icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2011-54 du 4 juillet 2011 de la Commission de Contrôle des Informations Nominatives portant avis favorable sur la demande présentée par la Compagnie des Autobus de Monaco, relative à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité «participation à la billettique interopérable des Alpes-Maritimes» sous la dénomination «lancement du contrat «carte Azur Multimodale»»

  • N° journal 8027
  • Date de publication 29/07/2011
  • Qualité 97.44%
  • N° de page 1561
Vu la Constitution ;

Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe, et son protocole additionnel n° 4 ;

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu les principes directeurs sur la protection des données à caractère personnel à l’égard des cartes à puce adoptés le 14 mai 2004 par le Comité européen de coopération juridique du Conseil de l’Europe ;

Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;

Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;

Vu l’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu l’ordonnance souveraine n° 992 du 16 février 2007 approuvant la convention, le cahier des charges et leurs annexes de la concession du service public pour l’exploitation du réseau de transport public urbain de voyageurs par autobus ;

Vu l’arrêté ministériel du 11 mai 1933 concernant la compagnie des autobus monégasque ;

Vu le traitement automatisé d’informations nominatives ayant pour finalité «assurer l’exploitation du système billettique du réseau urbain de Monaco» sous la dénomination «application billettique ERG» mis en œuvre par décision du directeur de la Compagnie des Autobus de Monaco du 10 novembre 2010, après avis favorable de la Commission de Contrôle des Informations Nominatives n° 2010-15 du 3 mai 2010 ;

Vu la demande d’avis, déposée le 28 avril 2011, concernant la mise en œuvre par la Compagnie des Autobus de Monaco relative au traitement automatisé d’informations nominatives ayant pour finalité «participation à la billettique interopérable des Alpes-Maritimes», dénommé «lancement du contrat «carte Azur Multimodal»» ;

Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 27 juin 2011 conformément à l’article 19 de l’ordonnance souveraine n° 2.230, susmentionnée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 4 juillet 2011 portant analyse dudit traitement automatisé ;

La Commission de Contrôle des Informations Nominatives

Préambule

Par décision du 10 novembre 2010, la Compagnie des Autobus de Monaco (CAM) a mis en œuvre un traitement permettant l’exploitation du système billettique du réseau urbain de Monaco, dénommé «application billettique ERG», après avis favorable de la Commission.

Le présent traitement s’inscrit dans le prolongement de ce système en permettant aux usagers des transports urbains de Monaco de bénéficier de transports multimodaux par le biais de titres de transport interopérables avec les réseaux de transports partenaires des Alpes-Maritimes. La délivrance de ces titres et les processus de leur validation sur le réseau nécessitent l’exploitation d’informations nominatives.

La CAM figurant sur la liste établie par arrêté ministériel n° 2009-382, susvisée, la mise en œuvre de ce traitement est donc soumise à l’avis préalable de la Commission, conformément aux dispositions de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée.
I. Sur la finalité et les fonctionnalités du traitement

Ce traitement automatisé a pour finalité «participation à la billettique interopérable des Alpes-Maritimes». Il est dénommé «lancement du contrat «carte Azur Multimodal»».

Il concerne les «usagers des transports urbains et interurbains» circulant en Principauté de Monaco. Il traite également des informations sur les agents de la CAM habilités à avoir accès ou à réaliser des opérations automatisées au titre de la billettique.

Ce traitement a pour fonctionnalités :

- de gérer, délivrer et permettre l’utilisation sur le réseau de la Principauté du contrat multimodal établi en partenariat avec les réseaux de transports urbains de la région PACA ;

- de délivrer un support hébergeant une application transport interopérable contenant des abonnements mensuels ou annuels établis conformément à un référentiel commun billettique en région PACA ;

- de permettre l’acceptation du ou des contrats inscrits sur la carte azur par le système billettique de la CAM et sa validation dans les bus de la Principauté ;

- de mettre en place un service après vente en cas de perte ou de vol permettant l’établissement de duplicatas pour les cartes achetées en Principauté ;

- de permettre le contrôle de la validité du titre dans les bus par le portable de contrôle qui vérifie la seule validité du titre de transport ;

- d’établir des statistiques sur le trafic et la nature des titres validés (mensuels ou annuels) ;

- de permettre l’analyse technique des problèmes rencontrés liés à la carte ou aux valideurs ;

- d’extraire les éléments nécessaires à la répartition des recettes entre les partenaires ;

- de réceptionner les listes grises ou noires des réseaux partenaires et de les intégrer dans les listes de la CAM.

Les «listes noires» comportent les numéros des cartes dont l’utilisation est invalidée à la suite d’une déclaration de perte, de vol, ou d’une défectuosité technique qui a conduit à l’établissement d’une nouvelle carte. Les «listes grises» comportent les numéros de cartes ou de contrats de transport dont l’utilisation est suspendue le temps de la régularisation des paiements.

Ce traitement est connexe et compatible avec le traitement automatisé d’informations nominatives ayant pour finalité «assurer l’exploitation du système billettique du réseau urbain de Monaco», dénommé «application billettique ERG», susvisé. Il permet de créer un nouveau contrat de transport qui sera inscrit sur les cartes de transport des usagers intéressés, délivrées par la CAM.

Ce contrat permettra aux usagers de circuler avec les moyens de transports gérés par la CAM et par les réseaux partenaires membres du SYMITAM (Syndicat MIxte de Transport des Alpes-Maritimes).

La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la légitimité du traitement

• Sur la licéité du traitement

La Commission observe que la CAM est une société privée concessionnaire d’un service public au sens de l’article 7 de la loi n° 1.165, modifiée, et de l’arrêté ministériel n° 2009-382 du 31 juillet 2009, susvisé, portant application dudit article 7.

Elle relève que ladite concession de service public est fondée sur la convention de concession entre le Gouvernement Princier et la Compagnie des Autobus de Monaco sur le territoire de la Principauté qui comporte, d’une part, la desserte du réseau de transports publics, d’autre part, l’exécution avec le matériel de la concession de transports occasionnels réguliers ou non, sur la demande du concédant, telle qu’approuvée par l’ordonnance souveraine n° 992, susvisée.

En conséquence, la Commission constate que l’activité d’exploitation du réseau de transports publics urbains de voyageurs par autobus dans la Principauté de Monaco par la CAM dispose d’un fondement juridique propre. Le traitement, objet de la présente délibération, est donc licite, conformément aux dispositions de l’article 10-1 de la loi n°1.165, modifiée.

• Sur la justification du traitement

Le responsable de traitement justifie la mise en œuvre de ce traitement automatisé, tout d’abord, par une obligation légale à laquelle il est soumis au travers du contrat de concession de l’exploitation du réseau de transport en commun de la Principauté de Monaco.

Cette concession implique notamment, «le remplacement de l’équipement monétique en respectant l’objectif d’interopérabilité défini par le cahier des charges en cours d’élaboration par les autorités françaises compétentes (SYMITAM)» et demande «de limiter autant que possible la vente de titre à bord des autobus, le concessionnaire en accord avec le concédant constituera d’autres points et modalités de vente».

Par ailleurs, le responsable de traitement le justifie par l’exécution d’un contrat entre la CAM et les personnes concernées au titre du transport des usagers et abonnés, telle que prévue par l’article 10 du cahier des charges de la Concession. L’usager intéressé pourra, s’il le souhaite, disposer de nouveaux titres de transport lui permettant d’utiliser tant les transports de la Principauté que ceux des Alpes-Maritimes.

En outre, il souligne le motif d’intérêt public du traitement qui est la conséquence de «la politique de développement durable du Gouvernement Princier qui vise une gestion rationnelle des ressources humaines, naturelles et économiques», illustré par «la campagne d’incitation pour l’utilisation des transports en commun et le développement des transports collectifs avec la France».

Enfin, il met en évidence la réalisation d’un intérêt légitime qui ne méconnaît ni l’intérêt, ni les droits et libertés fondamentaux des usagers, les déplacements de ces derniers ne pouvant être tracés, la CAM respectant les principes posés en matière de protection des informations nominatives et limitant l’échange d’informations avec les organismes partenaires en France à des données indirectement nominatives strictement nécessaires à la validation des titres de transport en Principauté et sur les réseaux partenaires.

Au vu de ces éléments, la Commission considère que le traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées et leurs origines

Les informations nominatives objet du présent traitement sont :

- Identité : nom, prénom, date de naissance, photo d’identité pour imprimée sur la carte nominative, numéro de la carte sans contact, un numéro client ;

- Adresse et coordonnées : adresse, téléphone, adresse électronique facultative ;

- Caractéristiques économiques et financières : coordonnées bancaires si demande de prélèvement ;

- Loisirs, habitudes de vie, comportement : type d’abonnement, date de vente et date de validité ;

- Données d’identification électronique : numéro de contrat et numéro de carte ;

- Identité de l’opérateur de la CAM : prénom de l’opérateur.

D’après les documents techniques joints au dossier, des informations sur les opérateurs et les utilisateurs du système de la CAM sont collectées et exploitées au titre des habilitations d’accès, soit pour la sécurité du système, soit pour permettre à l’opérateur de réaliser des opérations particulières, comme les statistiques. Il s’agit de leur nom, prénom, matricule et codes identifiants.

Les informations ont pour origine :

- l’usager pour l’identité, les adresses et coordonnées, les caractéristiques économiques et financières ;

- le système d’information de la CAM pour le numéro de carte, le numéro de contrat, et l’identification des opérateurs.

La Commission relève que la photographie de l’usager est numérisée afin d’être intégrée sur la carte. Cette photographie ne sera conservée dans le traitement qu’avec le consentement exprès de l’intéressé.

La Commission estime que les informations collectées sont «adéquates, pertinentes et non excessives» au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165.

IV. Sur les droits de la personne concernée

• Sur l’information des personnes

La personne concernée est informée des dispositions relatives à la protection de ces informations nominatives à différentes étapes :

- par le biais d’un affichage,
- d’une mention figurant dans les documents de collecte ;
- d’une mention figurant sur les documents et prospectus d’information.

Un document d’information spécifique aux «informations nominatives» a été mis en place par la CAM. Il est systématiquement remis au client.

La Commission demande néanmoins que ce document soit modifié afin de préciser que la communication aux partenaires de la charte d’interopérabilité d’informations ne porte que sur des informations indirectement nominatives (numéro de carte et de contrat de transport) en cas de perte, de vol, de problèmes techniques sur la carte la rendant invalide ou de la suspension de la validité de la carte ou du contrat le temps du règlement des titres auprès de la CAM.

La Commission relève que les modalités d’informations préalables des personnes seront alors conformes aux dispositions de l’article 14 de la loi n° 1.165.

• Sur l’exercice du droit d’accès, de modification et de mise à jour

Les usagers disposent d’un droit d’accès et de rectification auprès du bureau de vente de la CAM. Ils peuvent l’exercer par courrier électronique, voie postale, ou sur place.

Une réponse aux demandes formulées est réalisée dans les 30 jours.

En cas de demande de mise à jour, modification, mise à jour, voire de suppression des données, une réponse est réalisée selon les mêmes voies.

Les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.

V. Sur les destinataires des informations et les personnes ayant accès au traitement

• Les personnes ayant accès au traitement

Les personnes habilitées à avoir accès au traitement relèvent de l’autorité du responsable de traitement. Il s’agit :

- des administrateurs système (tout accès) ;
- des agents de vente (tout accès sur les données relatives à la vente) ;
- du personnel du Back Office pour le paramétrage et les traitements statistiques.

• Les personnes destinataires des informations

Les partenaires de la CAM via le SYMITAM sont destinataires des informations indirectement nominatives (numéros de contrat ou de cartes inscrites sur les listes noires et grises). Ils reçoivent également des statistiques anonymes établies. Ils sont localisés en France, dans les Alpes-Maritimes.

Les établissements bancaires sont destinataires des informations nominatives permettant de mettre en place des prélèvements automatiques lorsque l’usager le souhaite.

VI. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations sont conformes à l’état de l’art. Toutefois, elles appellent les observations qui suivent.

Afin de veiller à la sécurité du réseau permettant l’échange de données entre les valideurs et la base centrale, la Commission recommande qu’un protocole de sécurité plus récent soit utilisé.

En outre, elle demande que les échanges d’informations entre la CAM et le SYMITAM soient protégés par le biais de mots de passe et de fichiers compressés.
Elle demande également que le verrouillage des sessions utilisateurs soit réalisé en automatique après un temps d’inactivité à déterminer par l’organisme.

La Commission rappelle que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger doivent être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VII. La durée de conservation

Selon la demande d’avis, la durée de conservation des informations nominatives traitées est de 3 mois à compter de la fin de validité du contrat.

La Commission considère que cette durée de conservation est conforme aux demandes qu’elle a formulées dans le traitement connexe «application billettique ERG».

Par ailleurs, elle prend acte des dispositions mises en place par le responsable de traitement pour anonymiser les informations liées à la validation d’une carte ou d’un contrat sous 48 heures à compter de cette validation afin d’éviter toute possibilité de traçabilité des historiques de circulation d’un usager.

Après en avoir délibéré :

Relève que le présent traitement ne permet pas de suivre les déplacements des usagers ou de connaître les itinéraires pris par une personne ou une carte donnée ;

Recommande que la sécurité du réseau permettant l’échange de données entre les valideurs et la base centrale soit renforcée par l’utilisation d’un protocole de sécurité plus récent ;

Demande que :

- les mentions d’information des usagers soient modifiées afin de préciser que les informations communiquées aux réseaux partenaires dans le cadre de l’interopérabilité portent uniquement sur les numéros de carte et de contrats ;

- les échanges d’informations entre la CAM et le SYMITAM soient protégés par le biais de mots de passe et de fichiers compressés ;

A la condition de la prise en compte des demandes qui précèdent,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par la COMPAGNIE DES AUTOBUS DE MONACO du traitement automatisé d’informations nominatives ayant pour finalité «Participation à la billettique interopérable des Alpes-Maritimes», sous la dénomination «Lancement du contrat «carte azur multimodale».




Le Président de la Commission
de Contrôle des Informations Nominatives.
Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14