Délibération n° 2010-15 du 3 mai 2010 portant avis favorable sur la demande présentée par la Compagnie des Autobus de Monaco relative au traitement automatisé d’informations nominatives ayant pour finalité «Assurer l’exploitation du système billettique du réseau urbain de Monaco» sous la dénomination «Application billettique erg»
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe, et son protocole additionnel n° 4 ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu les principes directeurs sur la protection des données à caractère personnel à l’égard des cartes à puce adoptés le 14 mai 2004 par le Comité européen de coopération juridique du Conseil de l’Europe ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’ordonnance souveraine n° 992 du 16 février 2007 approuvant la convention, le cahier des charges et leurs annexes de la concession du service public pour l’exploitation du réseau de transport public urbain de voyageurs par autobus ;
Vu l’arrêté ministériel du 11 mai 1931 concernant la Compagnie des Autobus Monégasque ;
Vu la demande d’avis, reçue le 1er avril 2010, concernant la mise en œuvre par la Compagnie des Autobus de Monaco relative au traitement automatisé d’informations nominatives ayant pour finalité «assurer l’exploitation du système billettique du réseau urbain de Monaco» sous la dénomination «application billettique ERG» ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 3 mai 2010 portant analyse dudit traitement automatisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
Le 25 janvier 2010, la Commission de Contrôle des Informations Nominatives (CCIN) a mis en demeure la Compagnie des Autobus de Monaco (CAM) de régulariser le ou les traitements automatisés d’informations nominatives inhérents à l’instauration en Principauté de Monaco d’un système de billettique par puce sans contact.
En réponse, la CCIN a été saisie, le 1er avril 2010, d’une demande d’avis portant sur un traitement automatisé d’informations nominatives ayant pour finalité «assurer l’exploitation du système billettique du réseau urbain de Monaco», sous la dénomination «application billettique ERG».
La billettique est l’ensemble des procédés et outils de gestion des contrats liant les producteurs d’offre de déplacement et les utilisateurs de cette offre dans lequel les billets papier ont été remplacés par des supports de technologies plus avancées. Le système mis en place en Principauté se matérialise par une carte à puce sans contact utilisant la technologie du RFID. Cette petite puce contient les informations personnelles du détenteur de la carte (nom, prénom, type d’abonnement ou titre(s) de transport acheté(s)…) qui sont automatiquement rattachées au nom du client.
En Principauté, les usagers peuvent bénéficier, soit d’une carte anonyme rechargeable -support de voyages achetés par lot de dix, soit d’une carte nominative lorsqu’elle est liée à un abonnement souscrit par l’intéressé, tel que prévu par le cahier des charges de la concession du service public pour l’exploitation du réseau de transport public urbain de voyageurs par autobus, susvisée.
A l’examen du dossier de demande d’avis et des documents techniques fournis à titre explicatif ou indicatif, la Commission précise que le présent traitement ne porte pas sur :
- les services en ligne ou dématérialisés susceptibles d’être offerts aux clients à terme ;
- l’interopérabilité avec le réseau de transport du pays frontalier puisque les données en présence sont uniquement destinées à la CAM et que les mesures techniques et organisationnelles décrites ne l’intègrent pas.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement automatisé soumis à l’avis de la CCIN a pour finalité d’«assurer l’exploitation du système billettique du réseau urbain de Monaco», sous la dénomination «application billettique ERG».
Il concerne, selon la CAM, les «usagers des transports urbains de Monaco», c’est-à-dire les usagers «du réseau de transport public urbain de voyageurs par autobus» de la Principauté, comme établi par la Convention de Service Public encadrant les missions de la CAM. Il ne porte que sur les titres de transports délivrés par la CAM.
Il ressort du dossier de demande d’avis que ce traitement concerne également les agents de la CAM habilités à avoir accès ou à réaliser des opérations automatisées au titre de la billettique.
Ce traitement a pour fonctionnalités :
1. la gestion du réseau et des équipements, c’est-à-dire :
- le paramétrage ;
- la gestion du parc ;
- la gestion du mode dégradé des équipements ;
- les alarmes et informations de fonctionnement.
2. la gestion des clients de la CAM, soit :
- l’identification des clients et l’établissement de la fiche client ;
- la gestion du type d’abonnement tel que prévu par le cahier des charges de la concession (soit les cartes ½ tarif senior, moins de 26 ans, abonnement tout usager, monégasque de plus de 60 ans, ayant droit, libre circulation) ;
- la gestion de la carte et des titres de transport de l’usager :
• l’établissement, la création, la modification et la suppression des cartes et des titres, également appelés contrats ;
• la vente de titres de transport ;
• la reconstitution des cartes ;
• la recharge des titres ;
• la télé-modification des cartes ;
- la gestion du compte de l’usager :
• la consultation de l’état et de l’historique des contrats ou titres de transport associés à une carte ;
• l’historique des dernières ventes ;
• l’historique des utilisations des titres issus des valideurs ;
• la gestion des demandes de duplicata, des déclarations de perte ou de vol ;
- la gestion des listes d’opposition, soit :
• gestion de la liste noire des cartes, cartes dont l’utilisation est interdite à la suite d’une demande de duplicata, d’une déclaration de perte, de vol, ou d’une défectuosité ;
• la gestion d’une liste grise des contrats, soit d’un titre de transport dont la validité est suspendue le temps que la personne régularise son paiement ;
- la gestion des paiements, soit :
• prélèvement automatique selon que l’abonnement est mensuel, trimestriel ou annuel ;
• l’état du compte du client afin de lui adresser, le cas échéant des courriers (ex. relance) ;
• le remboursement des titres de transport non entamé, soit non validé.
3. le contrôle des titres de transport, soit :
- la validation des titres de transport par l’usager dans le bus ;
- le contrôle des titres de transport par un contrôleur habilité de la CAM qui s’assure de la validité et de l’identité du porteur ;
4. la gestion administrative et financière, c’est-à-dire :
- la gestion de stock ;
- la gestion des recettes.
5. les analyses statistiques, soit :
- la fréquentation des lignes et adaptation de l’offre commerciale ;
- la justification de l’activité auprès du concédant.
La Commission met en lumière que le traitement automatisé mis en place ne doit pas permettre de suivre les déplacements des usagers ou de connaître les itinéraires pris par une personne ou une carte donnée.
La Commission relève que certains éléments des pièces complémentaires au dossier laissent supposer que des informations nominatives pourraient être exploitées à des fins de lutte contre la fraude. Si tel est le cas, une nouvelle demande d’avis devrait lui être soumise afin de veiller à la régularité de ce traitement automatisé avec la loi n° 1.165 susvisée.
II. Sur la légitimité du traitement
Le responsable de traitement justifie la mise en œuvre de ce traitement automatisé par une obligation légale à laquelle il est soumis au travers du contrat de concession de l’exploitation du réseau de transport en commun de la Principauté de Monaco approuvé par ordonnance souveraine n° 992 du 16 février 2007.
Cette concession implique «le remplacement de l’équipement monétique en respectant l’objectif d’interopérabilité» et demande «de limiter autant que possible la vente de titre à bord des autobus, le concessionnaire en accord avec le concédant constituera d’autres points et modalités de vente» (article 17) .
Par ailleurs, le responsable de traitement le justifie par l’exécution d’un contrat entre la CAM et les personnes concernées au titre du transport des usagers et abonnés. En effet, l’article 10 du cahier des charges dispose que «les usagers doivent se munir des titres de transport et carte d’ayant droit correspondant à leur catégorie et à la nature du service qu’ils utilisent. Pour être valable sur un parcours considéré, le titre de transport doit être validé par l’usager, au moyen des appareils installés à bord des véhicules». Dans ce sens, le cahier des charges détaille l’ensemble des titres de transport, leur prix et les modalités d’attribution.
Sur les contrôles des titres de transport, ce même article 10 prévoit que «les cartes à vue doivent être présentées, d’une manière lisible au conducteur receveur, à la montée dans le véhicule. Le concessionnaire doit faire contrôler fréquemment les titres de transport et faire poursuivre, conformément à la loi ou aux règlements, les usagers qui voyageraient sans titre de transport ou avec un titre de transport non valable et qui n’accepteraient pas l’indemnité forfaitaire. Ces prescriptions, ainsi que le montant de l’amende encourue sont rappelés à l’attention des usagers par voie d’affiche à l’intérieur des voitures».
Sur ce dernier point, la Commission relève que le cahier des charges devra être mis en conformité avec les modalités de fonctionnement de la CAM liées à la billettique et souligne que si à l’occasion des contrôles le contrôleur peut avoir accès à des informations nominatives inscrites dans la puce ou dans le système de billettique, ou s’il peut collecter des informations nominatives se rapportant aux usagers (ex. verbalisation d’un usager, paiement d’une amende…) alors, une demande d’avis spécifique à cette procédure devra être soumise à l’avis de la CCIN.
L’arrêté ministériel du 11 mai 1933 concernant la Compagnie des Autobus de Monaco, notamment son article 10, devra également être modifié afin de tenir compte de l’évolution des modalités de fonctionnement mises en place par la CAM.
III. Sur les mesures prises pour faciliter l’exercice du droit d’accès et du droit de rectification
La personne concernée est informée de la protection de ses informations nominatives à différentes étapes de sa relation avec la CAM (sur le formulaire de collecte et de demande d’abonnement par une mention spécifique, lors de son déplacement à la CAM par la voie d’un affichage ou encore lors de la délivrance de la carte par le biais d’un prospectus), conformément aux mentions figurant à l’article 14 de la loi n° 1.165.
Toutefois, l’information portant sur la possibilité de voyager sans carte nominative n’apparaît pas dans le dossier. Par ailleurs, celle mettant en évidence que la CAM n’utilise pas les informations des usagers afin de suivre leurs déplacements est inexistante.
La Commission demande qu’une information soit apportée aux usagers sur la possibilité de voyager avec des cartes non nominatives, et que la CAM prenne un engagement formalisé auprès des usagers sur le fait que le système de billettique ne permettre pas de suivre leurs déplacements.
Par ailleurs, le principe d’un support sans contact utilisant la technologie du RFID permet une lecture des informations figurant sur la carte par transmission radio. Par définition, ces cartes peuvent être lues à distance, sans contact, sans que la distance de lecture ait été mentionnée dans le dossier. Le détenteur d’une carte est acteur de la sécurité de ses informations. Aussi, la Commission estime que l’information donnée au porteur doit comporter des éléments sur ce point afin qu’il sache qu’une lecture à courte distance est possible par un tiers, dès lors que celui-ci dispose des outils nécessaires, et la manière dont cette carte doit être protégée de toute lecture fortuite.
IV. Sur la sécurité du traitement et des informations
La Commission prend acte des mesures techniques et organisationnelles présentées afin de garantir la sécurité et la confidentialité du traitement et des informations.
Elle demande que les procédures et documents dont la formalisation est recommandée par le prestataire de service soient rapidement établis, que les modalités d’identification des opérations soient systématiquement réalisées de manière individuelle.
V. Sur les informations traitées
Les informations nominatives traitées sur les usagers sont :
• Identité : nom, prénom, date de naissance, photo d’identité pour impression sur carte nominative, numéro de la carte sans contact, numéro de client ;
• Adresses et coordonnées : adresse, téléphone, mail (facultatif) ;
• Caractéristiques économiques et financières : coordonnées bancaires (RIB) si demande de prélèvement ;
• type d’abonnement.
Ces informations ont pour origine l’usager lui-même.
Les informations nominatives traitées sur les personnels de la CAM, issues du système d’informations de la CAM sont :
• Identité : nom, prénom, matricule et codes identifiants.
La Commission prend acte que le présent traitement ne comporte pas d’informations nominatives en lien avec la verbalisation d’un contrevenant à bord des bus et que les contrôleurs n’ont pas été mentionnés comme pouvant avoir accès au traitement.
La Commission relève que la photographie de l’usager est numérisée afin d’être intégrée sur la carte et dans la puce sans contact. Si cette photographie peut être utile lors des contrôles des titres de transport dans le bus, la Commission estime que sa conservation dans le système
d’information ne trouve pas de justification. Aussi, elle demande que cette photographie soit supprimée du traitement une fois la carte établie.
Les personnes pouvant avoir accès au système billettique sont :
- les administrateurs habilités du système ;
- les agents habilités de vente ;
- les personnels habilités du Back Office.
VI. Les durées de conservation
La durée de conservation exposée par la demande d’avis est globalisée à 2 ans après la fin de la relation commerciale pour l’ensemble des informations nominatives.
Cette durée de conservation paraît excessive au regard des nombreuses fonctionnalités envisagées.
En conséquence, la Commission demande que la conservation des informations nominatives exploitées dans le cadre de «l’exploitation du système billettique du réseau urbain de Monaco», soit organisée de la manière suivante :
- concernant la gestion des clients les informations doivent être supprimées :
• 3 mois après l’expiration du dernier titre de transport afin de laisser le temps à l’usager de faire le nécessaire s’il souhaite poursuivre sa relation commerciale avec la CAM ;
- concernant la gestion des comptes de l’usager :
•les informations liées aux contrats ou aux titres de transports doivent être supprimées 3 mois après l’expiration de chaque contrat ou titre ;
• les historiques ne peuvent concerner que les titres en cours ou expirés depuis moins de 3 mois ;
• les informations relatives aux impayés doivent être supprimées à chaque facture réglée ;
• aucune mention portant sur les différentes validations de titres de transports d’un usager ne doit être conservée (hors les éléments permettant d’activer le titre et ceux portant son expiration) au-delà des 48 heures nécessaires à la mise à jour des bases ;
- concernant la gestion de la carte personnalisée et des titres de transport : les titres de transport ou contrats d’un client donné doivent être supprimés, au plus tard, 3 mois suivant l’expiration de leur date de validité ;
- concernant le type d’abonnement, lié à la fiche client, il doit être mis à jour en fonction de la situation de l’usager, sans qu’aucun historique des abonnements successifs ne puisse être établi, le dernier abonnement peut être conservé tant que le titulaire correspond aux critères établis par le cahier des charges et que l’intéressé a souhaité bénéficier de la prestation induite (ex. : moins de 26 ans jusqu’au 26ème anniversaire) ;
- concernant la tenue des listes grises et noires : effacement des informations nominatives figurant dans les listes dès résolution de l’irrégularité ayant entraîné l’inscription d’une carte ou d’un contrat ;
- concernant la gestion des paiements, prélèvements automatiques et des impayés : effacement des informations dès paiement du contrat ou de l’impayé ; les éléments d’informations liés au RIB sont conservés en lien avec la fiche client, et les éléments de facturation en considération des obligations comptables du responsable de traitement dans un traitement associé sans lien avec la fiche client ;
- concernant la validation et l’utilisation de la carte sans contact :
• les informations liées à l’utilisation d’une carte ou d’un contrat peuvent être conservées dans le système 48 heures maximum le temps de la mise à jour des données liées à la gestion des cartes (ex. création, défectuosité…) ;
• par la suite, la date de validation du titre peut être conservée dans le système et sur la carte si elle est nécessaire à la validation du titre ;
• le nombre de voyages restant sur une carte multivoyage (nominative ou anonyme) peut être également conservé, si cette information est liée au fonctionnement même du titre ;
• en aucun cas, il ne doit être possible d’établir l’itinéraire, les heures ou lieux de validation, ou de dresser un profil «usager» d’une personne donnée ;
- les statistiques doivent, dans tous les cas, être anonymes, donc ne pas être réalisées en fonction d’un numéro de carte ou d’un client ;
- Sans précision quant à la conservation des informations concernant les personnels de la CAM habilités à avoir accès au système, la Commission estime que :
• les informations portant sur les agents de vente peuvent être conservées le temps de vie de la fiche client ;
• les informations portant sur les accès dans le cadre de la gestion des habilitations peuvent être conservées 3 mois au regard de la sécurité du système d’information ;
• les informations traitées au titre des habilitations peuvent être conservées 3 mois après la fin des habilitations conférées à une personne donnée.
La Commission demande qu’une procédure formalisée vienne établir les règles de conservation des informations nominatives traitées en fonction des fonctionnalités du traitement.
VII. Sur les destinataires des informations
Le responsable de traitement mentionne qu’il communique des informations à l’organisme bancaire pour les prélèvements. Sur ce point, la Commission relève que seules peuvent être exploitées dans ce cadre les nom, prénom et coordonnées bancaires fournis par le client et avec son autorisation.
Par ailleurs, il communique à la Direction de la Prospective, de l’Urbanisme et de la Mobilité, intermédiaire de l’autorité de tutelle, des listes nominatives sur format papier comportant les nom, prénom et date de naissance des personnes de moins de 26 ans et des ayants droit de plus de 60 ans bénéficiant d’abonnement dont le coût est compensé par l’Etat.
La Commission relève qu’une participation du concédant au paiement de la carte d’abonnement jeune de moins de 26 ans est prévue à l’article 9.f) du cahier des charges de la concession. Cette participation qui n’est pas explicite pour la carte d’ayant droit réservée aux personnes de nationalité monégasque âgées de plus de 60 ans, prévue à l’article 12 du cahier des charges.
Dans tous les cas, elle estime que l’établissement d’une liste nominative reprenant l’identité et la date de naissance de toutes les personnes bénéficiant d’un abonnement auprès de la CAM à l’attention du concédant n’est pas justifié et est contraire au principe de protection de la vie privée des individus.
Elle considère que la CAM peut adresser au concédant le nombre de cartes et abonnements délivrés objet de compensation de la part de l’Etat, qui s’il l’estime utile peut effectuer des vérifications dans le cadre de ces prérogatives de contrôle, sans que l’envoi de ces listes soit systématique.
Quant la communication d’informations nominatives vers les réseaux partenaires pour l’interopérabilité, la Commission relève qu’il s’agit d’éléments qu’il conviendra de développer dans le cadre de la demande d’avis se rapportant à cette opération, non intégrée dans le présent traitement automatisé.
Après en avoir délibéré
Relève que le présent traitement :
- porte sur le système billettique mis en œuvre par la Compagnie des Autobus de Monaco (CAM) dans le cadre du contrat de la concession du service public pour l’exploitation du réseau de transport public urbain de voyageurs par autobus ;
- concerne les titres de transport délivrés par la CAM sur le territoire monégasque ;
- ne concerne pas les services en ligne ou dématérialisés susceptibles d’être offerts aux clients à terme ;
- ne porte pas sur les opérations liées à l’interopérabilité en projet du système billettique monégasque avec le réseau de transport du pays frontalier ;
- ne permet pas de suivre les déplacements des usagers ou de connaître les itinéraires pris par une personne ou une carte donnée.
Recommande :
- qu’une demande d’avis spécifique aux contrôles réalisés par la CAM, notamment à des fins de lutte contre la fraude soit soumise à la CCIN afin de veiller à la régularité de ces opérations automatisées avec la loi n° 1.165 susvisée ;
Demande que :
- l’information des usagers portant sur la possibilité de voyager sans carte nominative soit réelle ;
- la CAM prenne l’engagement auprès des usagers de ne pas exploiter les informations portant sur la validation de leur(s) titre(s) de transport à des fins de suivi des déplacements d’une personne ou d’un groupe de personnes, ou, d’établissement de profil d’usager ;
- la CAM informe les usagers de la sensibilité des cartes sans contact utilisant la technologie du RFID et qu’il leur appartient de veiller à protéger ces cartes de toute lecture fortuite ;
- les procédures et documents relatifs à la sécurité du système dont la formalisation est recommandée par le prestataire de service soient rapidement établis ;
- les modalités d’identification des opérations soient systématiquement réalisées de manière individuelle ;
- les échanges de données avec les équipements embarqués soient sécurisés en tenant compte de l’état de l’art ;
- la photographie du détenteur de la carte soit supprimée du système une fois la carte établie ;
- la durée de conservation des informations nominatives soit organisée comme spécifiée dans la délibération et formalisée en interne ;
- les informations nominatives se rapportant aux titulaires des cartes bénéficiant d’une participation du concédant ne lui soient pas communiquées hors des procédures de contrôle et de vérification qu’il lui appartient de mettre en place, conformément aux lois et règlements en vigueur ;
- que, conformément à l’article 2 alinéa 2 de la loi n° 1.165, modifiée, la CCIN soit consultée lors de l’élaboration des mesures législatives ou réglementaires, tels les textes qui viendront encadrer les modalités de fonctionnement de la concession du service public pour l’exploitation du réseau du transport public urbain de voyageurs par autobus en cours, afin qu’elle puisse s’assurer du respect de ses prescriptions et de la prise en compte des droits et libertés des personnes à l’égard du ou des traitements des informations nominatives inhérents.
A la condition de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par la Compagnie des Autobus de Monaco du traitement automatisé d’informations nominatives ayant pour finalité «assurer l’exploitation du système billettique du réseau urbain de Monaco», sous la dénomination «application billettique ERG».
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe, et son protocole additionnel n° 4 ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu les principes directeurs sur la protection des données à caractère personnel à l’égard des cartes à puce adoptés le 14 mai 2004 par le Comité européen de coopération juridique du Conseil de l’Europe ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’ordonnance souveraine n° 992 du 16 février 2007 approuvant la convention, le cahier des charges et leurs annexes de la concession du service public pour l’exploitation du réseau de transport public urbain de voyageurs par autobus ;
Vu l’arrêté ministériel du 11 mai 1931 concernant la Compagnie des Autobus Monégasque ;
Vu la demande d’avis, reçue le 1er avril 2010, concernant la mise en œuvre par la Compagnie des Autobus de Monaco relative au traitement automatisé d’informations nominatives ayant pour finalité «assurer l’exploitation du système billettique du réseau urbain de Monaco» sous la dénomination «application billettique ERG» ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 3 mai 2010 portant analyse dudit traitement automatisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
Le 25 janvier 2010, la Commission de Contrôle des Informations Nominatives (CCIN) a mis en demeure la Compagnie des Autobus de Monaco (CAM) de régulariser le ou les traitements automatisés d’informations nominatives inhérents à l’instauration en Principauté de Monaco d’un système de billettique par puce sans contact.
En réponse, la CCIN a été saisie, le 1er avril 2010, d’une demande d’avis portant sur un traitement automatisé d’informations nominatives ayant pour finalité «assurer l’exploitation du système billettique du réseau urbain de Monaco», sous la dénomination «application billettique ERG».
La billettique est l’ensemble des procédés et outils de gestion des contrats liant les producteurs d’offre de déplacement et les utilisateurs de cette offre dans lequel les billets papier ont été remplacés par des supports de technologies plus avancées. Le système mis en place en Principauté se matérialise par une carte à puce sans contact utilisant la technologie du RFID. Cette petite puce contient les informations personnelles du détenteur de la carte (nom, prénom, type d’abonnement ou titre(s) de transport acheté(s)…) qui sont automatiquement rattachées au nom du client.
En Principauté, les usagers peuvent bénéficier, soit d’une carte anonyme rechargeable -support de voyages achetés par lot de dix, soit d’une carte nominative lorsqu’elle est liée à un abonnement souscrit par l’intéressé, tel que prévu par le cahier des charges de la concession du service public pour l’exploitation du réseau de transport public urbain de voyageurs par autobus, susvisée.
A l’examen du dossier de demande d’avis et des documents techniques fournis à titre explicatif ou indicatif, la Commission précise que le présent traitement ne porte pas sur :
- les services en ligne ou dématérialisés susceptibles d’être offerts aux clients à terme ;
- l’interopérabilité avec le réseau de transport du pays frontalier puisque les données en présence sont uniquement destinées à la CAM et que les mesures techniques et organisationnelles décrites ne l’intègrent pas.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement automatisé soumis à l’avis de la CCIN a pour finalité d’«assurer l’exploitation du système billettique du réseau urbain de Monaco», sous la dénomination «application billettique ERG».
Il concerne, selon la CAM, les «usagers des transports urbains de Monaco», c’est-à-dire les usagers «du réseau de transport public urbain de voyageurs par autobus» de la Principauté, comme établi par la Convention de Service Public encadrant les missions de la CAM. Il ne porte que sur les titres de transports délivrés par la CAM.
Il ressort du dossier de demande d’avis que ce traitement concerne également les agents de la CAM habilités à avoir accès ou à réaliser des opérations automatisées au titre de la billettique.
Ce traitement a pour fonctionnalités :
1. la gestion du réseau et des équipements, c’est-à-dire :
- le paramétrage ;
- la gestion du parc ;
- la gestion du mode dégradé des équipements ;
- les alarmes et informations de fonctionnement.
2. la gestion des clients de la CAM, soit :
- l’identification des clients et l’établissement de la fiche client ;
- la gestion du type d’abonnement tel que prévu par le cahier des charges de la concession (soit les cartes ½ tarif senior, moins de 26 ans, abonnement tout usager, monégasque de plus de 60 ans, ayant droit, libre circulation) ;
- la gestion de la carte et des titres de transport de l’usager :
• l’établissement, la création, la modification et la suppression des cartes et des titres, également appelés contrats ;
• la vente de titres de transport ;
• la reconstitution des cartes ;
• la recharge des titres ;
• la télé-modification des cartes ;
- la gestion du compte de l’usager :
• la consultation de l’état et de l’historique des contrats ou titres de transport associés à une carte ;
• l’historique des dernières ventes ;
• l’historique des utilisations des titres issus des valideurs ;
• la gestion des demandes de duplicata, des déclarations de perte ou de vol ;
- la gestion des listes d’opposition, soit :
• gestion de la liste noire des cartes, cartes dont l’utilisation est interdite à la suite d’une demande de duplicata, d’une déclaration de perte, de vol, ou d’une défectuosité ;
• la gestion d’une liste grise des contrats, soit d’un titre de transport dont la validité est suspendue le temps que la personne régularise son paiement ;
- la gestion des paiements, soit :
• prélèvement automatique selon que l’abonnement est mensuel, trimestriel ou annuel ;
• l’état du compte du client afin de lui adresser, le cas échéant des courriers (ex. relance) ;
• le remboursement des titres de transport non entamé, soit non validé.
3. le contrôle des titres de transport, soit :
- la validation des titres de transport par l’usager dans le bus ;
- le contrôle des titres de transport par un contrôleur habilité de la CAM qui s’assure de la validité et de l’identité du porteur ;
4. la gestion administrative et financière, c’est-à-dire :
- la gestion de stock ;
- la gestion des recettes.
5. les analyses statistiques, soit :
- la fréquentation des lignes et adaptation de l’offre commerciale ;
- la justification de l’activité auprès du concédant.
La Commission met en lumière que le traitement automatisé mis en place ne doit pas permettre de suivre les déplacements des usagers ou de connaître les itinéraires pris par une personne ou une carte donnée.
La Commission relève que certains éléments des pièces complémentaires au dossier laissent supposer que des informations nominatives pourraient être exploitées à des fins de lutte contre la fraude. Si tel est le cas, une nouvelle demande d’avis devrait lui être soumise afin de veiller à la régularité de ce traitement automatisé avec la loi n° 1.165 susvisée.
II. Sur la légitimité du traitement
Le responsable de traitement justifie la mise en œuvre de ce traitement automatisé par une obligation légale à laquelle il est soumis au travers du contrat de concession de l’exploitation du réseau de transport en commun de la Principauté de Monaco approuvé par ordonnance souveraine n° 992 du 16 février 2007.
Cette concession implique «le remplacement de l’équipement monétique en respectant l’objectif d’interopérabilité» et demande «de limiter autant que possible la vente de titre à bord des autobus, le concessionnaire en accord avec le concédant constituera d’autres points et modalités de vente» (article 17) .
Par ailleurs, le responsable de traitement le justifie par l’exécution d’un contrat entre la CAM et les personnes concernées au titre du transport des usagers et abonnés. En effet, l’article 10 du cahier des charges dispose que «les usagers doivent se munir des titres de transport et carte d’ayant droit correspondant à leur catégorie et à la nature du service qu’ils utilisent. Pour être valable sur un parcours considéré, le titre de transport doit être validé par l’usager, au moyen des appareils installés à bord des véhicules». Dans ce sens, le cahier des charges détaille l’ensemble des titres de transport, leur prix et les modalités d’attribution.
Sur les contrôles des titres de transport, ce même article 10 prévoit que «les cartes à vue doivent être présentées, d’une manière lisible au conducteur receveur, à la montée dans le véhicule. Le concessionnaire doit faire contrôler fréquemment les titres de transport et faire poursuivre, conformément à la loi ou aux règlements, les usagers qui voyageraient sans titre de transport ou avec un titre de transport non valable et qui n’accepteraient pas l’indemnité forfaitaire. Ces prescriptions, ainsi que le montant de l’amende encourue sont rappelés à l’attention des usagers par voie d’affiche à l’intérieur des voitures».
Sur ce dernier point, la Commission relève que le cahier des charges devra être mis en conformité avec les modalités de fonctionnement de la CAM liées à la billettique et souligne que si à l’occasion des contrôles le contrôleur peut avoir accès à des informations nominatives inscrites dans la puce ou dans le système de billettique, ou s’il peut collecter des informations nominatives se rapportant aux usagers (ex. verbalisation d’un usager, paiement d’une amende…) alors, une demande d’avis spécifique à cette procédure devra être soumise à l’avis de la CCIN.
L’arrêté ministériel du 11 mai 1933 concernant la Compagnie des Autobus de Monaco, notamment son article 10, devra également être modifié afin de tenir compte de l’évolution des modalités de fonctionnement mises en place par la CAM.
III. Sur les mesures prises pour faciliter l’exercice du droit d’accès et du droit de rectification
La personne concernée est informée de la protection de ses informations nominatives à différentes étapes de sa relation avec la CAM (sur le formulaire de collecte et de demande d’abonnement par une mention spécifique, lors de son déplacement à la CAM par la voie d’un affichage ou encore lors de la délivrance de la carte par le biais d’un prospectus), conformément aux mentions figurant à l’article 14 de la loi n° 1.165.
Toutefois, l’information portant sur la possibilité de voyager sans carte nominative n’apparaît pas dans le dossier. Par ailleurs, celle mettant en évidence que la CAM n’utilise pas les informations des usagers afin de suivre leurs déplacements est inexistante.
La Commission demande qu’une information soit apportée aux usagers sur la possibilité de voyager avec des cartes non nominatives, et que la CAM prenne un engagement formalisé auprès des usagers sur le fait que le système de billettique ne permettre pas de suivre leurs déplacements.
Par ailleurs, le principe d’un support sans contact utilisant la technologie du RFID permet une lecture des informations figurant sur la carte par transmission radio. Par définition, ces cartes peuvent être lues à distance, sans contact, sans que la distance de lecture ait été mentionnée dans le dossier. Le détenteur d’une carte est acteur de la sécurité de ses informations. Aussi, la Commission estime que l’information donnée au porteur doit comporter des éléments sur ce point afin qu’il sache qu’une lecture à courte distance est possible par un tiers, dès lors que celui-ci dispose des outils nécessaires, et la manière dont cette carte doit être protégée de toute lecture fortuite.
IV. Sur la sécurité du traitement et des informations
La Commission prend acte des mesures techniques et organisationnelles présentées afin de garantir la sécurité et la confidentialité du traitement et des informations.
Elle demande que les procédures et documents dont la formalisation est recommandée par le prestataire de service soient rapidement établis, que les modalités d’identification des opérations soient systématiquement réalisées de manière individuelle.
V. Sur les informations traitées
Les informations nominatives traitées sur les usagers sont :
• Identité : nom, prénom, date de naissance, photo d’identité pour impression sur carte nominative, numéro de la carte sans contact, numéro de client ;
• Adresses et coordonnées : adresse, téléphone, mail (facultatif) ;
• Caractéristiques économiques et financières : coordonnées bancaires (RIB) si demande de prélèvement ;
• type d’abonnement.
Ces informations ont pour origine l’usager lui-même.
Les informations nominatives traitées sur les personnels de la CAM, issues du système d’informations de la CAM sont :
• Identité : nom, prénom, matricule et codes identifiants.
La Commission prend acte que le présent traitement ne comporte pas d’informations nominatives en lien avec la verbalisation d’un contrevenant à bord des bus et que les contrôleurs n’ont pas été mentionnés comme pouvant avoir accès au traitement.
La Commission relève que la photographie de l’usager est numérisée afin d’être intégrée sur la carte et dans la puce sans contact. Si cette photographie peut être utile lors des contrôles des titres de transport dans le bus, la Commission estime que sa conservation dans le système
d’information ne trouve pas de justification. Aussi, elle demande que cette photographie soit supprimée du traitement une fois la carte établie.
Les personnes pouvant avoir accès au système billettique sont :
- les administrateurs habilités du système ;
- les agents habilités de vente ;
- les personnels habilités du Back Office.
VI. Les durées de conservation
La durée de conservation exposée par la demande d’avis est globalisée à 2 ans après la fin de la relation commerciale pour l’ensemble des informations nominatives.
Cette durée de conservation paraît excessive au regard des nombreuses fonctionnalités envisagées.
En conséquence, la Commission demande que la conservation des informations nominatives exploitées dans le cadre de «l’exploitation du système billettique du réseau urbain de Monaco», soit organisée de la manière suivante :
- concernant la gestion des clients les informations doivent être supprimées :
• 3 mois après l’expiration du dernier titre de transport afin de laisser le temps à l’usager de faire le nécessaire s’il souhaite poursuivre sa relation commerciale avec la CAM ;
- concernant la gestion des comptes de l’usager :
•les informations liées aux contrats ou aux titres de transports doivent être supprimées 3 mois après l’expiration de chaque contrat ou titre ;
• les historiques ne peuvent concerner que les titres en cours ou expirés depuis moins de 3 mois ;
• les informations relatives aux impayés doivent être supprimées à chaque facture réglée ;
• aucune mention portant sur les différentes validations de titres de transports d’un usager ne doit être conservée (hors les éléments permettant d’activer le titre et ceux portant son expiration) au-delà des 48 heures nécessaires à la mise à jour des bases ;
- concernant la gestion de la carte personnalisée et des titres de transport : les titres de transport ou contrats d’un client donné doivent être supprimés, au plus tard, 3 mois suivant l’expiration de leur date de validité ;
- concernant le type d’abonnement, lié à la fiche client, il doit être mis à jour en fonction de la situation de l’usager, sans qu’aucun historique des abonnements successifs ne puisse être établi, le dernier abonnement peut être conservé tant que le titulaire correspond aux critères établis par le cahier des charges et que l’intéressé a souhaité bénéficier de la prestation induite (ex. : moins de 26 ans jusqu’au 26ème anniversaire) ;
- concernant la tenue des listes grises et noires : effacement des informations nominatives figurant dans les listes dès résolution de l’irrégularité ayant entraîné l’inscription d’une carte ou d’un contrat ;
- concernant la gestion des paiements, prélèvements automatiques et des impayés : effacement des informations dès paiement du contrat ou de l’impayé ; les éléments d’informations liés au RIB sont conservés en lien avec la fiche client, et les éléments de facturation en considération des obligations comptables du responsable de traitement dans un traitement associé sans lien avec la fiche client ;
- concernant la validation et l’utilisation de la carte sans contact :
• les informations liées à l’utilisation d’une carte ou d’un contrat peuvent être conservées dans le système 48 heures maximum le temps de la mise à jour des données liées à la gestion des cartes (ex. création, défectuosité…) ;
• par la suite, la date de validation du titre peut être conservée dans le système et sur la carte si elle est nécessaire à la validation du titre ;
• le nombre de voyages restant sur une carte multivoyage (nominative ou anonyme) peut être également conservé, si cette information est liée au fonctionnement même du titre ;
• en aucun cas, il ne doit être possible d’établir l’itinéraire, les heures ou lieux de validation, ou de dresser un profil «usager» d’une personne donnée ;
- les statistiques doivent, dans tous les cas, être anonymes, donc ne pas être réalisées en fonction d’un numéro de carte ou d’un client ;
- Sans précision quant à la conservation des informations concernant les personnels de la CAM habilités à avoir accès au système, la Commission estime que :
• les informations portant sur les agents de vente peuvent être conservées le temps de vie de la fiche client ;
• les informations portant sur les accès dans le cadre de la gestion des habilitations peuvent être conservées 3 mois au regard de la sécurité du système d’information ;
• les informations traitées au titre des habilitations peuvent être conservées 3 mois après la fin des habilitations conférées à une personne donnée.
La Commission demande qu’une procédure formalisée vienne établir les règles de conservation des informations nominatives traitées en fonction des fonctionnalités du traitement.
VII. Sur les destinataires des informations
Le responsable de traitement mentionne qu’il communique des informations à l’organisme bancaire pour les prélèvements. Sur ce point, la Commission relève que seules peuvent être exploitées dans ce cadre les nom, prénom et coordonnées bancaires fournis par le client et avec son autorisation.
Par ailleurs, il communique à la Direction de la Prospective, de l’Urbanisme et de la Mobilité, intermédiaire de l’autorité de tutelle, des listes nominatives sur format papier comportant les nom, prénom et date de naissance des personnes de moins de 26 ans et des ayants droit de plus de 60 ans bénéficiant d’abonnement dont le coût est compensé par l’Etat.
La Commission relève qu’une participation du concédant au paiement de la carte d’abonnement jeune de moins de 26 ans est prévue à l’article 9.f) du cahier des charges de la concession. Cette participation qui n’est pas explicite pour la carte d’ayant droit réservée aux personnes de nationalité monégasque âgées de plus de 60 ans, prévue à l’article 12 du cahier des charges.
Dans tous les cas, elle estime que l’établissement d’une liste nominative reprenant l’identité et la date de naissance de toutes les personnes bénéficiant d’un abonnement auprès de la CAM à l’attention du concédant n’est pas justifié et est contraire au principe de protection de la vie privée des individus.
Elle considère que la CAM peut adresser au concédant le nombre de cartes et abonnements délivrés objet de compensation de la part de l’Etat, qui s’il l’estime utile peut effectuer des vérifications dans le cadre de ces prérogatives de contrôle, sans que l’envoi de ces listes soit systématique.
Quant la communication d’informations nominatives vers les réseaux partenaires pour l’interopérabilité, la Commission relève qu’il s’agit d’éléments qu’il conviendra de développer dans le cadre de la demande d’avis se rapportant à cette opération, non intégrée dans le présent traitement automatisé.
Après en avoir délibéré
Relève que le présent traitement :
- porte sur le système billettique mis en œuvre par la Compagnie des Autobus de Monaco (CAM) dans le cadre du contrat de la concession du service public pour l’exploitation du réseau de transport public urbain de voyageurs par autobus ;
- concerne les titres de transport délivrés par la CAM sur le territoire monégasque ;
- ne concerne pas les services en ligne ou dématérialisés susceptibles d’être offerts aux clients à terme ;
- ne porte pas sur les opérations liées à l’interopérabilité en projet du système billettique monégasque avec le réseau de transport du pays frontalier ;
- ne permet pas de suivre les déplacements des usagers ou de connaître les itinéraires pris par une personne ou une carte donnée.
Recommande :
- qu’une demande d’avis spécifique aux contrôles réalisés par la CAM, notamment à des fins de lutte contre la fraude soit soumise à la CCIN afin de veiller à la régularité de ces opérations automatisées avec la loi n° 1.165 susvisée ;
Demande que :
- l’information des usagers portant sur la possibilité de voyager sans carte nominative soit réelle ;
- la CAM prenne l’engagement auprès des usagers de ne pas exploiter les informations portant sur la validation de leur(s) titre(s) de transport à des fins de suivi des déplacements d’une personne ou d’un groupe de personnes, ou, d’établissement de profil d’usager ;
- la CAM informe les usagers de la sensibilité des cartes sans contact utilisant la technologie du RFID et qu’il leur appartient de veiller à protéger ces cartes de toute lecture fortuite ;
- les procédures et documents relatifs à la sécurité du système dont la formalisation est recommandée par le prestataire de service soient rapidement établis ;
- les modalités d’identification des opérations soient systématiquement réalisées de manière individuelle ;
- les échanges de données avec les équipements embarqués soient sécurisés en tenant compte de l’état de l’art ;
- la photographie du détenteur de la carte soit supprimée du système une fois la carte établie ;
- la durée de conservation des informations nominatives soit organisée comme spécifiée dans la délibération et formalisée en interne ;
- les informations nominatives se rapportant aux titulaires des cartes bénéficiant d’une participation du concédant ne lui soient pas communiquées hors des procédures de contrôle et de vérification qu’il lui appartient de mettre en place, conformément aux lois et règlements en vigueur ;
- que, conformément à l’article 2 alinéa 2 de la loi n° 1.165, modifiée, la CCIN soit consultée lors de l’élaboration des mesures législatives ou réglementaires, tels les textes qui viendront encadrer les modalités de fonctionnement de la concession du service public pour l’exploitation du réseau du transport public urbain de voyageurs par autobus en cours, afin qu’elle puisse s’assurer du respect de ses prescriptions et de la prise en compte des droits et libertés des personnes à l’égard du ou des traitements des informations nominatives inhérents.
A la condition de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par la Compagnie des Autobus de Monaco du traitement automatisé d’informations nominatives ayant pour finalité «assurer l’exploitation du système billettique du réseau urbain de Monaco», sous la dénomination «application billettique ERG».
Le Président de la Commission
de Contrôle des Informations Nominatives.