

La possibilité d’utiliser des titres de transports anonymes doit être portée à la
connaissance des intéressés selon les mêmes modalités que celles prévues pour les titres de
transports nominatifs. Il leur est également précisé qu’ils peuvent s’opposer à la conservation
de leur photographie au format numérique.

Les personnes concernées sont informées des destinataires des données, notamment dans le
cadre d’une interopérabilité des systèmes entre les différents réseaux de transports.

Les personnes susceptibles d’être inscrites dans le traitement de gestion des impayés doivent
en être informées :
  -  lors de la conclusion du contrat d’abonnement ;
-  préalablement à l’inscription dans le fichier des impayés et de la mise en opposition du
titre de transport.

Le cas échéant, si un délai est accordé lors d’une mise en demeure de payer, le responsable de
traitement doit mentionner sur les lettres de relance le délai dont dispose la personne
concernée pour régulariser sa situation, ainsi que les conséquences de la mise en opposition de
son passe.

Article 7 : Exercice des droits d’accès et de rectification

Les droits d’accès et de rectification définis au chapitre V de la loi du 6 janvier 1978 modifiée
s’exercent auprès du ou des services que le responsable de traitement aura désignés.

Article 8 : Formalités particulières

Tout traitement automatisé de données à caractère personnel, ayant pour objet la gestion des
applications billettiques et comptant parmi ses finalités la gestion des impayés, qui n’est pas
conforme aux dispositions qui précèdent doit faire l’objet d’une demande d’autorisation
auprès de la Commission dans les formes prescrites par les articles 25-4° et 30 de la loi du 6
janvier 1978 modifiée.
24

Commission nationale de l’informatique et des libertés

Les traitements ayant pour finalité la gestion des opérations de contrôle des titres de transport
dans le cadre des applications billettiques devront, par ailleurs, faire l’objet d’un engagement
de conformité à l’autorisation unique n° 12 adoptée par la délibération de la CNIL n° 2007-
002 le 11 janvier 2007 relatif aux traitements ayant pour finalité la gestion des infractions à la
police des services publics de transports terrestres ou à défaut d’une demande d’autorisation
spécifique auprès de la Commission.

Article 9

La présente délibération sera publiée au Journal officiel de la République française.

Le Président

Alex TÜRK

25