Le blog de Céline Delforge

Des chercheurs de l’UCL ont mis concrètement en évidence la possibilité - pratiquement à la portée de tous - de lire certaines informations personnelles contenues dans la carte à puce de la carte Mobib de la STIB et cela à l’encontre de déclarations précédentes du Ministre Smet. Une interpellation adressée à ce dernier en commission de l’infrastructure du 28 janvier 2009

M. le président.- La parole est à Mme Delforge.

Mme Céline Delforge.- Des chercheurs de l'UCL ont réussi à lire des données contenues dans la carte MOBIB. Ils ont révélé que, parmi celles-ci, figurent le nom, la date de naissance, le code postal et les trois derniers trajets effectués par l'usager. Ces chercheurs expliquent également qu'il suffit de télécharger le logiciel qu'ils ont mis à disposition du public et de posséder un lecteur de cartes qui coûte 15 euros en grande surface et 40 euros sur internet pour la version qui permet une lecture à distance.

Ce dispositif simple et peu coûteux est donc accessible pour à peu près n'importe qui. J'ai attentivement relu les comptes rendus des séances de cette commission au cours desquelles vous vous êtes exprimé sur le sujet. Force est de constater que si les résultats de la recherche nouvellement publiée confortent les inquiétudes qui avaient été émises, ils ne correspondent pas à certaines réponses que vous avez données aux parlementaires.

En ce qui concerne le contenu des données figurant sur la carte, vous aviez déclaré en commission de l'infrastructure du 16 juillet 2008 que, je cite : « la STIB a également informé la commission de la protection de la vie privée du fait que cette carte contiendrait des données à caractère personnel (nom, prénom, âge et photo du titulaire), permettant d'identifier le bénéficiaire de la prestation de transport. ». Plus loin, vous confirmez que « En plus des données personnelles de son titulaire, la carte MOBIB contiendra les titres de transport achetés ou reçus par ses clients, ainsi que les dates de validité des abonnements et le solde des voyages toujours disponibles sur la carte. »

Vous dites également que "Les données de validation ne sont donc jamais jointes aux données nominatives des utilisateurs... il n'existe par conséquent aucune donnée nominative comportant des renseignements sur la validation, qui soit conservée ni un mois, ni 48h, ni même une heure". Elles sont pourtant conservées sur la carte MOBIB.

Vous disiez aussi que "si des données de validation devaient être conservées, celles-ci ne le seraient que de manière anonyme et pour un temps limité". Or, sur la puce de la carte sont réunies des informations qui ont trait aux trajets de l'usager ainsi qu'à ses données personnelles. Il est donc possible de faire un lien. A aucun moment, vous ne nous dites cela. Le 8 octobre 2008 vous nous avez à nouveau dit : "les trajets ne sont pas enregistrés au niveau de la carte MOBIB, mais ils le sont au niveau du valideur... Il s'agit aussi d'une garantie permettant d'éviter les vérifications d'itinéraire par des contrôleurs".

M. le ministre, vous dites que vous avez déjà répondu à mes questions, mais le fait est que nous savons que sur la carte MOBIB figurent des informations dont vous nous avez dit qu'elles n'y figuraient pas dans cette même commission. L'autre aspect gênant relevé par l'enquête de l'UCL est que, moyennant le dispositif dont j'ai parlé précédemment, il est possible pour un tiers de lire les informations personnelles stockées sur la carte, y compris à distance, à travers un portefeuille par exemple. Il y a là un problème de respect de la vie privée puisque, comme des données relatives aux trois derniers trajets figurent sur la carte, il devient facile de déterminer quand et où un collègue, un enfant, un époux a pris le métro, par exemple. Ils soulignent que l'opération prend moins d'une seconde. Par ailleurs, il suffit de se mettre à côté d'une personne pour connaître, à l'aide d'un petit lecteur à distance, toutes les informations contenues sur sa carte.

Je m'étais inquiétée en commission des risques éventuels de piratage, puisqu'on peut recueillir des données personnelles également relatives à l'itinéraire. Vous m'aviez répondu : "La STIB me signale que pour chaque valideur, le code de sécurité est vérifié avant la transmission des données et que celles-ci sont également codées.

Cette sécurisation à différents niveaux assure la protection des données". Vous estimiez par ailleurs "que le respect de la vie privée est très important". L'équivalent de la carte MOBIB existe dans d'autres villes, notamment à Paris et à Londres. J'ai écouté attentivement vos premières réactions face aux critiques et vous dites que la vérification de la validité d'un titre de transport implique de connaître les derniers trajets. Or, s'il s'agit bien d'un abonnement, il suffit d'en connaître les dates de validité. A Londres par exemple, il est possible d'acheter des cartes anonymes sur laquelle charger des trajets hors abonnement. Idem à Paris où, moyennant supplément - il semblerait que l'anonymat soit une valeur ajoutée - la carte Navigo est "anonymisée".

Pourquoi une telle chose ne serait pas possible à la STIB ? Pourquoi les contrôleurs doivent-ils en savoir plus que les dates limites de l'abonnement ? Pourquoi mon identité doit-elle figurer sur une carte MOBIB de dix trajets ?

La Commission de la protection de la vie privée at-elle été informée, lors de la sollicitation de son avis, et contrairement à ce que vous avez dit en commission, du stockage de données relatives aux derniers voyages effectués ?

La STIB et vous-même êtes-vous prêts à mettre en place un système qui garantit réellement l'anonymatet qui empêche d'établir un lien entre une identité et un itinéraire ? M. le président.- La parole est à M. Smet.

M. Pascal Smet, ministre.- Les réponses de la STIB ne s'avèrent effectivement pas toujours habiles. Il est par ailleurs logique que les parlementaires s'interrogent sur des questions telles que le respect de la vie privée. Ce respect est parfois problématique de nos jours. Toutefois, il convient aussi de ne pas tomber dans l'excès contraire.

J'ai malheureusement l'impression que c'est ce qui se passe aujourd'hui à propos de la carte MOBIB. La grande majorité des gens possèdent une carte Delhaize ou GB, qui permet à ces enseignes d'être parfaitement au courant de tous les achats de leurs clients, du moment où ils sont effectués, de leur quantité, le tout utilisé à des fins de marketing.

La personne qui trouve un portefeuille en rue peut parfaitement savoir, via la carte de crédit, quels sont les derniers achats effectués par le détenteur de la carte, puisque celle-ci enregistre les dix dernières transactions effectuées. Et presque tout le monde possède une carte de crédit de nos jours. Il suffit aussi de posséder un simple lecteur de carte, du type de celui qui est utilisé pour les cartes d'identité, la carte SIS ou les cartes bancaires, que tout le monde peut se procurer pour vingt euros chez Media Markt, pour lire ce genre de carte.

Mme Delforge tire à boulets rouges sur la carte MOBIB, alors que le problème se pose en de mêmes termes pour de nombreuses autres cartes, probablement avec beaucoup plus d'acuité. La STIB n'est pas toujours très adroite dans ses réponses, mais elle avait pourtant raison de relever certains éléments : premièrement, l'UCL n'aurait pas dû demander la collaboration de la STIB pour cette étude ; deuxièmement, l'UCL n'aurait pas dû publier les résultats par voie de presse avant que les instances concernées n'en soient informées ; troisièmement, l'UCL présente certaines choses comme problématiques alors qu'elles ne posent aucun problème en réalité puisque les données qui se retrouvent sur la carte sont déjà écrites sur la carte elle-même, sauf les trois dernières validations.

Qui peut avoir intérêt à connaître ces données ? A quoi pourraient-elles servir ? Elles permettent simplement de savoir qu'une personne a voyagé d'un arrêt à un autre, mais pas si elle était ou non accompagnée, ni par qui. De plus, une personne qui serait intéressée dans le collectage de ces données devrait posséder le système informatique et les techniques nécessaires pour ce faire.

La carte MOBIB - qui sera probablement utilisée sur l’ensemble du territoire belge dans les années à venir - est basée sur le concept Calypso, que l'on retrouve aujourd'hui dans 80 villes dans le monde et qui a fait l'objet, il y a une dizaine d'années, d'un subventionnement significatif de la part de l'Union européenne. Toutes les cartes Calypso fonctionnent sur le même principe, à savoir la lecture de données non cryptées pour les validations, mais le recours à une sécurité forte, de niveau bancaire, pour le chargement de contrats de transport.

La carte MOBIB, structurée comme toute carte de la famille Calypso, contient un fichier d'identification dit "master file" qui reprend le nom, le prénom, la date de naissance et le code postal de la personne titulaire. Les nom, prénom et date de naissance se retrouvent en clair sur la carte, ainsi que la photo qui, contrairement à la carte d'identité nationale, n'est pas mémorisée dans la puce de la carte.

La carte contient aussi des compartiments dans lesquels les contrats sont stockés - par exemple l'abonnement en règle - et les trois dernières validations effectuées. La présence de ces différentes données sur la carte est justifiée et n'est d'ailleurs pas remise en cause par la Commission pour la protection de la vie privée.

Précisons que la carte magnétique, remplacée à terme par la carte MOBIB, contient également et en clair le même type de données. Date, heure et lignes utilisées se retrouvent actuellement sur la carte magnétique que les gens ont dans leur portefeuille. Sur la carte magnétique ne figure toutefois pas de nom, mais il figure sur d'autres documents dans votre portefeuille. Il n'y a donc pas de grands changements.

Des réunions régulières ont lieu entre la STIB et la Commission de la vie privée. La STIB me signale qu'elle a présenté le contenu de la carte MOBIB à la Commission. Cette dernière est donc au courant que les trois dernières validations y figurent et, à ce stade, n'a pas émis de remarques sur le sujet. A titre d'exemple, son homologue français, la Commission nationale de l'informatique et des libertés, a demandé à la RATP de descendre de six à trois le nombre de validations accessibles sur la carte. Je trouve cela normal, puisque trois validations suffisent pour le contrôle. Au-delà, il ne faut plus contrôler sur la carte même. Il faut toutefois les enregistrer sur la carte, sinon c'est impossible.

Ces différents éléments repris sur la carte MOBIB ne doivent pas être confondus avec les données stockées au niveau des banques de données. A ce propos, il convient de répéter une nouvelle fois que la STIB a adopté des principes rigoureux de gestion interne des données. C'est ainsi que les données de validation - numéro de carte, lieu, date et heure de validation - qui ne comprennent pas l'identité de l'utilisateur, sont stockées physiquement dans une base de données. Cette dernière est séparée de la base de données des clients.

Afin de garantir l'anonymat des données de validation, une même personne ne peut avoir accès aux différentes bases de données. Les données de validation ne sont donc jamais jointes aux données nominatives des utilisateurs. Et donc, effectivement, je vous confirme ce que je vous avais déjà dit en commission : il n'existe aucune donnée nominative comportant des renseignements sur la validation qui soit conservée ni un mois, ni 48 heures, ni même une heure au niveau de la base de données client de la STIB. La loi sur laprotection de la vie rivée est très claire : si des personnes violent ces principes, elles vont en prison.

Enfin, pour être tout à fait précis et complet, deux exceptions sont appliquées au principe que je viens de vous exposer. La première concerne quelques employés triés sur le volet du service informatique et du service backoffice de la STIB qui doivent pouvoir avoir accès aux différentes bases de données pour des raisons évidentes de mise en place du système de sécurisation et d'entretien technique de ces bases de données. Ces personnes sont tenues à la plus stricte confidentialité et doivent s'engager au respect et à la non-divulgation des informations dont elles auraient connaissance en vertu de leurs missions professionnelles, en ce compris au sein de la STIB.

Elles doivent en outre être déclarées auprès de la Commission de la vie privée. La seconde exception a pour finalité la répression de la fraude. En effet, la répression de la fraude implique également que la STIB soit en mesure de prouver les éventuelles infractions aux obligations des utilisateurs des transports publics qu'elle constaterait. A cette fin, il est indispensable que la STIB puisse produire un extrait des données de validation des titres de transport en cas de contestation de l'infraction par le voyageur. De même, sur réquisition du Parquet, la STIB est tenue de communiquer l'ensemble des informations dont elle dispose.

Une fois encore, chacun des employés qui pourrait avoir accès à des données personnelles dans le cadre de la répression de la fraude est tenu à la plus stricte confidentialité et s'engage au respect et à la non-divulgation des informations dont il aurait connaissance en vertu de ses missions professionnelles. La loi est très claire et la STIB me garantit que, en cas de problème, la personne qui n'aurait pas respecté les règles sera sanctionnée.

Les cartes à puce en circulation, qu'elles soient avec ou sans contact - les lecteurs contact sont tout aussi disponibles sur le marché que les lecteurs sans contact - offrent généralement bon nombre d'informations en clair. Par exemple, sur la puce de la carte d'identité sont lisibles, avec un simple lecteur et un logiciel disponible officiellement sur internet, donc sans devoir utiliser un code pin ou par acquisition de clés : les nom et prénom, lieu et date de naissance, nationalité, numéro de la carteeID (carte d'identité électronique), date de validité, numéro de registre national, adresse, numéro de puce.

Pour les cartes de crédit, bien qu'il y ait de légères variations selon l'organisme de crédit ou la banque émettrice, les données suivantes sont accessibles en clair - ceci est également vrai pour les premières cartes de crédit émises en dual, avec contact et sans contact - : les nom et prénom, mais uniquement avec contact ; la date de naissance, suivant l'émetteur de la carte ; et la liste des dix dernières transactions avec date, heure, montant et code commerçant. Je trouve cette information beaucoup plus inquiétante que de savoir si on a pris le tram entre De Brouckère et la Bourse... Pour la carte SIS, les données relatives au titulaire de la carte ne sont pas encryptées. Pour les cartes à puce de transport françaises, les trois dernières validations figurent en clair sur la carte

Concernant l'étude de l'UCL, je ne trouve ni correct, ni professionnel de leur part de communiquer les résultats à la presse et non aux organes compétents. Concernant le "pickpocketing", une confusion a été introduite avec la lecture de proximité. Le pickpocketing suppose que des données soient prélevées sur une carte sans que son titulaire s'en aperçoive. On entend par lecture de proximité le fait que la carte MOBIB puisse être lue par le valideur sans que l'on doive la coller sur la cible. La distance maximale de lecture par le valideur est de quatre centimètres.

Même en imaginant que quelqu'un se promène dans la station avec un lecteur, pour déchiffrer les cartes MOBIB des autres passagers, il lui faudrait, selon les spécialistes de la STIB, une antenne égale au double de la distance de lecture. S'il est à un mètre, il lui faudrait donc une antenne de deux mètres ce qui, vous en conviendrez avec moi, n'est pas très discret ! De plus, la probabilité de réussite de la lecture serait très faible.

Pour conclure, cela ne me dérange pas qu'on se pose des questions sur le respect de la vie privée. Il est essentiel de se poser ces questions dans une démocratie. Mais il vaudrait mieux arrêter de pinailler sur la carte MOBIB. Ces données ne peuvent pas poser de problème. Mme Delforge, je vous conseille plutôt de changer de combat et de vous intéresser à d'autres cartes qui sont plus préoccupantes. Qui aurait intérêt à détenir ces informations ? Quel serait le problème, au cas où quelqu'un les posséderait ? Si vous perdiez votre portefeuille, ou qu'il était volé, toutes vos cartes pourraient livrer des données grâce à un simple lecteur, certaines informations étant beaucoup plus intéressantes que celles de la carte MOBIB. Deuxième cas de figure: quelqu'un se promène avec une grande antenne pour lire les cartes..., je pense que ce n'est pas très crédible, à part dans un film des Monty Pythons.

Troisième possibilité: quelqu'un vole votre carte et apprend que Céline Delforge a pris le tram ce jour-là entre la Bourse et De Brouckère... que pourrait-il faire avec ces informations ? Quel en serait l'intérêt ? Si je voulais vraiment savoir cela, il faudrait plutôt que je vous suive. Alors j'apprendrais des choses beaucoup plus intéressantes. Changez de combat, Céline !

M. le président.- La parole est à Mme Delforge.

Mme Céline Delforge.- M. le ministre, comme vous n'avez pas compris, je recommence. Tout d'abord, vous n'avez pas répondu à une question fondamentale : pourquoi nous avez-vous communiqué à plusieurs reprises des informations contradictoires s'agissant des données qui figurent sur la carte ?

Les chercheurs de l'UCL n'ont fait que mettre en évidence la distorsion entre les déclarations faites par les instances et les informations qui figurent effectivement sur la carte. Vous-même avez déclaré au sein de ce parlement que : "Les trajets ne sont pas enregistrés au niveau de la carte MOBIB mais le sont au niveau du valideur." Or, les trajets sont bel et bien enregistrés au niveau de la carte. Vous avez également dit ceci : "Il s'agit aussi d'une garantie permettant d'éviter les vérifications d'itinéraires par les contrôleurs." Or, les chercheurs ont mis en évidence que ces informations se trouvent bel et bien sur la carte MOBIB.

Aujourd'hui, vous ne voyez pas où est le problème lié au fait que l'on puisse suivre une personne et savoir où elle s'est rendue. Si vous n'y voyiez pas d'inconvénient, vous n'auriez pas évoqué précédemment l'impossibilité de vérifier les itinéraires.

Ce que vous affirmez aujourd'hui est enles informations afin de réprimer la fraude. Comment la STIB procède-t-elle pour la réprimer actuellement ? Ses équipes de contrôleurs sillonnent les transports en commun ; elle a instauré l'obligation de monter à l'avant des bus, et prévu l'installation de portiques, auxquels je ne suis d'ailleurs personnellement pas favorable, ceci pour d'autres raisons.

M. Pascal Smet, ministre.- C'est votre droit.

Mme Céline Delforge.- Ne faites pas passer pour indispensables des pratiques qui n'existaient pas ou n'existent pas encore pour tous les cas de figure. Pourquoi est-il impossible de disposer de cartes MOBIB anonymes pour tous les titres de transport, hormis les abonnements ? Pourquoi les cartes d'abonnement doivent-elles obligatoirement comprendre les données relatives aux trois derniers trajets ?

Vous ne m'avez pas répondu concernant vos déclarations précédentes dans cette commission, reprises d'ailleurs par le compte rendu, relatives à la traçabilité des déplacements de l'usager par un contrôleur à partir de sa carte MOBIB. Vous n'avez pas non plus expliqué la raison pour laquelle il serait si fastidieux d'instaurer des cartes anonymes rechargeables comme titres de transport.

J'aimerais par ailleurs que vous cessiez de vous cacher derrière les dispositifs déjà existants qui permettent la traçabilité de nos vies. Peu m'importe ce qui se passe ailleurs. Je m'inquiète aujourd'hui d'une carte obligatoire pour quiconque veut utiliser les transports en commun.

(…) ' Mme Céline Delforge.- Cela s'est pourtant souvent fait et on n'a pas vu d'employeur aller en prison pour cela.

M. Pascal Smet, ministre.- Quand des plaintes sont déposées, ils payent. Il y a déjà eu des condamnations à ce propos. En outre, des cartes anonymes seront disponibles. Les cartes de un et dix voyages sont anonymes. Je veux bien demander à la STIB d'envisager la possibilité de réaliser des cartes anonymes bien que cela risque d'exiger davantage de travail. Nous avons fait un choix d'uniformité. Je répète que les données sont dans deux banques de données séparées.

Ce sont toujours les mêmes milieux qui s'opposent à ce genre de cartes. Ils étaient également opposés aux caméras dans les stations.

Mme Céline Delforge.- Quels sont ces milieux ?

M. Pascal Smet, ministre.- Ce n'est pas à moi de les définir. Ce sont les mêmes qui s'opposent farouchement aux caméras de surveillance dans les stations. On peut poser des questions à ce propos ; il s'agit même d'un devoir pour un parlementaire. Mais quand la réponse est fournie, il faut en mesurer la proportionnalité.

En conclusion, la STIB est tenue de respecter la législation sur la vie privée. La Commission l'a validé. Et j'ai dit à la STIB qu'elle devait s'adapter si cela posait le moindre problème à la Commission. J'estime que c'est à cette Commission de la vie privée de fixer les normes. Si c'est en ordre pour eux, ça l'est également pour moi. Nous disposons de lois relatives au respect de la vie privée, qui sont assez strictes.

Pour le reste, je ne peux que vous conseiller de changer de combat puisqu'il existe d'autres cartes qui pourraient vous intéresser davantage.

Mme Céline Delforge.- Beaucoup d'usagers apprécieront que vous trouviez que c'est un mauvais combat. Nous allons donc laisser une série de personnes continuer à s'inquiéter.