Délibération n° 2012-146 du 22 octobre 2012 de la commission de contrôle des informations nominatives portant avis favorable sur la demande modificative présentée par la société monégasque de l’electricité et du gaz (smeg) relative au traitement automatisé d’informations nominatives ayant pour finalité «gestion de la relation clientèle» dénommé e-fluid
Vu la Constitution ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel en date du 28 janvier 1981 et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’ordonnance souveraine n° 2.578 du 13 janvier 2010 approuvant le traité de concession de la SMEG, ainsi que ses annexes et cahiers des charges ;
Vu l’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée ;
Vu le traité de concession du service public de la distribution de l’électricité et du gaz conclu entre la SMEG et la Principauté de Monaco, et entré en vigueur le 1er janvier 2009, accompagné de ses annexes et cahiers des charges ;
Vu la délibération n° 2012-53 du 16 avril 2012 de la Commission portant avis favorable sur la demande déposée par la Société Monégasque de l’Electricité et du Gaz (SMEG) relative à la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité «Gestion de la relation clientèle» dénommé «E-Fluid» ;
Vu la demande d’avis déposée par la SMEG le 23 août 2012 relative à la modification du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
La Société Monégasque de l’Electricité et du Gaz (SMEG) est une société anonyme en charge de l’exploitation du service public de la distribution de l’électricité et du gaz, en application du traité de concession conclu entre la SMEG et la Principauté de Monaco, et entré en vigueur le 1er janvier 2009.
Conformément aux dispositions de l’article 7 de la loi n° 1.165, modifiée, du 23 décembre 1993, et à l’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application dudit article, la Commission a émis un avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité «Gestion de la relation clientèle», dénommé «E-Fluid», objet de la délibération n° 2012-53 du 16 avril 2012.
Aujourd’hui, la SMEG soumet une demande d’avis portant sur la modification de ce traitement, visant à intégrer de nouvelles fonctionnalités afférentes à la mise en place du portail «Agence en ligne» pour ses clients.
I. Sur la finalité et les fonctionnalités du traitement
La finalité du traitement demeure inchangée.
Par ailleurs, outre les fonctionnalités déjà décrites dans le cadre de la délibération n° 2012-53 du 16 avril 2012, de nouvelles fonctionnalités viennent enrichir ce traitement du fait de la mise en place par la SMEG d’un nouveau portail à la disposition de ses clients appelé «Agence en ligne». Il s’agit des fonctionnalités suivantes :
- consultation des données et caractéristiques de consommation et de facturation ainsi que des éléments du compte client ;
- paiement en ligne ;
- transmission d’index de consommation.
Enfin, les personnes concernées par ce traitement demeurent inchangées.
Au vu de ces éléments, la Commission constate que les fonctionnalités ajoutées sont conformes à la finalité du traitement, laquelle est «déterminée, explicite et légitime», en application de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité du traitement
La licéité du traitement a été analysée et constatée par la Commission dans le cadre de l’examen de la demande d’avis originale. Les modifications apportées dans le cadre de la demande d’avis modificative n’ont pas d’incidence sur la licéité du traitement.
III. Sur la justification du traitement
Le responsable de traitement indique que la modification du traitement est justifiée par le consentement des personnes concernées, ainsi que par la réalisation d’un intérêt légitime, sans que soient méconnus les libertés et droits fondamentaux des individus.
A ce titre, il joint en premier lieu les «Conditions d’utilisation de l’Agence en ligne» conclues avec les clients désireux de bénéficier de ce nouveau service.
Par ailleurs, la Commission prend acte des indications de la SMEG aux termes desquelles «l’intérêt légitime de la SMEG réside dans cette volonté de développer les encaissements de type «Internet» afin de faciliter les transactions pour les clients souhaitant en bénéficier, mais aussi de créer un climat de confiance avec son client qui aura via cette agence en ligne un accès à tous ses contrats».
Le respect des droits fondamentaux des individus est examiné au point V de la présente délibération.
Ainsi, la Commission considère que le traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
IV. Sur les informations traitées
En sus des données déjà mentionnées dans le cadre de la délibération n° 2012-53 du 16 avril 2012, susvisée, la Commission relève que les modifications apportées au traitement dont s’agit impliquent l’exploitation des données suivantes :
- identité : nom, prénom, date de naissance, téléphone fixe et mobile, télécopie, identifiant client ;
- adresse email ;
- caractéristiques financières : données de facturation, paiement en ligne, coordonnées bancaires ;
- données de consommation ;
- données d’identification électronique : adresse IP lors du paiement ou en cas d’intrusion ;
- question secrète : question et réponse de l’internaute permettant de déverrouiller son compte.
L’ensemble des données ont directement pour origine la personne concernée, à l’exception de l’adresse IP qui est collectée par le système, ainsi que l’identifiant client, lequel constitue un numéro interne attribué par la SMEG.
Au vu de ces éléments, la Commission constate que les données susvisées sont conformes aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
V. Sur les droits des personnes concernées
• Sur l’information préalable des personnes
Le responsable de traitement indique que l’information préalable des personnes concernées est effectuée par une rubrique propre à la protection des données accessible en ligne, par une mention particulière intégrée dans un document d’ordre général accessible en ligne, ainsi que par des mentions portées sur les factures.
Toutefois, copies de ces documents n’ayant pas été jointes à la demande d’avis, la Commission rappelle que l’information des personnes concernées devra comporter l’ensemble des mentions prévues à l’article 14 de la loi n° 1.165, modifiée.
Elle observe en particulier que les «Conditions d’utilisation de l’Agence en ligne» ne contiennent aucune mention relative à la protection des informations nominatives, et recommande qu’un paragraphe soit inséré sur ce point.
• Sur l’exercice du droit d’accès, de modification et de suppression
La Commission relève que les modalités d’exercice, par les personnes concernées, de leurs droits d’accès, de modification et de suppression demeurent inchangées.
En matière de prospection, notamment en vue des mailings d’informations et d’offres aux clients, ou pour la réalisation d’enquêtes, la SMEG déclare que les personnes concernées s’expriment par l’opt out.
A ce titre, la Commission rappelle que cette prospection doit être uniquement réalisée par la SMEG, et qu’il ne doit exister aucune cession d’informations nominatives, notamment à des fins commerciales.
Sous cette réserve, elle constate que les droits des personnes concernées sont garantis, conformément aux dispositions de la loi n° 1.165, modifiée.
VI. Sur les personnes ayant accès au traitement
La Commission observe que les personnes habilitées à avoir accès au traitement sont moins nombreuses que ce qui était prévu par la délibération n° 2012-53 du 16 avril 2012, précitée.
En effet, il s’agit de :
- la Direction Commerciale : accès en consultation, modification ou mise à jour ;
- le Service Informatique (ou Direction des Systèmes d’Information) : accès à la base pour son exploitation technique ;
- les sous-traitants et prestataires informatiques : accès à la base à des fins de maintenance et de développement.
La Commission relève que les Directions financière et technique ne sont plus mentionnées dans cette rubrique. Elle en prend donc acte.
Ainsi, considérant les attributions de chacun de ces services et sociétés, et eu égard à la finalité du traitement, la Commission considère que lesdits accès sont justifiés.
Enfin, la Commission constate qu’une clause de confidentialité est signée avec les sous-traitants de la SMEG, en application des dispositions de l’article 17 de la loi n° 1.165, modifiée. Elle rappelle qu’il doit en être fait de même avec les prestataires.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité du traitement, que la Commission a jugées conformes aux exigences légales dans le cadre de la délibération n° 2012-53 du 16 avril 2012, demeurent inchangées.
VIII. Sur la durée de conservation
La Commission relève que la durée de conservation des données est de six ans après la résiliation du contrat avec la SMEG.
Cette durée de conservation est celle qui avait été prévue dans le cadre de la délibération n° 2012-53, précitée. La Commission considère donc que celle-ci est conforme aux exigences légales.
Par ailleurs, l’adresse IP est conservée entre 2 heures et 90 jours. A cet égard, le responsable de traitement indique que «[les adresses IP] correspondant au paiement sont envoyées par la banque à la SMEG, qui les conserve pendant une durée de 90 jours. En revanche, en cas d’échec de connexion de plus de 3 fois dû à une erreur ou une intrusion frauduleuse sur le compte d’un client, les IP sont gardées 2 heures pour permettre une certaine traçabilité. C’est une sécurité du système quant à l’accès du client à son compte qui ne se met en place qu’en cas d’échec de connexion, à défaut les adresses IP ne sont en aucun cas enregistrées hormis ce cas là».
Au vu de ces éléments, la Commission considère que les durées de conservation susvisées sont conformes aux exigences légales.
Après en avoir délibéré,
Rappelle que :
- l’information des personnes concernées, quelqu’en soient les modalités, doit porter sur l’ensemble des éléments définis à l’article 14 de la loi n° 1.165, modifiée ;
- toute opération de prospection conduite sur la base du traitement «E-Fluid» doit être réalisée uniquement par la SMEG, et il ne doit exister aucune cession d’informations nominatives à des tiers, notamment à des fins commerciales ;
- conformément à l’article 17 de la loi n° 1.165, modifiée, une clause de confidentialité doit être signée aussi bien avec les sous-traitants qu’avec les prestataires de la SMEG ;
A la condition de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la modification par la Société Monégasque de l’Electricité et du Gaz (SMEG) du traitement automatisé d’informations nominatives ayant pour finalité «Gestion de la relation clientèle».
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel en date du 28 janvier 1981 et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’ordonnance souveraine n° 2.578 du 13 janvier 2010 approuvant le traité de concession de la SMEG, ainsi que ses annexes et cahiers des charges ;
Vu l’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée ;
Vu le traité de concession du service public de la distribution de l’électricité et du gaz conclu entre la SMEG et la Principauté de Monaco, et entré en vigueur le 1er janvier 2009, accompagné de ses annexes et cahiers des charges ;
Vu la délibération n° 2012-53 du 16 avril 2012 de la Commission portant avis favorable sur la demande déposée par la Société Monégasque de l’Electricité et du Gaz (SMEG) relative à la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité «Gestion de la relation clientèle» dénommé «E-Fluid» ;
Vu la demande d’avis déposée par la SMEG le 23 août 2012 relative à la modification du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
La Société Monégasque de l’Electricité et du Gaz (SMEG) est une société anonyme en charge de l’exploitation du service public de la distribution de l’électricité et du gaz, en application du traité de concession conclu entre la SMEG et la Principauté de Monaco, et entré en vigueur le 1er janvier 2009.
Conformément aux dispositions de l’article 7 de la loi n° 1.165, modifiée, du 23 décembre 1993, et à l’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application dudit article, la Commission a émis un avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité «Gestion de la relation clientèle», dénommé «E-Fluid», objet de la délibération n° 2012-53 du 16 avril 2012.
Aujourd’hui, la SMEG soumet une demande d’avis portant sur la modification de ce traitement, visant à intégrer de nouvelles fonctionnalités afférentes à la mise en place du portail «Agence en ligne» pour ses clients.
I. Sur la finalité et les fonctionnalités du traitement
La finalité du traitement demeure inchangée.
Par ailleurs, outre les fonctionnalités déjà décrites dans le cadre de la délibération n° 2012-53 du 16 avril 2012, de nouvelles fonctionnalités viennent enrichir ce traitement du fait de la mise en place par la SMEG d’un nouveau portail à la disposition de ses clients appelé «Agence en ligne». Il s’agit des fonctionnalités suivantes :
- consultation des données et caractéristiques de consommation et de facturation ainsi que des éléments du compte client ;
- paiement en ligne ;
- transmission d’index de consommation.
Enfin, les personnes concernées par ce traitement demeurent inchangées.
Au vu de ces éléments, la Commission constate que les fonctionnalités ajoutées sont conformes à la finalité du traitement, laquelle est «déterminée, explicite et légitime», en application de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité du traitement
La licéité du traitement a été analysée et constatée par la Commission dans le cadre de l’examen de la demande d’avis originale. Les modifications apportées dans le cadre de la demande d’avis modificative n’ont pas d’incidence sur la licéité du traitement.
III. Sur la justification du traitement
Le responsable de traitement indique que la modification du traitement est justifiée par le consentement des personnes concernées, ainsi que par la réalisation d’un intérêt légitime, sans que soient méconnus les libertés et droits fondamentaux des individus.
A ce titre, il joint en premier lieu les «Conditions d’utilisation de l’Agence en ligne» conclues avec les clients désireux de bénéficier de ce nouveau service.
Par ailleurs, la Commission prend acte des indications de la SMEG aux termes desquelles «l’intérêt légitime de la SMEG réside dans cette volonté de développer les encaissements de type «Internet» afin de faciliter les transactions pour les clients souhaitant en bénéficier, mais aussi de créer un climat de confiance avec son client qui aura via cette agence en ligne un accès à tous ses contrats».
Le respect des droits fondamentaux des individus est examiné au point V de la présente délibération.
Ainsi, la Commission considère que le traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
IV. Sur les informations traitées
En sus des données déjà mentionnées dans le cadre de la délibération n° 2012-53 du 16 avril 2012, susvisée, la Commission relève que les modifications apportées au traitement dont s’agit impliquent l’exploitation des données suivantes :
- identité : nom, prénom, date de naissance, téléphone fixe et mobile, télécopie, identifiant client ;
- adresse email ;
- caractéristiques financières : données de facturation, paiement en ligne, coordonnées bancaires ;
- données de consommation ;
- données d’identification électronique : adresse IP lors du paiement ou en cas d’intrusion ;
- question secrète : question et réponse de l’internaute permettant de déverrouiller son compte.
L’ensemble des données ont directement pour origine la personne concernée, à l’exception de l’adresse IP qui est collectée par le système, ainsi que l’identifiant client, lequel constitue un numéro interne attribué par la SMEG.
Au vu de ces éléments, la Commission constate que les données susvisées sont conformes aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
V. Sur les droits des personnes concernées
• Sur l’information préalable des personnes
Le responsable de traitement indique que l’information préalable des personnes concernées est effectuée par une rubrique propre à la protection des données accessible en ligne, par une mention particulière intégrée dans un document d’ordre général accessible en ligne, ainsi que par des mentions portées sur les factures.
Toutefois, copies de ces documents n’ayant pas été jointes à la demande d’avis, la Commission rappelle que l’information des personnes concernées devra comporter l’ensemble des mentions prévues à l’article 14 de la loi n° 1.165, modifiée.
Elle observe en particulier que les «Conditions d’utilisation de l’Agence en ligne» ne contiennent aucune mention relative à la protection des informations nominatives, et recommande qu’un paragraphe soit inséré sur ce point.
• Sur l’exercice du droit d’accès, de modification et de suppression
La Commission relève que les modalités d’exercice, par les personnes concernées, de leurs droits d’accès, de modification et de suppression demeurent inchangées.
En matière de prospection, notamment en vue des mailings d’informations et d’offres aux clients, ou pour la réalisation d’enquêtes, la SMEG déclare que les personnes concernées s’expriment par l’opt out.
A ce titre, la Commission rappelle que cette prospection doit être uniquement réalisée par la SMEG, et qu’il ne doit exister aucune cession d’informations nominatives, notamment à des fins commerciales.
Sous cette réserve, elle constate que les droits des personnes concernées sont garantis, conformément aux dispositions de la loi n° 1.165, modifiée.
VI. Sur les personnes ayant accès au traitement
La Commission observe que les personnes habilitées à avoir accès au traitement sont moins nombreuses que ce qui était prévu par la délibération n° 2012-53 du 16 avril 2012, précitée.
En effet, il s’agit de :
- la Direction Commerciale : accès en consultation, modification ou mise à jour ;
- le Service Informatique (ou Direction des Systèmes d’Information) : accès à la base pour son exploitation technique ;
- les sous-traitants et prestataires informatiques : accès à la base à des fins de maintenance et de développement.
La Commission relève que les Directions financière et technique ne sont plus mentionnées dans cette rubrique. Elle en prend donc acte.
Ainsi, considérant les attributions de chacun de ces services et sociétés, et eu égard à la finalité du traitement, la Commission considère que lesdits accès sont justifiés.
Enfin, la Commission constate qu’une clause de confidentialité est signée avec les sous-traitants de la SMEG, en application des dispositions de l’article 17 de la loi n° 1.165, modifiée. Elle rappelle qu’il doit en être fait de même avec les prestataires.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité du traitement, que la Commission a jugées conformes aux exigences légales dans le cadre de la délibération n° 2012-53 du 16 avril 2012, demeurent inchangées.
VIII. Sur la durée de conservation
La Commission relève que la durée de conservation des données est de six ans après la résiliation du contrat avec la SMEG.
Cette durée de conservation est celle qui avait été prévue dans le cadre de la délibération n° 2012-53, précitée. La Commission considère donc que celle-ci est conforme aux exigences légales.
Par ailleurs, l’adresse IP est conservée entre 2 heures et 90 jours. A cet égard, le responsable de traitement indique que «[les adresses IP] correspondant au paiement sont envoyées par la banque à la SMEG, qui les conserve pendant une durée de 90 jours. En revanche, en cas d’échec de connexion de plus de 3 fois dû à une erreur ou une intrusion frauduleuse sur le compte d’un client, les IP sont gardées 2 heures pour permettre une certaine traçabilité. C’est une sécurité du système quant à l’accès du client à son compte qui ne se met en place qu’en cas d’échec de connexion, à défaut les adresses IP ne sont en aucun cas enregistrées hormis ce cas là».
Au vu de ces éléments, la Commission considère que les durées de conservation susvisées sont conformes aux exigences légales.
Après en avoir délibéré,
Rappelle que :
- l’information des personnes concernées, quelqu’en soient les modalités, doit porter sur l’ensemble des éléments définis à l’article 14 de la loi n° 1.165, modifiée ;
- toute opération de prospection conduite sur la base du traitement «E-Fluid» doit être réalisée uniquement par la SMEG, et il ne doit exister aucune cession d’informations nominatives à des tiers, notamment à des fins commerciales ;
- conformément à l’article 17 de la loi n° 1.165, modifiée, une clause de confidentialité doit être signée aussi bien avec les sous-traitants qu’avec les prestataires de la SMEG ;
A la condition de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la modification par la Société Monégasque de l’Electricité et du Gaz (SMEG) du traitement automatisé d’informations nominatives ayant pour finalité «Gestion de la relation clientèle».
Le Président de la Commission
de Contrôle des Informations Nominatives.