CNIL, Délibération du 5 octobre 2017, n° 2017-266

La Commission nationale de l’informatique et des libertés,

Saisie par le GIE COMUTITRES d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la lutte contre la fraude relative aux titres justificatifs permettant de bénéficier de l’abonnement Imagine R ;

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 25-I-4° ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le dossier et ses compléments ;

Sur la proposition de M. Eric PERES, commissaire, et après avoir entendu les observations de M^me Nacima BELKACEM, commissaire du Gouvernement,

Formule les observations suivantes :

Responsable du traitement

Le responsable de traitement est le GIE COMUTITRES qui assure la gestion opérationnelle des titres de transport Navigo en région Ile-de-France pour le compte des transporteurs RATP, SNCF et OPTILE.

Sur la finalité

La finalité du traitement est la lutte contre la fraude relative aux titres justificatifs permettant de bénéficier de l’abonnement Imagine R, afin de s’assurer que seules les personnes réellement scolarisées en Ile-de-France bénéficient du titre de transport Imagine R.

La Commission estime que la finalité poursuivie est déterminée, explicite et légitime.

Dans la mesure où ce traitement peut, en cas de fraude avérée, conduire à la résiliation du contrat et empêcher son titulaire de se réabonner pendant trois ans, la Commission considère qu’il y a lieu de faire application des dispositions de l’article 25-I-4° de la loi du 6 janvier 1978 modifiée qui soumet à autorisation les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire.

Sur les données traitées

Les données suivantes sont traitées dans le cadre des vérifications effectuées au regard de la liste d’exclusion :

les données relatives à l’identification du porteur : nom, prénom, qualité, date de naissance, adresse postale, numéro, données figurant sur les documents justificatifs ;

les données relatives à l’identification du payeur : nom, prénom, qualité, adresse postale, numéro ;

les données relatives au contrat : numéro, zonage en cours, nombre de zones, mode de paiement, barème (code / intitulé, non renseigné pour les étudiants), bureau distributeur, date, signature, état du contrat ;

les données relatives à l’établissement du porteur : code RNE (non renseigné pour les étudiants), nom, ville, code postal, code classe, indicateur de l’existence de classes « apprentis », indicateur de l’existence de classes « post bac » ;

les données relatives aux subventions et bourses : subventions générale, subventions sociale, niveau cg, niveau bourse, total subvention.

En cas de fraude avérée et après examen au cas par cas des dossiers, le motif de résiliation « fraude » de moins de trois ans est ajouté au dossier du client.

La Commission considère que ces données sont pertinentes au regard de la finalité poursuivie.

Sur les destinataires

Les personnels du GIE COMUTITRES suivants ont accès à la base client « SIG » et donc au motif de fraude :

la direction de la Production et de la Relation Client ;

le Responsable des services client et ses équipes ;

le Responsable Exploitation SI et ses équipes ;

le Référent du prestataire CTD ;

la direction projets systèmes et processus ;

la comptabilité ;

la direction Administrative et Financière ;

le Directeur Général ;

les personnes habilitées des agences Imagine R (prestataire), et des agences transporteurs.

Les personnels du GIE COMUTITRES suivants sont destinataires du répertoire « fraude » :

le Directeur de la Production et de la Relation Client ;

le Responsable des Services Clients et ses équipes ;

le Responsable Exploitation SI ;

le Référent du prestataire CTD ;

le comptable Imagine R ;

le Directeur Administratif et Financier ;

le Directeur Général.

En outre, les représentants des transporteurs dans les instances suivantes peuvent se voir communiquer certaines informations relatives à l’identité des clients ayant été résiliés pour fraude par le GIE COMUTITRES (pour anticiper les éventuelles réclamations de ces clients auprès de leurs agents) :

l’assemblée générale ;

le comité directeur ;

la commission commerciale.

Enfin, certains organismes n’ayant pas accès au « SIG », ni au répertoire dédié « fraude » de COMUTITRES, sont destinataires d’informations extraites du « SIG » et communiquées par le GIE COMUTITRES :

les établissements scolaires (pour la vérification du statut de scolaire des clients) ;

le Syndicat des Transports d’Ile-de-France et les Conseils généraux (pour le remboursement des subventions allouées par le GIE COMUTITRES pour le compte des collectivités).

Cette liste des destinataires n’appelle pas d’observations de la part de la Commission.

En outre, la Commission observe qu’une partie du traitement est réalisée par un sous-traitant. Elle prend acte que les données ne sont pas communiquées à d’autres personnes susceptibles de recourir aux services proposés par ce sous-traitant. Conformément à l’article 35 de la loi du 6 janvier 1978 modifiée, les données ne peuvent faire l’objet d’une opération de traitement de la part d’un sous-traitant que sur instruction du responsable de traitement.

Sur l’information et le droit d’accès

Les personnes concernées sont informées préalablement à la mise en œuvre du traitement, conformément aux dispositions de l’article 32 de la loi du 6 janvier 1978 modifiée, par une mention figurant dans les conditions générales, dans le livret d’information des clients, ainsi que sur les courriers adressés aux clients (demande de justificatifs, relance et annonce de résiliation).

Les personnes concernées sont également informées dans les conditions générales de la possibilité que leur contrat soit résilié en cas de fraude. Elles reçoivent en outre un courrier en cas de fraude avérée les informant de la résiliation de leur contrat et de la durée pendant laquelle elles ne pourront plus souscrire d’abonnement, le cas échéant. Elles ont par ailleurs la possibilité de présenter leurs observations avant résiliation du contrat.

Les droits d’accès et de rectification s’exercent par courrier à l’adresse suivante : Agence Imagine R – TSA 36761 – 95905 Cergy Pontoise Cedex 9.

La Commission estime que ces modalités d’information et d’exercice des droits sont satisfaisantes.

Sur les mesures de sécurité

Le responsable de traitement a mis en place une politique de mot de passe qui exige que ceux-ci aient une longueur minimale de huit caractères, et qu’ils contiennent au moins un chiffre, une minuscule et un caractère spécial.

En outre, la politique de mot de passe prévoit :

une impossibilité de réutiliser les six mots de passe précédents ;

une durée une validité du mot de passe de soixante jours ;

une fonctionnalité de blocage du compte après cinq essais de connexion infructueux ;

une interdiction que les mots de passe utilisés apparaissent en clair dans les programmes, fichiers, scripts, traces, fichiers journaux ou à l’écran lors de la saisie.

Une journalisation des opérations de création, consultation et modification des données du traitement est réalisée. La durée de conservation des traces est de six mois.

Les données transmises à des tiers sont soit échangées via des canaux de communication chiffrés, soit transmis sous forme de fichier chiffré au moyen d’un algorithme considéré comme sûr et avec une taille de clés suffisante.

Les données devant être supprimées font l’objet de mesures spécifiques visant à garantir la destruction effective des données.

Les autres mesures de sécurité mises en place n’appellent pas d’observation de la part de la Commission.

Sur les autres caractéristiques du traitement

Pour le traitement de détection et de prévention des fraudes, un contrôle est effectué selon les modalités suivantes :

des contrôles périodiques lorsqu’une situation semble suspecte (par exemple, nombre élevé de porteurs rattachés à un payeur ou âge du client bénéficiant d’un abonnement scolaire) ;

des contrôles aléatoires auprès des établissements scolaires et universitaires : envoi d’un listing des élèves scolaires ou étudiant auprès d’un établissement pour validation de leur statut d’élève ou d’étudiant ;

des demandes de justificatifs complémentaires auprès des clients : envoi d’un premier courrier demandant de fournir des pièces justificatives complémentaires, puis d’une relance le cas échéant.

Si l’ensemble des vérifications ne permet pas de justifier le statut d’élève scolaire ou d’étudiant du souscripteur, le contrat est résilié et le titre de transport du client est mis en opposition. Le client ne peut alors pas souscrire à un nouveau contrat pendant trois ans.

Cependant, le client peut à tout moment communiquer les pièces manquantes. Son contrat est alors réactivé avec effet immédiat et il disposera de la faculté de circuler librement de nouveau au moyen de son passe.

Conformément aux dispositions de l’article 10 de la loi du 6 janvier 1978 modifiée, aucune décision à l’égard d’une personne ne sera prise sur le seul fondement de ce traitement et les résultats font l’objet d’une analyse au cas par cas par les personnels habilités du GIE COMUTITRES.

Les données relatives au contrat sont conservées en base active jusqu’à une date de référence qui, selon les particularités du contrat, peut correspondre à la date de fin de validité du contrat, la date de clôture du dossier ou la date à partir de laquelle aucun passe n’est associé en base active. Peuvent être conservées en base active pendant deux années supplémentaires les seules données utilisées à des fins de prospection commerciale. Les données sont ensuite archivées pendant une durée de huit ans.

Le motif fraude est conservé pendant une durée de trois ans, puis est supprimé.

La Commission estime que ces durées de conservation sont pertinentes au regard de la finalité poursuivie par le traitement.

Autorise, conformément à la présente délibération, le GIE COMUTITRES à mettre en œuvre le traitement susmentionné.

Pour la Présidente Le Vice-Président délégué

Marie-France MAZARS