Politique générale de confidentialité

Dans le cadre de ses activités, la Régie Autonome des Transports Parisiens (RATP), Etablissement public à caractère industriel et commercial, RCS de Paris n° 775 663 438 54, quai de la Rapée 75599 PARIS CEDEX 12, est amenée à traiter les données à caractère personnel (« données personnelles ») de ses clients, prospects, usagers, prestataires, fournisseurs, candidats, visiteurs, riverains ou toute autre partie prenante. En tant que responsable de traitement, la RATP accorde une importance particulière à la protection de vos données personnelles et en fait une véritable priorité dans le cadre de ses activités quotidiennes. La RATP s’engage ainsi à traiter vos données dans le respect de la règlementation en vigueur, notamment le Règlement général (UE) 2016/679 du 27 avril 2016 (Règlement Général sur la Protection des Données ou « RGPD ») et la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés telle que modifiée. Pour y veiller, la RATP s’est dotée d’une organisation interne dédiée à la gestion de la conformité avec la règlementation en vigueur impliquant l’ensemble des métiers concernés et des organes de gouvernance. Ainsi, dès 2008, la RATP avait désigné un Correspondant Informatiques et Libertés et, depuis le 25 mai 2018, un Délégué à la protection des données. Ce dernier veille au respect de la règlementation en vigueur, conseille et sensibilise l’ensemble des collaborateurs des réseaux RATP et traite notamment les demandes d’exercice des droits des personnes.

Quelles sont les informations que nous sommes susceptibles de collecter à propos de vous et pour quelles finalités ?

La RATP est amenée à collecter différentes catégories de données personnelles vous concernant, que ce soit de manière directe auprès de vous, ou indirecte au travers de l’ensemble de son système d’information relatives notamment à vos données d’identification, données professionnelles (pour candidatures), données de localisation, données de paiement ou encore les données liées à votre Passe Navigo. 
Certaines données traitées sont dites sensibles (par exemple les données d’infraction ou liées à des difficultés sociales) et ne sont traitées que si elles sont nécessaires eu égard à la finalité de certains traitements.

Ainsi, des données vous concernant sont susceptibles d’être traitées, en vue essentiellement d’assurer : 

  • La gestion du recrutement (gestion des candidatures spontanées et en réponse à des offres d’emploi)
  • La gestion et le suivi de la relation client et notamment  
    • La gestion de la relation contractuelle 
    • Le traitement des sollicitations et réclamations clients et des demandes de médiation
    • La gestion des opérations de service après- vente
    • La réalisation d'analyses statistiques d'utilisation des réseaux
    • La mesure de la qualité du fonctionnement du système billettique
    • La gestion des objets perdus/ trouvés sur le réseau
    • La gestion du programme relationnel maRATP et de ses abonnés, l’envoi des newsletters ou des alertes trafic 
    • La gestion des interactions avec les usagers via les blogs et réseaux sociaux 
    • L’amélioration de la connaissance client et l’offre de nouveaux services
  • La gestion et le suivi de la sécurité au sein de ses locaux et de son réseau : à savoir,
    • La gestion des accès et de la circulation sur le réseau RATP des agents, prestataires, visiteurs…  
    • La mise en place d’une vidéoprotection des espaces à des fins de sécurité des biens et des personnes, régie par le Code de la Sécurité intérieure ; 
    • La gestion des alertes de sécurité sur son réseau ; 
    • La prévention des incidents et la constatation des infractions dans le cadre des interventions des agents du service interne de sécurité de la RATP via l’utilisation de caméras mobiles
    • L’enregistrement d’appels sur les interphones en station. 
  • Le suivi des actions de prévention sociale et de solidarité 
    • Le suivi des actions de prévention sociale en collaboration avec les acteurs des territoires 
    • Le suivi des personnes sans-abris sur le réseau et des demandes d’hébergement
  • La gestion et la prévention des contentieux et infractions : à savoir, 
    • La gestion, le suivi et le recouvrement des procès-verbaux d’infraction ; 
    • La gestion des dossiers juridiques et judiciaires;
    • La gestion des données de validations dans le cadre de la fraude technologique. 
  • La gestion des accidents survenus sur le réseau :
    • La gestion des dossiers d’assurance ;
    • La gestion de la mission d’assistance aux victimes dans le cadre des accidents survenus sur les réseaux
  • La gestion des jeux- concours et évènements organisés par la RATP
  • La gestion des sondages et enquêtes et concertations publiques
    • La mesure de la satisfaction client
    • Le recueil des avis des habitants/voyageurs/institutions sur la création/ modification d'infrastructures sur le réseau
    • L’amélioration du service de transport auprès des personnes à mobilité réduite 
  • Le suivi de l’utilisation des sites web, blogs et applications de la RATP
  • La gestion des fournisseurs de la RATP
    • Gestion des fournisseurs et des candidats à des marchés via le portail Achats du site Internet de la RATP
    • Gestion de la facturation
    • Traitements dans le cadre des obligations légales de « due diligence » 
    • Evaluation des performances dans le cadre de certains marchés 
  • La gestion des relations institutionnelles (acteurs du territoire)
  • La gestion des demandes d’exercice de droits des personnes concernées (règlementation relative à la protection des données)
  • Expérimentations sur le réseau 

Lorsque des expérimentations sont mises en place sur le réseau RATP, celles -ci font l’objet d’une information dédiée sur le site web RATP et/ou dans les espaces concernés. 

Dans quel cadre légal ces données sont-elles traitées ?

La RATP procède à ces différents traitements dans la mesure où certains : 

  • sont nécessaires à l’exercice de la mission d’intérêt public dont elle est investie ; 

Il s’agit essentiellement des traitements effectués en vue du contrôle des titres de transports ; de la gestion des objets trouvés sur les réseaux ; de la gestion et du maintien des infrastructures en conditions opérationnelles ; du pilotage de la sécurité sur les réseaux notamment au travers de la vidéoprotection ; de la transmission aux services de Police de tout signalement d’événement contraire à la sécurité ; du suivi social et statistique des personnes sans domicile fixe présentes sur les réseaux. 

  • sont nécessaires à l’exécution d’un contrat ;

Il s’agit essentiellement des traitements effectués en vue de la production, personnalisation et gestion des titres de transports sur les différents réseaux ; de la gestion des fournisseurs ; de la gestion du centre d’appel, gestion du service WI-FI dans les espaces RATP, gestion de l’offre Moblity as a Service (MaaS) en Ile-de-France en partenariat avec des fournisseurs de services de mobilité. 

  • sont nécessaires aux fins de son intérêt légitime ;

Il s’agit essentiellement des traitements effectués en vue de la gestion et de l’amélioration des relations clients notamment à distance et au travers du suivi statistique de l’utilisation des applications mobiles à destination de ces derniers ; de la gestion du système de détection de la fraude technologique ; de la réalisation d’étude sur le taux de recouvrement des procès-verbaux d’infraction ; du paiement des titres de transport par un terminal de paiement électronique ; du contrôle des recettes ; de la gestion du nettoyage des espaces voyageurs en stations et en gare, gestion des flux voyageurs dans les espaces RATP. 
Ces traitements sont en effet nécessaires à la RATP afin d’exécuter au mieux ses missions, et plus particulièrement prévenir toute fraude technologique, garantir la sécurité de ses locaux et de ses systèmes informatiques, ou encore gérer et améliorer les services et informations délivrées à ses clients. 

  • sont mis en œuvre dans le cadre de l’exécution d’une obligation légale

Il s’agit des traitements de gestion des demandes d’exercice des droits des personnes concernées, des traitements dans le cadre du respect des obligations de « due diligence », des traitements mis en œuvre par des agents assermentés notamment pour la sûreté et la prévention et la constatation des infractions. 

  • ont fait l’objet d’un consentement des personnes concernées par le traitement.

Pour ces traitements, vous pouvez retirer votre consentement à tout moment, en vous désabonnant via le lien dédié dans les lettres d’information ou les alertes trafic ou dans les autres cas en contactant le Délégué à la protection des données par courriel à l’adresse : [email protected]

Qui a accès à ces données ?

En interne : 

  • le service clientèle pour le traitement des sollicitations des clients et les agents des stations et gares pour la gestion des objets perdus /trouvés ; 
  • le service marketing pour la gestion du programme relationnel maRATP, des newsletters et des alertes trafic ;   
  • le service commercial ou de communication pour la gestion des jeux-concours ; des blogs et des pages sur les réseaux sociaux
  • le service du recrutement et les opérationnels impliqués dans le processus de recrutement pour la gestion des candidatures ; 
  • le personnel habilité du service de la sécurité pour les enregistrements de vidéoprotection et la gestion des alertes de sécurité ; 
  • le service contrôle clients pour le suivi et le recouvrement des procès-verbaux d’infraction ; 
  • le service juridique pour les dossiers d’assurance et les dossiers contentieux ;
  • les personnels chargés de la maintenance applicative 

En externe : les prestataires de la RATP qui sont susceptibles d’intervenir dans le cadre de ces traitements, sous les instructions de la RATP. 
La RATP apporte un soin tout particulier au choix de ses prestataires externes et ne transfère vos données personnelles que pour les motifs nécessaires suivants : 

  • Sous-traitance, afin d’assurer un fonctionnement optimal de ses différents sites et applications et vous fournir des produits et services adaptés et de qualité, et ceci notamment en termes de relation clientèle, de paiement, de prestations marketing ou de lutte contre la fraude ; 
  • Fourniture des prestations commandées (notamment en termes de transport …). 

Combien de temps ces données sont-elles conservées ?

La RATP prend soin de ne conserver vos données personnelles que pour la durée strictement nécessaire aux finalités de leur collecte.

Ainsi, consciente de l’importance de préserver l’anonymat des déplacements des voyageurs, les traces nominatives des déplacements (horodatage - lieu de validation - n° de carte) ne sont conservées que quelques heures aux seules fins de détection de la fraude technologique. Au-delà, les données sont anonymisées à des fins statistiques. Seul est conservé le cumul journalier des validations effectuées en entrée et/ou en sortie de nos réseaux ferrés pour le mois en cours et le mois précédent (sans lieu de validation) pour le suivi qualité des passes Navigo.

Les enregistrements de vidéoprotection, régis par les dispositions du Code de la sécurité intérieure, sont conservés quelques heures, dans la limite maximale de 15 jours. Au-delà, ils sont automatiquement effacés.

Les données des clients dans le cadre du traitement des réclamations et sollicitations sont conservées 3 ans à compter du dernier contact.

Les données des candidats sont conservées deux ans à compter du dernier contact pour permettre à la RATP d’exercer un contrôle de cohérence pendant cette durée.

Les données des participants à des jeux-concours sont conservées jusqu’à trois mois après la fin du jeu et l’attribution des lots.

Les enregistrements des communications passées depuis les interphones dans les stations sont conservés un mois.

Les données traitées dans le cadre du suivi des alertes (signalement d’anomalies sur le réseau) sont conservées pour une durée maximale d’une année.

Les données traitées dans le cadre du suivi des dossiers juridiques sont conservées toute la durée du dossier majorée de 5 ans. 

Comment les données sont-elles protégées ?

La RATP s’engage à mettre en place les mesures techniques et organisationnelles permettant de garantir la sécurité et la confidentialité des données qu’elle traite, et à choisir des partenaires et prestataires présentant de telles garanties.

Comment peuvent être exercés les droits des personnes concernées ?

Les personnes concernées par les traitements de la RATP disposent de différents droits sur leurs données à caractère personnel, à savoir :

  • Un droit d’accès, leur permettant de prendre connaissance des informations dont dispose la RATP ainsi que certaines informations visées par l’article 15 du RGPD ;
  • Un droit de rectification, leur permettant de demander à la RATP de modifier ou compléter les informations dont elle dispose en raison de leur inexactitude ;
  • Un droit d’opposition, leur permettant de s’opposer à ce que des informations les concernant soient utilisées par la RATP pour une ou plusieurs finalités déterminées, à l’exception des cas où les traitements en cause répondent à des motifs légitimes et impérieux ou sont nécessaires à la constatation, l’exercice ou la défense de droits en justice ;
  • Un droit de s’opposer à une prise de décision individuelle automatisée leur permettant de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire.
  • Un droit à la limitation du traitement, leur permettant, soit de geler temporairement l’utilisation de leurs informations par la RATP dans l’attente de l’octroi d’un autre de leurs droits au titre du RGPD, soit d’empêcher l’effacement de leurs informations par la RATP en vue de la constatation, l’exercice ou la défense de leurs droits en justice ;
  • Un droit à l’effacement, leur permettant de demander à la RATP la suppression de certaines informations, dans les conditions prévues par l’article 17 du RGPD ; et,
  • Un droit à la portabilité, leur permettant de récupérer certaines des informations dont dispose la RATP dans un format standard et opérable afin de les transmettre à un autre responsable de traitement de leur choix.

Ils peuvent exercer ces droits à tout moment en contactant le Délégué à la protection des données de la RATP

  • par courrier : Délégué à la protection des données de la RATP, 185 rue de Bercy, LT73, 75012 Paris
  • par courrier électronique à l’adresse suivante : [email protected]

Le Délégué à la protection des données de la RATP se prononcera sur la demande dans un délai maximum d’un mois, étant entendu que ce délai peut être prolongé de deux mois, en raison notamment de la complexité et du nombre de demandes.

En cas de refus de donner suite à l’exercice de l’un de ces droits, les personnes concernées sont informées des motifs de ce refus ainsi que de la possibilité d’introduire une réclamation auprès de la Commission Nationale Informatique et Liberté (CNIL) et de former un recours juridictionnel.

EXPERIMENTATIONS ACTUELLEMENT EN COURS SUR NOTRE RESEAU

Conformément à l’article L. 2251-4-1 du code des transports, modifié par les lois n° 2016-339 du 22 mars 2016 (Loi prévention et lutte contre les incivilités, contre les atteintes à la sécurité publique et contre les actes terroristes dans les transports collectifs de voyageurs) et n° 2019-1428 du 24 décembre 2019 (Loi Orientation des Mobilités), nous expérimentons jusque fin 2021 l’équipement en caméras individuelles mobiles de certains agents de notre Service Interne de Sécurité. Les conditions d’usage de ces caméras sont précisées par le décret n°2016-1862 du 23 décembre 2016.
Le traitement des données provenant des caméras a pour finalités : (1) de prévenir les incidents au cours des interventions des agents du service interne de sécurité de la RATP ; (2) de collecter des preuves pour constater des infractions et poursuivre leurs auteurs ; (3) de former ses agents de sécurité après anonymisation des séquences enregistrées.
Les séquences sont conservées pendant 6 mois à compter de leur enregistrement. Elles sont réservées à l’usage des personnes chargées de les traiter en raison de leurs fonctions et ne peuvent être communiquées qu’aux autorités légalement habilitées.

Pour plus d’informations sur ces expérimentations ou pour l’exercice de vos droits d’accès, de rectification, d’opposition et, le cas échéant, de vos droits de portabilité, de limitation ou d’effacement, vous pouvez vous adresser à notre Délégué à la protection des données à l’adresse : [email protected]