Protection de la vie privée
Pour créer le cadre juridique du registre de preuve de covoiturage, nous avons cherché à mettre en action les mêmes principes gouvernant à la mise en place des Startups d’État.
A titre liminaire, il convient de rappeler que la base légale du registre repose sur l’article 35 de la loi d’orientation des mobilités publiée au Journal Officiel du 26 décembre 2019. Il a notamment pour finalité de « faciliter la distribution d’incitation monétaire ou non monétaires en faveur du covoiturage. »
Nous avons choisi une approche « privacy by design », c’est-à-dire imposant de faire la balance entre les données à caractère personnel collectées et la (ou les) finalité(s) du traitement en question. En droit français, ce principe se retrouve à l’article 6, troisièmement de la loi informatique et libertés. Cette question était potentiellement complexe car il fallait assurer la confiance des différents acteurs dans le Registre puisqu’il avait vocation à certifier la réalisation des trajets et par conséquent, lutter contre la fraude ; tout en se contentant de récolter et conserver les informations strictement nécessaires à cette finalité. Cette balance est à réaliser par l’ensemble des responsables de traitement, elle prend a minima la forme d’une autoévaluation.‌
L’équipe a ainsi effectué un travail de fond, en collaboration avec les différentes parties prenantes, visant à restreindre les données à caractère personnel collectées par le Registre. Pour faire simple, les seules données collectées sont relatives au « profil » des utilisateurs.‌
Après quelques ateliers, il est collectivement admis que le Registre procédera aux traitements des données à caractère personnel suivantes :‌
    Pour les personnes physiques réalisant des trajets en covoiturage (appelées occupants) :
      Nom (Facultatif)
      Prénom (Facultatif)
      Adresse électronique (Facultatif)
      Une variable relative à l’âge : majeur – mineur – non renseigné (Obligatoire)
      Nature de l’occupant : conducteur – passager (Obligatoire)
      Les informations relatives à leur titre de transport comme le numéro d’abonné, de carte, etc. (Facultatif)
    Deux options sont disponibles pour l’identification unique (Obligatoire) :
      1.
      Numéro complet à 10 chiffres (ex. 06 12 34 56 78)
      2.
      Numéro tronqué à 8 chiffres + identifiant unique de l'opérateur (ex. 06 12 34 56 + 12345)
    Pour les représentants des personnes morales (opérateurs de covoiturage, tiers mandaté et autorités de mobilité) :
      Identité de la personne déclarée comme étant « délégué à la protection des données » de la structure concernée :
        Nom ;
        Prénom ;
        Adresse électronique professionnelle.
      Identité du responsable de traitement :
        Nom ;
        Prénom ;
        Adresse électronique professionnelle.
      Identité du responsable du responsable technique :
        Nom ;
        Prénom ;
        Adresse électronique professionnelle ;
        Numéro de téléphone professionnel.
Ces informations sont manifestement pertinentes, adéquates et non excessives au regard de la finalité du traitement.‌
Le Registre de preuve de covoiturage est soumis au cadre juridique de la protection de la vie privée, incarné notamment par le RGPD (règlement général relatif à la protection s personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données) et la loi informatique & libertés. L’article 6 du RGPD fixe les conditions relatives à la licéité du traitement. En l’espèce la mise en œuvre du traitement ne repose sur le consentement des personnes connues mais bien sur le fait que ce traitement est nécessaire à l’exécution d’une mission d’intérêt public. Ces données sont strictement nécessaires à l’exercice de la mission de service public du Registre, leur transmission n’est donc pas soumise au consentement des utilisateurs et elles ne connaissent aucun destinataire.‌
Néanmoins, nous encourageons les Opérateurs de covoiturage à s’assurer de la bonne information de leurs utilisateurs matérialisée par leur consentement à la participation au Registre.
Exemple de bonne pratique
[Opérateur de Covoit] est partenaire du Registre de preuve de covoiturage, une initiative gouvernementale permettant de certifier les trajets et de faciliter la distribution d’incitations à la pratique du covoiturage.
Pour certifier vos trajets, nous transmettons au gestionnaire du Registre :
    Votre numéro de téléphone
    Adresse de début de trajet
    Adresse du point d’arrivée
    Le numéro de votre carte de transport
Ce traitement informatisé est destiné à mettre en œuvre une mission de service public visant à faciliter la distribution d’incitation monétaire ou non monétaires en votre faveur. Le seul destinataire des données est la mission Incubateur de Services Numériques au sein de la Direction Interministérielle du Numérique, dénommée “DINUM”.
Conformément à la loi relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978 modifiée, vous bénéficiez d’un droit d’accès, de rectification et de suppression des informations qui vous concernent. Si vous souhaitez exercer ce droit et obtenir communication des informations vous concernant, veuillez-vous adresser à [email protected]
Enfin, l’ensemble de ces éléments juridiques ont été renforcés par une approche complémentaire de sécurité informatique élémentaire. Ainsi, dès réception de ces données à caractère personnel, le Registre effectue une série de traitement visant par exemple à pseudonymiser les données collectées, chiffrer lesdites informations et s’assurer du contrôle d’accès des différentes parties prenantes (sur ce point, voir l’étape 5).‌

Droit d'accès, de rectification et de suppression des informations

La procédure à suivre est la suivante :‌
    1.
    Entrez en contact avec votre opérateur de covoiturage afin de lui demander l'identifiant unique qu'il communique auprès du Service. Cet identifiant prend la forme soit d'un numéro de téléphone complet (en l’occurrence le votre) soit d'un numéro de téléphone tronqué aux 8 premiers chiffres accompagné d'un identifiant propre à l'opérateur.
    2.
    Entrez en contact avec l'équipe du Service via [email protected] en joignant à votre demande :
      1.
      Le motif : accès, restriction ou suppression des informations ;
      2.
      Votre identifiant ;
      3.
      Une justification d'identité (facture téléphonique, pièce d'identité, etc.).
Dernière mise à jour 7mo ago