Transport et billettique par carte RFID

La Cnil a procédé à un contrôle sur place auprès de la société délégataire du service public des transports urbains de la ville de Rennes, mettant en œuvre ce dispositif de billettique par carte RFID. C’est le dépôt de deux plaintes d’usagers des transports urbains rennais, fondées sur le défaut d’information sur le passe de transport urbain Korrigo anonyme et la différence de prix entre ce passe et le passe nominatif, qui ont alerté la Cnil. Le contrôle de la Cnil a révélé des conditions de commercialisation et d’exploitation du passe Korrigo rendant quasiment impossibles les déplacements anonymes par transports urbains dans la ville de Rennes. En outre, les conditions d’exploitation du passe nominatif étaient contraires à un certain nombre de principes fondamentaux, en matière de protection des données à caractère personnel, issus de la réglementation Informatique et liberté.

Le contrôle de la Cnil a débouché sur un avertissement à l’encontre de la société rennaise exploitant ce dispositif de billettique (1). En l’espèce, la possibilité de circuler de façon anonyme avait été, volontairement, quasiment annihilée, dans la mesure où :

  • seule la publicité du passe nominatif Korrigo était assurée ; les intéressés n’étaient pas informés de la possibilité d’utiliser des titres de transports anonymes, alors même que l’autorisation unique n°15 prévoit cette obligation (2) ;
  • le coût du passe anonyme pour un usager régulier était nettement supérieur à celui du passe Korrigo nominatif.En outre, la Cnil a constaté que les données à caractère personnel collectées et conservées, sans limitation de durée, étaient ensuite utilisées pour d’autres finalités que la gestion des fiches clients (gestion des impayés), sans que les usagers en soient informés. Enfin, la société qui, par délégation de service public, gérait le passe Korrigo nominatif, n’avait pas établi de politique de sécurité interne, ni sensibilisé son personnel aux mesures de sécurité à mettre en œuvre pour assurer la sécurité des données à caractère personnel. Ce n’est pas tant la sanction, qui rend ce cas intéressant, mais l’impossibilité volontaire de déplacement anonyme des usagers, le nombre de manquements à la protection des données à caractère personnel et surtout le caractère symptomatique de ce cas d’espèce. En effet, ce cas est particulièrement représentatif d’une très nette tendance actuelle au sacrifice trop systématique de la liberté d’aller et venir de façon anonyme, au profit d’intérêts divers, pouvant tenir à des impératifs de sécurité publique, ou plus grave, d’intérêts privés.

    (1) Cnil, Délibération n° 2009-002 du 20-1-2009
    (2) Cnil, Délibération n° 2008-161 du 3-6-2008