Politique générale de confidentialité

Mise à jour novembre 2022
Dans le cadre de ses activités, la Régie Autonome des Transports Parisiens (RATP), Etablissement public à caractère industriel et commercial, RCS de Paris n° 775 663 438 54, quai de la Rapée 75599 PARIS CEDEX 12, est amenée à traiter les données à caractère personnel (« données personnelles ») de ses clients, prospects, usagers, prestataires, fournisseurs, candidats, visiteurs, riverains ou toute autre partie prenante. En tant que responsable de traitement, la RATP accorde une importance particulière à la protection de vos données personnelles et en fait une véritable priorité dans le cadre de ses activités quotidiennes. La RATP s’engage ainsi à traiter vos données dans le respect de la règlementation en vigueur, notamment le Règlement général (UE) 2016/679 du 27 avril 2016 (Règlement Général sur la Protection des Données ou « RGPD ») et la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés telle que modifiée. Pour y veiller, la RATP s’est dotée d’une organisation interne dédiée à la gestion de la conformité avec la règlementation en vigueur impliquant l’ensemble des métiers concernés et des organes de gouvernance. Ainsi, dès 2008, la RATP avait désigné un Correspondant Informatiques et Libertés et, depuis le 25 mai 2018, un Délégué à la protection des données. Ce dernier veille au respect de la règlementation en vigueur, conseille et sensibilise l’ensemble des collaborateurs des réseaux RATP et traite notamment les demandes d’exercice des droits des personnes.

Quelles sont les informations que nous sommes susceptibles de collecter à propos de vous et pour quelles finalités ?

La RATP est amenée à collecter différentes catégories de données personnelles vous concernant, que ce soit de manière directe auprès de vous, ou indirecte au travers de l’ensemble de son système d’information relatives notamment à vos données d’identification, données professionnelles (pour candidatures), données de localisation, données de paiement ou encore les données liées à votre Passe Navigo. 
Certaines données traitées sont dites sensibles (par exemple les données d’infraction, données de santé, ou liées à des difficultés sociales) et ne sont traitées que si elles sont nécessaires eu égard à la finalité de certains traitements.

Ainsi, des données vous concernant sont susceptibles d’être traitées, en vue essentiellement d’assurer : 

  • La gestion du recrutement (gestion des candidatures spontanées et en réponse à des offres d’emploi)
  • La gestion et le suivi de la relation client et notamment  
    • La gestion de la relation contractuelle 
    • Le traitement des sollicitations et réclamations clients et des demandes de médiation
    • La gestion des opérations de service après- vente
    • La réalisation d'analyses statistiques d'utilisation des réseaux
    • La mesure de la qualité du fonctionnement du système billettique
    • La gestion des objets perdus/ trouvés sur le réseau
    • La gestion de l'envoi des newsletter maRATP et de ses abonnés
    • La gestion des interactions avec les usagers via les blogs et réseaux sociaux 
    • L’amélioration de la connaissance client et l’offre de nouveaux services
  • La gestion et le suivi de la sécurité au sein de ses locaux et de son réseau : à savoir,
    • La gestion des accès et de la circulation sur le réseau RATP des agents, prestataires, visiteurs…  
    • La mise en place d’une vidéoprotection des espaces et véhicules à des fins de sécurité des biens et des personnes, pour des finalités régies par le Code de la Sécurité intérieure ainsi qu’aux fins de sécurité ferroviaire et d’aide à l’exploitation pour assurer la sécurité des usagers et prévenir les incidents et accidents ; 
    • La gestion des alertes de sécurité sur son réseau ; 
    • La prévention des incidents et la constatation des infractions dans le cadre des interventions des agents du service interne de sécurité de la RATP via l’utilisation de caméras mobiles
    • L’enregistrement d’appels sur les interphones en station. 
  • Le suivi des actions de prévention sociale et de solidarité 
    • Le suivi des actions de prévention sociale en collaboration avec les acteurs des territoires 
    • Le suivi des personnes sans-abris sur le réseau et des demandes d’hébergement
  • La gestion et la prévention des contentieux et infractions : à savoir, 
    • La gestion, le suivi et le recouvrement des procès-verbaux d’infraction ; 
    • La gestion des dossiers juridiques et judiciaires;
    • La gestion des données de validations dans le cadre de la fraude technologique. 
  • La gestion des accidents survenus sur le réseau :
    • La gestion des dossiers d’assurance ;
    • La gestion de la mission d’assistance aux victimes dans le cadre des accidents survenus sur les réseaux
  • La gestion des jeux- concours et évènements organisés par la RATP
  • La gestion des sondages et enquêtes et concertations publiques
    • La mesure de la satisfaction client
    • Le recueil des avis des habitants/voyageurs/institutions sur la création/ modification d'infrastructures sur le réseau
    • L’amélioration du service de transport auprès des personnes à mobilité réduite 
  • Le suivi de l’utilisation des sites web, blogs et applications de la RATP
  • La gestion des fournisseurs de la RATP
    • Gestion des fournisseurs et des candidats à des marchés via le portail Achats du site Internet de la RATP
    • Gestion de la facturation
    • Traitements dans le cadre des obligations légales de « due diligence » 
    • Evaluation des performances dans le cadre de certains marchés 
  • La gestion des relations institutionnelles (acteurs du territoire)
    • Communication avec les acteurs institutionnels (Ile de France Mobilités, Union des Transports Publics et ferroviaires…)
    • Répertoire des parties prenantes parlementaires et gouvernementales dans la défense des intérêts de la RATP
  • La gestion des demandes d’exercice de droits des personnes concernées (règlementation relative à la protection des données)
  • Expérimentations sur le réseau 

Lorsque des expérimentations sont mises en place sur le réseau RATP, celles -ci font l’objet d’une information dédiée sur le site web RATP et/ou dans les espaces concernés. 

Dans quel cadre légal ces données sont-elles traitées ?

La RATP procède à ces différents traitements dans la mesure où certains : 

 

  • sont nécessaires à l’exercice de la mission d’intérêt public dont elle est investie ; 

Il s’agit essentiellement des traitements effectués en vue du contrôle des titres de transports ; de la gestion des objets trouvés sur les réseaux ; de la gestion et du maintien des infrastructures en conditions opérationnelles ; du pilotage de la sécurité sur les réseaux notamment au travers de la vidéoprotection ; de la transmission aux services de Police de tout signalement d’événement contraire à la sécurité ; du suivi social et statistique des personnes sans domicile fixe présentes sur les réseaux. 

  • sont nécessaires à l’exécution d’un contrat ;

Il s’agit essentiellement des traitements effectués en vue de la production, personnalisation et gestion des titres de transports sur les différents réseaux ; de la gestion des fournisseurs ; de la gestion du centre d’appel, gestion du service WI-FI dans les espaces RATP.

  • sont nécessaires aux fins de son intérêt légitime ;

Il s’agit essentiellement des traitements effectués en vue de la gestion et de l’amélioration des relations clients notamment à distance et au travers du suivi statistique de l’utilisation des applications mobiles à destination de ces derniers ; de la gestion du système de détection de la fraude technologique ; de la réalisation d’étude sur le taux de recouvrement des procès-verbaux d’infraction ; du paiement des titres de transport par un terminal de paiement électronique ; du contrôle des recettes ; de la gestion du nettoyage des espaces voyageurs en stations et en gare, gestion des flux voyageurs dans les espaces RATP. 
Ces traitements sont en effet nécessaires à la RATP afin d’exécuter au mieux ses missions, et plus particulièrement prévenir toute fraude technologique, garantir la sécurité de ses locaux et de ses systèmes informatiques, ou encore gérer et améliorer les services et informations délivrées à ses clients.

  • sont mis en œuvre dans le cadre de l’exécution d’une obligation légale

Il s’agit des traitements de gestion des demandes d’exercice des droits des personnes concernées, des traitements dans le cadre du respect des obligations de « due diligence », des traitements mis en œuvre par des agents assermentés notamment pour la sûreté et la prévention et la constatation des infractions. 

  • ont fait l’objet d’un consentement des personnes concernées par le traitement.

Pour ces traitements, vous pouvez retirer votre consentement à tout moment, en vous désabonnant via le lien dédié dans les lettres d’information ou selon les modalités indiquées lors du recueil de consentement ou bien dans les autres cas en contactant le Délégué à la protection des données par courriel à l’adresse : [email protected]

Qui a accès à ces données ?

En interne : 

  • le service clientèle pour le traitement des sollicitations des clients et les agents des stations et gares pour la gestion des objets perdus /trouvés ; 
  • le service marketing pour la gestion de l'envoi des newsletters maRATP ;   
  • le service commercial ou de communication pour la gestion des jeux-concours ; des blogs et des pages sur les réseaux sociaux
  • le service du recrutement et les opérationnels impliqués dans le processus de recrutement pour la gestion des candidatures ; 
  • le personnel habilité du service de la sécurité pour les enregistrements de vidéoprotection et la gestion des alertes de sécurité ; 
  • le service contrôle clients pour le suivi et le recouvrement des procès-verbaux d’infraction ; 
  • le service juridique pour les dossiers d’assurance et les dossiers contentieux ;
  • les personnels chargés de la maintenance applicative 

En externe : les prestataires de la RATP qui sont susceptibles d’intervenir dans le cadre de ces traitements, sous les instructions de la RATP. La RATP apporte un soin tout particulier au choix de ses prestataires externes et ne transfère vos données personnelles que pour les motifs nécessaires suivants : 

  • Sous-traitance, afin d’assurer un fonctionnement optimal de ses différents sites et applications et vous fournir des produits et services adaptés et de qualité, et ceci notamment en termes de relation clientèle, de paiement, de prestations marketing ou de lutte contre la fraude ; 
  • Fourniture des prestations commandées (notamment en termes de transport …). 

Des images issues de son système de vidéoprotection peuvent être transmises par la RATP aux forces de l’ordre dans le respect des dispositions légales et réglementaires en vigueur. En particulier, dans le cadre du Plan de Vidéoprotection de la Préfecture de Paris, la RATP peut être amenée à mettre à disposition des images aux forces de l’ordre, lors de circonstances faisant redouter la commission d'une atteinte aux biens ou aux personnes, en application des dispositions de l’article L.1632-2 du code des transports. 

Enfin, la RATP peut transmettre des données à caractère personnel dans le cadre de réquisitions judiciaires ou de tout autre demande émanant de tiers dûment autorisés par la loi et bénéficiant d’un droit de communication.

Transferts de données hors de l’Espace économique européen

La RATP s’attache à traiter dans la mesure du possible vos données au sein de l’Espace Economique Européen, dans lequel la protection de vos données est régie par le RGPD. Cette exigence se reflète notamment dans le choix de ses prestataires. Néanmoins, dans le cadre de l’utilisation de certains outils, des données personnelles sont susceptibles d’être transférées en dehors de cet Espace. Dans ce cas, les transferts ne pourront être réalisés qu’après que la RATP ait eu recours aux garanties permettant de protéger les données et notamment les Clauses contractuelles types définies par la Commission européenne pour encadrer ces transferts. Ces transferts font l’objet d’une information ad hoc aux personnes concernées dans le cadre des traitements concernés. 

Combien de temps ces données sont-elles conservées ?

La RATP prend soin de ne conserver vos données personnelles que pour la durée strictement nécessaire aux finalités de leur collecte.

Ainsi, consciente de l’importance de préserver l’anonymat des déplacements des voyageurs, les traces nominatives des déplacements (horodatage - lieu de validation - n° de carte) ne sont conservées que quelques heures aux seules fins de détection de la fraude technologique. Au-delà, les données sont anonymisées à des fins statistiques. Seul est conservé le cumul journalier des validations effectuées en entrée et/ou en sortie de nos réseaux ferrés pour le mois en cours et le mois précédent (sans lieu de validation) pour le suivi qualité des passes Navigo.

Les enregistrements de vidéoprotection, régis par les dispositions du Code de la sécurité intérieure, sont conservés pour une durée pouvant varier, selon les systèmes, de quelques heures à sept jours, et, en cas d’export dans le cadre d’une demande de consultation ou de limitation du traitement, au maximum quinze jours. Au-delà, ils sont automatiquement effacés.

Les données liées à la gestion et au recouvrement des procès-verbaux d’infraction sont conservées pour une durée pouvant aller jusqu’à six ans selon le type d’infraction et les suites données. 

Les données des clients dans le cadre du traitement des réclamations et sollicitations sont conservées trois ans à compter du dernier contact.

Les données des candidats sont conservées deux ans à compter du dernier contact pour permettre à la RATP d’exercer un contrôle de cohérence pendant cette durée.

Les données des participants à des jeux-concours sont conservées jusqu’à trois mois après la fin du jeu et l’attribution des lots.

Les enregistrements des communications passées depuis les interphones dans les stations sont conservés un mois.

Les données traitées dans le cadre du suivi des alertes (signalement d’anomalies sur le réseau) sont conservées pour une durée maximale d’une année.

Les données traitées dans le cadre du suivi des dossiers juridiques sont conservées toute la durée du dossier majorée de cinq ans. 

Comment les données sont-elles protégées ?

La RATP s’engage à mettre en place les mesures techniques et organisationnelles permettant de garantir la sécurité et la confidentialité des données qu’elle traite, et à choisir des partenaires et prestataires présentant de telles garanties.

Comment peuvent être exercés les droits des personnes concernées ?

Les personnes concernées par les traitements de la RATP disposent de différents droits sur leurs données à caractère personnel, à savoir :

  • Un droit d’accès, leur permettant de prendre connaissance des informations dont dispose la RATP ainsi que certaines informations visées par l’article 15 du RGPD ;
  • Un droit de rectification, leur permettant de demander à la RATP de modifier ou compléter les informations dont elle dispose en raison de leur inexactitude ;
  • Un droit d’opposition, leur permettant de s’opposer à ce que des informations les concernant soient utilisées par la RATP pour une ou plusieurs finalités déterminées, à l’exception des cas où les traitements en cause répondent à des motifs légitimes et impérieux ou sont nécessaires à la constatation, l’exercice ou la défense de droits en justice ;
  • Un droit de s’opposer à une prise de décision individuelle automatisée leur permettant de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire.
  • Un droit à la limitation du traitement, leur permettant, soit de geler temporairement l’utilisation de leurs informations par la RATP dans l’attente de l’octroi d’un autre de leurs droits au titre du RGPD, soit d’empêcher l’effacement de leurs informations par la RATP en vue de la constatation, l’exercice ou la défense de leurs droits en justice ;
  • Un droit à l’effacement, leur permettant de demander à la RATP la suppression de certaines informations, dans les conditions prévues par l’article 17 du RGPD ; et,
  • Un droit à la portabilité, leur permettant de récupérer certaines des informations dont dispose la RATP dans un format standard et opérable afin de les transmettre à un autre responsable de traitement de leur choix.
  • Un droit de définir des directives post mortem relatives à la conservation, à l’effacement et à la communication des données à caractère personnel. 

Ils peuvent exercer ces droits à tout moment en contactant le Délégué à la protection des données de la RATP

  • par courrier : Délégué à la protection des données de la RATP, 54 quai de la Rapée, LAC LT73, 75599 Paris cedex 12
  • par courrier électronique à l’adresse suivante : [email protected]

Le Délégué à la protection des données de la RATP se prononcera sur la demande dans un délai maximum d’un mois, étant entendu que ce délai peut être prolongé de deux mois, en raison notamment de la complexité et du nombre de demandes.

En cas de refus de donner suite à l’exercice de l’un de ces droits, les personnes concernées sont informées des motifs de ce refus ainsi que de la possibilité d’introduire une réclamation auprès de la Commission Nationale Informatique et Liberté (CNIL) et de former un recours juridictionnel.

Mesure d’audience des mobiliers publicitaires dans les espaces RATP

Dans certains espaces de la RATP est mis en place un système de mesure d’audience des mobiliers publicitaires via la collecte des adresses MAC des téléphones portables des personnes passant à proximité, par des boitiers installés à l’intérieur de ces mobiliers. Ces mesures sont réalisées sous la responsabilité de traitement de Métrobus, régie publicitaire sous contrat avec la RATP, à des fins de mesure de l’efficacité des campagnes publicitaires, et au moyen d’un dispositif de comptage opérant une anonymisation à très bref délai (quelques secondes) des données collectées afin d’une part, de rendre impossible la reconstitution de parcours individuels et d’autre part, de ne fournir à la régie que des données purement statistiques relatives à l’exposition publicitaire. Pour plus d’information sur ce dispositif ou pour l’exercice du droit d’opposition à la collecte des adresses MAC : https://www.retency.com/stats/

EXPERIMENTATIONS ACTUELLEMENT EN COURS SUR NOTRE RESEAU

Expérimentation du dispositif de caméras individuelles

Conformément à l’article L. 2251-4-1 du code des transports, et à l’article 113 de la loi n° 2019-1428 du 24 décembre 2019, nous expérimentons l’équipement en caméras individuelles mobiles de certains agents de notre Service Interne de Sécurité et des agents assermentés pour le contrôle. Les conditions d’usage de ces caméras sont précisées par le décret n°2016-1862 du 23 décembre 2016 et n° 2021-543 du 30 avril 2021.
Le traitement des données provenant des caméras a pour finalités : (1) de prévenir les incidents au cours des interventions des agents de la RATP ; (2) de collecter des preuves pour constater des infractions et poursuivre leurs auteurs ; (3) de former ses agents de sécurité après anonymisation des séquences enregistrées.
Les séquences sont conservées pendant 30 jours à compter de leur enregistrement. Elles sont réservées à l’usage des personnes chargées de les traiter en raison de leurs fonctions et ne peuvent être communiquées qu’aux autorités légalement habilitées.

Expérimentation de vidéo-patrouille sur la ligne de bus 170


Le traitement expérimenté sur la ligne 170 pour une durée d’un an (jusque novembre 2022) porte sur un dispositif du PC Sécurité du département de la sûreté de la RATP permettant d'accéder en temps réel ou léger différé aux images de vidéoprotection de systèmes embarqués installés à bord des bus de la ligne concernée, affectée par des faits de sûreté réguliers, aux fins d’une part de réaliser une "vidéo-patrouille" aléatoire, c'est à dire procéder à un visionnage aléatoire en temps réel de bus vidéoprotégés pour détecter des comportements susceptibles de porter atteinte aux biens ou aux personnes, et d’autre part de détecter des faits de sûreté par réalisation en temps réel ou en léger différé de "levées de doute" à l'issue d'une alerte machiniste. Les données audiovisuelles issues de ce traitement sont conservées 12h et sont accessibles uniquement au personnel habilité du département de la sûreté.


Pour plus d’informations sur ces expérimentations ou pour l’exercice de vos droits d’accès, de rectification, d’opposition et, le cas échéant, de vos droits de portabilité, de limitation ou d’effacement, vous pouvez vous adresser à notre Délégué à la protection des données à l’adresse : [email protected]