Secteur public

Informatique et libertés Secteur transport La Cnil contrôle l’exercice du droit des usagers à se déplacer anonymement A l’occasion de l’opération de remplacement de la carte Orange par le passe « Navigo », la Cnil a effectué une opération de « testing » pour s’assurer de la mise en œuvre du passe anonyme « Navigo Découverte ». Dans ce contexte, la Cnil défend le droit de tous les usagers d’aller et venir librement anonymement. Déjà, le 8 avril 2004, la Cnil avait publié un avis relatif à l’exploitation des données de validation des passes « Navigo » par la RATP. Elle a préconisé que les usagers devaient avoir le droit de voyager anonymement « sans avoir à payer un surcoût par rapport à ceux ayant choisit le passe nominatif Navigo ». Le passe « Navigo » permet d’associer les détails d’un voyage (date, heure, lieu) à un numéro d’abonné pendant 48 heures. En revanche, le passe « Navigo Découverte » ne permet pas cette association, ce qui le rend anonyme. Ainsi, la Cnil avait obtenu la mise en place de ce passe « Navigo Découverte » dès le 1er septembre 2007. Dans son rapport du 6 janvier dernier, sur le contrôle opéré auprès de 20 guichets de la RATP, la Cnil déplore le manque d’effectivité de la mise en place d’un service de transport public de manière gratuite et anonyme. En effet, les plaintes des usagers auprès de la Cnil se sont avérées fondées, le passe anonyme est délivré : moyennant une somme forfaitaire de 5 euros ; dans des conditions difficiles (absence de documentation commerciale, difficulté pratique d’obtention du passe au guichet…) ; inaccessible pour les personnes bénéficiant de la tarification « solidarité transport ». Sur ce dernier point, la Cnil a considéré que rien ne justifie sur le plan technique une telle discrimination. Ainsi, le STIF (Syndicat des transports d’Ile de France) et la RATP doivent, sans délai, étendre la possibilité d’utiliser le passe « Navigo Découverte » aux personnes les plus modestes sans qu’elles ne perdent leurs avantages. Dans son rapport d’activité 2008, la Cnil précisait que ces contrôles ont augmenté de 21% sur l’année. Ainsi, janvier 2009 amorce déjà une politique d’investigation renforcée. Cnil, Communiqué de presse du 6 janvier 2009 (Mise en ligne Février 2009)

Informatique et libertés Secteur transport La gestion des applications billettiques par les exploitants de transport public Par délibération en date du 3 juin 2008, a été adoptée par la Cnil une autorisation unique encadrant les traitements automatisés de données à caractère personnel relatifs à la gestion des applications billettiques par les exploitants et les autorités organisatrices de transport public. Prenant acte de la délivrance croissante de « nouveaux titres de transports aux usagers, sous forme de cartes nominatives à puce, en vue de faciliter leurs déplacements et de proposer des services complémentaires », la Cnil accorde aux organismes de transport collectif envisageant la mise en œuvre de traitements ayant pour finalité la gestion des applications billettiques la faculté de souscrire un engagement de conformité aux caractéristiques de l’autorisation unique AU-015, attestant qu’ils respectent les dispositions de la présente décision unique. Il leur appartient cependant de prévoir la délivrance concomitante de titres de transports anonymes destinés à préserver la liberté de circuler sans identification de l’usager. Par ailleurs, les traitements ayant pour finalité la gestion des opérations de contrôle des titres nominatifs de transport devront faire l’objet d’un engagement de conformité à l’autorisation unique AU-012, adoptée par la Cnil aux termes d’une délibération du 11 janvier 2007 relative aux traitements afférents à la gestion des infractions à la police des services publics de transports terrestres ou, à défaut, d’une demande d’autorisation déposée auprès de la Cnil. Délibération 2008-161 du 3 juin 2008 – Autorisation unique AU-015 Délibération 2007-002 du 11 janvier 2007 – Autorisation unique AU-012 (Mise en ligne Décembre 2008)

Le décret qui a créé le « système de traitement des infractions constatées » (STIC) vient d’être modifié pour mise en conformité avec la loi du 18 mars 2003 pour la sécurité intérieure. Le fichier STIC a pour finalité de « faciliter la constatation des infractions à la loi pénale,

Informatique et libertés Secteur transport La mise en œuvre de dispositifs de géolocalisation par les compagnies d’assurance progresse Les assureurs automobiles (notamment la société AXA) ont consulté la Cnil au sujet d’un traitement portant sur la géolocalisation des conducteurs. Les assureurs souhaitent en effet installer des dispositifs de télématique embarquée sur les véhicules, afin de connaître l’usage réel du véhicule et d’adapter la prime d’assurance. En 2005, la Cnil avait refusé d’autoriser un assureur à géolocaliser les jeunes conducteurs au motif que le projet consistait à enregistrer les dépassements de vitesse autorisée, ce qui est interdit par la loi car cela revient à tenir un fichier d’infractions. En 2007, une société d’assurance a lancé sa nouvelle offre pour l’assurance automobile des flottes d’entreprises à laquelle la Cnil a été associée (1). Aucune collecte de données sur des infractions n’est réalisée puisque les informations utilisées dans ce traitement portent sur des statistiques de dépassements de vitesse à risque et non de vitesse légale. De plus, les données de circulation ne sont jamais associées à un conducteur déterminé. L’assureur reçoit des données relatives au kilométrage parcouru, à la durée de parcours et au nombre d’enregistrement en fonction du zonage (zone urbaine ou non urbaine), des voies empruntées par commune sur une base minimale de cinq véhicules par flotte. L’association de la Cnil a ce nouveau projet devrait ainsi limiter les risques au regard des libertés individuelles des automobilistes ou des salariés. La géolocalisation des conducteurs par les compagnies d’assurance est réalisée en concertation avec la Cnil ce qui devrait permettre aux assureurs d’adapter leurs primes à l’usage réel des véhicules sans atteinte aux libertés individuelles. (1) Le «pay as you drive» progresse en concertation avec la CNIL, Echos des séances du 26/09/2007, disponible sur le site de la Cnil, www.cnil.fr. Paru dans la JTIL n°18/2007 (Mise en ligne Novembre-Décembre 2007)

Informatique et libertés Secteur transport La Cnil va contrôler les traitements des constructeurs et concessionnaires automobiles Les pratiques commerciales exercées par les constructeurs et concessionnaires automobiles auprès de leurs clients ne sont pas conformes à la loi Informatique et libertés. A la suite de nombreuses plaintes de consommateurs concernant des sollicitations commerciales, la Cnil a décidé d’exercer son droit de contrôle et de vérification sur les traitements de données à caractère personnel détenus par les constructeurs et concessionnaires automobiles. En outre, les différents documents destinés aux particuliers (bon de commande, courrier publicitaire, formulaire, etc) ne comportent pas de mentions d’informations. Cnil, en bref, du 02/10/2007 (Mise en ligne Octobre 2007)

Informatique et libertés Secteur transport Un accord UE-USA pour les transferts des données des dossiers de passagers aux autorités américaines (« Passenger Name Records » dit PNR) Le 5 octobre, l’Union européenne et les Etats-Unis ont conclu un accord autorisant le transfert aux autorités américaines, des données personnelles des passagers (« Passenger Name Records » dit PNR) par les compagnies aériennes. Il s’agit d’un compromis dans lequel l’UE a concédé que les données collectées par le Département à la sécurité intérieure américain (DHS), puissent être transmises à d’autres agences gouvernementales américaines en charge de la lutte anti-terroriste (FBI, CIA, notamment) en contrepartie d’un engagement de la part de l’administration américaine, à ce que tous les nouveaux destinataires de ces données PNR garantissent les mêmes conditions et niveau de protection des données que l’autorité des douanes américaines. Cet accord doit encore être entériné par les ministres européens de la justice. Il fixera donc le nouveau cadre légal du transfert de telles données. « Passenger Name Records » dit PNR (Mise en ligne Juillet 2007)

Informatique et libertés Secteur transport Une norme d’autorisation unique pour le traitement des infractions dans les transports publics La Cnil a adopté l’autorisation unique n°12, qui permet aux sociétés de transports publics, mettant en œuvre des fichiers de suivi de contravention, de déclarer leur traitement, en conformité à la norme d’autorisation unique. Le traitement ainsi mis en œuvre permet d’assurer le suivi des procès-verbaux émis par les agents habilités à constater les infractions, dans les transports publics de voyageurs. La Cnil exige que les destinataires de ce fichier soient limitativement déterminés. De plus, la conformité à la norme d’autorisation implique de respecter un délai de conservation restreint. Cette nouvelle norme d’autorisation unique, sur un sujet particulièrement sensible qu’est celui des fichiers d’infraction pénale, montre, une nouvelle fois, la volonté de la Cnil de simplifier au maximum les formalités de mise en œuvre de traitement. Cnil, Décision d’autorisation unique n° AU-012 (Mise en ligne Janvier 2007)

Informatique et libertés Secteur transport Transferts de données des dossiers de passagers aux autorités américaines : le G29 s’inquiète Un nouvel avis du Groupe de travail sur la protection des données dit « G29 » vient d’être rendu sur le dossier « Passenger Name Records » dit PNR. Ainsi dénommé car établi par l’article 29 de la directive 95/46/CE, le G29 est l’organe consultatif indépendant de l’UE sur la protection des données et de la vie privée. Dans un avis du 27 septembre 2006, le G29 insiste sur l’urgence qu’il y a de conclure un accord transitoire EU-US au 1er octobre 2006, l’accord international en vertu duquel les compagnies aériennes européennes pouvaient transférer de telles données autorités américaines ayant été annulé par un jugement de la Cour de justice européenne (CJCE) du 30 mai 2006. Rappelons qu’à la suite des attentats du 11 septembre 2001, les Etats-Unis ont adopté une législation prévoyant que les compagnies aériennes communiquent au service des douanes et de sécurité américain des informations relatives à leurs passagers sous peine de contrôles renforcés, d’amendes ou d’interdiction du droit d’atterrir. Ces dispositions pouvant entrer en conflit avec la législation communautaire en matière de protection des données personnelles, la Commission européenne avait conclut en mai 2004, un accord avec les États-Unis reconnaissant que les données relatives aux passagers communiquées aux autorités américaines bénéficiaient d’une protection adéquate (décision d’adéquation 2004/496). La Cour de justice européenne ayant annulé cette décision pour défaut de compétence en ce domaine, l’Union européenne et les Etats-Unis doivent négocier une nouvelle base d’accord. Le G29 rappelle ici les conséquences en cas d’échec des négociations dans les délais impartis, à savoir un vide juridique à partir du 1er octobre 2006 conduisant les autorités nationales de protection des données (dont la Cnil) à se saisir de cette question. Avis 9/2006 du 27 septembre du G.29 : Opinion 9/2006 on the Implementation of Directive 2004/82/EC of the Council on the obligation of carriers to communicate advance passenger data, Doc. WP 127, 5 p. (Mise en ligne Septembre 2006)