Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a publié sa première recommandation de l’année 2016 en matière de protection des données et exige de l’Union des transports publics (UTP) et les Chemins de fer fédéraux (CFF) l’effacement des données de contrôle collectées auprès des passagers détenant un «SwissPass».
Fonctionnement du SwissPass
Le PFPDT a mené une procédure d’établissement des faits de laquelle il ressort que le SwissPass est muni de deux puces RFID: la puce A lisible à 3 cm et servant au contrôle de validité des titres de transports et la puce B lisible à 30 cm utilisables pour les services partenaires (abonnements de ski par exemple). La puce A contient comme seule donnée personnelle un numéro d’identification (MedienID).
Lors de la commande d’un SwissPass, le client communique notamment ses nom, prénom, adresse, date de naissance, photo, etc.. Ces informations sont enregistrées dans la base de données centrale des clients et abonnements (KUBA). S’il n’y a pas de prestations en cours, les informations clients sont automatiquement effacées 5 ans après leur dernière modification et les informations liées aux abonnements 18 mois après la dernière prestation achetée.
Les contrôleurs disposent d’un appareil qui contient une copie locale de la base de données. Lors de la lecture du SwissPass, le MedienID va rechercher une concordance dans la base de données et cas échéant afficher les informations sur le client (identité, validité de l’abonnement, etc.). Les données de contrôle (heure, numéro du train et le numéro de la carte SwissPass) sont ensuite conservées pendant 90 jours.
Enregistrement illégal des données de contrôle
Le PFPDT a retenu dans sa Recommandation du 4 janvier 2016 que les traitements réalisés sur les données collectées durant les contrôles ne sont pas proportionnels et ne reposent pas sur une base légale suffisante. Il demande donc l’effacement immédiat des données de contrôle et l’abandon de la banque de données de contrôle. Dans le cas où la Recommandation n’est pas suivie, le PFPDT pourra saisir le Tribunal administratif fédéral (TAF).
Les entreprises de transport agissent en tant qu’organe fédéral et doivent donc disposer d’une base légale matérielle (ordonnance fédérale par exemple). S’agissant du traitement de données sensibles, une base légale formelle (loi fédérale par exemple) est requise. Il n’y en a pourtant actuellement aucune qui permettrait de collecter et conserver les données de contrôle des titres de transports valables.
Le traitement n’est pas non plus proportionné, car il ne repose sur aucun but légitime. Les CFF ont de plus renoncé à un traitement des données à but marketing ou d’analyse.
Et encore trois suggestions
Dans son Rapport final, le PFPDT formule également quelques propositions d’amélioration. Il invite premièrement les UTP et les CFF à clarifier qui est le maître du fichier et faire en sorte que cela ressorte de manière claire pour les clients. Deuxièmement, la formulation des conditions générales applicables doit être améliorée afin que les clients soient clairement et convenablement informés sur l’utilisation de leurs données à des fins de marketing et sur leur droit de s’opposer à cette utilisation (opt-out). Troisièmement, la documentation interne des UTB et des CFF doit être adaptée pour exclure l’option initialement envisagée d’analyse des données pseudonymisées qui a depuis lors été abandonnée.