| N° de demande d'avis : 25008650 |Thématiques : ministère chargé des transports, autorité de régulation des transports, ART, services d'information sur les déplacements multimodaux, services numériques multimodaux, collecte automatisée, PEReN.| |:----------------------------------------------------------------------------------------------------------|:----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| |Organisme(s) à l'origine de la saisine : ministère de l'aménagement du territoire et de la décentralisation| Fondement de la saisine : article L. 1264-2 du code des transports. |

L'essentiel :
Dans le cadre de ses missions de contrôle et d'enquête, l'Autorité de régulation des transports (ART), en sa qualité de régulateur sectoriel, est autorisée à collecter automatiquement les données ou informations publiquement accessibles sur les sites web et applications mobiles des services d'information sur les déplacements multimodaux et des services numériques multimodaux. Le projet de décret vient préciser les conditions et modalités d'une telle collecte.
Les collectes automatisées opérées par l'ART n'ont pas pour objectif la collecte de données à caractère personnel. La CNIL accueille favorablement le fait que les conditions et modalités de collectes permettent de limiter le risque que des données à caractère personnel soient traitées et que celles qui pourraient l'être incidemment sont détruites immédiatement.
Ce risque n'étant néanmoins par exclu, la CNIL considère toutefois qu'une information générale sur les collectes automatisées doit être portée à la connaissance des personnes sur le site web de l'ART et qu'un niveau de sécurité suffisant doit être garanti.

La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu le code des transports, notamment son article L. 1264-2 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« loi informatique et libertés ») ;
Sur la proposition de M. Didier Kling, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :

I. - La saisine
A. - Le contexte

La règlementation, européenne et nationale, encadre les services d'information sur les déplacements multimodaux et les services numériques multimodaux.
Ces textes visent ainsi à favoriser la mobilité et l'accessibilité tout en garantissant la transparence et la non-discrimination pour les utilisateurs de ces services ainsi qu'un cadre de concurrence équitable :

- la directive (UE) 2010/40 du Parlement européen et du Conseil du 7 juillet 2010, qui vise à améliorer l'efficacité des systèmes de transports en favorisant l'utilisation coordonnée de différents modes de transport, et à fournir des informations plus complètes et accessibles aux utilisateurs finaux ;
- le règlement délégué (UE) 2017/1926 de la Commission du 31 mai 2017 complétant la directive (UE) 2010/40, qui fixe des normes et des exigences techniques visant à assurer l'interopérabilité entre les différents systèmes de transport et à garantir la disponibilité des données de type « informations voyageurs » (trafic, horaires, perturbations, etc.) ;
- la loi n° 2019-1428 du 24 décembre 2019 d'orientation des mobilités (LOM) qui confère à l'Autorité de régulation des transports (ART) de nouvelles missions en matière d'ouverture des données de mobilité et de services numériques de mobilité.

Dans ce contexte, l'ART agit en tant que régulateur sectoriel, chargé du contrôle de la conformité :

- des services d'information sur les déplacements multimodaux (services d'informations sur les déplacements et la circulation) définis par le règlement délégué (UE) 2017/1926 et visés à l'article 25 de la LOM (article L. 1115-5 du code des transports) ; et
- des services numériques multimodaux définis à l'article 28 de la LOM (articles L. 1115-10 et L. 1115-11 du code des transports) qui vendent ou délivrent des titres de transport numériques.

Plus précisément, il appartient à l'ART :

- d'une part, de contrôler la conformité aux exigences du règlement délégué (UE) 2017/1926 des services d'information sur les déplacements multimodaux. Il s'agit de contrôler par exemple, que les critères utilisés pour le classement des options de voyage des différents modes de transport ou de leur combinaison sont transparents et ne se fondent sur aucun facteur directement ou indirectement lié à l'identité de l'utilisateur ni à une considération commerciale liée à la réutilisation des données, et sont appliqués sans discrimination à tous les utilisateurs participants ; et
- d'autre part, de rechercher les manquements des services numériques multimodaux aux obligations posées par les articles L. 1115-10 et L. 1115-11 du code des transports. Il s'agit, par exemple, de s'assurer que les solutions de déplacement proposées en réponse à la requête de l'usager sont présentées de manière claire et insusceptible de l'induire en erreur, que les critères utilisés pour la sélection et le classement de ces solutions, y compris les critères liés directement ou indirectement au profil de l'usager, sont explicites et aisément identifiables par l'usager.

Pour faciliter le contrôle du respect de ces exigences, l'article 37 de la loi n° 2023-171 du 9 mars 2023 portant diverses dispositions d'adaptation au droit de l'Union européenne a complété l'article L. 1264-2 du code des transports. Il autorise désormais les agents habilités de l'ART à collecter automatiquement les données et informations sur les déplacements multimodaux publiquement accessibles sur des sites web ou des applications mobiles pour l'accomplissement des missions de l'ART.
Cet article permet ainsi le recours à des outils de contrôle automatiques pour « mimer » plusieurs utilisateurs en introduisant un ensemble important de requêtes prédéterminées (portant par exemple sur des demandes d'itinéraires, de prix pour un voyage, etc.) et collecter les réponses fournies à ces requêtes pour les analyser statistiquement. Cela permet d'apprécier la transparence des critères utilisées pour le classement des solutions de déplacement proposées ainsi que l'absence de discrimination ou biais commerciaux.
Il précise que les conditions générales d'utilisation (CGU) de ces services, qui interdisent, en règle générale, les collectes automatiques de données, ne peuvent pas leur être opposées.

B. - L'objet de la saisine

La CNIL a été saisie par le ministère de l'aménagement du territoire et de la décentralisation d'un projet de décret pris pour l'application de l'article L. 1264-2 du code des transports.
En décembre 2023, la CNIL avait été saisie d'un premier projet de décret au sujet duquel elle a rendu un avis (délibération n° 2024-007 du 25 janvier 2024).
Toutefois, la Commission européenne a émis, le 1^er mars 2024, un avis circonstancié, constatant une absence de conformité du projet de décret au regard de la directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur (dite « directive sur le commerce électronique »).
Le projet de décret a donc été amendé pour ne plus contenir de disposition contraire aux exigences de la directive sur le commerce électronique, notamment en n'imposant aucune nouvelle obligation aux opérateurs des services concernés.

II. - L'avis de la CNIL
A. - Sur les mesures permettant de mettre en œuvre les collectes automatisées de manière strictement nécessaire et proportionnée

La CNIL relève que les collectes automatisées prévues par le projet de décret n'ont pas pour objectif la collecte de données à caractère personnel. Elles ne présentent donc pas de risque pour les droits et libertés des personnes concernées qui utilisent ces services.
A cet égard, la CNIL accueille favorablement le fait que les conditions et modalités de collectes permettent de limiter le risque que des données à caractère personnel soient traitées de manière incidente. En effet, le projet d'article R. 1264-1 du code des transports prévoit que la collecte sera limitée à la constitution d'échantillons de données et d'informations sur les déplacements multimodaux statistiquement représentatifs.
Par ailleurs, elle relève, avec satisfaction, que le projet d'article R. 1264-3 du code des transports prévoit notamment que les données ou informations à caractère personnel qui pourraient être collectées incidemment sont détruites immédiatement après leur collecte.

B. - Sur l'information des personnes concernées

Bien que les collectes automatisées n'aient pas pour objectif de collecter des données à caractère personnel, il n'est pas exclu qu'elles puissent être collectées de manière involontaire.
Par conséquent, la CNIL rappelle que les usagers des services concernés par les collectes automatisées doivent être informés de cette éventualité, et des traitements envisagés.
A cet égard, une information générale pourrait être mise à la disposition des personnes concernées, par exemple sur le site web de l'ART. Elle devra notamment contenir des informations sur les services concernés par les collectes de données ainsi que les mesures prises pour préserver la vie privée des utilisateurs en cas de collecte accidentelle de données à caractère personnel (vérification systématique et, le cas échéant, suppression des données à caractère personnel détectées).

C. - Sur les mesures de sécurité

Pour les mêmes motifs, la CNIL rappelle la nécessité d'assurer un niveau de sécurité suffisant. L'accès aux données collectées doit notamment être limité aux personnes habilitées tant que ces données n'ont pas été expurgées des éventuelles données à caractère personnel incidemment collectées.
Par ailleurs, la CNIL rappelle que, dans l'hypothèse où les jeux de données exploités dans le cadre de l'accomplissement des missions de l'ART auraient vocation à être publiés ou à faire l'objet d'une diffusion, une analyse devra être menée pour démontrer et documenter leur caractère anonyme avant toute publication ou diffusion.