Examen des faits concernant le SwissPass

Fin 2015, nous avons procédé à un examen des faits à propos du SwissPass des CFF et de l’Union des Transports Publics (UTP). Nous avons conclu que les traitements de données effectués lors des contrôles des titres de transport n’étaient pas proportionnels et ne reposaient pas sur une base légale suffisante. Nous avons donc établi une recommandation à l’intention de l’UTP et des CFF afin de corriger les défauts constatés.

Les CFF et l'UTP nous ont informés du projet de SwissPass le 3 mars 2015, soit une semaine avant la publication du communiqué de presse. Il s'agissait d'une information purement préliminaire nous présentant les principaux aspects du projet.

Depuis le 1er août 2015, tous les abonnements généraux et les abonnements demi-tarifs sont remplacés au fur et à mesure par le SwissPass. Ce dernier sert également de support pour des prestations de partenaires tels que Mobility, PubliBike, SuisseMobile et quelques domaines skiables.

Fin 2015, nous avons procédé à un examen des faits lié au SwissPass et aux traitements connexes de données. À ce propos, nous avons examiné en particulier la banque des données récoltées à la suite des contrôles. Nos constatations ont révélé les éléments présentés ci-après.

Immédiatement après l'achat d'un abonnement général ou d'un abonnement demi-tarif, les données du client sont introduites dans la banque de données centrale concernant la clientèle et les abonnements. Au cours du contrôle, le personnel des CFF pose sur le SwissPass un appareil de lecture qui contient une copie locale des données de l'abonnement afin de scanner ce dernier. Les données d'identité, le type d'abonnement et sa durée de validité (valable, en partie valable, non valable) apparaissent sur l'écran de l'appareil de lecture. Les données de contrôle, composées entre autres de l'heure, du numéro de train et du numéro de la course ainsi que du lien avec le numéro de la carte SwissPass, sont téléchargées sur la banque des données de contrôle, où elles sont conservées pendant 90 jours.

Les CFF ont été chargés par l'UTP de la prospection du marché et de la gestion des banques de données du SwissPass; ils sont également responsables du traitement des demandes d'accès. Dans la mesure où il n'existe pas d'objection manifeste (opting out) de la part du client, les données de clients et de prestations sont aussi utilisées à des fins de marketing. Les données de contrôle elles-mêmes ne sont pas utilisées à des fins de marketing et ne sont pas communiquées à des tiers.

Notre examen des faits nous a permis de conclure que les traitements de données effectués dans le contexte de la banque des données de contrôle n'étaient pas proportionnels et ne reposaient pas sur une base légale suffisante. Nous avons donc émis une recommandation à l'intention de l'UTP et des CFF dans laquelle nous exigeons l'effacement immédiat des données récoltées lors des contrôles et la cessation de l'exploitation de la banque de données de contrôle. Nous leur avons en outre transmis deux propositions d'amélioration concernant la formulation des conditions générales de l'abonnement général et de l'abonnement demi-tarif, notre but étant de garantir que les clients soient informés de manière claire et appropriée sur l'utilisation de leurs données à des fins de marketing et sur leur droit de s'opposer à cette utilisation.

Le 4 janvier 2016, nous avons envoyé notre rapport final à UTP et aux CFF. Ces deux organismes ont accepté notre recommandation et les propos d'améliorations. Nous allons examiner leur mise en œuvre encore cette année.

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/23e-rapport-d-activites-2015-2016/examen-des-faits-concernant-le-swisspass.html