Quelles données peuvent être collectées?
Carte avec une courte durée de validité (jusqu'à 3 jours): aucune donnée personnelle
Carte avec une durée de validité moyenne (à partir de 3 jours): photographie du visage
Carte saisonnière ou annuelle: photographie du visage et données d'identité
Pendant combien de temps les données peuvent-elles être conservées?
Toutes les données contenues dans la base de données centrale doivent être effacées après l'expiration de la durée de validité de la carte. Une extension du délai de conservation aux fins de prolongation ou de renouvellement de la carte est toutefois admise dans la mesure où elle est proportionnée et appropriée.
Les systèmes de comparaison de photos tels que Photo Compare, qui prennent une photo des clients lorsqu'ils passent un tourniquet, ne devraient être utilisés que pour une carte avec une validité moyenne ou longue. Les données personnelles ne peuvent être conservées que le temps nécessaire à l'identification d'un éventuel abus et en aucun cas au-delà de la durée de validité de la carte.
Les journaux de données peuvent être conservés le temps nécessaire à l'identification d'un éventuel abus ou, si une disposition légale prévoit une durée de conservation particulière (par ex. à des fins comptables), pour la durée prévue. Si les données sont conservées à des fins statistiques, elles doivent être rendues anonymes.
À quelles fins les données peuvent-elles être utilisées?
En principe, les données collectées ne peuvent être utilisées que dans le cadre de contrôles d'accès. Si elles sont utilisées à d'autres fins (par ex. la publicité), le consentement préalable du client est requis. Fait exception à cette règle le cas dans lequel les journaux de données sont utilisés pour rechercher une personne disparue. Une telle utilisation est toujours possible.
Qui peut avoir accès aux données?
En principe, seules les personnes qui ont besoin des données pour accomplir leurs tâches, c'est-à-dire les personnes responsables des contrôles d'accès, peuvent y accéder. Différents types de droits d'accès aux données peuvent être accordés dans le système. Cet accès devrait être aussi restrictif que possible.
Le support de stockage des données doit être conservé dans une pièce fermée à clé. L'accès à cette pièce ne devrait être accordé qu'à un minimum de personnes.
Les écrans de contrôle doivent être installés de sorte que seul le personnel chargé des contrôles puisse voir ce qu'ils affichent. Hormis la photo des personnes contrôlées, aucune information relative à l'identité des personnes, ne devrait y apparaître. Quant à la photo, elle ne devrait s'afficher que le temps nécessaire pour effectuer le contrôle.
Les données peuvent-elles être transmises?
Les données ne peuvent être transmises à des tiers que si cela s'avère indispensable pour assurer l'efficacité des contrôles d'accès (transmission aux membres d'une communauté tarifaire, par exemple) ou si la personne concernée a consenti à la transmission de ses données. Les données doivent par ailleurs être transmises aux autorités de poursuite pénale lorsqu'une ordonnance de preuves a été rendue en ce sens. La télémaintenance de la base de données par le fabricant du système est autorisée car elle n'est pas assimilée à la transmission des données à un tiers.
Dans quelle mesure les clients doivent-ils être informés sur le traitement de leurs données?
Les clients doivent être informés au préalable du type de données collectées, des raisons de leur traitement et de la durée de leur conservation. Ils doivent en outre être informés lorsque leurs données sont transmises à des tiers et en particulier lorsque des journaux de données font l'objet d'analyses se rapportant à leur personne. Ils doivent également être informés des possibilités de former opposition et des modalités du droit d'accès. S'ils en font la demande, les clients doivent pouvoir obtenir gratuitement des renseignements sur les données qui les concernent.