Question écrite concernant le système sans contact à la STIB
- de
- Françoise Schepmans
- à
- Elke Van den Brandt, Ministre du Gouvernement de la Région de Bruxelles-Capitale, chargée de la Mobilité, des Travaux publics et de la Sécurité routière (question n°474)
| Date de réception: 08/07/2020 | Date de publication: 02/10/2020 | ||
| Législature: 19/24 | Session: 19/20 | Date de réponse: 18/09/2020 | |
| Date | Intitulé de l'acte | de | Référence | page |
| 10/07/2020 | Recevable | p.m. |
| Question | Je vous interrogeais en février dernier sur la nouveau système sans contact de la STIB. Je vous ai notamment interrogé sur la situation des passagers qui ont utilisé ce système en cas de contrôle de validité du ticket. Vous m’aviez répondu, que « les contrôleurs de la STIB seront équipés de matériel de contrôle spécifique. » Aujourd’hui, ce système est en place. Madame la Ministre, voici mes questions : 1. Est-ce que tous les agents disposent bien de ce nouveau type matériel ? Combien en disposez-vous ? En quoi consiste-t-il ? 2. Ce nouveau système implique que la carte bancaire devienne en quelque sorte le ticket de transport du passager. Comment les données sont-elles « anonymisées » en conformité avec le GDPR ? 3. Plusieurs cas, notamment en Angleterre, ont illustré la problématique de la batterie déchargée du smartphone au moment du contrôle de la validité du titre de transport. Comment la STIB a-t-elle prévu de solutionner ce cas ? |
| Réponse | Dans une première phase il y aura un appareil de contrôle pour le paiement sans contact par équipe de contrôleurs (vu la volumétrie réduite) mais le marché passé par la STIB prévoit que chaque agent disposera d’un appareil. Il s’agit d’un appareil sécurisé (soumis aux normes PCI DSS) qui permet de vérifier, lors de la présentation de la carte bancaire, s’il retrouve une validation valable dans le système back-office de la STIB pour le token associé à la carte. La STIB ne peut en aucun cas lire les informations personnelles d’un client ni les informations relatives au numéro de compte. Le traitement de données à caractère personnel impliqué par le nouveau système EMV est en conformité avec les principes du GDPR énoncés à l’article 5 de celui-ci. De cette manière, le traitement est fondé sur une base légale, la finalité du traitement est définie en amont, seules les données nécessaires à la finalité sont collectées, l’exactitude des données est assurée et une durée de conservation est établie. (Les modalités du traitement sont décrites dans la Déclaration de Vie privée, dans la partie « Pourquoi traitons-nous vos données ? / Paiement par carte bancaire : EMV ».) En outre, le GDPR pose le principe de sécurité des données. Dans le respect de celui-ci, la STIB s’efforce « à garantir une sécurité appropriée des données » par l’introduction de mesures techniques et organisationnelles telle que l’anonymisation réversible (pseudonymisation). Plus précisément, la solution de validation par carte de paiement envoie des données techniques agrégées à la STIB. L'identification d'une carte se fait par un numéro d’identification et aucune information sur l'identité du détenteur de la carte de paiement n'est transmise à la STIB. La STIB n'a pas la possibilité d'identifier directement ou indirectement une personne sur base de ces données uniquement. La personne qui choisit d’utiliser son smartphone comme mode de paiement d’un titre de transport doit effectivement s’assurer qu’elle dispose de suffisamment de batterie. C’est bien de la responsabilité du client (tout comme celui qui achète un ticket papier doit être à même de le présenter lors d’un contrôle et donc veiller à ne pas le perdre). |