Transport

Gestion des applications billettiques : l'organisme de transport collectif qui envisage de mettre en œuvre un traitement de données à caractère personnel ayant pour finalité la gestion des applications billettiques pourra, s'il respecte les dispositions de l’autorisation unique n°AU-015 n° 2008-161 du 3 juin 2008, adresser à la Commission un engagement de conformité aux caractéristiques de l'autorisation. L'utilisation d'une carte nominative à puce implique la collecte de données concernant les trajets effectués par le titulaire lors de la validation, c'est-à-dire de la présentation du titre de transport à une borne de contrôle en entrée et sortie du réseau ou à l'occasion d'une correspondance. Peuvent ainsi être mémorisés, tant sur la carte qu'au poste central de l'exploitant de transport, non seulement les date, heure et lieu des passages mais aussi le numéro de carte utilisé qui rend possible, à partir du fichier clientèle, l'identification du titulaire de la carte. Dès lors, les déplacements de ce dernier peuvent être reconstitués et ne sont plus anonymes, ce qui est de nature à porter atteinte tant à la liberté fondamentale d'aller et venir, qu'au droit à la vie privée. Le respect de ces principes justifie ainsi une vigilance particulière de la CNIL lorsqu'elle doit apprécier la pertinence des données collectées, conformément à l'article 6 de la loi Informatique et Libertés.

Gestion d'infractions à la police des services publics de transports terrestres : Les organismes de droit public ou de droit privé gérant un service public de transports mettent en œuvre des traitements automatisés de données à caractère personnel afin d'assurer le suivi des contraventions des quatre premières classes à la police des services publics de transports terrestres. En cas d'infraction, ces organismes sont destinataires des procès-verbaux établis par les personnes habilitées en vertu de l'article 23 de la loi du 15 juillet 1845, modifiée qui dispose que « les crimes, délits ou contraventions prévus par les titres Ier et III de la présente loi, ainsi que les contraventions prévues par les textes réglementaires relatifs à la police, la sûreté et l'exploitation des voies ferrées, pourront être constatés par des procès-verbaux dressés concurremment par les officiers de police judiciaire, les ingénieurs des ponts et chaussés et des mines, les conducteurs, gardes mines, agents de surveillance et gardes nommés ou agréés par l'administration et dûment assermentés […] » Pour dresser ces procès-verbaux, les services publics de transports ferroviaires et les services de transports publics de personnes disposent d'agents habilités à constater les infractions et assermentés dans les conditions prévues par l'article 23 de la loi de 1845. Ces agents établissent des procès-verbaux de constatation de l'infraction, dont le modèle est fixé par un arrêté conjoint du garde des sceaux, ministre de la justice, et du ministre chargé des transports. Ces agents peuvent notamment constater le « délit d'habitude » défini par l'article 50 de la loi du 15 novembre 2001 relative à la sécurité quotidienne : « l'habitude est caractérisée dès lors que la personne concernée a fait l'objet, sur une période inférieure ou égale à douze mois, de plus de dix contraventions sanctionnées aux premiers et deuxième alinéas de l'article 80-3 du décret n° 730 du 22 mars 1942, qui n'auront pas donné lieu à une transaction en application de l'article 529-3 du code de procédure pénale ». Saisie des traitements considérés, la Commission est appelée à faire application de l'article 25-3° de la loi du 6 janvier 1978 modifiée qui soumet à autorisation « les traitements, automatisés ou non, portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, sauf ceux qui sont mis en oeuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées ». Elle peut, en outre, en application de l'article 25-II de la même loi, adopter une décision unique d'autorisation pour des traitements répondant aux mêmes finalités, portant sur des catégories de données et des catégories de destinataires identiques. Dès lors, le responsable de traitement qui met en œuvre un traitement de données à caractère personnel ayant pour finalité la gestion des infractions à la police des services publics de transports terrestres, est tenu, dans le respect des dispositions de cette décision unique (Autorisation unique n°AU-012 - Délibération n° 2007-002 du 11 janvier 2007), d'adresser à la Commission un engagement de conformité de celui-ci aux caractéristiques de la présente autorisation. Décide que les responsables de traitement qui adressent à la Commission une déclaration comportant un engagement de conformité pour les traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisés à mettre en œuvre ces traitements.

Gestion des personnes à risques des locations de véhicules : Les organismes de location de véhicules mettent en œuvre des traitements de données à caractère personnel ayant pour objet la prévention des risques liés à leur activité : lorsqu'ils sont victimes de préjudices correspondant à des faits dont la liste est préétablie, ils peuvent, à partir des données à caractère personnel des clients responsables, décider de ne plus leur louer de véhicules. Saisie de plaintes par plusieurs personnes qui se voyaient refuser la location d'un véhicule, la Commission, après avoir procédé à des contrôles auprès des principales sociétés concernées et de la branche loueurs du Conseil national des professions de l'automobile (CNPA), a adopté et publié la délibération susvisée du 11 mars 2003 portant recommandation sur la gestion des fichiers de personnes à risque par les loueurs de véhicules. Depuis la modification intervenue en 2004 de la loi du 6 janvier 1978, il y a lieu de faire application du nouvel article 25-4° de la loi qui soumet à autorisation les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat en l'absence de toute disposition législative ou réglementaire. En conséquence, la Commission constate que tout traitement de gestion de personnes à risques mis en œuvre par les loueurs de véhicules ou toute modification substantielle d'un tel traitement est soumis à autorisation préalable. Elle considère qu'en vertu de l'article 25-II de la loi du 6 janvier 1978 modifiée, une décision unique d'autorisation  (°AU-011 - Délibération n°2006-235 du 9 novembre 2006) est susceptible d'être appliquée aux traitements de l'espèce répondant aux mêmes finalités et portant sur des catégories de données et de destinataires identiques. Le responsable de chaque traitement se conformant à cette décision unique adresse à la Commission un engagement de conformité de celui-ci aux caractéristiques de la présente autorisation. La Commission décide que les responsables de traitement qui lui adressent une déclaration comportant un engagement de conformité pour les traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisés à les mettre en œuvre.