| Date de l'avis : 25 janvier 2024 | N° de la délibération : 2024-007 | |:----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|:--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| | N° de demande d'avis : 23008259 |Texte concerné : projet de décret en Conseil d'Etat pris pour l'application de l'article L. 1264-2 du code des transports.| |Thématiques : ministère chargé des transports, autorité de régulation des transports, ART, services d'information sur les déplacements multimodaux, services numériques multimodaux, collecte automatisée, PEReN.| Fondement de la saisine : article L. 1264-2 du code des transports. |

L'essentiel :
Dans le cadre de ses missions de contrôle et d'enquête, l'Autorité de régulation des transports (ART), en sa qualité de régulateur sectoriel, est autorisée à collecter automatiquement les données ou informations publiquement accessibles sur les sites web et applications mobiles des services d'information sur les déplacements multimodaux et des services numériques multimodaux. Le projet de décret vient préciser les conditions et modalités d'une telle collecte.
Les collectes automatisées opérées par l'ART n'ont pas pour objectif la collecte de données à caractère personnel. La CNIL accueille favorablement le fait que les conditions et modalités de collectes automatisées de données ou d'informations permettent de limiter le risque que des données à caractère personnel soient collectées de manière incidente. Elle relève également avec satisfaction qu'en cas de collecte incidente de telles données, celles-ci seront supprimées immédiatement.
La CNIL demande également à ce qu'une information générale sur les collectes automatisées soit portée à la connaissance des personnes sur le site web de l'ART.

La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
Vu le code des transports, notamment son article L. 1264-2 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (loi « informatique et libertés ») ;
Sur la proposition de M. Alain DRU, commissaire, et après avoir entendu les observations de M. Damien MILIC, commissaire du Gouvernement,
Adopte la délibération suivante :

I. - La saisine
A. - Le contexte

Le cadre juridique général, à la fois européen et national, concernant la mise à disposition de services d'information sur les déplacements multimodaux et les services numériques multimodaux, repose sur des textes législatifs et réglementaires. Ces textes visent à favoriser la mobilité et l'accessibilité tout en garantissant la transparence et la non-discrimination pour les utilisateurs de ces services ainsi qu'un cadre de concurrence équitable :

- la directive (UE) 2010/40 du Parlement européen et du Conseil du 7 juillet 2010, qui vise à améliorer l'efficacité des systèmes de transports en favorisant l'utilisation coordonnée de différents modes de transport, et à fournir des informations plus complètes et accessibles aux utilisateurs finaux ;
- le règlement délégué (UE) 2017/1926 de la Commission du 31 mai 2017 complétant la directive (UE) 2010/40, qui fixe des normes et des exigences techniques visant à assurer l'interopérabilité entre les différents systèmes de transport et à garantir la disponibilité des données de type « informations voyageurs » (trafic, horaires, perturbations, etc.) ;
- la loi n° 2019-1428 du 24 décembre 2019 d'orientation des mobilités (LOM) qui confère à l'Autorité de régulation des transports (ART) de nouvelles missions en matière d'ouverture des données de mobilité et de services numériques de mobilité.

Dans ce contexte, l'ART agit en tant que régulateur sectoriel, chargé du contrôle de la conformité :

- des services d'information sur les déplacements multimodaux (services d'informations sur les déplacements et la circulation) définis par le règlement délégué (UE) 2017/1926 et visés à l'article 25 de la LOM (article L. 1115-5 du code des transports) ; et
- des services numériques multimodaux définis à l'article 28 de la LOM (articles L. 1115-10 et L. 1115-11 du code des transports) qui vendent ou délivrent des titres de transport numériques.

Plus précisément, il appartient à l'ART :

- d'une part, de contrôler la conformité aux exigences du règlement délégué (UE) 2017/1926 des services d'information sur les déplacements multimodaux. Il s'agit de contrôler par exemple, que les critères utilisés pour le classement des options de voyage des différents modes de transport ou de leur combinaison sont transparents et ne se fondent sur aucun facteur directement ou indirectement lié à l'identité de l'utilisateur ni à une considération commerciale liée à la réutilisation des données, et sont appliqués sans discrimination à tous les utilisateurs participants ; et
- d'autre part, de rechercher les manquements des services numériques multimodaux aux obligations posées par les articles L. 1115-10 et L. 1115-11 du code des transports. Il s'agit, par exemple, de s'assurer que les solutions de déplacement proposées en réponse à la requête de l'usager sont présentées de manière claire et insusceptible de l'induire en erreur, que les critères utilisés pour la sélection et le classement de ces solutions, y compris les critères liés directement ou indirectement au profil de l'usager, sont explicites et aisément identifiables par l'usager.

Pour faciliter le contrôle du respect de ces exigences, l'article 37 de la loi n° 2023-171 du 9 mars 2023 portant diverses dispositions d'adaptation au droit de l'Union européenne a complété l'article L. 1264-2 du code des transports afin d'autoriser les agents habilités de l'ART à collecter automatiquement les données et informations sur les déplacements multimodaux publiquement accessibles sur des sites web ou des applications mobiles dans le but d'accomplir les missions de l'ART relatives aux services d'information sur les déplacements multimodaux et aux services numériques multimodaux. Il prévoit notamment que les conditions générales d'utilisation (GCU) de ces services, qui interdisent, en règle générale, les collectes automatiques de données, ne peuvent pas leur être opposées.
Ce même article prévoit que les collectes de données sont mises en œuvre de manière strictement nécessaire et proportionnée dans des conditions et selon des modalités précisées par un décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés (CNIL).

B. - L'objet de la saisine

La CNIL a été saisie par le ministère chargé des transports (ci-après le « ministère ») d'un projet de décret pris pour l'application de l'article L. 1264-2 du code des transports.
Le projet de décret précise les conditions et modalités de nature à garantir que la collecte de données ou d'informations sur les déplacements multimodaux publiquement accessibles est strictement nécessaire et proportionnée. Il impose également à l'ART d'adresser, à l'opérateur du service numérique, une notification en amont de la collecte, et en définit le contenu (par exemple, les catégories de données ou d'informations sur les déplacements multimodaux, l'utilisation du moissonnage automatisé des données ou d'une interface de programmation applicative, l'estimation du nombre des requêtes effectuées, etc.). Il prévoit enfin la destruction des données à caractère personnel collectées de façon incidente et des données et informations qui ne sont pas nécessaires à la mission dans le cadre de laquelle la collecte automatisée est effectuée.
Plus concrètement, la collecte des données ou des informations sur les déplacements multimodaux peut notamment s'effectuer par moissonnage automatisé ou par l'intermédiaire d'une interface de programmation applicative (API). Des comptes sur les services numériques peuvent également être créés par l'ART pour l'accomplissement de ses missions. En outre, pour la mise en œuvre des collectes automatisées, l'ART peut recourir aux prestations, à l'expertise et aux outils développés par le pôle d'expertise de la régulation numérique (PEReN), créé par le décret n° 2020-1102 du 31 août 2020.

II. - L'avis de la CNIL

Sur les mesures permettant de mettre en œuvre les collectes automatisées de manière strictement nécessaire et proportionnée :
La CNIL s'est prononcée à plusieurs reprises sur des traitements prévoyant la possibilité, pour l'administration, de collecter puis d'analyser, au moyen de traitements automatisés, des données à caractère personnel publiquement accessibles sur internet (par exemple, délibération n° 2022-030 du 10 mars 2022 portant avis sur un projet de décret relatif à la mise œuvre par le pôle d'expertise de la régulation numérique de traitements informatisés et automatisés permettant la collecte de données publiquement accessibles mises à disposition du public par les opérateurs de plateforme, délibération n° 2022-125 du 15 décembre 2022 portant avis sur le projet d'arrêté relatif à la création au sein de la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) d'un traitement de données à caractère personnel dénommé « Polygraphe »).
Les collectes automatisées ayant vocation à être mises en œuvre dans le cadre de l'article L. 1264-2 du code des transports n'ont toutefois pas pour objectif la collecte de données à caractère personnel contrairement à celles évoquées dans les deux délibérations citées précédemment. Elles ne présentent donc pas les mêmes enjeux pour les droits et libertés des personnes concernées qui utilisent ces services.
A cet égard, la CNIL accueille favorablement le fait que les conditions et modalités de collectes automatisées de données ou d'informations permettent de limiter le risque que des données à caractère personnel soient collectées de manière incidente. En effet, le projet d'article R. 1264-2 du code des transports prévoit que la collecte sera limitée à la constitution d'échantillons de données et d'informations sur les déplacements multimodaux statistiquement représentatifs.
Cependant, comme le ministère l'a précisé, un certain nombre de services utilisent des données fournies par des usagers pour enrichir l'information. Il n'est donc pas impossible que l'ART recueille des données à caractère personnel si celles-ci n'ont pas été anonymisées avant leur publication, ce qui est généralement le cas. La CNIL relève, avec satisfaction, que le projet d'article R. 1264-4 du code des transports prévoit notamment que les données ou informations à caractère personnel qui pourraient être collectées incidemment sont détruites immédiatement après leur collecte.
A cet effet, une vérification humaine systématique des données sera effectuée avant tout traitement ultérieur afin que les données à caractère personnel qui auraient été accidentellement collectées soient supprimées sans délai. La suppression de ces données fera l'objet d'un procès-verbal par l'agent en charge de la vérification. En outre, la CNIL accueille favorablement les précisions du ministère selon lesquelles, si des données à caractère personnel venaient à être rencontrées, des essais pour automatiser leur suppression pourront être conduits.
Enfin, le projet d'article R. 1264-3 du code des transports prévoit que l'opérateur du service numérique a la possibilité, suite à la notification adressée par l'ART, de formuler ses observations éventuelles en communiquant, par exemple, les informations nécessaires à l'utilisation de l'API mise à disposition pour la collecte des données. La CNIL recommande que ces observations incluent des indications sur les modalités d'usage de l'API afin de limiter strictement la collecte incidente de données à caractère personnel des utilisateurs. A cet égard, la CNIL prend acte de l'engagement du ministère de compléter le projet d'article R. 1264-3 du code des transports pour imposer à l'opérateur du service numérique concerné, la transmission des indications sur les modalités d'usage de l'API permettant de limiter strictement la collecte incidente de données à caractère personnel des utilisateurs.
Sur l'information des personnes concernées :
Compte tenu du fait que des données à caractère personnel peuvent, en théorie, être collectées de manière involontaire, la CNIL considère que les usagers des services concernés par les collectes automatisées doivent être informés des traitements envisagés.
A cet égard, une information générale devrait être mise à la disposition des personnes concernées, par exemple sur le site web de l'ART. Elle devrait notamment contenir des informations sur les services concernés par les collectées de données ainsi que les mesures prises pour préserver la vie privée des utilisateurs en cas de collecte accidentelle de données à caractère personnel (vérification systématique et, le cas échéant, suppression des données à caractère personnel détectées). La CNIL prend acte de l'engagement du ministère de diffuser une information générale du public et de compléter le projet de décret pour prévoir la diffusion sur internet d'informations sur les services concernés par les collectes de données et les mesures prises pour préserver la vie privée des utilisateurs en cas de collecte accidentelle de données à caractère personnel.
Sur les mesures de sécurité :
La CNIL rappelle la nécessité d'assurer un niveau de sécurité suffisant et de limiter l'accès aux données collectées à des personnes authentifiées tant que celles-ci n'ont pas été expurgées des éventuelles données à caractère personnel incidemment collectées.
En outre, si les jeux de données exploités dans le cadre de l'accomplissement des missions de l'ART avaient vocation à être publiés ou à faire l'objet d'une diffusion, alors une analyse devrait être menée pour démontrer et documenter leur caractère anonyme avant toute publication ou diffusion.