Contenu

Enquête droit d'accès : CFF

Troisième épisode de l’enquête sur le droit d’accès. Après fedpol et Moneyhouse, voici une société que tout Suisse (au moins) qui se respecte connait : les Chemins de Fers Fédéraux, ou CFF. La SNCF suisse (les grèves en moins). Comme je possède un abonnement demi-tarif et utilise souvent l’application CFF mobile, j’ai demandé aux CFF de me communiquer mes données personnelles.

Demande d’accès

Le 12 mai 2015, j’ai expédié ma demande d’accès (suivi de l’envoi ; la lettre type se trouve ici). Comme on peut le voir, le courrier recommandé a eu quelques péripéties, mais a été finalement correctement délivré quelques jours plus tard. La réponse des CFF a été postée le 11 juin 2015, autrement dit dans le délai légal de 30 jours dès la réception de la demande.

Tout d’abord, je ne résiste pas à l’envie de partager avec vous le motif imprimé à l’intérieur de l’enveloppe qui contenait mes données. Classe, n’est-ce pas ? Mais sûrement onéreux…

/images/CFF_Enveloppe.jpg

Sources des données

Je dois avouer avoir été un peu “déçu” par la brièveté des explications fournies par la préposée à la protection des données des CFF : un paragraphe de sept lignes m’expliquant que

  • les données traitées par les CFF ont été obtenues directement auprès de moi (cela sous-entendrait donc que les CFF ne traitent pas de données sans qu’on les leur fournisse ?) ;
  • les données relatives à mon abonnement demi-tarif ont pour but d’exécuter le contrat de prestation lui-même (art. 54 de la loi fédérale sur le transport des voyageurs, LTV) ;
  • les données exploitées par les contacts clientèle des CFF servent au contrôle interne ainsi qu’à la “cohérence” des relations entre les CFF et moi-même ;
  • les données du TicketShop (achat en ligne de billets) servent à administrer mon compte dans l’application TicketShop et mes achats.

C’est tout. Vraiment ? Il semblerait…

Conditions générales

Comparons ces déclarations avec les conditions générales des différents services, prestations et applications proposés par les CFF.

N.B. Il est extrêmement compliqué de trouver les conditions générales des services proposés par les CFF sur leur site web. J’ai dû utiliser un moteur de recherche tiers en le paramétrant pour ne rechercher les termes “conditions générales” que sur le site cff.ch.

TicketShop

Les CFF traitent les données personnelles et les données des clients dans le respect du droit de la protection des données / du droit des télécommunications et renvoient expressément au chapitre 9 / Protection des données du “Tarif général des voyageurs” (T600) des entreprises suisses de transport. En outre, le client prend note qu’il peut, sans opposition formelle, recevoir de la publicité des CFF. L’acheteur d’un titre de transport / titre de réduction électronique conformément au chapitre 4 du T600 prend acte que les entreprises de transport ou les entreprises tierces chargées, sur le territoire suisse et dans l’Union européenne, de contrôler les titres de transport / titres de réduction émis par voie électroniques et d’établir des clés de répartition, ont connaissance des données personnelles et des données des clients (échange de données anonymes). (Source)

Le Tarif général des voyageurs (T600) indique que

  • les adresses clients sont enregistrées lorsqu’ils achètent des abonnements (110.00) ;
  • cette section 11 a notamment pour but d’empêcher que les données personnelles et de la clientèle soient traitées ou transmises à des personnes non autorisées (112.003) ;
  • qu’on peut demander à ce que notre date de naissance ne soit pas indiquée sur notre abonnement (115.001 ; étiez-vous au courant ? On ne m’a jamais donné ce choix quand j’ai acheté des abonnements CFF) ;
  • les clients ont un droit de regard dans les données qui le concernent (117.00 ; c’est la loi) ;
  • les données “client” et d’abonnement ne doivent pas être transmises à des tiers (117.05) ;
  • les entreprises de transport ont la possibilité d’enregistrer les coordonnées des voyageurs sans titre de transport valable, afin de pouvoir percevoir des suppléments différenciés en cas de récidive (61.11) ;
  • lorsqu’il n’y a plus eu de relation avec un client par un des canaux de vente d’E−Ticket pendant au moins 2 ans, les données personnelles et de clientèle qui ne sont plus utiles peuvent être détruites (41.09).

En dehors de tiers qui collaborent avec les CFF (par ex. la société qui fabrique les abonnements), aucune donnée n’est transmise par les CFF à des tiers lorsqu’on utilise le TicketShop.

Application pour smartphone ?

Les conditions générales de l’application pour smartphone ne sont disponibles que dans l’application elle-même (du moins, je ne les ai pas trouvées sur le site web des CFF). Elles ne semblent pas différer de celles applicables au TicketShop. Cependant, je pense qu’il conviendrait d’ajouter certains points spécifiques à l’usage des smartphones.

Par exemple, l’app permet de trouver l’arrêt le plus proche. Pour ce faire, l’app doit accéder aux données de géolocalisation. Comment ces données sont-elles traitées par l’app ? Sont-elles utilisées à d’autres fins que celle de trouver l’arrêt le plus proche ? Sont-elles conservées quelque part ? Transmises à des tiers ?

Pour les possesseurs d’appareils avec lecteur d’empreinte digitale, il serait là aussi opportun de mentionner comment ces données biométriques sont utilisées, si les CFF y ont accès, etc. En principe ce n’est pas le cas, mais un engagement des CFF sur ce point ne peut pas être inutile.

La fonction “masquer la publicité” dans les réglages mériterait des précisions. S’agit-il de publicités des CFF ? De tiers ? Des données sur les trajets et les habitudes de déplacement sont-elles collectées pour afficher ces publicités ? Le fait de masquer les publicités stoppe-t-il une éventuelle collecte de données ?

Ces indications mériteraient à mon avis de figurer quelque part, à tout le moins dans la section idoine des conditions générales.

Mes données chez les CFF

Après la conclusion, vous trouverez six des trente-cinq pages de données transmises par les CFF.

Il y a vingt-six pages de données brutes (cf. fichier joint). Du coup, bien que les CFF (et les sociétés ou autorités auxquelles je demande mes données) n’aient pas à fournir des détails sur la manière dont leurs fichiers de données sont gérés, j’aurais apprécié avoir ne serait-ce qu’une indication permettant de savoir ce que représentent certaines données. Il faut quand même reconnaitre que ces suites de chiffres et de tableaux sont assez indigestes.

Cliquez ici pour consulter le fichier de données brutes.

Il y a cependant un détail amusant dans le PDF ci-dessous. Les CFF définissent des “attributs marketing” aux clients. En particulier, j’ai été classé dans la catégorie “Die Entdecker”, autrement dit “Les Explorateurs”. Avant juillet 2014, je figurais dans la catégorie “Die Rastlosen”, soit “Les Infatigables” (rastlos signifie “avoir la bougeotte” en allemand). Je n’ai aucune idée sur quelle base les CFF classent leurs clients, mais c’est plutôt rigolo.

Conclusion

Les CFF ont répondu dans le délai et semblent avoir mis en place des directives claires et précises sur l’utilisation des données des clients. C’est instructif, mais également rassurant. Nos données ne sont pas transmises à des tiers pour nous faire parvenir des publicités. Quant au droit d’accès, tout a très bien fonctionné.

Hormis mes quelques bémols relatifs aux applications pour smartphone, je n’ai pas de critique à formuler aux CFF et trouve que leur politique en matière de protection des données est en adéquation avec les services et produits fournis.