Délibération 2013-010 du 10 janvier 2013

Délibération n° 2013-010 du 10 janvier 2013 autorisant la société VOYAGES-SNCF.COM à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la détection et la prévention des fraudes relatives aux commandes

(Demande d’autorisation n°1601357)
La Commission nationale de l’informatique et des libertés,
Saisie par la société VOYAGES-SNCF.COM d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la détection et la prévention des fraudes relatives aux commandes ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 25-I°4) ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Sur la proposition de M. Jean-François CARREZ, rapporteur, et après avoir entendu les observations de Mme Catherine POZZO Di BORGO, commissaire du Gouvernement,
Formule les observations suivantes :

Sur le responsable du traitement
Le responsable de traitement est la société VOYAGES-SNCF.COM, filiale de la Société Nationale des Chemins de Fer (SNCF).
Sur la finalité
La finalité du traitement est la détection et la prévention des fraudes à la carte bancaire lors d’achat de titres de transport ferroviaire sur les sites www.voyages-sncf.com et TGV Europe, ainsi que sur leurs portages sur terminaux mobiles. Pour ce faire, la société VOYAGES-SNCF.COM a recours à un outil d’évaluation des risques présentés par ce type de transaction.
La société souhaite également mettre en place une liste noire pour les cas de commandes impayées. Les personnes figurant sur cette liste ne pourront plus passer de commande tant qu’elles n’auront pas réglé les sommes impayées.
La Commission estime que la finalité poursuivie est déterminée, légitime et explicite.
Elle considère qu’il y a lieu de faire application des dispositions de l’article 25-I-4° de la loi du 6 janvier 1978 modifiée qui soumet à autorisation les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire.
Sur les données traitées
La société recourt à un outil d’évaluation des risques lorsqu’elle ne peut utiliser le dispositif 3D Secure (canal de vente ne permettant pas l’utilisation de 3D Secure ou client n’ayant pas donné son numéro de téléphone portable).
Dans ce cadre, les données collectées sont les suivantes :
  • Données relatives à l’identification : identifiant, nom, prénom, date de naissance, adresse électronique, adresse, numéro de téléphone ;
  • Données de connexion : adresse IP horodatée ;
  • Informations d’ordre économique et financière : date et heure de la transaction, montant et numéro de la transaction, type et numéro (crypté) de la carte bancaire, date d’expiration, monnaie de la commande ;
  • Informations relatives à la commande : adresse d’expédition, panier mixte (montant, nom du partenaire), temps avant le départ, type de produit, itinéraire, villes de départ et d’arrivée, pays de départ et d’arrivée, programme de fidélité, type de billet (aller-retour).
Lorsque le dispositif 3D Secure peut être utilisé, seul le résultat 3D Secure est collecté et traité.
Dans le cas de commande générant un impayé, l’adresse électronique et le numéro de carte bancaire attachés à la commande sont inscrits dans la liste noire.
La Commission considère que ces données sont pertinentes au regard de la finalité poursuivie.
Sur les destinataires
Seuls les personnels habilités du service des fraudes de la société VOYAGES-SNCF.COM sont destinataires de ces données dans la limite de leurs attributions.
Ces destinataires n’appellent pas d’observations de la part de la Commission.
En outre, la Commission observe qu’une partie du traitement est réalisée par un sous-traitant. Elle prend acte que les données ne sont pas communiquées à d’autres personnes susceptibles de recourir aux services proposés par ce sous-traitant. Conformément à l’article 35 de la loi du 6 janvier 1978 modifiée, les données ne peuvent faire l’objet d’une opération de traitement de la part d’un sous-traitant que sur instruction du responsable de traitement.
Sur l’information et le droit d’accès
Les personnes concernées sont informées préalablement à la mise en œuvre du traitement, conformément aux dispositions de l’article 32 de la loi du 6 janvier 1978 modifiée, par une mention figurant dans les conditions générales.
En cas d’inscription dans la liste noire des impayés, les personnes concernées en sont informées au moment même de l’inscription et peuvent présenter leurs observations en contactant le service client.
Les droits d’accès et de rectification s’exercent auprès du service clients de la société VOYAGES-SNCF.COM, 2, place de la Défense – CNIT 1 – BP 440 PARIS LA DEFENSE.
La Commission estime que ces modalités d’information et d’exercice des droits sont satisfaisantes.
Sur les mesures de sécurité
Des profils d'habilitation sont prévus afin de gérer les accès aux données autant que de besoin. Les utilisateurs ayant accès au traitement sont authentifiés au moyen d’un mot de passe ayant un niveau de complexité suffisant, et régulièrement renouvelé.

Les données sont transmises chiffrées au sous-traitant situé aux Etats-Unis, et celui-ci conserve les numéros de cartes bancaires sous forme chiffrée.
Les communications intervenant sur le réseau informatique interne sont filtrées.
Les interventions de maintenance font l'objet d'une traçabilité.
Une journalisation des opérations de consultation, création et modification du traitement est réalisée. Ces journaux sont conservés pendant 10 jours avec accès immédiat, puis sont archivés pendant 1 an.
Les autres mesures de sécurité mises en place n’appellent pas d’observation de la part de la Commission.
Sur les autres caractéristiques du traitement
Pour le traitement de détection et de prévention des fraudes, une alerte est déclenchée dans les cas suivants :
  • Utilisation d’une carte volée ;
  • Inscription dans la liste noire des impayés ;
  • Dépassement d’un montant maximum d’achat ;
  • Cumul de critères identifiés comme pouvant caractériser un comportement frauduleux. Les critères pris en compte pour l’analyse des risques présentés par la commande prennent en compte les données mentionnées supra et sont basés sur des règles de fréquence et de récurrence sur une période donnée.
En cas de transaction identifiée comme présentant un risque de fraude, le service des fraudes de la société VOYAGES-SNCF.COM procède à une analyse manuelle des éléments de la commande afin de confirmer ou non le caractère frauduleux. Si les vérifications complémentaires permettent d’écarter les risques de fraude, la commande se poursuit normalement. Dans le cas contraire, elle est bloquée. Le client en est informé et est invité à utiliser un autre moyen de paiement et/ou un autre canal de vente pour effectuer l’achat. Il peut à cet égard présenter ses observations en contactant le service clients par courrier électronique ou par téléphone.
Conformément aux dispositions de l’article 10 de la loi du 6 janvier 1978 modifiée, aucune décision à l’égard d’une personne ne sera prise sur le seul fondement de ce traitement et les résultats font l’objet d’une analyse au cas par cas par les personnels habilités du service des fraudes de la société VOYAGES-SNCF.COM.
Par ailleurs, les données sont conservées pendant une durée de 90 jours dans la base active, puis elles sont archivées pendant une durée de deux ans. Les données figurant dans la liste noire sont également conservées pendant une durée de deux ans.
La Commission estime que ces durées de conservation sont pertinentes au regard de la finalité poursuivie par le traitement.

Autorise, conformément à la présente délibération, la société VOYAGES-SNCF.COM à mettre en œuvre le traitement susmentionné.
La Présidente
Isabelle FALQUE-PIERROTIN

Retourner en haut de la page