Le 3 juin 2011, par Geneviève Koubi,
L’article L. 1214-2 10° du Code des transports prévoit que le plan de déplacements urbains vise à assurer « L’organisation d’une tarification et d’une billetique intégrées pour l’ensemble des déplacements, incluant sur option le stationnement en périphérie et favorisant l’utilisation des transports collectifs par les familles et les groupes » [1]. L’application de ces dispositions nécessite quelques cadrages, cadrages auxquels s’intéresse la Commission nationale de l’informatique et des libertés (CNIL).
.
Dans une longue délibération du 28 avril 2011, la CNIL se penche sur la collecte et au traitement d’informations nominatives par les sociétés de transports collectifs que les modulations billettiques impliquent ; elle le fait en adoptant le point de vue officiel sur la modernisation des transports collectifs, louant presque les progrès technologiques qui font des « puces » la clef des nouveaux systèmes de transport : la délivrance de titres de transport liés à une « technologie sans contact » retient alors l’attention. Ce modèle, affiché « en vue de faciliter les déplacements », est aussi un moyen pour les entreprises de transport concernées de consolider la transformation des usagers d’un service public ou au public en des clients, notamment en ce qu’il leur permet de « proposer des services complémentaires » de nature commerciale [2].
.
La délibération n° 2011-107 du 28 avril 2011 portant autorisation unique [3] de mise en œuvre de traitements automatisés de données à caractère personnel relatifs à la gestion des applications billettiques par les exploitants et les autorités organisatrices de transport publics, publiée au Journal officiel du 31 mai 2011, aligne une série d’observations qui exige des mise en regard successives avec les avis antérieurs émis en la matière, dont notamment la délibération, citée dans les visas [4], n° 03-083 du 16 septembre 2003 portant adoption d’une recommandation relative à la collecte et au traitement d’informations nominatives par les sociétés de transports collectifs dans le cadre d’applications billettiques.
Dans cette délibération n° 2003-38 du 16 septembre 2003, la CNIL rendait compte du fait que la modernisation des transports collectifs conduisait les entreprises de transport « à proposer de nouveaux titres de transport à leurs usagers, reposant sur l’utilisation de cartes nominatives, magnétiques ou à puce » ; ceci supposait nécessairement des traitements automatisés « d’informations nominatives », proches donc de données à caractère personnel. Elle relevait ainsi que « les traitements automatisés mis en œuvre pour assurer le bon fonctionnement de ces titres billettiques créent un risque sérieux en matière de protection des données personnelles. En effet, les déplacements des personnes utilisant ces cartes peuvent être reconstitués et ne sont plus anonymes, ce qui est de nature à porter atteinte tant à la liberté, fondamentale et constitutionnelle, d’aller et venir qu’au droit à la vie privée, qui constitue également un principe de valeur constitutionnelle. » Cette crainte aurait-elle été apaisée depuis ?
Dans sa délibération n° 2011-107 du 28 avril 2011, la CNIL ne s’inquiète plus des effets induits par une modernisation pensée au profit des sociétés de transport. Occultant cette lecture de qualité entrepreneuriale, elle relève que la facilitation des déplacements pour les usagers des services de transport, publics ou privés, dépend de l’interopérabilité des systèmes. La recommandation émise en 2003 quant au fait que « les traitements appliqués aux données relatives aux déplacements des personnes devraient ... être anonymisés, à l’exception de ce qui relève de la gestion de la lutte contre la fraude », n’aurait plus lieu d’être réitérée. L’insidiosité des systèmes intermodulaires a pénétré les habitudes des passagers-usagers.
En effet, parce que ces systèmes permettent « de voyager avec le même billet sur plusieurs réseaux », l’avantage qui en est retiré surpasserait les inconvénients d’une surveillance sournoise. Mais, en même temps, il est indéniable que cette interopérabilité « favorise l’harmonisation de la gestion des titres de transport » au bénéfice des sociétés de transport. Ces deux temps ne peuvent être situés sur un même niveau : d’un côté, l’usager est le principal concerné, sans obtenir nécessairement la source d’un avantage financier ; de l’autre, l’entreprise y puise un profit certain, accentuant sa politique de réduction des personnels (délégués à la vente des titres de transport) et, pouvant, à l’aide des analyses statistiques facilitées par ces techniques, évaluer les trajets "rentables" à maintenir, donc par là, envisager la suppression de certaines lignes ou, plus valablement, en réduire les fréquences...
.
Toutefois, en l’espèce, plutôt que seulement lutter contre la "fraude", il s’agit de s’interroger sur le suivi des impayés, ce suivi ne pouvant avoir lieu que si un traitement automatisé de données personnelles est mis en place : « il y a lieu, à cet effet, de préciser que l’inscription d’une personne en liste d’opposition à la suite d’un impayé a pour effet d’invalider son passe billettique et ainsi ne lui permet plus d’utiliser ce type de titre de transport jusqu’à la régularisation des sommes dues. ». La méthode relève, selon la loi, des traitements automatisés susceptibles, « du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire ». Toutefois, dans cette approche, on pourrait penser que l’impayé ne rejoint pas la fraude.
.
La description donnée dans cet avis « de l’utilisation d’un titre de transport sans contact » mérite quelques observations dans la mesure où, ainsi qu’il l’est rappelé, « la possibilité de circuler de façon anonyme … doit être préservée ». De ce fait, ce titre de transport doit principalement enregistrer « les données concernant les trajets effectués », ce qui est indispensable pour l’établissement de statistiques... Mais, pour les usagers qui ont accepté qu’un lien de facture technologique soit établi entre leur titre de transport et leur personne, comme leurs données à caractère personnel sont enregistrées, les informations relatives aux trajets validés (entrée et sortie du réseau) sont propres au titulaire du titre de transport. Sur la carte comme sur le poste central de l’exploitant de transport sont ainsi mémorisés « les date, heure et lieu des passages mais aussi le numéro de carte utilisé (ce) qui rend possible, à partir du fichier clientèle, l’identification du titulaire de la carte ». La CNIL remarque alors que : « Dès lors, les déplacements de ce dernier peuvent être reconstitués et ne sont plus anonymes, ce qui est de nature à porter atteinte tant à la liberté fondamentale d’aller et venir qu’au droit à la vie privée ».
Des trois modèles de titres de transport : « le titre de transport nominatif (support nominatif, l’usager figure dans le fichier client du transporteur, ses déplacements ne sont donc pas anonymes), le titre de transport déclaratif (le support est nominatif mais l’usager ne figure pas dans le fichier client, ce qui permet un anonymat des déplacements) et le titre de transport anonyme (le support est anonyme, aucun abonnement ne peut donc être chargé dessus) », la CNIL retient surtout la nécessité de « l’anonymat des déplacements » et de « la possibilité pour l’usager de ne pas figurer dans le fichier clients du transporteur », l’anonymat du support sur lequel est chargé le titre de transport n’est pas dans la ligne de mire de la CNIL.
Mais, dans les réseaux de transport établis sur plusieurs zones, ces deux temps relatifs à l’anonymat du déplacement d’une part et à la non-inscription sur le fichier clients ne sont pas aisément distingués puisque le support utilisé est toujours le même titre de transport et que le « suivi des impayés » exigerait qu’une connexion soit établie entre l’un et l’autre.
.
Les pouvoirs de la CNIL ne s’étendent pas au-delà de la constitution des fichiers. La CNIL présente alors dans cette délibération du 28 avril 2011 quelques mesures portant « engagement de conformité » que les responsables de traitement doivent respecter [5], tant sur le plan des finalités et caractéristiques techniques du traitement [6] que pour ce qui concerne les données à caractère personnel traitées [7] et conservées pendant la durée de la relation contractuelle.
.
En ce domaine, la réponse à la question de la gestion des réclamations et du suivi des impayés est un des points d’accroche essentiels pour les entreprises de transport.
En premier lieu, la CNIL estime qu’« au titre du postpaiement (afin d’établir la facturation des trajets et de permettre la gestion des réclamations) : Seules les données nécessaires au calcul du prix du titre pourront être collectées en plus de la date et de l’heure. A ce titre, et uniquement si ces informations sont nécessaires au calcul du prix du titre, le responsable de traitement peut collecter des informations telles que le nombre de trajets, la zone ou la distance du voyage. En tout état de cause, la collecte du lieu (de la station de validation) pour du postpaiement ne saurait être justifiée et serait de nature à contrevenir à la liberté d’aller et venir anonymement. » La gestion des réclamations dans le cadre du postpaiement fait l’objet d’une mention spécifique dans le cadre des normes relatives à la conservation des informations. « Les informations nécessaires à la facturation (y compris les données de validation, à l’exception du lieu), peuvent être conservées pendant une durée de quatre mois à compter de la date des événements. Dès lors, un tri doit être opéré dès la centralisation des données de validation dans le système, afin que ne soient conservées pendant cette durée que les données des personnes ayant choisi le postpaiement. ».
En second lieu, elle signale qu’« au titre des traitements relatifs à la gestion des impayés les données à caractère personnel nécessaires sont : l’identité (nom, prénom) ; la date de naissance ; l’adresse ; le numéro de compte de l’abonné ; le montant de l’impayé ; la banque ; le numéro du chèque ou de carte bancaire ; la date du rejet ; le motif sous la forme d’une liste fermée indiquant, par exemple, l’absence ou l’insuffisance de provision, ou le moyen de paiement invalide ; le nombre d’avertissements avant suspension de l’abonnement ; les données relatives au règlement des sommes dues. ». Elle précise encore, et cela n’est pas sans importance au vu des dérives que comportent bien des fichiers, que si des « zones bloc-notes » sont prévues, les mentions qui y sont inscrites « ne doivent porter que sur des actes et des faits objectifs et ne peuvent, en aucun cas, faire apparaître, directement ou indirectement, des données relatives aux infractions commises par les abonnés et des données relatives aux origines raciales, aux opinions politiques, philosophiques ou religieuses, aux appartenances syndicales ou aux mœurs de la personne concernée par ces actes ou ces faits. » Quant à la durée de conservation de ces informations, alors que l’anonymisation est le principe général, l’impayé ne peut s’y conformer tant que les sommes correspondantes ne sont pas réglées. Ces données doivent alors être « immédiatement retirées de la liste d’opposition dès régularisation des sommes dues », mais « à défaut de régularisation elles seront conservées pendant au maximum deux ans à compter de l’inscription ».
Le texte de l’avis comporte sans doute une erreur de transcription, le mot écrit est celui de régulation ! Faut-il y déceler une arrière-pensée ? Peut-on y lire une préoccupation institutionnelle ou idéologique ? Les lapsus ne sont jamais neutres !
...
[1] Ces formulations s’appuient sur les modifications de la loi n° 82-1153 du 30 décembre 1982 d’orientation des transports intérieurs, introduites par la loi n° 2000-1208 du 13 décembre 2000 relative à la solidarité et au renouvellement urbains en tant que cette dernière évoquait « La mise en place d’une tarification et d’une billetique intégrées pour l’ensemble des déplacements, incluant sur option le stationnement en périphérie, favorisant l’utilisation des transports collectifs par les familles et les groupes. »
[2] A propos de ces derniers, peut-on penser que leur détermination doit s’entendre également à l’égard des non-usagers, c’est-à-dire à l’égard des sociétés de surveillance et de sécurité comme à l’égard des entreprises de publicité commerciale ?
[3] Décision n° AU-015.
[4] … mais, en final, abrogée : v. art. 9.
[5] Voici le plan générale de la délibération du 28 avril 2011 : Art. 1 - Finalités et caractéristiques techniques du traitement. Art. 2 - Données à caractère personnel traitées. Art 3 - Destinataires des informations. Art. 4 - Durée de conservation. Art. 5 - Mesures de sécurité. Art. 6 - Information des personnes. Art. 7 - Exercice des droits d’accès et de rectification. Art. 8 - Formalités particulières.
[6] Ce sont surtout les finalités que la CNIL répertorie : la gestion des abonnements et délivrance des titres de transport plein tarif, à tarif réduit ou même gratuits ; la gestion des opérations du service après vente et des réclamations clients ; la gestion des offres commerciales ; la gestion des programmes de fidélisation ; la gestion de la fraude : détection de la contrefaçon et de la fraude technologique ; instruction des dossiers de fraude technologique ; gestion des cartes invalidées suite à une perte ou un vol ; gestion des cartes invalidées suite à la détection d’un usage abusif ; gestion des cartes invalidées suite à un incident de paiement. D’autres objectifs sont retenus pour la réalisation d’analyses statistiques d’utilisation des réseaux (trafic ; nature des titres de transport délivrés ; clientèle) et la qualité du fonctionnement du système (problèmes techniques liés à la carte ; problèmes techniques liés aux valideurs ; détection des anomalies fonctionnelles du système d’information).
[7] En voici la liste : l’identité (civilité, sexe, nom, prénom) ; la date et le lieu de naissance ; l’adresse postale ; les numéros de téléphone (personnel et portable) et l’adresse courriel (facultatifs) ; la photographie ; l’identité et l’adresse du payeur lorsque le payeur n’est pas l’abonné ; le mode de paiement ; en cas de paiement de l’abonnement par prélèvement bancaire : le nom de la banque, l’établissement, le guichet, le numéro de compte et la clé de RIB, la signature de l’abonné, un relevé d’identité bancaire ; la situation socioprofessionnelle (étudiant, apprenti, actif, scolaire ou autre) ; le nom de l’établissement scolaire ou universitaire ; la classe fréquentée à titre facultatif ; le numéro de client ; l’historique client ; le type d’abonnement ; les données de validation : date, heure, lieu de la validation ( le nombre d’événements de validation enregistrés dans la carte doit être limité à quatre et peut être étendu à six pour des besoins d’interopérabilité) ; les dates de début et de fin de validité de la carte ; le numéro de carte ; le motif de l’inscription sur un fichier d’exclusion d’après une liste fermée, le cas échéant.