données personnelles

Informatique et libertés Secteur transport La gestion des applications billettiques par les exploitants de transport public Par délibération en date du 3 juin 2008, a été adoptée par la Cnil une autorisation unique encadrant les traitements automatisés de données à caractère personnel relatifs à la gestion des applications billettiques par les exploitants et les autorités organisatrices de transport public. Prenant acte de la délivrance croissante de « nouveaux titres de transports aux usagers, sous forme de cartes nominatives à puce, en vue de faciliter leurs déplacements et de proposer des services complémentaires », la Cnil accorde aux organismes de transport collectif envisageant la mise en œuvre de traitements ayant pour finalité la gestion des applications billettiques la faculté de souscrire un engagement de conformité aux caractéristiques de l’autorisation unique AU-015, attestant qu’ils respectent les dispositions de la présente décision unique. Il leur appartient cependant de prévoir la délivrance concomitante de titres de transports anonymes destinés à préserver la liberté de circuler sans identification de l’usager. Par ailleurs, les traitements ayant pour finalité la gestion des opérations de contrôle des titres nominatifs de transport devront faire l’objet d’un engagement de conformité à l’autorisation unique AU-012, adoptée par la Cnil aux termes d’une délibération du 11 janvier 2007 relative aux traitements afférents à la gestion des infractions à la police des services publics de transports terrestres ou, à défaut, d’une demande d’autorisation déposée auprès de la Cnil. Délibération 2008-161 du 3 juin 2008 – Autorisation unique AU-015 Délibération 2007-002 du 11 janvier 2007 – Autorisation unique AU-012 (Mise en ligne Décembre 2008)

Le décret qui a créé le « système de traitement des infractions constatées » (STIC) vient d’être modifié pour mise en conformité avec la loi du 18 mars 2003 pour la sécurité intérieure. Le fichier STIC a pour finalité de « faciliter la constatation des infractions à la loi pénale,

Informatique et libertés Secteur transport La mise en œuvre de dispositifs de géolocalisation par les compagnies d’assurance progresse Les assureurs automobiles (notamment la société AXA) ont consulté la Cnil au sujet d’un traitement portant sur la géolocalisation des conducteurs. Les assureurs souhaitent en effet installer des dispositifs de télématique embarquée sur les véhicules, afin de connaître l’usage réel du véhicule et d’adapter la prime d’assurance. En 2005, la Cnil avait refusé d’autoriser un assureur à géolocaliser les jeunes conducteurs au motif que le projet consistait à enregistrer les dépassements de vitesse autorisée, ce qui est interdit par la loi car cela revient à tenir un fichier d’infractions. En 2007, une société d’assurance a lancé sa nouvelle offre pour l’assurance automobile des flottes d’entreprises à laquelle la Cnil a été associée (1). Aucune collecte de données sur des infractions n’est réalisée puisque les informations utilisées dans ce traitement portent sur des statistiques de dépassements de vitesse à risque et non de vitesse légale. De plus, les données de circulation ne sont jamais associées à un conducteur déterminé. L’assureur reçoit des données relatives au kilométrage parcouru, à la durée de parcours et au nombre d’enregistrement en fonction du zonage (zone urbaine ou non urbaine), des voies empruntées par commune sur une base minimale de cinq véhicules par flotte. L’association de la Cnil a ce nouveau projet devrait ainsi limiter les risques au regard des libertés individuelles des automobilistes ou des salariés. La géolocalisation des conducteurs par les compagnies d’assurance est réalisée en concertation avec la Cnil ce qui devrait permettre aux assureurs d’adapter leurs primes à l’usage réel des véhicules sans atteinte aux libertés individuelles. (1) Le «pay as you drive» progresse en concertation avec la CNIL, Echos des séances du 26/09/2007, disponible sur le site de la Cnil, www.cnil.fr. Paru dans la JTIL n°18/2007 (Mise en ligne Novembre-Décembre 2007)

Informatique et libertés Secteur transport La Cnil va contrôler les traitements des constructeurs et concessionnaires automobiles Les pratiques commerciales exercées par les constructeurs et concessionnaires automobiles auprès de leurs clients ne sont pas conformes à la loi Informatique et libertés. A la suite de nombreuses plaintes de consommateurs concernant des sollicitations commerciales, la Cnil a décidé d’exercer son droit de contrôle et de vérification sur les traitements de données à caractère personnel détenus par les constructeurs et concessionnaires automobiles. En outre, les différents documents destinés aux particuliers (bon de commande, courrier publicitaire, formulaire, etc) ne comportent pas de mentions d’informations. Cnil, en bref, du 02/10/2007 (Mise en ligne Octobre 2007)

Informatique et libertés Secteur transport Un accord UE-USA pour les transferts des données des dossiers de passagers aux autorités américaines (« Passenger Name Records » dit PNR) Le 5 octobre, l’Union européenne et les Etats-Unis ont conclu un accord autorisant le transfert aux autorités américaines, des données personnelles des passagers (« Passenger Name Records » dit PNR) par les compagnies aériennes. Il s’agit d’un compromis dans lequel l’UE a concédé que les données collectées par le Département à la sécurité intérieure américain (DHS), puissent être transmises à d’autres agences gouvernementales américaines en charge de la lutte anti-terroriste (FBI, CIA, notamment) en contrepartie d’un engagement de la part de l’administration américaine, à ce que tous les nouveaux destinataires de ces données PNR garantissent les mêmes conditions et niveau de protection des données que l’autorité des douanes américaines. Cet accord doit encore être entériné par les ministres européens de la justice. Il fixera donc le nouveau cadre légal du transfert de telles données. « Passenger Name Records » dit PNR (Mise en ligne Juillet 2007)

Informatique et libertés Secteur transport Une norme d’autorisation unique pour le traitement des infractions dans les transports publics La Cnil a adopté l’autorisation unique n°12, qui permet aux sociétés de transports publics, mettant en œuvre des fichiers de suivi de contravention, de déclarer leur traitement, en conformité à la norme d’autorisation unique. Le traitement ainsi mis en œuvre permet d’assurer le suivi des procès-verbaux émis par les agents habilités à constater les infractions, dans les transports publics de voyageurs. La Cnil exige que les destinataires de ce fichier soient limitativement déterminés. De plus, la conformité à la norme d’autorisation implique de respecter un délai de conservation restreint. Cette nouvelle norme d’autorisation unique, sur un sujet particulièrement sensible qu’est celui des fichiers d’infraction pénale, montre, une nouvelle fois, la volonté de la Cnil de simplifier au maximum les formalités de mise en œuvre de traitement. Cnil, Décision d’autorisation unique n° AU-012 (Mise en ligne Janvier 2007)

Informatique et libertés Secteur transport Transferts de données des dossiers de passagers aux autorités américaines : le G29 s’inquiète Un nouvel avis du Groupe de travail sur la protection des données dit « G29 » vient d’être rendu sur le dossier « Passenger Name Records » dit PNR. Ainsi dénommé car établi par l’article 29 de la directive 95/46/CE, le G29 est l’organe consultatif indépendant de l’UE sur la protection des données et de la vie privée. Dans un avis du 27 septembre 2006, le G29 insiste sur l’urgence qu’il y a de conclure un accord transitoire EU-US au 1er octobre 2006, l’accord international en vertu duquel les compagnies aériennes européennes pouvaient transférer de telles données autorités américaines ayant été annulé par un jugement de la Cour de justice européenne (CJCE) du 30 mai 2006. Rappelons qu’à la suite des attentats du 11 septembre 2001, les Etats-Unis ont adopté une législation prévoyant que les compagnies aériennes communiquent au service des douanes et de sécurité américain des informations relatives à leurs passagers sous peine de contrôles renforcés, d’amendes ou d’interdiction du droit d’atterrir. Ces dispositions pouvant entrer en conflit avec la législation communautaire en matière de protection des données personnelles, la Commission européenne avait conclut en mai 2004, un accord avec les États-Unis reconnaissant que les données relatives aux passagers communiquées aux autorités américaines bénéficiaient d’une protection adéquate (décision d’adéquation 2004/496). La Cour de justice européenne ayant annulé cette décision pour défaut de compétence en ce domaine, l’Union européenne et les Etats-Unis doivent négocier une nouvelle base d’accord. Le G29 rappelle ici les conséquences en cas d’échec des négociations dans les délais impartis, à savoir un vide juridique à partir du 1er octobre 2006 conduisant les autorités nationales de protection des données (dont la Cnil) à se saisir de cette question. Avis 9/2006 du 27 septembre du G.29 : Opinion 9/2006 on the Implementation of Directive 2004/82/EC of the Council on the obligation of carriers to communicate advance passenger data, Doc. WP 127, 5 p. (Mise en ligne Septembre 2006)