[PLF 2025] Suivez en temps réel le projet de loi finance 2025 sur Pappers Politique !

Pappers Politique vous permet de rechercher et surveiller les amendements, rapports, questions, propositions de loi des députés et sénateurs
  • Suivi automatiquement de vos amendements
  • Suivez en temps réel les débats parlementaires
  • Cartographie parlementaire avancée
Réserver une démo

Délibération n° 2021-091 du 22 juillet 2021 portant avis sur un projet de décret pris en application des articles L. 1115-10 et L. 1115-11 du code des transports (demande d'avis n° 21009183)

Transports
Données personnelles
Numérique
Déposé le 21 juillet 2021 à 22h00, publié le 8 décembre 2021 à 23h00
Journal officiel

Texte

La Commission nationale de l'informatique et des libertés,
Saisie par le ministère chargé des transports d'une demande d'avis concernant un projet de décret relatif aux services numériques d'information et de billettique multimodales ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) ;
Vu le code des transports en ses articles L. 1115-10 et L. 1115-11 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 8-I-4°-a,

Après avoir entendu le rapport de Mme Isabelle LATOURNARIE-WILLEMS, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission a été saisie pour avis d'un projet de décret relatif aux services d'information et de billettique multimodales, pris pour l'application des articles L. 1115-10 et L. 1115-11 du code des transports.
Ces articles sont issus de la loi n° 2019-1428 du 24 décembre 2019 d'orientation des mobilités, dont l'objectif est de réformer les politiques de mobilités, en intégrant notamment les enjeux environnementaux et climatiques.
Le projet de décret soumis à l'avis de la Commission précise le cadre juridique des « services numériques multimodaux » posé par les articles L. 1115-10 et L. 1115-11 du code des transports. Ces services numériques visent à favoriser le recours à des modes de transport multimodaux et alternatifs à la voiture individuelle, en informant en temps réel l'utilisateur de l'ensemble des moyens de transport (dénommés « services de mobilité » dans le projet de décret), de stationnement ou de « services fournis par une centrale de réservation » (notamment taxis et VTC) se trouvant à sa disposition pour effectuer un trajet déterminé, et en lui proposant la vente de l'ensemble des billets grâce à un seul et même paiement (article L. 1115-10 du code des transports).
Le projet de décret prévoit la collecte ou la transmission de données à caractère personnel par le fournisseur de service numérique multimodal aux gestionnaires de services de mobilité à des fins de « connaissance statistique des déplacements », de « lutte contre la fraude », ainsi que dans le cadre du « service après-vente » du service vendu.



OBSERVATIONS PRÉLIMINAIRES



Sur les traitements nécessaires à l'exécution de la prestation de service numérique multimodal
Il découle du 6° du II de l'article L. 1115-10 du code des transports que le service numérique multimodal propose à l'utilisateur des solutions de déplacement en fonction de « critères liés directement ou indirectement au profil de l'usager ».
Le projet de décret ne précise pas la nature des critères liés directement ou indirectement au profil de l'usager.
La Commission relève que l'enregistrement de critères liés directement ou indirectement au profil de l'utilisateur par le service numérique multimodal, dans le but de déterminer les caractéristiques d'un trajet, constitue un traitement de données à caractère personnel.
Elle note que le service numérique multimodal est ainsi susceptible de définir des critères relatifs à la nature d'une éventuelle pathologie de l'utilisateur, dans l'objectif d'adapter la solution de déplacement proposée et de prévoir des prestations particulières, adaptées aux besoins de la personne concernée.
La Commission rappelle que les données révélant la nature d'une pathologie constituent des données relatives à la santé, au sens de l'article 9 du RGPD, et que le traitement de ce type de données nécessite l'obtention du consentement explicite de l'utilisateur, en application du a du 2 de l'article 9 du RGPD.
Sur le renvoi du décret à la liberté contractuelle du service numérique multimodal et du service de mobilité
La Commission observe que le projet de décret renvoie à plusieurs reprises au contrat conclu entre le fournisseur de service multimodal et le gestionnaire de services de mobilité pour déterminer la nature des données traitées, les conditions de mise en œuvre, notamment technique, des traitements, ainsi que la répartition des rôles entre le fournisseur de service multimodal et le gestionnaire de services de mobilité et, partant, leur qualification respective en tant que responsable de traitement ou sous-traitant au sens des 7 et 8 de l'article 4 du RGPD.
La Commission relève en outre que si le texte qui lui est soumis précise, sur certains points, les conditions d'« échange d'informations entre le service numérique multimodal et le service numérique de vente du gestionnaire des services », comme le requiert le IV de l'article L. 1115-10 susmentionné, il n'édicte en revanche aucune disposition relative aux aspects, mentionnés au même IV, liés à « la sécurité numérique », et renvoie les acteurs à leur liberté contractuelle s'agissant de « la gestion de l'identité numérique ».
En l'absence de précision textuelle quant aux conditions applicables aux traitements de données, et compte tenu des renvois récurrents à la liberté contractuelle des fournisseurs de services numériques multimodaux et gestionnaires de services de mobilité pour encadrer les traitements de données effectués, la Commission rappelle que le RGPD leur est pleinement applicable.
Les fournisseurs de services numériques multimodaux devront donc qualifier contractuellement leur rôle de responsable de traitement ou de sous-traitant au regard de la réalité des traitements mis en œuvre. Les responsables de traitement seront également tenus de respecter, notamment, les principes de limitation des finalités et de minimisation des données posés par les b et c du 1 de l'article 5 du RGPD, et de mettre en place des mesures de sécurité adaptées en toute circonstance. Il appartiendra aussi aux fournisseurs de services multimodaux, ainsi qu'aux gestionnaires de services de mobilité, d'être en mesure de démontrer qu'ils ont respecté la réglementation, conformément au principe de responsabilisation posé par le 2 de l'article 5 du RGPD.
Enfin, le ministère indique qu'il envisage de participer à l'élaboration de contrats-types proposant de bonnes pratiques en matière d'échanges de données. La Commission encourage cette démarche afin de garantir, notamment, une uniformisation des dispositions relatives à la protection des données, et se tient à la disposition du ministère pour l'accompagner.



SUR LES TRAITEMENTS DE DONNÉES PRÉVUS PAR LE PROJET DE DÉCRET



Les traitements de données effectués à des fins de connaissance statistique des déplacements
Le projet d'article R. 1115-13 du code des transports prévoit l'obligation, pour le fournisseur de service numérique multimodal, de transmettre aux gestionnaires de services de mobilité concernés et, le cas échéant, à la collectivité territoriale compétente, des données relatives aux déplacements par mode et par catégorie d'usagers, ainsi que des informations sur les modes de déplacement utilisés immédiatement avant et après le service considéré, à des fins de « connaissance statistique des déplacements ».
Le projet de texte précise que ces données doivent être transmises régulièrement, à intervalle raisonnable et au moins une fois par an, et que les catégories d'usagers doivent être déterminées dans le contrat conclu entre le fournisseur de service numérique multimodal et le gestionnaire de services de mobilité.
En premier lieu, s'agissant de la finalité poursuivie par le traitement, la Commission prend note de l'engagement du ministère d'insérer dans le projet de décret des précisions relatives aux finalités particulières poursuivies par le traitement des données relatives aux informations sur les modes de déplacement utilisés immédiatement avant et après le service, en s'appuyant sur les exemples qu'il cite, à savoir « améliorer le service, optimiser les investissements dans de nouvelles offres, concevoir de nouveaux services, dimensionner des services et des infrastructures ». Elle relève toutefois qu'un traitement effectué dans ce cadre dans l'objectif de « connaître les usagers », comme l'indique le ministère, serait contraire à la finalité statistique.
En deuxième lieu, concernant la nature des traitements devant être mis en œuvre par le fournisseur de service multimodal, le projet de texte prévoit l'obligation de transmettre des informations relatives « aux déplacements par catégorie d'usagers utilisant le service considéré » ainsi qu'aux « modes de déplacement utilisés immédiatement avant et après le service considéré ».
La Commission note les précisions du ministère indiquant que le mode de déplacement utilisé immédiatement avant et après le service considéré concerne les déplacements effectués au cours d'un même trajet, et que l'ordre de grandeur de délai entre les déplacements est d'une heure. Elle invite le ministère à intégrer ces éléments dans le projet de texte, afin de limiter la collecte aux seuls déplacements d'un même trajet, tout en répondant à la finalité poursuivie.
En troisième lieu, la Commission estime nécessaire de renforcer les garanties en termes de sécurité et de confidentialité du traitement effectué à des fins de connaissance statistique des déplacements.
Dans le cadre des obligations posées par l'article 32 du RGPD, et au vu de la sensibilité et du nombre de personnes concernées, la Commission prend acte de l'engagement du ministère d'ajouter dans le texte l'obligation, à la charge du service multimodal, d'agréger et d'anonymiser les données à caractère personnel préalablement à leur transmission aux gestionnaires de services de mobilité concernés.
Elle prend note également que le ministère s'engage à prévoir dans le décret que cette anonymisation doit avoir lieu sans délai et que, pour qu'elle soit effective, il doit être impossible de réidentifier les personnes concernées, notamment dans le cadre de la définition des catégories d'usagers.
Elle prend par ailleurs acte de l'engagement du ministère d'inscrire dans le texte des limitations juridiques et techniques visant à éviter le détournement de la finalité de collecte de ces données, telles que le stockage décentralisé des données traitées à des fins statistiques sur l'appareil de l'utilisateur.
Ces garanties devront être renforcées par les mesures opérationnelles suivantes.
Les données particulièrement signifiantes sur lesquelles sont effectuées l'agrégation et l'anonymisation peuvent être réduites. Par exemple l'anonymisation peut avoir lieu non pas sur la localisation exacte de départ et d'arrivée de l'utilisateur, mais sur une zone de départ et d'arrivée plus large. De même, le traitement de l'horaire exact du déplacement n'est pas nécessaire, l'agrégation des données pouvant être effectuée sur le fondement de catégories d'horaires (telle que les périodes « de pointe », ou creuses).
Enfin, les données non agrégées devront être immédiatement supprimées après le calcul des statistiques.
Sur les traitements de données effectués à des fins de lutte contre la fraude
Le projet d'article R. 1115-12 du code des transports prévoit que le contrat conclu entre le service numérique multimodal et le service de mobilité concerné doit comporter « les dispositions nécessaires à la lutte contre la fraude, ainsi que, le cas échéant, au contrôle des pièces justificatives ». Selon le ministère, le service numérique multimodal peut être par exemple chargé du contrôle de certaines pièces justificatives nécessaires à la réservation du service (permis de conduire pour la réservation d'un véhicule ou bien carte de réduction ou d'étudiant pour bénéficier d'une offre tarifaire spécifique).
La Commission prend note des précisions apportées par le ministère sur les différents types de fraude visés par le texte, à savoir « fraude à l'identité ou au permis de conduire », « abus de confiance », « contestation d'une contravention » ou « vol de carburant ».
Elle rappelle, d'une part, que, conformément aux dispositions de l'article 10 du RGPD et de l'article 46 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, ce traitement ne pourra pas concerner les données à caractère personnel relatives aux infractions pénales et, d'autre part, que les données traitées à cette fin devront être « adéquates, pertinentes et limitées à ce qui est nécessaire » au regard du type de fraude considéré, conformément au principe de minimisation posé au c du 1 de l'article 5 du RGPD.
Enfin, elle prend acte de l'intention du ministère d'intégrer dans le texte une durée de conservation de ces données, ainsi que des pièces justificatives transmises, limitée à un an.
Sur les traitements de données effectués à des fins de service après-vente des produits tarifaires vendus
Le projet d'article R. 1115-11 du code des transports prévoit la transmission obligatoire, par le fournisseur du service numérique multimodal aux gestionnaires des services de mobilité, des données nécessaires pour le service après-vente des services et produits vendus par le service numérique multimodal. Il précise les données devant impérativement être communiquées à ce titre, à savoir les coordonnées du client (nom, prénom, et adresse de messagerie électronique ou téléphone), le type de titre ou service acheté et sa description, ainsi que l'historique du traitement de service après-vente de chaque dossier et des suites données, et laisse au contrat la possibilité de prévoir la transmission d'autres types de données.
Réciproquement, le projet de décret prévoit que le fournisseur du service numérique multimodal est destinataire de l'historique du traitement de service après-vente de chaque dossier et des suites données par le gestionnaire des services de mobilité.
La Commission rappelle que seules les données « adéquates, pertinentes et limitées à ce qui est nécessaire » doivent être traitées pour la finalité déterminée, conformément au c) du 1 de l'article 5 du RGPD. À cet égard, la Commission prend acte de l'engagement du ministère de préciser dans le projet de texte que seules les données utiles à la résolution des difficultés rencontrées peuvent être collectées et transmises, à des fins de service après-vente, par le fournisseur de service numérique multimodal au gestionnaire de services de mobilité.

La présidente,


M.-L. Denis