Navigo : fichage opaque et traitement hors de l’Union Européenne
16 août 2008 | Anonymity & Privacy - RFID - francais - 0 commentaires
L’utilisation de la carte Navigo est susceptible de porter atteinte à la vie privée, non pas parce qu’elle utilise une nouvelle technologie, la RFID, mais parce que le traitement des données personnelles enregistrées lors de l’achat de la carte ainsi qu’à chaque nouvelle validation du passe est totalement opaque pour les utilisateurs.* Outre cette opacité, les données pourraient faire l’objet de lectures illicites, puisque la carte Navigo se lit à distance.
La vente des coupons magnétiques pour les cartes d’abonnement (au mois et à l’année) a été arrêté dans (presque) toutes les stations de métro parisiennes, l’utilisation de Navigo est donc imposée et il convient de nous la présenter comme indispensable et novateur. Nous le savions : C’est
est une carte à puce qui [..] permet de passer plus vite aux valideurs, une nouvelle technologie qui apporte modernité, fluidité, facilité [1]
C’est formidable ! La RATP, qui a certainement investi beaucoup d’argent dans la fabrication de toutes ces cartes qui beepent trouve d’avantage de raisons pour lesquelles on devrait accepter le fichage généralisée que Navigo impose :
- vous n’avez plus de numéro à reporter sur le coupon
- vous voyagez de manière plus fiable car le risque de démagnétisation disparaît [2]
Que de bonnes raisons. Et comment cela se passe ensuite ? Quand ma carte Navigo beepe, mon numéro de carte est-il transmis à un ordinateur et interconnecté avec mon nom dès que je passe le portique ?
Les validations des passes Navigo (personnalisé ou Découverte) sur les appareils de contrôle sont enregistrées anonymement et servent à réaliser des statistiques de trafic. La RATP est très vigilante sur ce sujet et respecte parfaitement la Loi Informatique et Liberté. [3]
Quelle est donc la différence entre le pass Navigo et le pass Navigo Découverte ? Je crains que la FAQ n’omette une partie de la vérité : Il y a peut-être une validation basée seulement sur le numéro du pass - ce qui n’est pas “anonyme”, voyons, car la RFID a cet effet de côté génial d’utiliser des numéros uniques. Dans le cas de Navigo il peut techniquement y avoir interconnexion avec une base de données utilisateur - qui contiendrait toutes les informations personnelles liées à un numéro.
La Loi Informatique et Libertés de 1978 impose peu de contraintes et n’interdit pas du tout le stockage et le traitement de données nominatives, quand celui-ci a une finalité : “Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : 1° Les données sont collectées et traitées de manière loyale et licite ; 2° Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.” [5]
Une de ces finalités serait la “lutte contre la fraude” :
6-2 Indépendamment, les données relatives aux déplacements, recueillies obligatoirement par les transporteurs lors des validations du passe font également l’objet d’un traitement dont la finalité est la gestion des données de validation, notamment pour la détection de la fraude. [4]
Bien que nous ayons déjà du mal à imaginer comment lutter contrer la fraude en faisant valider les gens qui ne fraudent pas**.. cela devient pire : pourquoi, quand on “respecte parfaitement la Loi Informatique et Liberté” est-ce qu’on obligés de prévoir dans les CGU cela (avec une finalité très très vague) :
6-1 Les données collectées font l’objet d’un traitement automatisé dont la finalité est la gestion de l’abonnement Carte Orange et de la demande de passe Navigo. Elles sont destinées au GIE Comutitres, responsable du traitement, à ses prestataires de services, aux entreprises de transport en commun d’Île-de-France (OPTILE, RATP, SNCF), aux financeurs institutionnels et au STIF. L’abonné reconnaît avoir été informé et accepte qu’elles puissent être communiquées, à des fins de gestion, à un sous-traitant situé dans un pays tiers, non membre de l’Union Européenne. Dans ce cas ses coordonnées sont protégées par des dispositions contractuelles. [4]
No comment. Rappelons que la CNIL avait suggéré à la RATP de supprimer les données personelles au bout de 48 heures. Il n’est toutefois pas clair quelles données et si des données sont vraiment communiquées à un sous-traitant hors de l’UE. Cela devrait au moins inciter à échanger son passe Navigo contre un passe Navigo Découverte. Tout autant nominatif, son numéro n’est pas lié à un nom dans une base de données.
Je pense qu’il est temps d’exercer le droit d’accès aux données massivement :
Toute personne concernée par le traitement dispose :
- d’un droit d’accès, d’interrogation et de rectification qui lui permet, le cas échéant, de faire rectifier, compléter, mettre à jour, verrouiller ou effacer les données personnelles la concernant qui sont inexactes, incomplètes, équivoques, périmées ou dont la collecte, l’utilisation, la communication ou la conservation est interdite ;
L’ensemble de ces droits s’exerce auprès de l’agence CARTE ORANGE 95905 Cergy Pontoise Cedex 09. [4]
→ Pour exercer le droit d’accès, vous pouvez utiliser le générateur de courrier sur le site de la CNIL. En cas de non-réponse vous pouvez saisir la CNIL.
Voir aussi http://bigbrotherawards.eu.org/NAVIGO-a-completer.html.
* Dans des villes comme Seoul les utilisateurs des transports publics ont la possibilité, dans chaque station de métro, de faire afficher les informations les concernant, celles qui sont enregistrées sur la carte non-nominative T-Money. Ce genre de dispositif existe à Paris, mais il ne montre seulement la date de validité du passe et cela ne corrrespond certainement pas, à mon avis, à 100% aux informations qui y sont stockées.
** Wikipedia suggère que cela se ferait par “mémorisation nominative des X dernières utilisations d’une carte”, source : http://fr.wikipedia.org/wiki/Fichage_en_France
[1] source : https://www.navigo.fr/pages/accueil.html
[2] source : http://www.ratp.info/informer/passe_navigo_orange.php
[3] source : http://www.ratp.info/informer/passe_navigo_orange.php?pass=faq_navigo_orange
[4] source : https://www.navigo.fr/pages/conditions/
[5] source : http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000006068624&dateTexte=vig
Depuis quelques années déjà nous savons que certains fabricants d’imprimantes (d’imprimantes laser et de photocopieuses, plus précisément) ont été persuadés par le gouvernement américain [1] (ainsi que d’autres gouvernements [2]) de faire imprimer par défaut un “code secret”, une sorte de watermark (ou