La RGPD - Respect et cycle des données ?
Le Registre de preuve de covoiturage permet d'identifier les trajets et d'en avoir la preuve. Pour comprendre le fonctionnement, voici le détail des étapes 1 à 5.
Dernière mise à jour
Le Registre de preuve de covoiturage permet d'identifier les trajets et d'en avoir la preuve. Pour comprendre le fonctionnement, voici le détail des étapes 1 à 5.
Dernière mise à jour
Ces deux étapes sont réalisées entre le(s) covoitureur(s) et le(s) opérateur(s) de covoiturage. Le Registre de preuve de covoiturage n’intervient pas sur ces étapes.
Sur ces deux étapes, les obligations juridiques de la part des opérateurs sont les suivantes :
Mentionnent dans leurs conditions générales d’utilisation, avec un consentement éclairé et explicite, la transmission de données personnelles auprès du Registre de preuve de covoiturage, dit le service.
Exemple de bonne pratique
[Opérateur de covoiturage] est partenaire du Registre de preuve de covoiturage, une initiative gouvernementale permettant de certifier les trajets et de faciliter la distribution d’incitations à la pratique du covoiturage.
Pour certifier vos trajets, nous transmettons au gestionnaire du Registre de preuve de covoiturage :
Votre numéro de téléphone ;
Adresse de début de trajet ;
Adresse du point d’arrivée ;
Le numéro de votre carte de transport.
Ce traitement informatisé est destiné à mettre en œuvre une mission de service public visant à faciliter la distribution d’incitation monétaire ou non monétaires en votre faveur. Le seul destinataire des données est la mission Incubateur de Services Numériques au sein de la Direction Interministérielle du Numérique, dénommée “DINUM”.
Conformément à la loi relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978 modifiée, vous bénéficiez d’un droit d’accès, de rectification et de suppression des informations qui vous concernent. Si vous souhaitez exercer ce droit et obtenir communication des informations vous concernant, veuillez-vous adresser à contact@covoiturage.beta.gouv.fr
Le service limite la collecte des données personnelles au strict nécessaire. L’objectif et la finalité du recueil de ces données est de faciliter la distribution d’incitation monétaire ou non monétaires en faveur du covoiturage au quotidien.
À ce titre, en accord avec le règlement n° 2016/679, dit règlement général sur la protection des données, sont réalisés un registre des activités de traitement ainsi qu’une analyse d’impact à la protection des données.
Les données à caractère personnel amenées à être collectées et traitées dans le cadre de la production d’une preuve de covoiturage sont les suivantes :
Une variable relative à l’âge : majeur – mineur – non renseigné (Facultatif)
Permis de conduire (Facultatif)
Nature de l’occupant : conducteur – passager (Obligatoire)
Les informations relatives à leur titre de transport comme le numéro d’abonné, de carte, etc. (Facultatif)
Une localisation de départ et d'arrivée (Obligatoire)
Un horaire de départ et d'arrivée (Obligatoire)
Deux options sont disponibles pour l’identification unique (Obligatoire) :
Numéro complet à 10 chiffres (ex. 06 12 34 56 78)
Numéro tronqué à 8 chiffres + identifiant unique de l'opérateur (ex. 06 12 34 56 + 12345)
Remarque : différence entre collecte et exposition de données personnelles
Il existe une différence entre collecter des données personnelles et les exposer. Le service, collecte dans le cadre de son service des données personnelles. Ces données sont nécessaires à l’exercice de notre mission. Les données collectées ne seront pas exposées de la même manière aux usagers (organismes incitateurs) du registre. Ceci est explicité dans les mentions de l’étape 5.
Les différentes étapes de traitement des données personnelles permettant la validation des preuves de covoiturage au niveau du service sont mentionnées dans le registre de traitement.
Dans le cas présent, le cycle de conservation des données à caractère personnel peut être divisé en deux phases successives distinctes :
1.La base active :
La base active permet de tenir les engagements du traitement, à savoir attribuer une classe de confiance à un trajet réalisé.
2. L’archivage intermédiaire :
Distinctement de la base active, les données personnelles sont anonymisées et conservées, avec accès restreint, pour une durée de 24 mois. Ces données permettent de réaliser des traitements à des fins statistiques, de recherche scientifique en algorithmique de détection de fraudes et de recherche en termes de prospectives transports. Un tri est effectué parmi la totalité des données collectées pour ne garder que les seules données indispensables.
Tel que vu dans l’étape 3, il existe une différence entre la collecte des données dans le cadre d’un traitement et son exposition. À ce titre, ne sont uniquement proposées aux utilisateurs du registre que les données nécessaires à la distribution d’incitation.
En conséquence, de manière à flouter les données personnelles, les traitement suivants sont appliqués :
Les identifiants conducteurs et passagers (noms, prénoms, numéros de téléphone, emails, etc.) ne sont pas communiqués, seul un identifiant unique anonymisé est communiqué.
Les localisations origine / destination sont convertis
Codes INSEE ;
Codes POSTAUX ;
Noms de commune ;
Carroyage des données géographiques :
Lorsque la densité du point de départ ou arrivée est faible : la latitude et longitude sont tronqués à 2 décimales (précision de ~700m).
Lorsque la densité du point de départ ou arrivée est forte : la latitude et longitude sont tronqués à 3 décimales (précision de ~70m).
Les horaires de départ / arrivée sont convertis en plage de 15 minutes.
Individuellement, ces données ne sont pas des données personnelles directement identifiantes. Cependant, en les combinant, le principe de réidentification s’applique. Ainsi l’ensemble des mesures et dispositifs relatifs à la protection de la vie privée s’applique. L’analyse d’impact à la protection des données met en évidence les mesures prises.