Que deviennent nos données après avoir été collectées ? A quelles fins sont-elles utilisées ? Ces questions sont légitimes quand 81% des français se déclarent préoccupés par la protection de leurs données personnelles.
Dans le secteur du transport, la valorisation des données collectées permet d’optimiser et de faciliter la mobilité de populations de plus en plus urbaines et connectées. Mais qu’en est-il des pratiques des acteurs de ce secteur en matière de protection des données ? Le cadre légal est-il adapté à ces nouvelles pratiques ? Les français ont-ils raison de se préoccuper de l’usage de leurs données par des tiers, la révélation de détails sur leur vie privée ou la surveillance des autorités ?
Des pratiques fortement encadrées et surveillées
Comme nous le verrons au cours de cet éclairage, la collecte de données personnelles et non personnelles est devenue une véritable extension du cœur de métier des Autorités Organisatrices de Transports* (AOT) et des opérateurs de transport. A ce titre, AOT et opérateurs se soumettent à un cadre légal bien défini en matière de collecte et de valorisation de données personnelles. Rappelons qu’une donnée est considérée comme personnelle lorsqu’elle permet d’identifier directement ou indirectement la personne auprès de laquelle elle a été recueillie (ex. : nom, n° d’immatriculation, n° de téléphone, photographie, etc.).
Les lois du 6 janvier 1978 (informatique et libertés) et du 6 août 2004 (protection des personnes physiques à l’égard du traitement de données à caractère personnelle) structurent et encadrent les pratiques des institutions et sociétés collectant des données personnelles. Les acteurs concernés sont notamment contraints de préciser à leurs utilisateurs les objectifs d’utilisation des informations collectées, les destinataires de ces informations ainsi que les tiers autorisés à consulter ponctuellement ces données (ex. : police, fisc, etc.). La loi oblige également ces acteurs à prendre les mesures nécessaires pour assurer la sécurité des informations prélevées (sécurité en matière de systèmes d’information, sécurité des locaux, etc.). Enfin, les institutions et sociétés concernées sont dans l’obligation de préciser à leurs clients la durée de conservation de ces données. En cas de non-respect de ces lois, les sanctions encourues peuvent aller jusqu’à 300 000 euros d’amende et 5 ans d’emprisonnement.
La loi consacre également un volet à l’ouverture de données publiques , c’est-à-dire l’ensemble des informations non personnelles produites et rendues librement accessibles, réutilisables et redistribuables par l’État, les collectivités territoriales ainsi que les personnes de droit public ou les personnes de droit privé chargées d’une mission de service public. La loi interdit l’ouverture de documents contenant des informations personnelles. Elle oblige donc les acteurs à anonymiser les jeux de données publiques qui seront par la suite rendus libres d’accès et de réutilisation. Autrement dit, les sociétés et institutions concernées doivent dissocier et écarter des jeux de données à ouvrir, l’ensemble des informations permettant d’identifier les individus auprès desquels elles ont été prélevées.
La loi du 6 janvier 1978 prévoit la création de la Commission Nationale de l’Informatique et des Libertés (CNIL); une instance indépendante, chargée de veiller à la bonne application des lois établies en matière de protection des données personnelles. La CNIL dispose d’un pouvoir de contrôle et de sanction. Elle s’appuyait en 2013 sur un effectif de 174 agents et sur un budget de 16 millions d’euros. Cette année-là, la CNIL a effectué 414 contrôles et rendu 2500 décisions et délibérations. Elle coopère avec les autres CNIL européennes dans le cadre du Groupe Européen des Autorités de Protection.
Les acteurs du secteur Transport agissent-ils en toute transparence ?
Les acteurs du secteur transport indiquent généralement la typologie des données collectées dans leurs conditions générales d’utilisation (CGU) ou de vente (CGV). Par exemple, la RATP indique dans les CGU du Pass Navigo qu’elle collectera les « nom, prénom, adresse, ainsi que le lieu de travail si la personne ne réside pas en Île-de-France ». Plus généralement, les acteurs de ce secteur collectent à la fois des données personnelles (ex. : numéro de la carte utilisée) et des données non personnelles (ex. : la date, l’heure, le trajet des usagers en entrée et quelques fois en sortie du réseau). Ces données sont collectées via les titres de transport des usagers mais également grâce aux services disponibles en ligne sur internet et sur les applications mises à la disposition des utilisateurs.
AOT et opérateurs sont plutôt transparents sur l’utilisation des données collectées. Par exemple, la RATP indique explicitement dans les CGU du forfait Imagine R, que les données collectées sont notamment utilisées à des fins de gestion et de prévention des impayés ou de lutte contre la fraude. On note également dans un document accessible depuis le site internet de la RATP, que celle-ci peut être amenée à utiliser les données collectées afin d’améliorer l’exploitation opérationnelle de ses différents services de transport.
De même, les AOT et les opérateurs détaillent généralement les institutions, entités ou sociétés autorisées à accéder aux données personnelles recueillies et traitées. Dans les CGU de l’application RATP, celle-ci précise ainsi que « la RATP, ses sous-traitants et partenaires situés dans et en dehors de l’Union Européenne pourront accéder à ces données ». Certains faits divers montrent qu’il est très difficile pour les acteurs non autorisés, notamment pour les autorités, d’avoir accès aux données collectées par les acteurs du secteur transport.
Les AOT et les opérateurs sont, en revanche, beaucoup moins transparents concernant la durée de stockage des données personnelles. Cette information n’est généralement pas précisée dans leurs CGU ou CGV. Dans le cas particulier du secteur transport, la CNIL autorise les AOT et les opérateurs à conserver les informations sur les déplacements des voyageurs pendant 48 heures, à des fins de lutte contre la fraude. Passé ce délai, la CNIL préconise l’anonymisation de ces données pour ne plus permettre de lier une personne à un trajet.
Ouverture de données publiques : les limites de l’anonymisation
Certains opérateurs considèrent les données récoltées comme une véritable matière première, source de création de nouveaux services facilitant toujours plus les déplacements des usagers. KEOLIS, la RATP ou la SNCF ont ainsi mis une partie de cette matière première en accès libre pour favoriser la création de nouveaux services pour les usagers. Ces initiatives ont, par exemple, permis la création de l’application Tranquilien ; un nouveau service développé par la start-up Snips, en partenariat avec la SNCF, permettant à ses utilisateurs de connaître le taux de remplissage des trains du réseau Transilien.
La CNIL s’est penchée sur ce type d’initiatives pour en mesurer les risques. Elle constate que les jeux de données publiques rendues libres d’accès et de réutilisation ne comportent que très peu de données personnelles. La CNIL souligne cependant que les producteurs de données éprouvent certaines difficultés pour juger, au cas par cas, si les données mises à disposition peuvent, ou non, être rattachées à des personnes physiques. Ce constat fait écho à une étude américaine publiée en janvier 2015, dont les résultats montrent qu’il est possible d’identifier une large proportion d’individus à partir d’informations pourtant anonymisées. Cela pose de manière plus globale la question des solutions techniques et des méthodes d’ananonymisation à disposition des producteurs de données et, surtout, de leur efficacité…
En 2014, le ministère de l’Ecologie, du Développement Durable et de l’Energie a demandé l’ouverture d’un débat national sur l’ouverture des données dans le domaine du transport. Ce débat, réunissant l’ensemble des acteurs du secteur transport, vise à faire évoluer le cadre légal sur la propriété des données, pour généraliser l’ouverture de certains jeux de données publiques. L’objectif final serait d’encourager sur tout le territoire, l’émergence d’un écosystème autour des AOT et des opérateurs. Le comité en charge d’organiser ce débat a fixé plusieurs axes de travail, dont l’un des principaux est d’anticiper et de prévenir les risques liés à l’ouverture des données publiques et donc, notamment, la communication d’informations personnelles à des personnes non-autorisées.
Les pouvoirs publics semblent donc avoir pris conscience qu’il existe dans le secteur transport, des opportunités liées aux nouveaux usages permis par les nouvelles technologies. Ils affichent aujourd’hui la volonté d’adapter le cadre légal à ces nouveaux usages, pour permettre aux acteurs du secteur transport de saisir ces opportunités, tout en protégeant la vie privée des voyageurs. De leur côté, les acteurs du secteur transport sont au fait des règles établies et respectent, généralement, ces règles de manière transparente. Certains efforts doivent encore être faits pour protéger efficacement la vie privée des voyageurs, notamment en matière d’anonymisation de données. Il appartient aujourd’hui aux pouvoirs publics, aux acteurs du secteur transport et aux acteurs de l’open data de travailler ensemble pour fiabiliser les outils et les méthodes d’anonymisation des données.
* Les AOT sont des collectivités publiques (communes, départements, régions) chargées de définir la politique de desserte et la politique tarifaire des transports. Les collectivités publiques peuvent choisir de gérer elles-mêmes ces services publics, sous forme de régie (ex. : RATP) ou de déléguer contractuellement ces services publics à des opérateurs privés (ex. : KEOLIS, VEOLIA TRANSDEV…).