• Carte Mobib: Big Brother is watching you?

    J’ai interpellé, ce mercredi 29 juin, en Commission de l’infrastructure, Pascal Smet, notre Ministre chargé de la Mobilité, sur la protection des données de la carte Mobib de la STIB. Celui-ci a pris en compte certaines de mes propositions…

    On compte aujourd’hui plus d’1,7 million de cartes Mobib en circulation dans notre pays[1]. Lancée en 2008, cette carte a bien sûr permis de réduire très utilement l’utilisation des tickets papier et elle a fait rentrer, un peu plus encore, la STIB dans la modernité.

    Pourtant, ce progrès s’accompagne d’un danger réel : celui de la récolte et du stockage de données ressortissant à la vie privée. Depuis 2009, des chercheurs de l’UCL avaient déjà pointé des failles dans le système Mobib et ils dénonçaient la faible protection des données. Cette question avait ainsi fait l’objet de débats lors de la législature précédente.

    Plus récemment, ce sont 5 étudiants de l’ULB  qui ont pointé le manque de transparence en terme de conservation de données par la STIB[2]. Il semble que les données de validation récoltées sur la carte à puce RFID de la Mobib soient facilement lisibles, à l’aide d’un logiciel disponible sur internet et d’un lecteur de carte RFID (coûtant une centaine d’euros).

    Il va de soi que je ne doute absolument pas de l’utilité des informations récoltées par la STIB, via le système de la carte Mobib. Celles-ci apportent des informations sur les usagers et leurs comportements, ce qui permet aussi d’adapter l’offre à la vie réelle des usagers des transports en commun.

    C’est plutôt la question de la protection de ces données qui me pose question. J’en veux, pour seul exemple, que M. Stefan Verschuere (vice-président de la Commission de la protection de la vie privée) et M. Manuel Lambert (conseiller juridique de la Ligue des droits de l’homme) ont récemment expliqué, de façon rigoureuse et crédible, qu’il existe de nombreux zones d’ombre concernant la gestion et l’utilisation de ces données[3].

    J’ai donc posé différentes questions au Ministre.

    Quel est le délai de conservation des données de validations sur la carte Mobib, en tant que telle ?

    Ces données concernent-elles uniquement les derniers trajets effectués par l’utilisateur ou d’autres données sont-elles également conservées ?

    Y a-t-il une distinction entre les données contenues sur une carte « Mobib Personnelle » et une « carte Mobib Basic »?

    Quelles sont les principales raisons invoquées par les services de police, le Parquet et les autorités d’instruction pour accéder aux informations de validation contenues sur la carte et dans les bases de données de la STIB?

    Concernant la conservation des données, la STIB dispose de deux bases de données. L’une concerne les données clients et l’autre récolte les données de validation. Le but de la base « validation » est de lutter contre la fraude et les données sont conservées pour une période de 6 mois. Pouvez-vous nous expliquer les raisons de cette durée de 6 mois ?

    Ne pourrait-on pas réduire ce délai à une période plus courte, par exemple un à deux mois, afin de créer un meilleur équilibre entre les intérêts de la STIB et ceux des usagers ?

    Où sont stockées les données ainsi récoltées ? Qui est chargé de stocker ces données ? S’agit-il d’un service interne ou externe à la STIB ?

    Tout ou partie de ces données sont-elles transférées vers d’autres institutions, qu’elles soient publiques ou privées ?

    Les serveurs sur lesquels sont stockés les informations clients et les données de validation font-ils l’objet d’un audit de sécurité ? Si oui, ces audits sont-ils organisés par la STIB elle-même ou par une société externe ?

    Puisque ces failles semblent être connues depuis le lancement de la carte Mobib, quelles sont été les actions déjà entreprises par la STIB pour renforcer la sécurité des cartes et des données récoltées ?

    Enfin, la conservation de ces données doit-elle être considérée comme un « traitement de données à caractère personnel » au sens de l’article 2, b) de la Directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ?

    Dans l’affirmative, peut-on alors considérer que la STIB est un « responsable du traitement » au sens de l’article 2, d) de la Directive précitée ? Et de même, la STIB a-t-elle déjà eu l’occasion de recevoir de la part des détenteurs d’une carte MOBIB des demandes d’accès aux informations conservées, voire des demandes d’opposition quant au traitement de leurs données personnelles ?

    Dans ses réponses, le Ministre a expliqué que la carte renferme deux types de données. D’abord des données techniques cryptées qui servent au bon fonctionnement de la carte et aux opérations de validation; ensuite, des informations relatives aux coordonnées de base du porteur et au type de contrat de transport qu’il a avec la Stib, à quoi s’ajoute, au maximum, trois données relatives aux dernières validations, conservées elles pour une durée de 6 mois, eu égard au type de contrat.

    Le ministre explique également que ce qui s’est passé avec la carte ne relève pas d’une forme de piratage, mais de l’utilisation d’une technique connue depuis les années 2008, permettant de lire les secondes informations de la carte. Par ailleurs, depuis 2015, le ministre mentionne qu’une seule donnée de validation est accessible, en sorte de voir de quel type de contrat il s’agit. Ces données restent donc dans le système, durant un laps de temps de 6 mois.

    Pour ce qui relève du stockage, celui se fait via deux bases de données distinctes.  Une première base reprend uniquement les données clients et l’autre reprend les données de validation, tel qu’on vient de le voir et sans lien entre elles.  Ce stockage sert notamment à des fins statistiques et l’identité du client est totalement inaccessible. Les deux bases de données sont protégées et un nombre limité de personnes, ayant mandat de la Stib, sont habilités à les consulter, selon des critères précis.  Soit les demandes viennent du client, soit les demandes viennent de la justice. Dans ce cas, un croisement entre les deux bases de données peut se faire.

     Les données de validation des clients sont conservées pendant six mois, en sorte de répondre aux demandes du service après-vente et également aux demandes émanant du service de la lutte contre la fraude.  Le ministre fait d’ailleurs observer que cette conservation des données, dans le cadre d’un tel délai, est particulièrement utile pour les services de police et pour les services de la justice, comme c’est notamment le cas dans les événements tragiques qui se sont déroulés à Bruxelles. Le stockage des données se révèle donc extrêmement important, d’autant que les demandes dépassent souvent le seul délai d’un mois.

    Les autres données – qui relèvent donc uniquement des statistiques – sont conservées de façon illimitée mais, dans ce cas, il y a un effacement complet des données relatives aux clients et cette opération se fait via un codage de sécurité.

    Les serveurs sur lesquels les données sont conservées font l’objet d’une haute surveillance, en matière de sécurité. Une revue de sécurité a par ailleurs été faite en 2014, en sorte de sécuriser le plus possible les serveurs qui renferment les données.  Un audit externe de sécurité, mené par une firme extérieure à la Stib et en concertation avec la Commission de la protection de la vie privée,  aura par ailleurs lieu dès septembre 2016. Il concernera toute la chaîne de stockage des données.

    La Stib est la seule responsable du traitement et de la gestion de ces données,  qui sont considérées comme relevant ici du traitement de “données à caractère personnel”. Mais, elle se conforme aux procédures, aux finalités et aux exigences de la Commission de protection de la vie privée.

    Une distinction existe entre la carte Mobib personnelle et la carte Mobib Basic car celle-ci ne contient aucune donnée à caractère personnel. Par contre, toutes les deux comportent des données relatives aux validations des voyageurs en fonction du type de contrat, selon les procédures de stockage qui ont été mentionnés plus haut. La Stib ne transfert pas ces données, sauf sur demande de la police et de la justice. Elle ne compte pas le faire!

    Les failles dont on a parlé ne correspondent pas exactement à des failles au sens propre car la carte Mobib répond à un standard international et il est donc normal que des procédures de lecture soient possibles, avec de nombreux appareils. Mais les données cryptées, quant à elles, ne sont absolument pas accessibles.

    La Stib  répond, comme dit plus haut, à des demandes émanant de la police et de la justice. Elle a déjà eu des demandes de clients et elle y répond, pour autant que le client opère la demande en possession de sa carte d’identité. Ceci ne vaut pas pour la Mobib Basic qui ne renferme aucune information personnelle. Les demandes relatives à des statistiques sont, quant à elles, très rares, environ deux par an.  La majorité des demandes qui sont faites relèvent en réalité du service après-vente. Comme, par exemple, des clients qui, ayant perdu leur carte, demandent des informations relatives à leurs voyages, en sorte de répondre à des demandes émanant de leur employeur,  ou encore des clients qui cherchent la meilleure formule tarifaire et, bien entendu, des clients qui voudraient obtenir des informations rétroactives sur les prestations tarifaires de leurs voyages, notamment en vue de les contester.

    Le Ministre fait observer, à titre personnel, qu’il pense que d’autres cartes sont infiniment plus problématiques quant aux données relevant de la vie privée qu’elles renferment et qui révèlent bien des dimensions de nos vies, parfois la plus intime.

    En le remerciant pour ses réponses, j’ai fait observer au Ministre qu’il fallait peut-être réfléchir à la diminution du temps de stockage et qu’il était aussi sans doute nécessaire, pour une meilleure protection des données relevant de la vie privée, de réfléchir à la nécessité de crypter l’entièreté des données, sachant qu’en réalité seule la Stib, les services de police et de justice les utilisaient.

    Le Ministre a estimé que cette demande était justifiée et qu’il serait utile de la traiter et d’y réfléchir.

    [1] Le Soir, mardi 10 mai 2016, p. 23.

    [2] Le Soir, samedi 7 et dimanche 8 mai 2016, p. 5.

    [3] Le Soir, mardi 10 mai 2016, p. 23.