Lettre envoyée le 13 novembre à Daniel Niederlander, directeur du pôle patrimoine de l'UB, au sujet de l'évolution de la carte multiservice «Pass-UBFC».

Monsieur,

Nous avons été informé·es récemment de l'évolution de fonctionnalité de la carte PASS'UBFC multiservice, outil commun, doté d’une technologie sans contact, adossé à la monétique « Izly » du CROUS. Cette carte serait à la fois une carte d'identification (carte professionnelle), une carte de mobilité et une carte « évolutive ». Nous avons également été informé·es du remplacement des badges d'accès magnétiques par le PASS'UBFC multiservice.

En rassemblant plusieurs services sur un même support, cette carte expose ses utilisateurs au risque d'utilisation frauduleuse en cas de perte. En effet, le détenteur attitré est identifié en clair sur la carte (nom, prénom, photo) et son lieu de travail est accessible à tous via l'annuaire de l'université. Une utilisation frauduleuse peut concerner l'accès à des bâtiments (avec des risques de vols ou de dégradations), l'emprunt de livres, etc. Le fait que cette carte fasse également office de porte-monnaie électronique accroît son attractivité auprès d'éventuels voleurs.

La carte Izly a récemment fait l'objet d'un article dans LE MONDE ECONOMIE, le 20.10.2017 : « Izly, l’appli du Cnous qui géolocalise des étudiants et renseigne des sociétés publicitaires ». A chaque utilisation de l'application Izly, des informations sont envoyées, que ce soit des informations de géolocalisation ou d'autres informations. Nous aimerions savoir quelle est la convention entre l'université de Bourgogne et la Caisse d'Epargne Bourgogne Franche-Comté au sujet de la carte multiservice. Quelles informations ou quelles données seront transférées ? Qu'en sera l'utilisation ?

Par ailleurs, la technologie « sans contact » n'est pas sans risque, comme le rapporte l'article du journal du CNRS de juillet 2015 : « Le paiement sans contact n'est pas sans risque ».

Jusqu'à présent, nous avions le choix de ne pas utiliser la carte multiservice pour se protéger de ces risques, mais la dématérialisation du paiement au RU, associée à une hausse des prix pour celles et ceux qui utiliseront un autre support que la multicarte, le remplacement des badges d'accès magnétiques, font que nous n'aurons pas d'autre choix que d'utiliser un support, transmettant des informations que nous ne connaissons pas, avec des failles de sécurité importantes. Qui peut nous garantir par exemple, que la Caisse d'Epargne Bourgogne Franche-Comté n'aura pas accès à nos heures d'arrivée et de départ de travail, qu'elle ne revendra pas ces données à une société tiers ?

Aussi, nous demandons que vos services nous fournissent :

• une carte multiservice dépourvue de toute marque identificatrice (une carte intégralement blanche par exemple) qui permette d'accéder à nos bâtiments. Cette carte sera accompagnée d'un document détaillant la liste des services qu'elle fournit, en particulier, les entrées de bâtiments ou de salles qu'elle contrôle ;
• une carte professionnelle dépourvue de tout support d'information électronique, portant uniquement notre identification ainsi que celle de notre employeur, afin de pouvoir justifier de notre statut lorsque cela est nécessaire ;
• une copie de la convention signée entre l'UBFC et la Caisse d'Epargne Franche-Comté ;
• la possibilité de payer avec un autre support, sans surcoût supplémentaire, dans les restaurants universitaires rattachés à la COMUE.

Nous vous prions d'agréer, Monsieur, nos respectueuses salutations.