Billetterie électronique

La billetterie électronique soulève de nombreuses questions en relation avec la protection des données. La collecte et le traitement des données doivent notamment s’opérer sur une base volontaire et dans le respect du droit à l’information des voyageurs. Cependant, les autres conditions relatives au droit de la protection des données doivent également être prises en compte.

Plusieurs entreprises de transport nous ont consultés dans le contexte de l’introduction de services de billetterie électronique. La billetterie électronique peut prendre différentes formes. Pour pouvoir utiliser les offres, les voyageurs doivent au préalable télécharger une application sur leur appareil mobile et s’inscrire. La saisie des voyages se fait automatiquement, et dans certains cas, les lieux et dates de départ et de destination du voyage doivent être confirmés en appuyer sur une touche. On établit des profils de déplacement des voyageurs, qui sont utilisés pour la facturation.

Chaque système de billetterie électronique doit être contrôlé au regard de sa conformité avec le droit de la protection des données. Nous n’évoquons ci-après que les points les plus importants. Il importe que la collecte des informations se fasse sur une base volontaire, que le voyageur soit informé des traitements qui seront effectués sur les données, et qu’il les autorise. Une révocation de l’autorisation doit être possible en tout temps. Le détenteur des données doit être clairement identifié, mais cette information peut être contenue dans les conditions générales. La personne concernée doit savoir en particulier qui traite quelles données la concernant, et combien de temps ces données sont conservées. Seules les données pertinentes et nécessaires doivent être traitées (principe de proportionnalité).

En principe, les entreprises de transport ne sont pas autorisées à communiquer à des tiers les données de déplacement. Ainsi, par exemple, elles doivent transmettre à une société de carte de crédit chargée de la facturation uniquement le montant global, et non les informations sur les voyages ou les déplacements. Si les données ne sont pas collectées uniquement pour le calcul du prix du billet et la facturation, mais également pour d’autres utilisations, par exemple à des fins de marketing ou d’établissement de profils d’utilisateur, l’information adéquate et l’autorisation de la personne concernée sont là encore requises. Il importe de signaler spécifiquement tout traitement inhabituel des données. Le traitement de profils de déplacement doit en outre être expressément autorisé par l’utilisateur (p. ex. clause d’opting-in par opposition à une clause d’opting-out). Les données personnelles collectées doivent être transmises sous forme cryptée.

Les entreprises de transport doivent également mettre en place des mesures techniques et organisationnelles pour la protection des données. Les données de déplacement doivent être autant que possible pseudonymisées ou anonymisées. Pour la régulation du nombre de passagers et du taux d’utilisation du matériel roulant, des données anonymisées suffisent. Dès lors que les données ne sont plus nécessaires pour la facturation, elles doivent être effacées ou anonymisées. De plus, seuls les collaborateurs et autres personnes ayant besoin des données pour l’accomplissement de leurs tâches doivent y avoir accès. Ces personnes doivent être formées et sensibilisées au droit de la protection des données. Enfin, il convient de garantir une gestion correcte des demandes de renseignements des personnes concernées, de façon à ce que ces dernières puissent obtenir des informations précises sur les traitements effectués et les données concernées.

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/24e-rapport-d-activites-2016-2017/billetterie-electronique.html