icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-list-thumbnails icon-thumbnails

Délibération n° 2017-167 du 20 septembre 2017 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion d'un service d'accès Internet via des réseaux Wifi à usage libre » présenté par Monaco Telecom S.A.M.

  • N° journal 8350
  • Date de publication 06/10/2017
  • Qualité 100%
  • N° de page

Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu le Contrat de Concession du Service Public des communications électroniques sur le territoire de la Principauté de Monaco du 26 septembre 2011 ;
Vu le Cahier des Charges relatif à la Concession du Service Public des communications électroniques sur le territoire de la Principauté de Monaco signé le 26 septembre 2011 annexé à l'Ordonnance Souveraine n° 3.560 du 6 décembre 2011 ;
Vu le Cahier des Charges de l'avenant à la Concession du Service Public des communications électroniques et ses annexes annexés à l'Ordonnance Souveraine n° 6.186 du 12 décembre 2016 ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la demande d'avis reçue le 24 mai 2017 concernant la mise en œuvre par Monaco Telecom S.A.M. d'un traitement automatisé ayant pour finalité « Gestion d'un service d'accès Internet via un réseau Wifi » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 20 juillet 2017, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 20 septembre 2017 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
MONACO TELECOM SAM, immatriculée au RCI, est un organisme de droit privé Concessionnaire d'un Service Public. Elle a notamment pour objet « d'assurer dans les relations intérieures et internationales, tous services de télécommunications. À ce titre, elle assure les activités d'opérateur public chargé de l'exploitation du service téléphonique de la Principauté de Monaco […] ».
Dans le cadre de la Concession, cette société doit mettre à disposition des « réseaux Wifi à usage libre », tels que définis à l'article 8 « Services publics de Communications Électroniques spécifiques », et qui concernent tous les types de terminaux susceptibles de se connecter à cette technologie.
Ce wifi public étant soutenu par la collecte d'informations nominatives relatives aux personnes concernées s'y connectant, il fait l'objet d'un traitement automatisé d'informations nominatives.
Ainsi, ce dernier est soumis à l'avis de la Commission conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993.
I.        Sur la finalité et les fonctionnalités du traitement
Ce traitement a pour finalité « Gestion d'un service d'accès Internet via un réseau Wifi ».
Le responsable de traitement indique que les personnes concernées sont « tout utilisateur du service Wifi à Monaco », dont les « Clients Monaco Telecom ».
Enfin, les fonctionnalités sont les suivantes :
-         création et gestion d'un compte/profil utilisateur ;
-         souscription du service ou offre ;
-         identification, authentification et accès au compte/profil ;
-         paiement de l'offre souscrite et suivi des consommations.
La Commission relève que l'authentification peut être effectuée par le biais d'un identifiant Monaco Telecom préexistant (McNomade), par un identifiant existant sur MonacoWifi, ou par le bais de comptes de réseaux sociaux (LinkedIn, Facebook, Google+, Twitter).
À cet égard, elle relève que l'identification par le biais des réseaux sociaux ne permet pas de collecte supplémentaire d'informations relatives à la personne concernée par le biais de cookies, ni ne permet la transmission auxdits réseaux d'informations propres au portail Wifi de Monaco Telecom.
En outre, le paiement en ligne s'effectue par le biais d'un prestataire établi en France et ayant effectué les formalités adéquates.
Par ailleurs, la Commission rappelle que tout traitement d'informations nominatives doit avoir une finalité « déterminée, explicite et légitime » aux termes de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
En l'espèce, la finalité du présent traitement doit être plus explicite c'est-à-dire être plus claire et précise s'agissant de l'objectif du traitement, à savoir accéder à Internet par un wifi qui est public et mis à disposition de tous par le Concessionnaire.
Par conséquent, elle modifie la finalité comme suit : « Gestion d'un service d'accès Internet via des réseaux Wifi à usage libre ».
Sous cette condition, la Commission estime ainsi que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II.       Sur la licéité et la justification du traitement
Le traitement est justifié par le consentement des personnes concernées, l'exécution d'un contrat ou de mesures précontractuelles avec la personne concernée ainsi que la réalisation d'un intérêt légitime, sans que ne soient méconnus ni l'intérêt, ni les droits et libertés fondamentaux des personnes concernées.
À cet égard, la Commission observe que l'article 8 « Services publics de Communications Électroniques spécifiques » du Cahier des Charges de l'avenant à la Concession du Service Public des communications électroniques et ses annexes annexés à l'Ordonnance Souveraine n° 6.186 du 12 décembre 2016 contient un point c) « réseaux Wifi à usage libre ».
Ce dernier met à la charge de Monaco Telecom SAM « l'exploitation des réseaux Wifi à usage libre » et définit « les usages raisonnables » pour les abonnés et les tiers en matière d'utilisation gratuite ou payante du dispositif.
Par ailleurs, elle relève que les personnes concernées s'inscrivent volontairement au service wifi après avoir accepté les conditions générales d'utilisation.
Au vu de ces éléments, la Commission considère que le traitement est justifié, conformément à l'article 10-2 de la loi n° 1.165 du 23 décembre 1993\.
III.      Sur les informations nominatives traitées
Les informations nominatives traitées sont :
-         identité : nom, prénom, date de naissance, pseudonyme, Pays de provenance ou de nationalité ;
-         caractéristiques financières : traces de paiement et transaction ;
-         données d'identification électronique : identifiant et mot de passe d'accès au service, adresse mail de l'utilisateur, identifiant MT (pour les utilisateurs clients MT), données d'identification réseau sociaux (Facebook, Twitter, LinkedIn ou Google+), adresse MAC du terminal ;
-         données d'identification électronique administrateurs : horodatage, login, IP, action ;
-         informations temporelles : données de connexion (SessionId, UserId, initTime, endTime, lastAuthTime,ipAd, macAd, apAd, authType, ctrlName, device_user_agent, device_portal_format, device_constructor_name, device_operating_system_name, device_operating_sytem_version, device_browser_name, device_browser_version, bytesIn, bytesOut, packetsIn, packetsOut, userlanguage).
À l'analyse dossier, la Commission relève que sont également collectés des cookies de fonctionnement aux fins de permettre la ré-identification de l'utilisateur. Elle en prend acte.
Les informations relatives aux traces de paiement et transaction sont communiquées par le prestataire en charge de la plateforme de paiement.
Les informations relatives à certaines données d'identification électronique et aux informations temporelles ont pour origine les données techniques du réseau.
Les autres informations collectées proviennent soit de l'utilisateur lui-même (création de compte ou renseignement d'informations clients MT), soit des données transmises par le compte d'un réseau social.
Au vu de ces éléments, et considérant les dispositions de l'article 10-1 de la loi n° 1.165, modifiée, la Commission estime que les informations traitées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement.
IV.      Sur les droits des personnes concernées
Sur l'information préalable des personnes concernées
L'information préalable des personnes concernées est effectuée par le biais d'une mention ou clause particulière intégrée dans un document remis à l'intéressé (à savoir, les conditions générales d'utilisation) et une rubrique propre à la protection des données accessible en ligne.
À la lecture des conditions générales jointes au dossier, la Commission considère que les modalités d'information préalable des personnes sont conformes aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993.
Sur l'exercice du droit d'accès, de modification et de mise à jour
Les droits des personnes concernées peuvent être exercés sur place, par courrier électronique ou par voie postale auprès du Service Client de MONACO TELECOM SAM.
À cet égard, la Commission rappelle que la réponse à ce droit d'accès doit intervenir dans le mois suivant la réception de la demande.
Par ailleurs, s'agissant de l'exercice du droit d'accès par voie électronique, la Commission considère qu'une procédure devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d'un document d'identité était demandée, la transmission et le traitement de ce document devront faire l'objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d'identité officiels.
La Commission constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.
V.       Sur les personnes ayant accès au traitement
Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
-         la Direction des réseaux en consultation, inscription, modification ;
-         le Service client en consultation et modification ;
-         le Service informatique interne en mise à jour ;
-         la Direction administrative et financière en consultation ;
-         la Direction des réseaux et services d'information en consultation.
Ainsi, considérant les attributions de chacune de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.
La Commission souligne qu'en cas de recours à des prestataires, leurs accès doivent être limités à ce qui est strictement nécessaire à l'exécution de leur contrat de prestation de service, conformément à l'article 17 de la loi n° 1.165\. De plus ils sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement.
VI.      Sur les rapprochements et interconnexions
Le responsable de traitement indique que le présent traitement fait l'objet d'une interconnexion avec le traitement ayant pour finalité « Gestion des offres composites », légalement mis en œuvre, aux fins de permettre l'identification des clients Monaco Telecom désirant se connecter au Wifi public.
VII.     Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation particulière.
Cependant, il convient de préciser que la copie ou l'extraction d'informations du système, doit être chiffrée sur son support de réception.
De plus, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
Elle rappelle également que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII.    Sur la durée de conservation
Les données objets du traitement sont conservées 5 ans après le terme contractuel en ce qui concerne les informations relatives à l'identité, et aux données d'identification électronique.
Toutefois, la Commission estime que ces durées de conservation sont trop longues pour un compte créé en ligne et dont l'objectif principal est de fournir un accès WIFI à des personnes de passage.
Elle demande donc à ce que ces informations soient effacées dès la suppression du compte utilisateur, ou si le compte est inactif depuis un an.
Les données relatives aux comptes inactifs doivent être supprimées après que la personne concernée ait été avertie préalablement à cette suppression et qu'elle ait la possibilité de manifester sa volonté contraire.
Les données permettant d'établir la preuve d'un droit ou d'un contrat, ou conservées au titre d'une obligation légale, peuvent quant à elles être conservées au maximum le temps des durées de prescriptions légales en vigueur.
En ce qui concerne les informations relatives aux caractéristiques financières, elles doivent être conservées conformément aux dispositions du Code des taxes sur le chiffre d'affaires.
Les informations temporelles sont quant à elles conservées 1 an. La Commission constate que cette durée de conservation est conforme aux exigences légales, et s'entend comme une durée proportionnée aux objectifs de l'article 10 de la loi n° 1.430, susvisée.
Après en avoir délibéré, la Commission :
Modifie la finalité du traitement par : « Gestion d'un service d'accès Internet via des réseaux Wifi à usage libre ».
Constate que sont exploitées les informations suivantes : cookies de fonctionnement aux fins de permettre la ré-identification de l'utilisateur.
Considère qu'une procédure relative au droit d'accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations.
Rappelle que :
-         les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort ;
-         la copie ou l'extraction d'informations du système, doit être chiffrée sur son support de réception.
Fixe les durées de conservation conformément au point VIII de la présente délibération.
À la condition de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion d'un service d'accès Internet via des réseaux Wifi à usage libre » par Monaco Telecom SAM.

Le Président de la Commission
de Contrôle des Informations Nominatives.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2017.10.16.10.1