Le billet de ferry semble une chose simple : nom, destination, heure de départ, cabine ou pont. À l’époque numérique, pourtant, chaque billet est aussi un petit ensemble de données. Il indique où nous voyageons, quand nous voyageons, de quelle manière, avec quel véhicule, éventuellement avec quel animal de compagnie, et dans certains cas il se rattache à des droits de réduction, de subvention ou de prestations sociales.

L’avis 5/2026 de l’Autorité grecque de protection des données à caractère personnel sur le nouveau système d’émission des billets de ferry met précisément ce sujet sur la table. La modernisation des transports maritimes est légitime. Mais la collecte de données doit avoir un objectif clair, respecter la proportionnalité, la sécurité et des limites.

Le projet concerne la création et le fonctionnement d’un système d’information intégré pour les réservations de places, l’émission de billets passagers, les documents de transport de véhicules et les autres documents de transport maritime. Le système devrait inclure des données relatives aux passagers, aux nourrissons, aux véhicules, aux grands animaux de compagnie et aux objets.

En termes simples, l’État et les organismes concernés veulent un environnement numérique plus organisé pour les transports maritimes. Cela peut aider à la sécurité, à la gestion des places, à la vérification des données, au traitement statistique et à des politiques comme la compensation du coût insulaire. Le problème n’est pas la numérisation. Le problème est de savoir jusqu’où elle va.

L’Autorité n’a pas dit que le système était inutile ou illégal dans son principe. Elle a reconnu des objectifs légitimes d’intérêt public. Elle a toutefois demandé une définition plus claire des finalités de traitement, une limitation des données collectées, une documentation spécifique pour les usages liés à la prévention et à la répression des infractions, ainsi qu’un réexamen de la conservation des données pendant cinq ans.

Dans le RGPD, le principe fondamental est simple : on ne collecte pas des données parce qu’elles pourraient peut-être servir un jour. On collecte ce qui est nécessaire pour une finalité précise, légale et claire. Lorsque les finalités sont nombreuses et différentes, sécurité de la navigation, statistique, subventions, vérification des données, prévention d’infractions, il faut expliquer quelles données sont nécessaires pour chacune.

Les données de déplacement peuvent révéler plus qu’il n’y paraît. Des voyages fréquents vers une île précise peuvent indiquer un lieu de travail, une relation familiale, un besoin médical, une propriété ou un choix personnel. Des voyages à certaines dates peuvent être liés à une activité politique, religieuse ou syndicale. Le transport d’un véhicule en dit davantage sur l’identité et les habitudes du passager.

Cela ne signifie pas que toutes ces données sont automatiquement des catégories particulières de données. Cela signifie toutefois que la concentration et la conservation prolongée des données de déplacement créent un profil. Et lorsqu’un profil est créé, la protection ne peut pas rester au niveau de garanties générales.

Un détail passé presque inaperçu est que le système couvre aussi les documents concernant les grands animaux de compagnie. Pour la plupart des gens, cela paraît amusant ou secondaire. En protection des données, pourtant, même de telles informations peuvent être combinées à d’autres éléments et renforcer un profil de passager.

La question n’est pas de savoir si le transport d’un animal doit être dissimulé. Le navire doit organiser un transport légal et sûr. La question est de savoir si cette information doit être stockée de manière centralisée, pour combien de temps, avec quel accès et à quelles fins au-delà du transport lui-même.

La durée de conservation est l’un des éléments les plus critiques. Si une donnée est nécessaire pour accomplir le voyage, son utilité peut cesser rapidement. Si elle est nécessaire à des fins fiscales ou comptables, une conservation plus longue peut se justifier. Si elle sert à la statistique, l’anonymisation ou la pseudonymisation peut peut-être être utilisée.

L’Autorité grecque de protection des données demande que la durée soit liée à chaque finalité. C’est juste. Il n’existe pas une durée adaptée à tout. Cinq ans peuvent être légaux pour certaines données et excessifs pour d’autres. Le bon système doit distinguer.

Le point le plus important n’est pas de savoir si le billet portera un nom. Il est de savoir qui décide ce qui est collecté, pourquoi, combien de temps c’est conservé et qui peut le voir. Dans un système de réservations maritimes interviennent l’État, les autorités portuaires, les compagnies, les plateformes, les prestataires techniques et d’éventuelles interconnexions avec d’autres bases. Si le citoyen ne sait pas à qui s’adresser, le droit d’accès, de rectification ou d’effacement devient théorique.

Voyons-le concrètement. Un passager se rend souvent sur une île parce qu’il s’occupe d’un parent âgé. Le billet indique dates, ports, trajets, accompagnants, peut-être véhicule ou animal de compagnie. Chaque élément pris isolément semble innocent. Tous ensemble, sur la durée, peuvent dessiner une carte de vie : quand il s’absente de son domicile, quelle famille il visite, s’il voyage pour raison de santé, de travail ou de besoin personnel.

C’est là que se trouvent l’essence de l’avis et celle du RGPD : il ne suffit pas qu’il existe une raison de sécurité. Cette raison doit être précise, nécessaire et proportionnée. Il y a une différence entre conserver les données pour émettre un billet et effectuer le contrôle d’embarquement, et les conserver pendant des années sans finalité claire, accès déterminé, besoin documenté ni réelle possibilité pour le citoyen de contrôler ce qui se passe.

Une loi sérieuse doit d’abord retrancher le superflu. Elle doit demander seulement les données nécessaires au stade précis du déplacement et séparer les finalités : émission du billet, sécurité, statistique, contrôle, urgence. Tout ne doit pas être placé dans le même contenant parce que cela arrange l’administration.

Ensuite, elle doit fixer une durée de conservation claire par catégorie de données. Cinq ans peuvent être excessifs pour une simple trace de voyage et peut-être insuffisants ou sans rapport avec une autre finalité. La bonne solution n’est pas un chiffre unique pour tout, mais une justification : pourquoi cette donnée, pour cette finalité, pendant cette durée.

Troisièmement, il faut un accès par rôles et une trace de contrôle. L’agent qui émet le billet n’est pas l’autorité portuaire agissant lors d’un incident, ni le prestataire technique. Chaque accès doit laisser une empreinte, faute de quoi la sécurité peut facilement devenir surveillance générale sans responsabilité.

La protection des données devient compréhensible lorsque le lecteur se voit au port, téléphone à la main, donnant des informations dont il ne se souviendra peut-être même plus demain. La technologie accélère les transports. La loi doit veiller à ce qu’ils ne deviennent pas plus opaques.