Korrigo Rennes

200 000 rennais en ont une rangée dans leur portefeuille. Même pas besoin de la sortir du sac : elle peut être validée à distance grâce à sa puce RFID (Radio frequency identification) lorsqu’elle est placée à proximité d’un valideur. Mais pour pouvoir fonctionner, la carte Korrigo, lancée en 2006 par Keolis Rennes, doit stocker certaines informations sur l’usager et ses déplacements :

  • Nom et prénom,
  • Date de naissance (pour pouvoir utiliser des abonnements à tarif réduit liés à l’âge),
  • Le type d’abonnement et/ou les titres de transport restants,
  • L’historique des 6 dernières validations, avec date, heure et nom d’arrêt.

Les données de déplacement remontent quotidiennement dans le fichier « billettique » de Keolis. Après 48 h, elles sont anonymisées, ce qui empêche d’identifier l’utilisateur.

Les données contenues sur la carte sont reliées à celles du fichier « client », qui contient les information fournies par l’utilisateur en prenant sa carte, comme son adresse et, s’il le désire, son numéro de téléphone et son e-mail.

Le fichier client contient également une « zone de commentaire libre », qui permet au personnel de Keolis d’annoter les dossiers des utilisateurs (pour signaler une carte oubliée, par exemple). Par souci d’objectivité, les notes doivent être choisies parmi une liste de commentaires types.

Qui peut consulter les données des usagers ?

1Certains employés de Keolis

Le personnel autorisé comprend les contrôleurs, le membres de l’agence en charge de la gestion, mais aussi le service comptable. Les données consultables varient selon le métier de chacun. Par exemple, les contrôleurs ne peuvent pas visualiser le nom et la date de naissance d’un usager sur leur terminal. Mais ces informations figurent sur la carte. Ce qui fait réagir Florian Strzelecki , du Parti pirate de Rennes : « Un contrôleur doit vérifier si vous avez validé ou non, pas où vous avez été. Pour moi, cette information relève de la vie privée. »

2La police, la gendarmerie…

Les autorités peuvent également demander d’accéder aux données de validations, dans le cadre de leur mission et sous certaines conditions (comme la limite des 48 h de conservations prévues par la loi Informatique et Libertés).

  • Les organismes fiscaux,
  • Les administrations de la justice, de la police et de la gendarmerie,
  • Les services extérieurs du travail et de l’emploi (Pôle emploi, Assedic…),
  • Les services en charge de la gestion des allocations supplémentaires (CAF…)

3L’usager

Enfin, l’usager lui-même peut demander à consulter, rectifier ou s’opposer à l’utilisation de ses informations personnelles, conformément à la loi Informatique et Libertés. Il doit alors adresser un courrier au correspondant Informatique et libertés de Keolis Rennes. Si un usager n’utilise plus sa carte KorriGo, son dossier client sera tout de même conservé deux ans avant d’être détruit. C’est le droit à l’oubli.

« On ne conserve que les données personnelles autorisées par la Cnil » , affirme Keolis Rennes.

« Les données ne sont pas revendues »

Aujourd’hui, il existe un véritable marché des données personnelles : lorsque vous vous abonnez à certaines publications ou prenez une carte de fidélité, vos données sont susceptibles d’être revendues à des tiers.  Keolis Rennes affirme que les données personnelles de la carte Korrigo « ne sont pas commercialisées ou transmises à quelque organisme que ce soit ».

Pirater une carte Korrigo, c’est possible ?
Patrick Gueulle, ingénieur à l’EFREI, informaticien et journaliste : « On peut lire une carte à puce RFID dans la poche ou le sac de quelqu’un à son insu, à l’aide d’un smartphone bricolé. Mais il faut être à moins de 10 cm ! Quant à la copier, la carte est sécurisée par un arsenal de clés cryptographiques. Ca ne permet pas de prendre les transports en se faisant passer pour une autre personne : l’appareil des contrôleurs peut s’apercevoir que les clés cryptographiques ne sont pas cohérentes. Dans ce cas-là, la carte sera confisquée pour expertise, et la supercherie sera découverte. »

La Cnil est la commission qui régule l’accès aux données personnelles et veille au respect de la loi Informatique et Libertés. Elle peut contrôler des entreprises suite à des plaintes  d’usagers.

Le nombre de villes équipées de cartes de transport à puce RFID augmente chaque année. En Bretagne, la Korrigo a gagné Qimper et Brest. La Commission mise sur la collaboration des Correspondants informatique et libertés (CIL), des employés dédiés à la protection des données dans l’entreprise. « Nous sommes en contact permanent avec eux », confirme une juriste de la Cnil. Le CIL est salarié de l’entreprise mais « il est censé être indépendant sur les thématiques liées aux données personnelles. »

En 2009, la Cnil a adressé un avertissement à Keolis Rennes. En cause : des données de validation non anonymisées, stockées sans limitation de durée, des mots de passe d’utilisateurs trop courts ou notés sur des bouts de papier…

L’avertissement est la sanction la moins sévère que peut imposer la Cnil. Dans cette procédure, il n’y a pas de retour imposé à la société pour respecter l’accord. Il peut être rendu public ou non. De son côté, Anthony Coquer, CIL à Keolis Rennes, assure que depuis, le tir a été corrigé.

Le choix d’être enregistré

Au moment de prendre la carte Korrigo, l’utilisateur peut souscrire à une carte « à données anonymisées ». Dans ce cas, les données d’identité ne sont pas conservées informatiquement. Elles sont seulement imprimées sur la carte : nom, prénom, photo. Dans les agences Star, l’existence du passe à données anonymisées est clairement indiquée sur les supports d’information, conformément aux recommandations de la Cnil. Mais, après vérifications sur le terrain, le client doit souvent en évoquer explicitement l’existence avant de se la voir proposer.

La carte à données anonymiser a aussi quelques inconvénients : il est impossible de la reconstituer en cas de perte ou de bénéficier de tarifs réduits selon son âge (la date de naissance n’étant pas conservée). Elle n’est pas utilisable sur les lignes TER et Illenoo. Enfin, elle coûte 5€, tandis que la carte classique est gratuite. « Si vous déclarez avoir perdu votre carte, on ne peut pas savoir si vous en êtes le véritable propriétaire, justifie Anthony Coquer. Le prix nous permet de supporter le coût de fabrication de la carte. »

De quoi freiner les envies d’anonymat ? Entre 2006 et 2008, 53 passes anonymes ont été vendus pour 186 650 passes nominatifs. Mais, répond Anthony Coquer, « à cette époque, la carte anonyme ne permettait pas de charger les abonnements du réseau Star. »

Pourquoi ne pas proposer uniquement une carte à données anonymisées ou un passe déclaratif ? Pour la Cnil, « il faut laisser le choix au consommateur. S’il souhaite être enregistré dans une base de données pour être contacté, c’est son droit. »

Pour les sociétés de transport, recouper les informations clients avec leurs déplacements permet de démarcher les utilisateurs, mais aussi de lutter contre la fraude technologique. Un exemple ? En modifiant leur carte Korrigo, certains fâcheux peuvent la « freezer », c’est-à-dire empêcher qu’elle soit débitée lors de la validation.

Parallèlement au développement des cartes à puce dans les transports urbains, la Cnil constate que les collectivités semblent de plus en plus sensibilisées au respect de la vie privée des usagers : « Les collectivités commencent à venir nous voir en amont du développement de leurs projets. C’est un bon signe. »

Et pour ceux qui veulent voyager vraiment incognito, il reste les bons vieux tickets en papier… ou le vélo.

Texte : Julien Joly | Infographie : Sophie Barel, Julien Joly | Ces informations concernent uniquement la carte Korrigo rennaise.