Article 1er
Finalités et caractéristiques techniques du traitement
Les traitements de billettique mis en œuvre par les exploitants de transport public ainsi que par les autorités organisatrices de transport doivent avoir pour finalités :
― la gestion, la délivrance et l'utilisation des titres de transport :
― gestion des abonnements et délivrance des titres de transport plein tarif, à tarif réduit ou même gratuits ;
― gestion des opérations du service après-vente et des réclamations clients ;
― la gestion et le suivi des relations commerciales :
― gestion des offres commerciales (par exemple : envoi d'offres par les partenaires commerciaux) ;
― gestion des programmes de fidélisation ;
― la gestion de la fraude :
― détection de la contrefaçon et de la fraude technologique ;
― instruction des dossiers de fraude technologique ;
― gestion des cartes invalidées suite à une perte ou un vol ;
― gestion des cartes invalidées suite à la détection d'un usage abusif (par exemple : détection de plusieurs dizaines de passage avec un même passe) ;
― gestion des cartes invalidées suite à un incident de paiement ;
― la réalisation d'analyses statistiques d'utilisation des réseaux :
― analyses statistiques du trafic ;
― analyses statistiques de la nature des titres de transport délivrés ;
― analyses statistiques de la clientèle ;
― analyses statistiques d'utilisation par type de titres de transport ;
― la mesure de la qualité du fonctionnement du système :
― analyses des problèmes techniques liés à la carte ;
― analyses des problèmes techniques liés aux valideurs ;
― détection des anomalies fonctionnelles du système d'information.
Article 2
Données à caractère personnel traitées
Au titre des traitements relatifs à la gestion, la délivrance et à l'utilisation des titres de transport billettiques, à la réalisation d'analyses statistiques, à la mesure de la qualité du fonctionnement du système et à la détection de la fraude technologique :
― l'identité (civilité, sexe, nom, prénom) ;
― la date et le lieu de naissance ;
― l'adresse postale ;
― les numéros de téléphone (personnel et portable) et l'adresse courriel (facultatifs) ;
― la photographie ;
― l'identité et l'adresse du payeur lorsque le payeur n'est pas l'abonné ;
― le mode de paiement ;
― en cas de paiement de l'abonnement par prélèvement bancaire : le nom de la banque, l'établissement, le guichet, le numéro de compte et la clé de RIB, la signature de l'abonné, un relevé d'identité bancaire ;
― la situation socioprofessionnelle (étudiant-apprenti, actif, scolaire ou autre) ;
― le nom de l'établissement scolaire ou universitaire ;
― la classe fréquentée à titre facultatif ;
― le numéro de client ;
― l'historique client ;
― le type d'abonnement ;
― les données de validation : date, heure, lieu de la validation ; le nombre d'événements de validation enregistrés dans la carte doit être limité à quatre et peut être étendu à six pour des besoins d'interopérabilité. Ces données ne peuvent être collectées et associées aux données d'identification de l'abonné (par exemple son numéro de carte) que dans le cadre du traitement de la détection de la fraude ; ces données, non associées aux numéros de carte ou à quelque autre moyen d'identification directe des abonnés, peuvent être collectées à des fins statistiques. Au titre de la gestion de la clientèle, les informations permettant d'identifier l'utilisateur peuvent être associées à la date et l'heure de validation, sous réserve que les informations relatives au lieu soient supprimées dans la limite d'un mois au maximum ;
― les dates de début et de fin de validité de la carte ;
― le numéro de carte ;
― le motif de l'inscription sur un fichier d'exclusion d'après une liste fermée ;
― une copie de la pièce d'identité (uniquement dans l'hypothèse d'une demande d'abonnement à distance par voie postale ou électronique et non pour une demande au guichet) ;
― une copie d'un justificatif de domicile (uniquement dans l'hypothèse d'une demande d'abonnement à distance par voie postale ou électronique et non pour une demande au guichet).
Le journal des validations enregistrées sur la carte n'est pas consultable aux bornes de consultation en libre service.
Au titre des traitements relatifs à la gestion des titres de transports gratuits ou à tarif réduit, les catégories de données relatives :
― à la scolarité ;
― au handicap ;
― au bénéfice d'une allocation sociale ;
― à l'âge ;
― aux revenus ;
― au statut de famille nombreuse ;
― au statut d'agents exploitants de transport ou des autorités organisatrices et de leurs ayants droit.
Les justificatifs fournis pour la délivrance des titres de transport peuvent être scannés et conservés sur le système d'information et directement accessibles en ligne uniquement à des fins d'édition du titre de transport et uniquement le temps de la délivrance du titre. Au-delà, les pièces justificatives ne peuvent être conservées que sur un support indépendant, non accessible par les systèmes de production, n'autorisant qu'un accès distinct, ponctuel et motivé auprès d'un service spécifique seul habilité à consulter ce type d'archive et uniquement à des fins de gestion du titre, de l'abonnement ou du contentieux.
Au titre des traitements relatifs à la gestion des impayés :
― l'identité (nom, prénom) ;
― la date de naissance ;
― l'adresse ;
― le numéro de compte de l'abonné ;
― le montant de l'impayé ;
― la banque ;
― le numéro du chèque ou de carte bancaire ;
― la date du rejet ;
― le motif sous la forme d'une liste fermée indiquant par exemple l'absence ou l'insuffisance de provision, ou le moyen de paiement invalide ;
― le nombre d'avertissements avant suspension de l'abonnement ;
― les données relatives au règlement des sommes dues.
Des zones bloc-notes peuvent être prévues : les mentions inscrites dans ces zones ne doivent porter que sur des actes et des faits objectifs et ne peuvent, en aucun cas, faire apparaître, directement ou indirectement, des données relatives aux infractions commises par les abonnés et des données relatives aux origines raciales, aux opinions politiques, philosophiques ou religieuses, aux appartenances syndicales ou aux mœurs de la personne concernée par ces actes ou ces faits.
Article 3
Destinataires des informations
Dans la limite de leurs attributions respectives et pour l'exercice des finalités précitées, seuls peuvent être destinataires des données :
― au titre des traitements relatifs à la gestion, la délivrance et à l'utilisation des titres de transport billettiques, la gestion et le suivi des relations commerciales, la réalisation d'analyses statistiques : les personnes habilitées du service commercial, du service marketing, du service après-vente, du service financier, du service juridique et les agents des guichets d'accueil et de vente ;
― au titre de la mesure de la qualité du fonctionnement du système et la détection de la fraude technologique : les personnes habilitées du service technique, de la cellule surveillance de la fraude ainsi que les agents de guichet pour le seul besoin d'information ;
― au titre des traitements relatifs à la gestion des impayés : les personnes habilitées du service en charge de la gestion des impayés et les agents de guichet, ces derniers n'ayant accès qu'à une indication de la situation d'« impayé » de l'abonné.
Dans le cadre des dispositifs interopérables, les données du client pourront être échangées entre les réseaux urbains. Toutefois, dans le cadre d'une inscription en liste d'opposition, seuls les numéros des cartes des usagers dont le passe a été invalidé à la suite d'une perte, d'un vol, d'un impayé ou d'un défaut sont transmis aux sociétés de transport dont les systèmes billettiques sont interopérables, à l'exclusion de toute communication d'autres données à caractère personnel.
Article 4
Durée de conservation
L'ensemble des données clients est conservé pendant la durée de la relation contractuelle, et à l'issue de celle-ci pendant deux ans à des fins commerciales et statistiques pour les clients et prospects.
Dans le cadre des traitements mis en œuvre, les données de validation font l'objet d'une anonymisation à bref délai. Cette anonymisation est réalisée soit par la suppression complète du numéro de carte, soit par la suppression conjointe de la date, de l'heure et du lieu de passage, soit encore par l'application au numéro de carte d'un algorithme cryptographique de « hachage » public réputé fort.
Toutefois, les données de validation contenant des informations relatives aux déplacements des personnes, associées au numéro de carte ou de l'abonné, élément renvoyant indirectement à l'identité d'un usager, pourront être conservées pendant 48 heures au maximum et aux seules fins de lutter contre la fraude technologique.
Les informations relatives à la gestion des impayés sont immédiatement retirées de la liste d'opposition dès régularisation des sommes dues ; à défaut de régularisation, elles seront conservées pendant au maximum deux ans à compter de l'inscription.
Article 5
Mesures de sécurité
Des mesures techniques et organisationnelles sont mises en œuvre afin de se prémunir contre les risques d'intrusion et de détournement de données sur les systèmes informatiques. Ces mesures doivent en particulier :
― imposer un contrôle d'accès aux systèmes de gestion des données billettiques, avec une gestion rigoureuse des habilitations ;
― limiter l'accès des paramètres de sécurité et des clés cryptographiques utilisées à un nombre minimal d'intervenants désignés et habilités ;
― protéger la confidentialité et l'intégrité des échanges lors du transfert de données billettiques sur tout réseau qui n'est pas exclusivement destiné à véhiculer des données billettiques ;
― protéger de manière adaptée le système d'information contre des intrusions par le réseau ;
― faire l'objet d'audits et de mises à jour.
Ces mesures font l'objet de procédures documentées et dont l'application est vérifiable.
Si l'anonymisation utilise un algorithme de « hachage », celui-ci est irréversible et doit recourir à une clé cryptographique renouvelable selon une périodicité au moins annuelle. Les valeurs anonymisées produites après un renouvellement de clé ne doivent pas pouvoir être liées à celles qui ont été produites avant celui-ci. La valeur de la clé secrète de « hachage » utilisée ne doit pas être accessible directement ou indirectement à un seul individu.
Les composants ou les clés sont répartis entre plusieurs organismes ou plusieurs personnes habilitées, chacune ne disposant au plus que d'un composant ou clé, afin de garantir l'objectif de sécurité visé.
Article 6
Information des personnes
Le responsable du traitement procède, conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée en août 2004, à l'information des personnes, notamment en ce qui concerne la finalité du traitement, le caractère obligatoire ou facultatif des réponses et les modalités d'exercice du droit d'accès et de rectification par un affichage dans les points de délivrance des cartes ainsi que sur les formulaires d'abonnement.
La possibilité d'utiliser des titres de transports anonymes doit être portée à la connaissance des intéressés selon les mêmes modalités que celles prévues pour les titres de transports nominatifs. Il leur est également précisé qu'ils peuvent s'opposer à la conservation de leur photographie au format numérique.
Les personnes concernées sont informées des destinataires des données, notamment dans le cadre d'une interopérabilité des systèmes entre les différents réseaux de transports.
Les personnes susceptibles d'être inscrites dans le traitement de gestion des impayés doivent en être informées :
― lors de la conclusion du contrat d'abonnement ;
― préalablement à l'inscription dans le fichier des impayés et de la mise en opposition du titre de transport.
Le cas échéant, si un délai est accordé lors d'une mise en demeure de payer, le responsable de traitement doit mentionner sur les lettres de relance le délai dont dispose la personne concernée pour régulariser sa situation, ainsi que les conséquences de la mise en opposition de son passe.
Article 7
Exercice des droits d'accès et de rectification
Les droits d'accès et de rectification définis au chapitre V de la loi du 6 janvier 1978 modifiée s'exercent auprès du ou des services que le responsable de traitement aura désignés.
Article 8
Formalités particulières
Tout traitement automatisé de données à caractère personnel, ayant pour objet la gestion des applications billettiques et comptant parmi ses finalités la gestion des impayés, qui n'est pas conforme aux dispositions qui précèdent doit faire l'objet d'une demande d'autorisation auprès de la Commission dans les formes prescrites par les articles 25-I-4° et 30 de la loi du 6 janvier 1978 modifiée.
Les traitements ayant pour finalité la gestion des opérations de contrôle des titres de transport dans le cadre des applications billettiques devront, par ailleurs, faire l'objet d'un engagement de conformité à l'autorisation unique n° 12 adoptée par la délibération de la CNIL n° 2007-002 du 11 janvier 2007 relative aux traitements ayant pour finalité la gestion des infractions à la police des services publics de transports terrestres ou, à défaut, d'une demande d'autorisation spécifique auprès de la Commission.
Article 9
La présente délibération sera publiée au Journal officiel de la République française.