Confidentialité

Le sujet de la confidentialité et de la protection de la vie privée est souvent abordé dans la littérature en ce qui concerne la technologie carte à puce. L’usage des cartes à puce s’est généralisé dans la vie quotidienne des individus qui ne prennent pas forcément la mesure de l’intrusion de leur vie privée impliquée par cette technologie. Clarke (2001) aborde cette préoccupation sur la menace induite par nombre de technologies, dont la carte à puce :

« A number of developments have occurred, however, that have the effect of obscuring the data collection activity from view. One motivation for these developments has been to simplify and increase the efficiency of processes; but they also avoid the individual realising that their location and activities are being tracked. One example of such a mechanism is contactless chip-cards. These depend on movement of the card through a magnetic field, which induces a current in the antenna embedded in the card, and enables the card to process data, and to transmit data. This technology is valuable in contexts where human

15 _{Smart card basics, « Types of smart card ». Consulté le 21 février 2011. Tiré de} http://www.smartcardbasics.com/smart-card-types.html.

movement is brisk and occurs in large volumes, such as entry and exit barriers in mass transit systems. It also creates a potential for transactions to be undertaken surreptitiously. »16

Tous les auteurs ne sont pas aussi alarmistes et soutiennent que la question de la confidentialité est prise au sérieux pour gérer l’accessibilité des données et l’utilisation de l’information contre les abus potentiels, particulièrement depuis les attentats de New York du 11 septembre 2001 (Dempsey, 2008). Dans le cadre des transports, les cartes à puce permettent d’enregistrer des données de déplacements et l’action d’enrichir ces données avec d’autres informations personnelles afin de constituer des bases de données plus complètes peut permettre d’en apprendre beaucoup sur les usagers (Dempsey, 2008). Bien que ces bases de données puissent être précieuses pour les besoins d’analyses, elles peuvent tout aussi bien être utilisées de manière abusive ou à des fins malhonnêtes, ce qu’il faut limiter par différentes mesures, principalement législatives.

Dempsey (2008) utilise l’expression « société de surveillance » pour qualifier le fait que l’anonymat des individus est mis au second plan lorsque les institutions gouvernementales peuvent suivre les comportements individuels, notamment pour lutter contre le terrorisme. Cette préoccupation devient particulièrement forte lorsqu’une carte à puce unique est utilisée pour plusieurs applications. Un des principaux défis est donc de trouver un compromis entre l’utilisation des données à des fins de sécurité intérieure et le respect des libertés individuelles et de la vie privée (Dempsey, 2008).

Bien que les autorités nationales aient leur rôle à jouer dans ces préoccupations, la législation reste floue à ce sujet. Un certain nombre de recommandations à l’attention des organisations sur la politique de sécurité et de confidentialité à adopter sont énumérées sur le site internet de Smart Card Alliance17 :

16

Clarke, R. (2001). Person location and person tracking : Technologies, risks and policy implications. Information Technology & People, 14(2), 206-231.

17 _{Smart card alliance, « Alliance activities : Publications : Identity». Consulté le 22 février 2011. Tiré de} http://www.smartcardalliance.org/pages/publications-identity.

 Définir clairement la politique sur l’utilisation des données à savoir quelles données seront collectées, comment l’information sera utilisée et par qui, comment l’information sera protégée et quel contrôle l’usager pourra avoir sur l’information;

 Mettre un place un processus garantissant que l’information est exacte et que la confidentialité et l’intégrité des données sont protégées;

 Protéger en tout temps l’ensemble des informations individuelles, pendant le stockage et lors de l’utilisation;

 Protéger les identifiants (ID) de tout accès non autorisé;

 Permettre l’accès aux données seulement après une procédure d’autorisation;

 Former et suivre l’ensemble du personnel amené à avoir accès à l’information.

À titre d’exemple, Dempsey (2008) s’est intéressé au cas de la Washington Metropolitan Area Transit Authority (WMATA) qui a adopté deux politiques quand aux données qu’elle collecte par carte à puce : la Public Access to Records Policy et la Privacy Policy. La première permet, sauf exemption particulière, d’accéder aux informations dans le cadre d’inspection ou pour la reproduction et la seconde inclut trois mesures ayant trait à la confidentialité. Ces mesures visent à prévenir la révélation de l’information sans le consentement de la personne concernée, à permettre à l’individu d’accéder à ses informations personnelles et de les modifier s’il le souhaite.

Dans le but de prévenir les abus quant à l’utilisation des données de déplacement, la Commission Nationale de l’Informatique et des Libertés (CNIL), une institution française indépendante chargée de veiller au respect de l'identité humaine, de la vie privée et des libertés dans un monde numérique18, a formulé une recommandation visant à ce que :

« la collecte et le traitement d'informations nominatives par les sociétés de transport collectif dans le cadre des applications billettiques soient conformes aux principes de la loi informatique et des libertés du 6 janvier 1978.

18 _{CNIL, « Fiche pratique : la traçabilité des déplacements ». Consulté le 22 février 2011. Tiré de} http://www.cnil.fr/en-savoir-plus/fiches-pratiques/fiche/article/la-tracabilite-des-deplacements/.

La CNIL préconise notamment que les données relatives aux déplacements des personnes ne soient utilisées sous une forme permettant d’identifier les usagers que dans le cadre de la lutte contre la fraude et que pendant le temps nécessaire à la détection de la fraude, ce délai ne devant pas excéder deux jours consécutifs. » 18

De telles politiques restreignent les possibilités d’utilisation des données issues de technologies telles que la carte à puce mais ont pour vocation d’améliorer la protection de la vie privée, ce qui contribue également à renforcer la confiance des usagers envers ces systèmes (Dempsey, 2008).