Délibération n° 2011-66 du 18 juillet 2011 de la commission de contrôle des informations nominatives portant avis favorable sur la demande présentée par Monaco Telecom S.A.M. relative à la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité «Gestion des abonnements et services de l’activité télévision»
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’ordonnance souveraine n° 9.985 du 21 décembre 1990 approuvant la convention de concession et le cahier des charges du réseau de télédistribution ;
Vu l’ordonnance souveraine n° 16.402 du 13 août 2004 approuvant l’avenant n° 1 à la convention du 11 septembre 1990 et le cahier des charges de la Concession du réseau de télédistribution ;
Vu l’annexe à l’ordonnance souveraine n° 16.402 du 13 août 2004 - Cahier des charges de la Concession du réseau de Télédistribution - Annexe A ;
Vu l’arrêté ministériel n° 2011-183 du 25 mars 2011 relatif aux traitements automatisés d’informations nominatives mis en œuvre par les personnes morales de droit public, autorités publiques, organismes de droit privé investis d’une mission d’intérêt général ou concessionnaires d’un service public ;
Vu l’avenant n° 3 au Cahier des charges relatifs à la concession du service public des télécommunications sur le territoire de la Principauté de Monaco, en date du 17 juillet 2008 ;
Vu l’avenant n° 3 au contrat de concession du service public des télécommunications sur le territoire de la Principauté de Monaco, en date du 17 juillet 2008 ;
Vu l’avenant n° 4 au contrat de concession du service public des communications électroniques sur le territoire de la Principauté de Monaco en date du 30 septembre 2010 ;
Vu l’avenant n° 4 au cahier des charges relatif à la concession du service public des communications électroniques sur le territoire de la Principauté de Monaco en date du 30 septembre 2010 ;
Vu la demande d’avis reçue le 20 avril 2011 concernant la mise en œuvre par la S.A.M. Monaco Telecom d’un traitement automatisé d’informations nominatives ayant pour finalité «Gestion des abonnements et services de l’activité télévision» ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 15 juin 2011, conformément à l’article 19 de l’ordonnance souveraine n° 2.230, susmentionnée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 18 juillet 2011 portant analyse de la demande d’avis susvisée ;
La Commission de Contrôle des Informations Nominatives
Préambule
Le responsable de traitement, à savoir Monaco Telecom, est un organisme de droit privé concessionnaire d’un service public listé sur l’arrêté ministériel n° 2011-183 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée. Ainsi, conformément aux dispositions de l’article 7 de la loi n° 1.165, modifiée, du 23 décembre 1993, Monaco Telecom S.A.M. soumet la présente demande d’avis relative au traitement ayant pour finalité «Gestion des abonnements et services de l’activité télévision».
I. Sur la finalité et les fonctionnalités du Traitement
La finalité du traitement est «Gestion des abonnements et services de l’activité télévision». La dénomination du traitement est : «SIGMA».
Par ailleurs, les fonctionnalités du traitement sont détaillées dans les termes suivants :
• Ce traitement a pour fonctionnalités :
- Souscription d’abonnements et services proposés au titre de l’activité télévision ;
- Réalisation d’opérations administratives et commerciales liées à la gestion du compte client (Emission de factures et transmission au client par voie électronique) ;
- Suivi de consommation clients tant en matière d’abonnement au service de télévision que de commande de contenu audiovisuel (facturation détaillée) et établissement de statistiques commerciales ;
- Facturation et recouvrement de créances clients ;
- Attribution de N° de compte client ;
- Etablissement d’annuaires (cf. récépissé de mise en œuvre CCIN - n° 04.00851 / Annuaire Minitel ; cf. récépissé de mise en œuvre CCIN - N° 04.00850 / Annuaire papier ; cf. récépissé de mise en œuvre CCIN - N° 04.00852 / Annuaire internet) ;
- Etablissement de listes d’opposition (cf. récépissé de mise en œuvre CCIN - N° 04.00855 / Mise en œuvre de liste d’opposition à inscription sur annuaire minitel ; cf. récépissé de mise en œuvre CCIN - N° 04.00854 / Mise en œuvre de liste d’opposition à inscription sur annuaire web ; cf. récépissé de mise en œuvre CCIN – n° 04.00853 / Mise en œuvre de liste d’opposition à inscription sur annuaire papier) ;
- Souscription et paiement en ligne par le biais de toute interface prévue à cette fin sur le site institutionnel monaco.mc dans une rubrique avec authentification et sécurisation ;
- Consultation en ligne des comptes par Monaco Telecom et ses sous-traitants assurant le support et/ou la supervision ;
- Alimentation d’autres fichiers qui seront soumis à la Commission préalablement à la mise en œuvre notamment pour permettre l’administration et le suivi des comptes clients par Monaco Telecom et ses partenaires revendeurs identifiés par le process d’authentification et d’administration sécurisé».
Enfin, les personnes concernées sont «tous abonnés télévision fixe, analogique, ou New TV (souscripteurs et payeurs ; personnes physiques ou morales)».
Au vu de ces éléments, la Commission considère que la finalité est explicite et déterminée, conformément à l’article 10-1 de la loi n° 1.165.
II. Sur la licéité du traitement
D’après le registre du commerce et de l’industrie, MONACO TELECOM S.A.M. est une société anonyme immatriculée sous le numéro 97S03277, et dont l’activité est :
«La société a pour objet d’assurer dans les relations intérieures et internationales, tous services de télécommunications. A ce titre : Elle assure les activités d’opérateur public chargé de l’exploitation du service téléphonique de la Principauté de Monaco. Elle conçoit, établit, développe et entretient le réseau public nécessaire à la fourniture de ces services, et assure l’interconnexion de ce réseau avec les différents réseaux étrangers ou internationaux de télécommunication. En outre, elle peut : Fournir tous services, de télécommunications autres que ceux visés ci-dessus ; Etablir, exploiter et commercialiser tous réseaux indépendants ; Dans le cadre de la réglementation en vigueur, et des limites des ressources attribuées, établir et exploiter des réseaux distribuant des services de radiodiffusion sonore ou de télévision et concourir par des prises de participations, à leur exploitation ; Créer et commercialiser tous types de contenus susceptibles d’être distribués par ces réseaux ou des réseaux de même nature ; Commercialiser et entretenir tous types d’équipements terminaux ; Exercer à Monaco et à l’étranger, toutes activités qui se rattachent, directement ou indirectement, à son objet ; Commercialiser des espaces publicitaires sur les réseaux, supports et services exploités par la société. Dans le cadre de son objet, «Monaco Telecom S.A.M.» peut procéder à : La prise de participation à Monaco ou à l’étranger, dans toute société ayant une activité dans les domaines ci-dessus, ou pouvant favoriser le développement de la société ; L’acquisition, la gestion, le développement, la vente de brevets, marques ou licences se rapportant aux activités ci-dessus ; Et plus généralement, toutes opérations financières, industrielles, civiles, commerciales, mobilières et immobilières se rapportant à l’objet social ci-dessus ou de nature à en favoriser le développement».
Elle a été autorisée par arrêté ministériel n° 96-604 en date du 26 décembre 1996, portant autorisation et approbation des statuts de ladite société.
Le responsable de traitement précise par ailleurs qu’aux termes de l’arrêté ministériel n° 2008-170 du 21 mars 2008 autorisant la modification des statuts de la société anonyme monégasque dénommée Monaco Telecom S.A.M. lesdits statuts ont été notamment modifiés aux fins d’y intégrer l’activité de télédistribution.
Elle figure par ailleurs au rang des organismes de droit privé concessionnaires d’un service public suivant l’arrêté ministériel n° 2011-183 du 25 mars 2011 relatif aux traitements automatisés d’informations nominatives mis en œuvre par les personnes morales de droit public, autorités publiques, organismes de droit privé investis d’une mission d’intérêt général ou concessionnaires d’un service public.
Par ailleurs, le responsable de traitement indique que «Monaco Telecom intervient en qualité de concessionnaire du service public de télédistribution de la Principauté de Monaco conformément aux dispositions de l’ordonnance souveraine n° 16.402 du 13 août 2004 approuvant l’avenant n° 1 (du 9 juin 2004 enregistré le 12 juillet 2004) à la convention du 12 septembre 1990 et le cahier des charges de la concession du réseau de télédistribution, et ce conformément aux termes des avenants n° 3 et 4 de la concession des télécommunications en vigueur».
Au vu de ces éléments, la Commission considère que ledit traitement est licite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
III. Sur la justification du traitement
Le responsable de traitement indique que le traitement est justifié par :
- le respect d’une obligation légale à laquelle il est soumis ;
- l’exécution d’un contrat ou de mesures précontractuelles avec la personne concernée.
L’article 2 de l’avenant n° 3 au cahier des charges du 17 juillet 2008 relatif à la concession du service public des télécommunications sur le territoire de la Principauté de Monaco dispose que :
• Le concessionnaire bénéficie sur le territoire de la Principauté de Monaco du monopole des accès, l’autorisant à installer et exploiter à titre exclusif les équipements, infrastructures et réseaux de communications électroniques, permettant la fourniture des services mentionnés ci-après :
- voix fixe point par point ;
- voix mobile ;
- internet fixe et mobile ;
- données fixe et mobile ;
- télévision fixe et mobile (…)».
Par ailleurs, il indique que «la justification de ce traitement réside dans l’exécution d’un contrat de service ayant pour objet la fourniture par Monaco Telecom S.A.M. à ses clients d’un service de télévision». A l’appui de cette justification, le demandeur a joint un contrat d’abonnement «offre TV» au dossier de demande d’avis.
Au vu de ces éléments, la Commission considère que ce traitement est justifié conformément à l’article 10-2 de la loi n° 1.165.
IV. Sur les informations objet du traitement
Aux termes de la demande d’avis, les informations objets du traitement sont les suivantes :
- Identité : nom, prénom, date et lieu de naissance, nationalité, raison/dénomination sociale ; langue utilisées par le client, activité déclarée ;
- Situation de famille : Civilité : M., Melle, M. et Mme. ;
- Adresses et coordonnées : adresse ou siège social, email, fax, n° de téléphone pour contact client ;
- Formation-diplômes, vie professionnelle : particulier / catégorie professionnelle, domaine d’activité / numéro de registre / type d’activité ;
- Caractéristiques financières : moyen de paiement, coordonnées bancaires, R.I.B., I.B.A.N., suivi de consommation, statut et suivi ;
- Consommation de biens et de services : équipements acquis (numérique, carte, VOD etc.) ;
- Loisirs, habitudes de vie et comportement : nature des consommations VOD : intitulés des films téléchargés et visionnés ;
- Données d’identification électronique : adresse IP ADSL pour offre TV VOD ;
- Pièces justificatives : document d’identité (n°) et justificatif de domicile, extrait RCI ou Kbis, autorisation de prélèvement, numéro DSEE, n° d’assujetti ou non assujetti ;
- N° identifiant : n° interne identifiant client, n° de compte, référentiel client.
Les informations d’identité, de situation de famille, les adresses et coordonnées, les informations relatives à la vie professionnelle, aux caractéristiques financières, aux loisirs et comportements, et les pièces justificatives ont pour origine le client.
Les informations relatives aux consommations de biens et de services, aux loisirs, habitudes de vie et comportement, aux données d’identification électroniques et aux numéros identifiants ont pour origine Monaco Telecom.
S’agissant des informations d’identité et des pièces justificatives, Monaco Telecom précise que : «comme indiqué dans un précédent échange de courriels, il s’agit de la carte d’identité ou tout autre élément probant conservé sur papier (pas d’archivage autre que physique)».
A cet égard, il ressort des copies-écran qu’à la rubrique «identité» seuls figurent le type de pièce d’identité, le n° de pièce d’identité et la nationalité. Le responsable de traitement précise, concernant le type de document d’identité des personnes physiques, qu’il peut s’agir «de la carte d’identité, du passeport, du permis de conduire, de la carte consulaire, ou de la carte de séjour».
La Commission considère que la collecte de la nationalité n’est pas adéquate au regard de la finalité du traitement conformément à l’article 10-1 de la loi n° 1.165, modifiée. Elle estime donc que cette information n’a pas à être collectée.
La Commission considère également que, sauf dispositions légales ou réglementaires le prévoyant expressément, la collecte des documents d’identité est excessive au regard de la finalité du traitement, peu important le procédé automatisé ou non automatisé employé à cet effet.
Elle demande donc au responsable de traitement de ne pas collecter les documents d’identité.
Par ailleurs, à l’analyse des copies écran jointes au dossier, il appert qu’un certain nombre d’éléments additionnels sont collectés dans le cadre du présent traitement, à savoir :
- Identité : le nom et le prénom du mandataire (en cas de procuration permanente) et nom, prénom ou référence du vendeur ;
- Pièces justificatives : le type de pièce d’identité ;
- Adresses et coordonnées : le numéro de fax du client ;
- Consommation de biens et de services : le numéro de série du décodeur et le numéro de la carte d’activation ;
- Données d’identification électroniques : les logs (les traces informatiques qui se rapportent à la traçabilité desdits accès et qui sont générés automatiquement par le système) et la date de souscription de l’offre.
La Commission prend acte de ces catégories de données complémentaires.
Sous la réserve de la prise en compte de ce qui précède, elle considère que les informations collectées sont «adéquates, pertinentes et non excessives» au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
V. Sur les droits des personnes concernées
• Sur l’information préalable de la personne concernée
Aux termes de la demande d’avis, l’information des personnes concernées est effectuée par le biais d’une mention inscrite sur le document de collecte, à savoir en l’espèce, les conditions générales de vente figurant dans le formulaire d’abonnement au service. Le responsable de traitement indique que l’information préalable est également assurée au moyen d’une rubrique propre à la protection des données accessible en ligne et une mention ou clause particulière intégrée dans un document remis à l’intéressé.
Or, la Commission constate que ladite mention est incomplète au vu des exigences de l’article 14 de la loi n° 1.165, modifiée, car ladite clause prévue à l’article 23 des conditions générales de vente fournies, ne fait pas état de la finalité du traitement et manque de précision sur l’identité des destinataires ou des catégories de destinataires.
Elle demande donc que la mention d’information soit complétée afin de satisfaire aux exigences légales.
• Sur les modalités d’exercice du droit d’accès et de rectification
Le droit d’accès est exercé sur place au service client de Monaco Telecom.
Le délai de réponse est de 30 jours.
Les droits de modification, mise à jour et suppression des données sont exercés selon les mêmes modalités. Ces éléments n’appellent aucun commentaire.
La Commission considère que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions de la loi n° 1.165, modifiée.
VI. Sur les destinataires du traitement et les personnes ayant accès au traitement
• Destinataires des informations collectées
La Commission constate que les destinataires des informations sont les prestataires de service de Monaco Telecom. Il s’agit de :
- ILION - prestataire informatique (France) aux fins de mise à jour du logiciel de facturation et l’établissement de rapports statistiques ;
- Sous traitant service support à l’utilisateur eCALL (MC) ;
- GRITA (France) - Sous traitant pour édition et mise sous pli des factures (consommation VOD) ;
- SMST - prestataire de service client ;
- SOMECO (MC) - Sous traitant pour le recouvrement des factures TV ;
- NETGEM - Vidéofutur (France), prestataire qui fournit la VOD et le décodeur TV.
La Commission constate que ces prestataires sont habilités à recevoir communication des informations objet du traitement dans le cadre de leurs missions respectives.
• Personnes ayant accès au traitement
Le responsable de traitement indique que les personnes ayant un accès au traitement sont :
- «En inscription : la boutique (agence commerciale), service clients et services administratifs concernés ;
- En modification : la boutique (agence commerciale) et le service clients ;
- En mise à jour : la boutique (agence commerciale), le service client et le service facturation ;
- En consultation : la boutique et les canaux de distribution, le service clients, la direction administrative et financière Monaco Telecom et la direction des services d’information Monaco Telecom (consultation et résolution de problèmes) et services techniques si intervention sur site client».
La Commission prend acte de ces déclarations.
La Commission relève par ailleurs que les distributeurs agréés par Monaco Telecom ont également un accès en inscription (souscription d’abonnement) et en modification (modification d’abonnement ou options).
Considérant les attributions de chacun de ces services ou personnels, et eu égard à la finalité du traitement, la Commission considère que lesdits accès sont justifiés.
VII. Sur la sécurité du traitement et l’accès aux informations
Les mesures générales prises afin d’assurer la sécurité du traitement et des informations n’appellent pas d’observation de la part de la Commission.
La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
Cependant, s’agissant des prestataires la Commission demande que :
- SMST soit soumis à une authentification forte à l’instar des autres prestataires ;
- les échanges par emails entre Monaco Telecom et la société SOMECO (recouvrement), soient soumis à un chiffrement adapté de nature à garantir la sécurité des informations ;
- soit effectuée une pseudonymisation des titres de films téléchargés ou qu’il soit procédé à l’établissement d’une table de correspondance entre le code et le nom complet du film pour les prestataires suivants : Grita, SOMECO, Ilions et qu’il en soit fait de même pour coder le nom du client auprès du prestataire Netgem / Vidéofutur.
VIII. Durée de conservation des informations
• Durée de conservation
La Commission décide que les logs sont conservés pendant une durée de 3 mois.
L’ensemble des autres informations sont collectées pour une durée de 10 ans à compter du terme contractuel. L’article 152 bis du Code de commerce dispose que «les obligations nées à l’occasion de leur commerce entre commerçants ou entre commerçants et non-commerçants se prescrivent par dix ans si elles ne sont pas soumises à des prescriptions plus courtes». Cette durée n’appelle pas de commentaire particulier.
Au vu de ces éléments, la Commission considère que la durée de conservation est conforme aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
Après en avoir délibéré :
Demande :
• de se conformer à l’analyse de la Commission quant aux informations traitées et à leur durée de conservation ;
• la mise en conformité de la mention d’information des personnes concernées avec l’article 14 de la loi n° 1.165, modifiée ;
• que SMST soit soumis à une authentification forte à l’instar des autres prestataires ;
• que les échanges par emails entre Monaco Telecom et la société SOMECO (recouvrement), soient soumis à un chiffrement adapté de nature à garantir la sécurité des informations ;
• que soit effectuée une pseudonymisation des titres de films téléchargés ou qu’il soit procédé à l’établissement d’une table de correspondance entre le code et le nom complet du film pour les prestataires suivants : Grita, SOMECO, Ilions et qu’il en soit fait de même pour coder le nom du client auprès du prestataire Netgem / Vidéofutur ;
• que la nationalité ainsi que les documents d’identité ne soient pas collectés ;
A la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par la SAM Monaco Telecom du traitement ayant pour finalité «Gestion des abonnements et services de l’activité télévision».
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’ordonnance souveraine n° 9.985 du 21 décembre 1990 approuvant la convention de concession et le cahier des charges du réseau de télédistribution ;
Vu l’ordonnance souveraine n° 16.402 du 13 août 2004 approuvant l’avenant n° 1 à la convention du 11 septembre 1990 et le cahier des charges de la Concession du réseau de télédistribution ;
Vu l’annexe à l’ordonnance souveraine n° 16.402 du 13 août 2004 - Cahier des charges de la Concession du réseau de Télédistribution - Annexe A ;
Vu l’arrêté ministériel n° 2011-183 du 25 mars 2011 relatif aux traitements automatisés d’informations nominatives mis en œuvre par les personnes morales de droit public, autorités publiques, organismes de droit privé investis d’une mission d’intérêt général ou concessionnaires d’un service public ;
Vu l’avenant n° 3 au Cahier des charges relatifs à la concession du service public des télécommunications sur le territoire de la Principauté de Monaco, en date du 17 juillet 2008 ;
Vu l’avenant n° 3 au contrat de concession du service public des télécommunications sur le territoire de la Principauté de Monaco, en date du 17 juillet 2008 ;
Vu l’avenant n° 4 au contrat de concession du service public des communications électroniques sur le territoire de la Principauté de Monaco en date du 30 septembre 2010 ;
Vu l’avenant n° 4 au cahier des charges relatif à la concession du service public des communications électroniques sur le territoire de la Principauté de Monaco en date du 30 septembre 2010 ;
Vu la demande d’avis reçue le 20 avril 2011 concernant la mise en œuvre par la S.A.M. Monaco Telecom d’un traitement automatisé d’informations nominatives ayant pour finalité «Gestion des abonnements et services de l’activité télévision» ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 15 juin 2011, conformément à l’article 19 de l’ordonnance souveraine n° 2.230, susmentionnée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 18 juillet 2011 portant analyse de la demande d’avis susvisée ;
La Commission de Contrôle des Informations Nominatives
Préambule
Le responsable de traitement, à savoir Monaco Telecom, est un organisme de droit privé concessionnaire d’un service public listé sur l’arrêté ministériel n° 2011-183 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée. Ainsi, conformément aux dispositions de l’article 7 de la loi n° 1.165, modifiée, du 23 décembre 1993, Monaco Telecom S.A.M. soumet la présente demande d’avis relative au traitement ayant pour finalité «Gestion des abonnements et services de l’activité télévision».
I. Sur la finalité et les fonctionnalités du Traitement
La finalité du traitement est «Gestion des abonnements et services de l’activité télévision». La dénomination du traitement est : «SIGMA».
Par ailleurs, les fonctionnalités du traitement sont détaillées dans les termes suivants :
• Ce traitement a pour fonctionnalités :
- Souscription d’abonnements et services proposés au titre de l’activité télévision ;
- Réalisation d’opérations administratives et commerciales liées à la gestion du compte client (Emission de factures et transmission au client par voie électronique) ;
- Suivi de consommation clients tant en matière d’abonnement au service de télévision que de commande de contenu audiovisuel (facturation détaillée) et établissement de statistiques commerciales ;
- Facturation et recouvrement de créances clients ;
- Attribution de N° de compte client ;
- Etablissement d’annuaires (cf. récépissé de mise en œuvre CCIN - n° 04.00851 / Annuaire Minitel ; cf. récépissé de mise en œuvre CCIN - N° 04.00850 / Annuaire papier ; cf. récépissé de mise en œuvre CCIN - N° 04.00852 / Annuaire internet) ;
- Etablissement de listes d’opposition (cf. récépissé de mise en œuvre CCIN - N° 04.00855 / Mise en œuvre de liste d’opposition à inscription sur annuaire minitel ; cf. récépissé de mise en œuvre CCIN - N° 04.00854 / Mise en œuvre de liste d’opposition à inscription sur annuaire web ; cf. récépissé de mise en œuvre CCIN – n° 04.00853 / Mise en œuvre de liste d’opposition à inscription sur annuaire papier) ;
- Souscription et paiement en ligne par le biais de toute interface prévue à cette fin sur le site institutionnel monaco.mc dans une rubrique avec authentification et sécurisation ;
- Consultation en ligne des comptes par Monaco Telecom et ses sous-traitants assurant le support et/ou la supervision ;
- Alimentation d’autres fichiers qui seront soumis à la Commission préalablement à la mise en œuvre notamment pour permettre l’administration et le suivi des comptes clients par Monaco Telecom et ses partenaires revendeurs identifiés par le process d’authentification et d’administration sécurisé».
Enfin, les personnes concernées sont «tous abonnés télévision fixe, analogique, ou New TV (souscripteurs et payeurs ; personnes physiques ou morales)».
Au vu de ces éléments, la Commission considère que la finalité est explicite et déterminée, conformément à l’article 10-1 de la loi n° 1.165.
II. Sur la licéité du traitement
D’après le registre du commerce et de l’industrie, MONACO TELECOM S.A.M. est une société anonyme immatriculée sous le numéro 97S03277, et dont l’activité est :
«La société a pour objet d’assurer dans les relations intérieures et internationales, tous services de télécommunications. A ce titre : Elle assure les activités d’opérateur public chargé de l’exploitation du service téléphonique de la Principauté de Monaco. Elle conçoit, établit, développe et entretient le réseau public nécessaire à la fourniture de ces services, et assure l’interconnexion de ce réseau avec les différents réseaux étrangers ou internationaux de télécommunication. En outre, elle peut : Fournir tous services, de télécommunications autres que ceux visés ci-dessus ; Etablir, exploiter et commercialiser tous réseaux indépendants ; Dans le cadre de la réglementation en vigueur, et des limites des ressources attribuées, établir et exploiter des réseaux distribuant des services de radiodiffusion sonore ou de télévision et concourir par des prises de participations, à leur exploitation ; Créer et commercialiser tous types de contenus susceptibles d’être distribués par ces réseaux ou des réseaux de même nature ; Commercialiser et entretenir tous types d’équipements terminaux ; Exercer à Monaco et à l’étranger, toutes activités qui se rattachent, directement ou indirectement, à son objet ; Commercialiser des espaces publicitaires sur les réseaux, supports et services exploités par la société. Dans le cadre de son objet, «Monaco Telecom S.A.M.» peut procéder à : La prise de participation à Monaco ou à l’étranger, dans toute société ayant une activité dans les domaines ci-dessus, ou pouvant favoriser le développement de la société ; L’acquisition, la gestion, le développement, la vente de brevets, marques ou licences se rapportant aux activités ci-dessus ; Et plus généralement, toutes opérations financières, industrielles, civiles, commerciales, mobilières et immobilières se rapportant à l’objet social ci-dessus ou de nature à en favoriser le développement».
Elle a été autorisée par arrêté ministériel n° 96-604 en date du 26 décembre 1996, portant autorisation et approbation des statuts de ladite société.
Le responsable de traitement précise par ailleurs qu’aux termes de l’arrêté ministériel n° 2008-170 du 21 mars 2008 autorisant la modification des statuts de la société anonyme monégasque dénommée Monaco Telecom S.A.M. lesdits statuts ont été notamment modifiés aux fins d’y intégrer l’activité de télédistribution.
Elle figure par ailleurs au rang des organismes de droit privé concessionnaires d’un service public suivant l’arrêté ministériel n° 2011-183 du 25 mars 2011 relatif aux traitements automatisés d’informations nominatives mis en œuvre par les personnes morales de droit public, autorités publiques, organismes de droit privé investis d’une mission d’intérêt général ou concessionnaires d’un service public.
Par ailleurs, le responsable de traitement indique que «Monaco Telecom intervient en qualité de concessionnaire du service public de télédistribution de la Principauté de Monaco conformément aux dispositions de l’ordonnance souveraine n° 16.402 du 13 août 2004 approuvant l’avenant n° 1 (du 9 juin 2004 enregistré le 12 juillet 2004) à la convention du 12 septembre 1990 et le cahier des charges de la concession du réseau de télédistribution, et ce conformément aux termes des avenants n° 3 et 4 de la concession des télécommunications en vigueur».
Au vu de ces éléments, la Commission considère que ledit traitement est licite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
III. Sur la justification du traitement
Le responsable de traitement indique que le traitement est justifié par :
- le respect d’une obligation légale à laquelle il est soumis ;
- l’exécution d’un contrat ou de mesures précontractuelles avec la personne concernée.
L’article 2 de l’avenant n° 3 au cahier des charges du 17 juillet 2008 relatif à la concession du service public des télécommunications sur le territoire de la Principauté de Monaco dispose que :
• Le concessionnaire bénéficie sur le territoire de la Principauté de Monaco du monopole des accès, l’autorisant à installer et exploiter à titre exclusif les équipements, infrastructures et réseaux de communications électroniques, permettant la fourniture des services mentionnés ci-après :
- voix fixe point par point ;
- voix mobile ;
- internet fixe et mobile ;
- données fixe et mobile ;
- télévision fixe et mobile (…)».
Par ailleurs, il indique que «la justification de ce traitement réside dans l’exécution d’un contrat de service ayant pour objet la fourniture par Monaco Telecom S.A.M. à ses clients d’un service de télévision». A l’appui de cette justification, le demandeur a joint un contrat d’abonnement «offre TV» au dossier de demande d’avis.
Au vu de ces éléments, la Commission considère que ce traitement est justifié conformément à l’article 10-2 de la loi n° 1.165.
IV. Sur les informations objet du traitement
Aux termes de la demande d’avis, les informations objets du traitement sont les suivantes :
- Identité : nom, prénom, date et lieu de naissance, nationalité, raison/dénomination sociale ; langue utilisées par le client, activité déclarée ;
- Situation de famille : Civilité : M., Melle, M. et Mme. ;
- Adresses et coordonnées : adresse ou siège social, email, fax, n° de téléphone pour contact client ;
- Formation-diplômes, vie professionnelle : particulier / catégorie professionnelle, domaine d’activité / numéro de registre / type d’activité ;
- Caractéristiques financières : moyen de paiement, coordonnées bancaires, R.I.B., I.B.A.N., suivi de consommation, statut et suivi ;
- Consommation de biens et de services : équipements acquis (numérique, carte, VOD etc.) ;
- Loisirs, habitudes de vie et comportement : nature des consommations VOD : intitulés des films téléchargés et visionnés ;
- Données d’identification électronique : adresse IP ADSL pour offre TV VOD ;
- Pièces justificatives : document d’identité (n°) et justificatif de domicile, extrait RCI ou Kbis, autorisation de prélèvement, numéro DSEE, n° d’assujetti ou non assujetti ;
- N° identifiant : n° interne identifiant client, n° de compte, référentiel client.
Les informations d’identité, de situation de famille, les adresses et coordonnées, les informations relatives à la vie professionnelle, aux caractéristiques financières, aux loisirs et comportements, et les pièces justificatives ont pour origine le client.
Les informations relatives aux consommations de biens et de services, aux loisirs, habitudes de vie et comportement, aux données d’identification électroniques et aux numéros identifiants ont pour origine Monaco Telecom.
S’agissant des informations d’identité et des pièces justificatives, Monaco Telecom précise que : «comme indiqué dans un précédent échange de courriels, il s’agit de la carte d’identité ou tout autre élément probant conservé sur papier (pas d’archivage autre que physique)».
A cet égard, il ressort des copies-écran qu’à la rubrique «identité» seuls figurent le type de pièce d’identité, le n° de pièce d’identité et la nationalité. Le responsable de traitement précise, concernant le type de document d’identité des personnes physiques, qu’il peut s’agir «de la carte d’identité, du passeport, du permis de conduire, de la carte consulaire, ou de la carte de séjour».
La Commission considère que la collecte de la nationalité n’est pas adéquate au regard de la finalité du traitement conformément à l’article 10-1 de la loi n° 1.165, modifiée. Elle estime donc que cette information n’a pas à être collectée.
La Commission considère également que, sauf dispositions légales ou réglementaires le prévoyant expressément, la collecte des documents d’identité est excessive au regard de la finalité du traitement, peu important le procédé automatisé ou non automatisé employé à cet effet.
Elle demande donc au responsable de traitement de ne pas collecter les documents d’identité.
Par ailleurs, à l’analyse des copies écran jointes au dossier, il appert qu’un certain nombre d’éléments additionnels sont collectés dans le cadre du présent traitement, à savoir :
- Identité : le nom et le prénom du mandataire (en cas de procuration permanente) et nom, prénom ou référence du vendeur ;
- Pièces justificatives : le type de pièce d’identité ;
- Adresses et coordonnées : le numéro de fax du client ;
- Consommation de biens et de services : le numéro de série du décodeur et le numéro de la carte d’activation ;
- Données d’identification électroniques : les logs (les traces informatiques qui se rapportent à la traçabilité desdits accès et qui sont générés automatiquement par le système) et la date de souscription de l’offre.
La Commission prend acte de ces catégories de données complémentaires.
Sous la réserve de la prise en compte de ce qui précède, elle considère que les informations collectées sont «adéquates, pertinentes et non excessives» au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
V. Sur les droits des personnes concernées
• Sur l’information préalable de la personne concernée
Aux termes de la demande d’avis, l’information des personnes concernées est effectuée par le biais d’une mention inscrite sur le document de collecte, à savoir en l’espèce, les conditions générales de vente figurant dans le formulaire d’abonnement au service. Le responsable de traitement indique que l’information préalable est également assurée au moyen d’une rubrique propre à la protection des données accessible en ligne et une mention ou clause particulière intégrée dans un document remis à l’intéressé.
Or, la Commission constate que ladite mention est incomplète au vu des exigences de l’article 14 de la loi n° 1.165, modifiée, car ladite clause prévue à l’article 23 des conditions générales de vente fournies, ne fait pas état de la finalité du traitement et manque de précision sur l’identité des destinataires ou des catégories de destinataires.
Elle demande donc que la mention d’information soit complétée afin de satisfaire aux exigences légales.
• Sur les modalités d’exercice du droit d’accès et de rectification
Le droit d’accès est exercé sur place au service client de Monaco Telecom.
Le délai de réponse est de 30 jours.
Les droits de modification, mise à jour et suppression des données sont exercés selon les mêmes modalités. Ces éléments n’appellent aucun commentaire.
La Commission considère que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions de la loi n° 1.165, modifiée.
VI. Sur les destinataires du traitement et les personnes ayant accès au traitement
• Destinataires des informations collectées
La Commission constate que les destinataires des informations sont les prestataires de service de Monaco Telecom. Il s’agit de :
- ILION - prestataire informatique (France) aux fins de mise à jour du logiciel de facturation et l’établissement de rapports statistiques ;
- Sous traitant service support à l’utilisateur eCALL (MC) ;
- GRITA (France) - Sous traitant pour édition et mise sous pli des factures (consommation VOD) ;
- SMST - prestataire de service client ;
- SOMECO (MC) - Sous traitant pour le recouvrement des factures TV ;
- NETGEM - Vidéofutur (France), prestataire qui fournit la VOD et le décodeur TV.
La Commission constate que ces prestataires sont habilités à recevoir communication des informations objet du traitement dans le cadre de leurs missions respectives.
• Personnes ayant accès au traitement
Le responsable de traitement indique que les personnes ayant un accès au traitement sont :
- «En inscription : la boutique (agence commerciale), service clients et services administratifs concernés ;
- En modification : la boutique (agence commerciale) et le service clients ;
- En mise à jour : la boutique (agence commerciale), le service client et le service facturation ;
- En consultation : la boutique et les canaux de distribution, le service clients, la direction administrative et financière Monaco Telecom et la direction des services d’information Monaco Telecom (consultation et résolution de problèmes) et services techniques si intervention sur site client».
La Commission prend acte de ces déclarations.
La Commission relève par ailleurs que les distributeurs agréés par Monaco Telecom ont également un accès en inscription (souscription d’abonnement) et en modification (modification d’abonnement ou options).
Considérant les attributions de chacun de ces services ou personnels, et eu égard à la finalité du traitement, la Commission considère que lesdits accès sont justifiés.
VII. Sur la sécurité du traitement et l’accès aux informations
Les mesures générales prises afin d’assurer la sécurité du traitement et des informations n’appellent pas d’observation de la part de la Commission.
La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
Cependant, s’agissant des prestataires la Commission demande que :
- SMST soit soumis à une authentification forte à l’instar des autres prestataires ;
- les échanges par emails entre Monaco Telecom et la société SOMECO (recouvrement), soient soumis à un chiffrement adapté de nature à garantir la sécurité des informations ;
- soit effectuée une pseudonymisation des titres de films téléchargés ou qu’il soit procédé à l’établissement d’une table de correspondance entre le code et le nom complet du film pour les prestataires suivants : Grita, SOMECO, Ilions et qu’il en soit fait de même pour coder le nom du client auprès du prestataire Netgem / Vidéofutur.
VIII. Durée de conservation des informations
• Durée de conservation
La Commission décide que les logs sont conservés pendant une durée de 3 mois.
L’ensemble des autres informations sont collectées pour une durée de 10 ans à compter du terme contractuel. L’article 152 bis du Code de commerce dispose que «les obligations nées à l’occasion de leur commerce entre commerçants ou entre commerçants et non-commerçants se prescrivent par dix ans si elles ne sont pas soumises à des prescriptions plus courtes». Cette durée n’appelle pas de commentaire particulier.
Au vu de ces éléments, la Commission considère que la durée de conservation est conforme aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
Après en avoir délibéré :
Demande :
• de se conformer à l’analyse de la Commission quant aux informations traitées et à leur durée de conservation ;
• la mise en conformité de la mention d’information des personnes concernées avec l’article 14 de la loi n° 1.165, modifiée ;
• que SMST soit soumis à une authentification forte à l’instar des autres prestataires ;
• que les échanges par emails entre Monaco Telecom et la société SOMECO (recouvrement), soient soumis à un chiffrement adapté de nature à garantir la sécurité des informations ;
• que soit effectuée une pseudonymisation des titres de films téléchargés ou qu’il soit procédé à l’établissement d’une table de correspondance entre le code et le nom complet du film pour les prestataires suivants : Grita, SOMECO, Ilions et qu’il en soit fait de même pour coder le nom du client auprès du prestataire Netgem / Vidéofutur ;
• que la nationalité ainsi que les documents d’identité ne soient pas collectés ;
A la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par la SAM Monaco Telecom du traitement ayant pour finalité «Gestion des abonnements et services de l’activité télévision».
Le Président de la Commission
de Contrôle des Informations Nominatives.