Table des matières

I.                   Délibération RN n° 05/2008 du 23 janvier 2008 concernant la demande de la S.T.I.B. visant à obtenir l'extension des autorisations en sa possession (RN/MA/2007/056)

II.                La déclaration de traitement de la Stib concernant l’utilisation des cartes et tickets électroniques MOBIB - Fabrication, distribution et gestion des contrats titres de transport et gestion ainsi que le suivi des validations des cartes et tickets

1.      Les catégories de données traitées
2.      Les catégories de destinataires et de données qui peuvent être fournies
3.      La durée de conservation prévue
4.      Les mesures de sécurité

III.             L’avis d’initiative n°27/2009 du 28 octobre 2009 relatif à la Rifd (A/2009/003)

IV.              La recommandation n°01/2010 du 17 mars 2010 relative aux principes de base à respecter dans le cadre de l’utilisation de la télébilletique par les sociétés publiques de transport en commun

En conclusion 

 La Stib, Société des transports intercommunaux de Bruxelles, a généralisé, depuis le 30 juin 2010, l’utilisation, par ses usagers de la carte Mobib.  La Ligue des droits de l’homme (LDH) dénonce cette pratique, via une campagne joliment intitulée : Ma vie privée ne voyage pas en commun.  La LDH a même eu la bonne idée de présentée la Stib, parmi les candidats au prix du public du fameux boulet d’or, le « meilleur du pire » en matière de sécurité.  

Mon propos ici vise à diffuser les différents écrits en lien avec Mobib, émanant de la Commission de la Protection de la vie privée pour mettre en exergue les carences de la Stib.  Eu égard au sujet, le présent texte peut comporter quelques considérations juridiques techniques qui auraient justifié que je le range parmi le coin des juristes.  Toutefois, puisque mon but est d’atteindre tout citoyen, je le range dans les questions citoyennes.  

Pour une analyse juridique, la lecture de « Carte MoBIB – Un bon exemple de mauvaise mise en œuvre »[1] aidera à comprendre les lacunes dénoncées.

I.                   Délibération RN n° 05/2008 du 23 janvier 2008 concernant la demande de la S.T.I.B. visant à obtenir l'extension des autorisations en sa possession (RN/MA/2007/056)

En novembre 2007, la Stib a saisi le Comité sectoriel du Registre national (Comité spécifique faisant partie de la Commission de protection de la vie privée : la c.p.v.p.) pour étendre ses autorisations en vue de mettre en place son système Mobib :

« 1.1. La S.T.I.B., ci-après "le demandeur", a l'intention de procéder à une  opération de grande envergure (selon ses dires, elle concerne plus de cent  mille titres de transport) visant à remplacer par des cartes à puce la plupart des titres de transport actuellement délivrés par elle. Cette opération devrait normalement être terminée à l'issue d'une période couvrant les années 2008 et

2009 – les contrats de sous-traitance étant toutefois formulés de manière à rendre en compte un éventuel dépassement de ce délai. Pour réaliser la conversion précitée, le demandeur fera appel durant un temps relativement court à des firmes externes, auxquelles il confiera la collecte des données nécessaires ainsi que la confection et la distribution des cartes. Dans ce cadre, il sera amené à communiquer un certain nombre de données en provenance du Registre national aux firmes en question ». (p. 2, je souligne)

Autrement dit, d’une part, il est bien clair qu’un sous-traitant dispose d’une série de données issues du Registre national (R.N.).

D’une part, le Comité indique qu’il y a lieu de préciser que les données des usagers de la Stib ne sont pas envoyées à des tiers à des fins de marketing direct.

« Le Comité note par ailleurs qu'au verso du formulaire susmentionné, le demandeur signale [cf. rubrique "3 – Protection de la vie privée", 2ème §, point 4)] que les données à caractère personnel communiquées par les clients seront notamment traitées en vue de :  "[l']envoi ciblé de promotion commerciale (…) dans le cadre d'activités de marketing direct." Le Comité souligne que ceci ne peut concerner que les propres produits et services du demandeur et qu'il convient dès lors de le préciser explicitement, de manière à ce qu'il soit parfaitement clair pour les clients concernés que leurs données ne seront pas communiquées à des tiers à des fins de marketing direct »[2]. (p. 4, A2 in fine, je souligne)

Lorsque l’on sait que Hong Kong a vendu les données enregistrées sur et par Octopus (voy. « La carte Mobib de Hong Kong a vendu ses données »), une carte cousine à Mobib, on comprend la nécessité de rester vigilant... Sur la transmission des données à des tiers, voy. les considérations sur la déclaration de traitement.

D’autre part, et ceci est le passage le plus intéressant de la délibération, le Comité juge non légitime l’utilisation à des fins de « profilage » de la clientèle s’apparente à une finalité illégitime et qu’un tel traitement doit être considéré comme excessif :

« A.3. Le demandeur envisage également de recueillir auprès des personnes contactées à cette occasion une série d'informations dont il n'a à vrai dire pas besoin pour confectionner et distribuer les cartes à puce mais qui devraient lui permettre d'appréhender l'évolution du profil de sa clientèle.

Cette fois, il est bien question d'une finalité déterminée absolument inédite. Le demandeur précise à la page 7 de sa demande qu'il a besoin d'avoir une vision précise de l'évolution du profil de sa clientèle pour pouvoir gérer celle-ci. Le Comité constate qu'il lui est parfaitement possible de gérer sa clientèle sans avoir connaissance du profil de chacun des clients concernés. Au demeurant, le type d'abonnement délivré aux clients fournit déjà des indications à ce propos.

Il n'est donc pas indispensable que le demandeur dispose de tels profils pour remplir la mission qui lui incombe en tant que société de transports publics. Dans ces circonstances, le Comité estime que la finalité envisagée n'est pas une finalité légitime au sens de l'article 4, § 1, 2°, de la loi vie privée.  L'utilisation des données du Registre national à des fins de "profilage" de la clientèle doit de surcroît être considérée comme excessive (article 4, § 1, 3°, de la loi vie privée) ».

 

Et le comité de conclure à la page 6 :       

"PAR CES MOTIFS,

le Comité

1° arrête ce qui suit : […]

2° refuse d'ajouter le "profilage de la clientèle" aux finalités pour lesquelles les autorisations en possession de la S.T.I.B. lui ont été accordées".

S’il fallait encore être plus clair :

« En janvier 2008, la Commission refusait d’ajouter le « profilage de la clientèle » aux finalités de l’autorisation d’accès de la Stib aux données du Registre national. ‘’Analyser les habitudes de consommation relève du profilage. ‘’ Transposé à la Stib, cela donne l’analyse des déplacements. ‘’ Pas autorisé’’. »

Dès lors, la réaction de la stib est incompréhensible (nous n’oserons pas parler de mauvaise foi):

« Autre son de cloche de la part de la Stib. « C’est une des applications clairement identifiée de Mobib : le profilage de segments de la clientèle, rétorque son porte-parole Jean-Pierre Alvin. Heures de déplacements, stations les plus fréquentées, etc. Pas individuellement, mais pour des profils : les analyses porteront sur des données agrégées. » La Stib entend rassurer : les données individuelles seront effacées au bout d’un mois et ne pourront jamais être utilisées à des fins commerciales par quelqu’un d’autre qu’elle »[3].

II.                La déclaration de traitement de la Stib concernant l’utilisation des cartes et tickets électroniques MOBIB - Fabrication, distribution et gestion des contrats titres de transport et gestion ainsi que le suivi des validations des cartes et tickets

Conformément à l’article 17 de la loi relative à la protection des données à caractère personnel (LVP)[4], la Stib a effectué une déclaration de traitement concernant Mobib.  Il convient de préciser ici l’avertissement de la Commission de la protection de la vie privée que je retranscris ici :

« Le registre présente les traitements de données tels que déclarés à la Commission par les responsables de traitement; cela n'implique en aucun cas que ce qui est déclaré respecte les conditions de la LVP ». (pour voir le texte sur le site de la CPVP, c’est ici)

La lecture de cette déclaration de traitement, publiée le 28 mai 2008 et modifiée le 10 août 2009, m’inspire 4 observations.

1.      Les catégories de données traitées

Parmi les catégories de données traitées, la déclaration mentionne :

-          données d’identification (nom, adresse, tél., …)

-          caractéristiques personnelles (âge, sexe, état civil, …)

-          particularités financières ;

-          habitudes de consommation ;

-          enregistrement d’images

J’aimerais bien savoir ce que recouvrent exactement ces catégories de données.

2.      Les catégories de destinataires et de données qui peuvent être fournies

 D’après la déclaration :

1. les données d’identification,
2. les caractéristiques personnelles,
3. les enregistrements d’images
4. ainsi que les particularités financières

 sont susceptibles d’être transmis

1. à des individus ou organisations en relation directe avec le responsable
2. à d’autres entreprises privées.

Aux premiers sont également transmises les habitudes de consommation.

En outre, la déclaration de traitement spécifie au point 12 (page 4) que :

1.       les données d’identification,

2.       les caractéristiques personnelles,

3.       les habitudes de consommation

4.       les enregistrements d’images

sont communiqués à l’étranger, en France.

2.1.  D’après un article paru dans le Soir, intitulé « Où est passé mon employé ?  Vie privée.  Un employeur sollicite les informations de la carte Mobib de la stib »[5],

« Un document interne d’une entreprise basée à Bruxelles laisse pantois. Il pose à nouveau la question de l’utilisation des données stockées par la Stib sur la carte à puce Mobib, et celle de leur utilisation. Un employeur pourrait-il se servir de ces données pour pister les trajets de son employé ? La Stib répond par la négative. La Ligue des droits de l’homme est dubitative.

L’employé a pris contact avec la Ligue. Il s’étonne d’un message de son employeur : ‘’ De toute évidence, y est-il écrit, notre service d’encadrement P&O, en collaboration avec la société des transports bruxellois, est chargé de contrôler l’utilisation de la carte Mobib. L’intervention du SPF, en tant qu’employeur, ne concerne bien sûr que les déplacements entre le domicile et le travail’’. »

On le voit, les risques de dérive existent.  J’ignore les suites qui ont été données aux faits dénoncés en août 2010…

2.2.  Autre illustration des risques réels de dérives: la vente par la société gérant la carte Octopus, carte à puce cousine de Mobib, des données enregistrée sur et par Octopus.  Comme l’écrit justement le journaliste du Soir auteur de « La carte Mobib de Hong Kong a vendu ses données »[6] :

« Avec ce scandale qui secoue le rail de Hong Kong on ne pourra en tout cas plus dire, chez nous, que l’on ignorait cette pratique commerciale et lucrative qui consiste à vendre des données personnelles sur des habitudes de consommation. A l’usager de se montrer vigilant et de réagir ».

Certes, les faits se sont passés à Hong Kong, d’aucuns n’y verront nul lien avec Bruxelles. 

Or, « des craintes existent aussi quant à l’utilisation des données de la carte Mobib. La Ligue des droits de l’homme a d’ailleurs interpellé la Stib sur cette notion de protection de la vie privée. Et elle invite l’usager à en faire de même. Pourquoi généraliser la carte à puce personnalisée (permettant d’identifier l’usager) ? s’interroge la Ligue. Est-ce pour tracer le client dans ses pratiques de transport ? Ou davantage » ? 

Lorsque la Stib assure qu’elle ne communiquera pas à des tiers à des fins de marketing, il y a lieu de l’interroger sur l’identité de ces entreprises privées à qui, d’après la déclaration de traitement, elle peut fournir :

• les données d’identification,
• les caractéristiques personnelles,
• les enregistrements d’images
• ainsi que les particularités financières

Et qui sont ces « organisations en relation directe avec le responsable » de traitement, à savoir la Stib, à qui elle peut transmettre les données énoncées ci-avant plus les habitudes de consommation ?

Enfin, quelle serait la finalité d’une telle transmission de ces informations ?  On se rappellera que le Comité sectoriel du Registre national a précisé que "[l']envoi ciblé de promotion commerciale (…) dans le cadre d'activités de marketing direct’’ « ne peut concerner que les propres produits et services du demandeur et qu'il convient dès lors de le préciser explicitement, de manière à ce qu'il soit parfaitement clair pour les clients concernés que leurs données ne seront pas communiquées à des tiers à des fins de marketing direct » [voir plus haut].

3.      La durée de conservation prévue

Illimité !  La conservation des données est prévue pour un temps illimité !  Selon la Stib, la raison de ce temps de conservation s’explique par l’impossibilité « de fixer d’emblée une date limite de conservation des données » en raison de la variabilité et de l’indétermination de la durée d’utilisation d’une carte électronique mobib.  On comparera utilement cette déclaration avec cette affirmation de la Stib citée par le journaliste Benoît Mathieu :

 « La Stib entend rassurer : les données individuelles seront effacées au bout d’un mois et ne pourront jamais être utilisées à des fins commerciales par quelqu’un d’autre qu’elle »[7]. 

Pourquoi maintenir un temps illimité alors que très explicitement, le 17 mars 2010, la C.P.V.P. a énoncé le temps de conservation qu’elle jugeait comme conforme à l’article 4, § 1^er, 5°, de la L.V.P., lequel impose une durée de conservation « n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles [les données] sont obtenues ou pour lesquelles elles sont traitées ultérieurement » ?  A propos de la durée de conservation, voy. le point IV. 

4.      Les mesures de sécurité

La déclaration dresse un éventail de mesures qui seraient prises par la Stib en matière de sécurité.

Cette déclaration concernant les mesures de sécurité doit être comparée à la réalité.  Le 9 janvier 2009, Le Soir rapportait les résultats d’une étude effectuée par une équipe de chercheurs de l’UCL[8].  Ceux-ci dénonçaient la facilité avec laquelle ils avaient pu lire les données enregistrées sur une carte Mobib, grâce à une simple « lecteur est en vente en grande surface pour 20 euros »  D’après l’article, le logiciel a été mis en ligne par les chercheurs (je n’ai pas cherché).

« Ainsi, en janvier 2009, le Groupe sécurité de l’information (GSI) de l’Université catholique de Louvain (UCL) a analysé le contenu d’une carte Mobib, révélant que celle-ci contient les données suivantes : nom et prénom du détenteur de la carte, sa date de naissance, le code postal de sa résidence, ses trois dernières validations ainsi que d’autres informations (transit, nombre total de validations ). Précision : la carte Mobib est équipée d’une puce RFID, c’est-à-dire un composant permettant de lire à distance des données qu’il contient. Au cours de son analyse, le GSI a également démontré que n’importe quel tiers peut consulter ces données au moyen d’un lecteur de puce sans contact RFID et d’un logiciel que le GIS a mis à la disposition du public »[9].

 « Or, ‘’ ceci est en contradiction avec les récentes affirmations du ministre bruxellois du Transport ‘’. Interpellé par la députée Ecolo Céline Delforge, Pascal Smet affirmait qu’’’ il n’existe aucune donnée nominative comportant des renseignements sur la validation, qui soit conservée ni un mois, ni 48 h, ni même une heure ‘’. Plus tard, il indiquait que ‘’ les trajets ne sont pas enregistrés au niveau de la carte Mobib, mais ils le sont au niveau du valideur, qui mémorise l’heure, la date et la ou les lignes utilisées ‘’[10].

« Ces observations sont aussi en contradiction évidente avec les propos de M. Pascal Smet, alors ministre en charge de la Mobilité de la Région de Bruxelles-Capitale, lorsqu’il déclarait que ‘’ les trajets ne sont pas enregistrés au niveau de la carte Mobib, mais ils le sont au niveau du valideur ‘’»[11].

« Du côté de la Stib, on rétorque qu’il n’est pas question de modifier le système lancé au début de l’année. ‘’ Pour nous, il n’y a pas de problème, indique une porte-parole. Les données qui se trouvent sur la carte sont nécessaires aux contrôles. Lorsqu’elles entrent dans nos bases de données, elles sont “anonymisées” ‘’ » [12].

III.             L’avis d’initiative n°27/2009 du 28 octobre 2009 relatif à la Rifd (A/2009/003)

Après avoir donné une explication sur ce qu’est la radio frequency identification , l’identification par radiofréquence en français, la Rifd en abrégé, la Commission constate que cette technologie est utilisée dans le système Mobib (page 2, § 4 de l’avis). 

Si cet avis est intéressant à plusieurs égards, je m’arrêterai sur un seul point : la question du consentement valable.  C’est l’article 1, § 8, de la L.V.P. qui explique que :

« § 8. Par “consentement de la personne concernée”, on entend toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée ou son représentant légal accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement ».  (je souligne)

Dans son avis d’initiative, à la page 8, la Commission précise que ce signifie ce consentement libre, spécifique et informé :

« La Commission souligne qu'un consentement valable est un consentement libre, spécifique et informé [12]. Un consentement libre implique entre autres qu'un système alternatif soit proposé à la personne concernée, lequel doit être équivalent et ne peut impliquer aucune sanction pour la personne concernée. […]

25. L'attention doit également être attirée sur le fait que l'obtention d'un consentement ne justifie pas de traitement disproportionné. Le responsable du traitement doit veiller à la proportionnalité du traitement envisagé : l'intérêt général ou légitime du responsable du traitement doit être confronté au droit à la protection de la vie privée des personnes concernées. Une analyse de risque est dès lors recommandée avant de procéder à l'acquisition d'un tel système, en devant notamment comparer le système RFID envisagé avec les autres systèmes de traitement des données qui existent sur le marché.

26. Lorsque l'on invoque un intérêt légitime, il faut enfin faire remarquer que l'objectif pour lequel les données à caractère personnel sont traitées par exemple par un commerçant ne peut pas raisonnablement être réalisé d'une autre manière moins désavantageuse pour la personne concernée. Si un commerçant propose par exemple une carte client pourvue d'une puce RFID, le client doit pouvoir avoir le choix entre une carte anonyme (sans données à caractère personnel et qui n'est pas liée à une personne déterminée par le biais d'un fichier de données ou des informations de paiement) et une carte client contenant des données à caractère personnel».

Autrement dit, la stib doit proposer une solution anonyme dès lors que la technique le permet.  Et cette solution anonyme ne dit pas traiter de manière désavantageuse le client.  Offrir la possibilité de voyager de manière anonyme en achetant des billets et ne pas permettre que ceux qui utilisent un abonnement puissent bénéficier de l’anonymat traitement de manière moins avantageuse les abonnées.  Quand on sait que les employeurs remboursent une partie ou totalement les frais d’abonnement, mais pas sur des tickets ponctuels, on comprend l’enjeu !

Les progrès technologiques permettent pourtant de préserver l’anonymat.

Benoît Mathieu l’a écrit :

« C’est surtout le caractère nominatif qui chiffonne la Ligue. « S’il existe une voie anonyme, elle doit être privilégiée, comme à Londres ou Tokyo. » A Paris, la RATP a dû introduire fin 2007 une version anonyme de son pass « Navigo », suite à un avis de la Commission nationale de l’informatique et des libertés » [13].

Les professeurs de l’U.c.l. l’ont certifié :

« Et pourtant, les puces RFID ne sont pas obligatoirement synonymes de contrôle accru. Protéger la vie privée de leurs utilisateurs par rapport à des tiers, ou même par rapport au gestionnaire du réseau, est possible. Des techniques cryptographiques permettent par exemple de réaliser des tickets virtuels anonymes. On peut alors prouver mathématiquement que l’identité de l’utilisateur ne peut être révélée qu’en cas de tentative de fraude. Comme dans le cas d’autres applications potentiellement ciblées par les technologies sans fil (passeport biométrique, carte d’identité…), ce n’est pas tant le choix d’une technologie qui menace la vie privée de ses utilisateurs que la façon dont elle est déployée. Mais la présence croissante de puces RFID dans la vie courante va aussi rendre leur régulation plus difficile » [14].

Stéphanie Bocart l’a réécrit :

« C’est que des alternatives existent. Comme en Ile-de-France où coexistent depuis 2008, sous la pression de la Commission nationale de l’informatique et des libertés (Cnil), deux systèmes de cartes à puce : le pass "Navigo", qui reprend le nom et l’adresse du porteur, la date, l’heure et le lieu des trois dernières validations, données conservées pendant 48 h; et le pass "Navigo découverte", anonyme. Concrètement, ce pass se compose d’une carte à puce anonyme et d’une carte nominative de transport qui, pour les besoins des contrôles, comporte au recto des données personnelles (une photo ainsi que les nom et prénom de l’usager). "En Ile-de-France, sur le pass découverte, l’usager peut charger des abonnements à la semaine et au mois, mais il ne peut pas charger des titres à l’unité, à l’année, à la journée ainsi que des tarifs spéciaux. Mais il existe d’autres sortes de forfaits dans d’autres régions de France qui assurent l’anonymat des déplacements", explique Johanna Carvais, juriste à la Cnil. Mais alors que le Navigo "classique" est gratuit, le voyageur désireux de préserver son anonymat doit s’acquitter de 5 € pour acquérir son pass. Et en cas de perte ou de vol, vu l’anonymat des données personnelles, il doit se procurer un nouveau pass et acheter un nouveau forfait. La formule répond toutefois à une demande puisque, sur les 5 millions de pass Navigo en circulation en Ile-de-France, 1million sont des pass découverte» [15].

Et que répond la stib à ce propos ?

« Pour ceux qui voudraient malgré tout voyager anonyme avec Mobib, il faudra attendre février 2009 et les cartes jetables valables pour 1 ou 10 trajets ou un jour. Impossible pour les abonnés. ‘’ Le problème éthique a été fouillé. Les verrous sont extrêmement stricts. Et si on nous demande d’aller plus loin, eh bien on verra ‘’» [16].

« Un tel système [tel que Navigo en France] pourrait-il être mis en place à Bruxelles ? "C’est prévu !" , s’exclame Jean-Pierre Alvin. "D’ici un an, les cartes de 1 voyage, 10 voyages et d’une journée deviendront des cartes Mobib anonymes rechargeables". En 2009, le ministre Smet avait également déclaré qu’outre les cartes de 1et 10 voyages qui seront anonymes, "je veux bien demander à la Stib d’envisager la possibilité de réaliser des cartes anonymes bien que cela risque d’exiger davantage de travail". Mais pour sa successeure, Brigitte Grouwels, "l’introduction de la carte Mobib se poursuit et il n’est pas envisagé à l’heure actuelle d’introduire un autre type de pass" »[17].

On appréciera la réponse de Brigitte Grouwels.

La recommandation n°01/2010 du 17 mars 2010 relative aux principes de base à respecter dans le cadre de l’utilisation de la télébilletique par les sociétés publiques de transport en commun le martèle encore, au § 9, page 3 :

 "3) Voyager de manière anonyme

9. À cet égard, la Commission est d'avis que les Sociétés ne peuvent pas traiter, directement ou indirectement, des données à caractère personnel qui permettrait de tracer le trajet des usagers sur base de leur titre de transport électronique". 

Enfin, pour revenir à l’avis d’initiative, le paragraphe 34 de l’avis, page 27, est aussi intéressant :

« Conformément à l'article 15bis de la LVP, le responsable du traitement peut être tenu responsable des dommages qui pourraient être dus au non-respect ou à l'inefficacité des mesures de sécurité ».

IV.              La recommandation n°01/2010 du 17 mars 2010 relative aux principes de base à respecter dans le cadre de l’utilisation de la télébilletique par les sociétés publiques de transport en commun

Outre ce que je viens de souligner plus haut sur le droit répété par la C.p.v.p. de voyager de manière anonyme, je relèverai de cette recommandation le point consacré au délai de conservation (la mise en italique gras et le soulignement vient de moi ; les notes de bas de page dans le document original ne sont pas reprises ici):

5) La durée de conservation

13. L'article 4, § 1, 5° de la loi vie privée impose une obligation de limitation quant à la durée de conservation des données qui ne peut être plus longue que le temps nécessaire à la réalisation des finalités pour lesquelles elles ont été obtenues.

14. Au regard des seules finalités raisonnablement admises par la Commission dans le cadre de l’exploitation d’un système de télébilletique, celle-ci préconise les délais de conservation des données nécessaires à l’exercice de ces finalités comme suit :

• La gestion des titres de transport : les données enregistrées pour l’exercice de cette finalité ne peuvent être conservées plus de 6 mois au-delà de la date d’expiration du dernier contrat conclu par l’usager. La Commission estime raisonnable le délai de 6 mois laissé à l’usager pour porter réclamation quant à l’utilisation d’un titre de transport quel qu’il soit(2).
• La gestion des fraudes : les données enregistrées pour l’exercice de cette finalité ne peuvent être conservées au-delà du délai nécessaire à la constatation de la fraude. Au-delà de ce délai les données à conserver doivent faire l’objet d’un réceptacle particulier dans lequel les données pourraient être conservées aussi longtemps que le nécessite la procédure entamée à l’issue d’une fraude avérée.
• La gestion technique : les données enregistrées pour l’exercice de cette finalité ne peuvent être conservées au-delà du délai nécessaire à la constatation de l’incident technique. Au-delà de ce délai, les données à conserver doivent faire l’objet d’un réceptacle particulier dans lequel les données pourraient être conservées aussi longtemps que le nécessite la procédure entamée à l’issue d’une anomalie confirmée.
• La gestion statistique : dans le cadre de cette finalité, les données ne peuvent en aucun cas être conservées en l’état. Elles doivent être conservées sous une forme effectivement anonymisée. Le délai de conservation des données brutes (donc encore personnalisées) ne sera pas supérieur au délai nécessaire pour effectuer la(les) segmentation(s) désirée(s). Le délai de conservation des données anonymisées n’étant quant à lui pas limité3.

Dans le cas ou une coordination entre les bases de données intervient, le délai de conservation des données pourrait être défini comme suit :

• La gestion de la clientèle : les données enregistrées pour l’exercice de cette finalité ne peuvent être conservées plus de 12 mois au-delà de la date de l’expiration du dernier contrat conclu par un usager pour autant qu’il ait restitué la carte à puce servant de support à l’enregistrement des contrats.
• Le marketing direct : les données enregistrées pour l’exercice de cette finalité ne peuvent être conservées au-delà de la date d’expiration du dernier contrat conclu par l’usager.

6) Principe de proportionnalité

16. Le principe de proportionnalité stipulé à l'article 4 de la loi vie privée, impose au responsable du traitement de ne collecter, pour réaliser la ou les finalités poursuivies, que des données à caractère personnel adéquates, pertinentes et non excessives. Dans le choix des modalités de traitement permettant d'atteindre la finalité poursuivie, le responsable du traitement devrait également veiller à opter pour celles qui sont les moins attentatoires à la vie privée des personnes concernées. Une ingérence dans le droit à la protection des données des personnes concernées doit en effet être proportionnée au regard des finalités du traitement pour le responsable du traitement.

17. Les délais de conservation ayant été définis ci-dessus, les données pouvant être conservées peuvent être définies comme suit :

• La gestion des titres de transport : les données de la gestion de la clientèle et les données nécessaires pour caractériser les contrats en vigueur ;
• La gestion des fraudes : les données d’identification du présumé fraudeur et les données de trajet permettant d’établir la fraude ;
• La gestion technique : les données d’identification des clients lésés, des contrats mis en cause et les données relative au trajet liées à l’incident technique ;
• La gestion statistique : toutes les données de clientèle et de trajet pour autant qu’elles soient anonymisées ;
• La carte RFID :

- les données visibles autorisées sont limitées à :

•         la photo du titulaire de la carte ;
• le numéro de client ;
• le numéro technique de la carte
• le nom, le prénom et la date de naissance du titulaire de la carte.

- Les données non visibles, présentent sur la puce de la carte, autorisées sont :

• les données personnelles du client nécessaires à son identification (lors de l’achat de titre de transport ou lors d’un contrôle) ;
• es dernières validations nécessaires à effectuer un contrôle cohérent et efficace ;
• les contrats achetés et toujours valides.

18. En cas de mise en relation entre la base de données trajet et la base de données clientèle, les données pouvant être conservées peuvent être les suivantes :

• La gestion de la clientèle : les données personnelles du client auxquelles sont associées un numéro de client ;
• Le marketing direct : les coordonnées du client.

Enfin, s’agissant du droit d’accès (de consultation) des usagers concernant les données les concernant :

"9) Droit d’accès des personnes concernées (droit de consultation)

22. En vertu des articles 10 et 12 de la loi vie privée, les personnes concernées disposent d’un droit d’accès aux données à caractère personnel les concernant qui ont fait l’objet d’un enregistrement, le droit de faire rectifier les données inexactes qui les concernent ainsi que le droit d’obtenir la suppression des données qui, compte tenu des finalités du traitement, sont inexactes ou dont l’enregistrement, la communication ou la conservation sont interdits par la loi, ou qui ont été conservées au-delà du délai raisonnable.

23. La Commission souhaite également que les Sociétés précisent (dans les conditions générales qui sont remises au client par exemple) le point de contact (un numéro de téléphone et/ou une adresse email spécifique doit être précisé au minimum) auprès duquel les personnes concernées peuvent faire valoir les droits précités".

En conclusion

Lorsque La Libre Belgique rapporte que « du côté de la Stib, Jean-Pierre Alvin s’avoue serein. "La Commission pour la protection de la vie privée a rendu un avis positif, pour nous, le dossier est clos" »[18], il est légitime de se montrer perplexe, et inquiet.  J’ai beau chercher parmi les avis de la C.p.v.p., je ne vois pas d’avis positif sur la finalité du traitement opéré par la Stib, pour les données relatives aux abonnés de cette société. 

Au contraire, je lis les recommandations de cette Commission et constate que la collecte de données non anonymes pour le profilage n’est pas légitime ; que la stib doit, en vertu de la loi, mettre à disposition des usagers un abonnement dont les données sont suffisamment sécurisées et surtout anonymisées. 

Enfin, il est patent que les mesures de sécurité prises pas la Stib ne répondent pas aux exigences fixées par la loi.  Et les inquiétudes des usagers de la Stib sont plus que légitimes et fondées lorsque l’on apprend que ce n’est que fin 2010 que celle-ci s’est inquiétée de lancer un marché public :

« intitulé "consultance spécialisée dans la protection de la vie privée", destinée notamment à imaginer une procédure de sécurisation pour la carte Mobib. Une démarche qui en a fait sursauter plus d’un, notamment au sein du Parlement bruxellois. Pourquoi ce marché alors que la société de transport a toujours affirmé que le système Mobib était parfaitement fiable quant au respect du caractère privé des données contenues par la puce de la carte Mobib, se demandait-on alors. Pour la Stib, il est surtout question de désamorcer les critiques récurrentes à l’encontre de son système, notamment par le monde politique. Ce dernier n’est pas encore tout à fait rassuré »[19].

L’ensemble des arguments développés ci-avant démontrent à suffisance les failles du système Mobib.  Sous cet angle, rien d’étonnant à la décision de la Stib de retirer sa plainte envers un usager qui avait détruit la puce électronique de son abonnement[20].

De ce que j’ai pu lire de l’article de presse, j’abonde dans le sens de l’avocat de l’usager poursuivi lorsqu’il considère que le fait d’être en possession d’un abonnement en règle de payement n’est pas un titre de transport valable :

« Ce que lui reproche la Stib, c’est de ne pas avoir validé sa carte. Pour l’avocat, l’attitude de son client ne contrevient en rien à l’arrêté qui sous-tend la surtaxe réclamée et qui précise "l’interdiction de se trouver dans un véhicule ou une zone contrôlée sans être en possession d’un titre de transport valable". Cette règle ne peut imposer aux voyageurs de renoncer à leur droit à la vie privée, défend l’avocat. Voilà pour l’argumentaire non exhaustif (lire, ci-contre, le volet désobéissance civile) ».

Par contre, s’agissant de la question de la désobéissance civile, je rejoins la réflexion de l’avocat interrogé par La libre, qui relève que le cas d’espèce concerne un lien contractuel et non une obligation imposée par une autorité publique[21]. 

Toutefois, n’oublions pas que la Stib est sous tutelle du Ministre de la mobilité.  En tous les cas, qu’il s’agisse d’une désobéissance civile ou d’une désobéissance à une société, il n’en reste pas moins que cette désobéissance est légitime.

A l’heure où tout le monde s’accorde sur l’importance de réduire l’usage de la voiture, de favoriser l’emprunt des transports en commun, la politique délibérée de la Ministre de tutelle impose à l’usager un choix impossible.  Il s’agit soit de voir son droit à la vie privée violé, soit celui de le voir sauvegarder à condition d’emprunter uniquement les pieds, le vélo ou la voiture. 

Or l’usage des pieds ou du vélo ne sont pas envisageables pour tout le monde.  Quand on habite de l’autre côté de la ville que son lieu de travail, comment fait-on ? et qu’on doit en plus, déposer un bébé ?  On part à six heures de chez soi pour s’assurer d’être à l’heure au travail ?  Et comment preste-t-on ses heures pour rentrer à temps pour reprendre son enfant ? 

S’agissant de prendre la voiture, l’on comprendra que c’est aussi un geste politique que de refuser l’usage de cet ustensile dont les méfaits sur l’environnement, la qualité de l’air, le bruit, le stress sont clairement connus.

Quant au choix des tickets anonymes, c’est demandé au travailleur de renoncer à la participation aux frais de transport des patrons…et supprimer un avantage certain qui encourageait l’usage des véhicules en commun.

Affaire à suivre donc…▪

[1] François-Xavier Standaert, Franck Dumortier, François Koeune, Antoinette Rouvroy, « Carte MoBIB – Un bon exemple de mauvaise mise en œuvre », La Lettre d'Inter-Environnement Bruxelles, 20 mai 2010.  Cet article est suivi d’un « Appendice liée à la recommandation du 17 mars 2010 de la Commission de la protection de la vie privée »,  mai, 2010.  Plus d’infos : http://perso.uclouvain.be/fstandae/mobib/

[2] Délibération RN 05/2008 du 23 janvier 2008, p. 4, A2 in fine. Je souligne.

[3] Benoît Mathieu, « La carte Mobib vous connaît (trop ?) bien », Le Soir, 2 juillet 2008, p. 5.

[4] M.B., 18 mars 1993.

[5] Jean-Pierre Borloo, « Où est passé mon employé.  Vie privée.  Un employeur sollicite les informations de la carte Mobib de la Stib », Le Soir, 4 août 2010, p. 18.

[6] Jean-Pierre BORLOO, « La carte Mobib de Hong Kong a vendu ses données », Le Soir, 28 juillet 2010, p. 18.

[7] Benoît Mathieu, « La carte Mobib vous connaît (trop ?) bien », Le Soir, 2 juillet 2008, p. 5.   Je souligne.

[8] Michel De Meulennaere, « Mobib, la carte trop curieuse.  Vie privée Des chercheurs craquent le ticket électronique de la Stib.  Le ticket électronique de la Stib en sait beaucoup (trop ?) sur ses détenteurs. L’heure d’une clarification ? »,  Le Soir, 9 janvier 2009, p. 7.

[9] Stéphanie Bocart, « Mobib, une intrusion dans la vie privée ? », La libre Belgique, mis en ligne le 6 juillet 2010.  Je souligne.

[10] Michel De Meulennaere, « Mobib, la carte trop curieuse.  Vie privée Des chercheurs craquent le ticket électronique de la Stib.  Le ticket électronique de la Stib en sait beaucoup (trop ?) sur ses détenteurs. L’heure d’une clarification ? »,  Le Soir, 9 janvier 2009, p. 7

[11]  François-Xavier Standaert, professeur à l’UCL (Laboratoire de microélectronique) & François Koeune, chargé de recherches (Laboratoire de microélectronique) , « Qu’attend-on d’un ticket de métro ? », carte blanche dans le Soir, 27 août 2009, p. 17.

[12] Michel De Meulennaere, « Mobib, la carte trop curieuse.  Vie privée Des chercheurs craquent le ticket électronique de la Stib.  Le ticket électronique de la Stib en sait beaucoup (trop ?) sur ses détenteurs. L’heure d’une clarification ? »,  Le Soir, 9 janvier 2009, p. 7

[13] Benoît Mathieu, « La carte Mobib vous connaît (trop ?) bien », Le Soir, 2 juillet 2008, p. 5.  

[14]  François-Xavier Standaert, professeur à l’UCL (Laboratoire de microélectronique) & François Koeune, chargé de recherches (Laboratoire de microélectronique) , « Qu’attend-on d’un ticket de métro ? », carte blanche dans le Soir, 27 août 2009, p. 17.

[15] Stéphanie Bocart, « Mobib, une intrusion dans la vie privée ? », La libre Belgique, mis en ligne le 6 juillet 2010. 

[16] Benoît Mathieu, « La carte Mobib vous connaît (trop ?) bien », Le Soir, 2 juillet 2008, p. 5, in fine.  La mise en gras vient de moi.

[17] Stéphanie Bocart, « Mobib, une intrusion dans la vie privée ? », La libre Belgique, mis en ligne le 6 juillet 2010. 

[18] G.B. (st.),  « La Mobib crée la polémique », La Libre Belgique, mis en ligne le 29 mai 2010.

[19] X, « La Stib demande une consultance », La libre Belgique, mis en ligne le 22 mars 2011.

[20] Mathieur Colleyn, « Mobib : ‘’la Stib craint la justice’’ », La libre Belgique, mis en ligne le 22 mars 2011.

[21] J.-C. M., « Stib, un acte assumé de désobéissance ? », La Libre Belgique, mis en ligne le 22 mars 2011.

Les lacunes de mobib en version pdf ici

sous licence Creative Commons Paternité - Pas d'Utilisation Commerciale - Pas de Modification 2.0 Belgique