Délibération n° 2013-04 du 22 janvier 2013 de la commission de contrôle des informations nominatives portant avis favorable sur la demande présentée par la compagnie des autobus de monaco relative à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité «suivi technique et facturation du systeme de vélos électriques en libre service».
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe, et son protocole additionnel n° 4 ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu les principes directeurs sur la protection des données à caractère personnel à l’égard des cartes à puce adoptés le 14 mai 2004 par le Comité Européen de Coopération Juridique du Conseil de l’Europe ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 992 du 16 février 2007 approuvant la convention, le cahier des charges et leurs annexes de la concession du service public pour l’exploitation du réseau de transport public urbain de voyageurs par autobus, et le renouvellement de ladite concession ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la délibération n° 2010-15 du 3 mai 2010 portant avis favorable à la mise en œuvre par la Compagnie des Autobus de Monaco du traitement automatisé d’informations nominatives ayant pour finalité «Assurer l’exploitation du système billettique du réseau urbain de Monaco», dénommé «Application billettique ERG» ;
Vu la délibération n° 2010-16 du 3 mai 2010 portant avis favorable sur le traitement automatisé de la CAM ayant pour finalité «Suivi technique de l’expérimentation de stations de vélos électroniques en libre-service» ;
Vu la délibération n° 2011-54 du 4 juillet 2011 portant avis favorable à la mise en œuvre par la Compagnie des Autobus de Monaco du traitement automatisé d’informations nominatives ayant pour finalité «Participation à la billettique interopérable des Alpes-Maritimes», dénommée «Lancement du contrat «carte azur multimodale»» ;
Vu la demande d’avis, reçue le 6 décembre 2012, concernant la mise en œuvre par la Compagnie des Autobus de Monaco relative au traitement automatisé d’informations nominatives ayant pour finalité «Suivi technique et facturation du système de vélos électriques en libre service» ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 22 janvier 2013 portant analyse dudit traitement automatisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
Le 3 mai 2010, la Commission a émis une délibération n° 2010-16 portant avis favorable sur le traitement automatisé de la Compagnie des Autobus de Monaco (CAM) ayant pour finalité «Suivi technique de l’expérimentation de stations de vélos électroniques en libre-service». Celui-ci a été mis en œuvre par le Directeur de la CAM le 17 mai 2010.
Le traitement devait être exploité sur une période de six mois, renouvelable le cas échéant, à des fins d’expérimentation d’un service de prêt de vélos à assistance électrique sur le territoire monégasque.
Cette phase d’expérimentation ayant été concluante, la CAM souhaite mettre en conformité ce traitement afin de pouvoir définitivement l’exploiter.
Le présent traitement s’inscrit dans le cadre d’une politique des transports publics respectueuse de l’environnement encouragée par le Gouvernement princier. Il est soumis à l’avis préalable de la Commission de Contrôle des Informations Nominatives, conformément à l’article 7 de la loi n° 1.165, susvisée.
I. Sur la finalité et les fonctionnalités du traitement
Ce traitement a pour finalité «Suivi technique et facturation du système de vélos électriques en libre service».
Les personnes concernées sont les clients de la CAM ayant souscrit le service d’utilisation de vélos en libre-service en Principauté, les opérateurs de la CAM et le personnel du prestataire chargé du développement, de la maintenance et de la sécurité des systèmes ainsi que du suivi et de la maintenance des vélos.
Les fonctionnalités du traitement sont :
- de permettre au client :
• de suivre ses utilisations facturées ;
• de disposer d’un compte utilisateur en ligne ;
- de permettre à la CAM :
• de créer une fiche client et d’établir la carte sans contact permettant la location des vélos ;
• d’établir la facturation ;
• de suivre des litiges ;
• d’assurer le suivi technique du système d’information et la maintenance des vélos ;
• d’évaluer les flux entre les stations permettant de gérer l’organisation des stations sur le territoire ;
• de permettre la traçabilité des vélos au parc de stationnement en cas de non restitution, de vol ou de détérioration ;
• d’établir des statistiques.
La Commission observe que le traitement permet également de connaître les itinéraires pris par une personne ou une carte donnée à différents moments de la journée par le biais des lieux de prise et de dépôt des vélos. Elle relève que ces informations sont liées aux modalités de facturation du mode de transport choisi et des incidents techniques pouvant survenir sur les vélos ou des accidents.
Elle constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la justification du traitement
• Sur la licéité du traitement
Le responsable de traitement indique que «la CAM s’est vue confier par le gouvernement monégasque la gestion et l’exploitation de vélos électriques en libre service».
Il précise que, conformément au contrat de concession approuvé par ordonnance souveraine n° 992 du 16 février 2007, le Gouvernement a décidé de pérenniser l’expérience.
La Commission considère que le traitement est licite, conformément à l’article 10-1 de la loi n° 1.165, modifiée.
• Sur la justification du traitement
La CAM justifie la mise en œuvre de ce traitement par :
- le consentement de la personne concernée au travers de l’acceptation des conditions générales d’accès et d’utilisation du service ;
- un motif d’intérêt public lié à la politique de développement durable du Gouvernement Princier et du développement de mode de déplacements interurbains répondant à ces impératifs ;
- l’exécution d’un contrat avec la personne concernée, à savoir lui permettre de disposer du service souscrit dans le respect des conditions posées par l’exploitant.
La Commission considère que ce traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations nominatives traitées sont :
- identité du client : nom, prénom, date de naissance, photo d’identité (avec consentement), numéro de la carte sans contact, numéro client, statut du contrat ;
- adresse et coordonnées : adresse, téléphone, adresse électronique ;
- caractéristiques financières : date et référence unique du mandat, coordonnées IBAN - BIC, numéro de facture, distances parcourues, montant ;
- origine de la carte : CAM, SNCF ou carte Zou, carte Azur ;
- donnée d’identification électronique : code utilisateur ;
- données opérateurs : nom, prénom, numéro de carte sans contact, login d’accès à un poste, login d’accès au serveur, données d’horodatage ;
- données de traçabilité des utilisations : ID trajet (identifiant aléatoire attribué au déplacement), ID vélo (ou numéro du vélo), date et lieu de prise, date et lieu de dépose, durée, distance.
Les informations ont pour origine :
- l’intéressé, notamment par le biais de sa pièce d’identité et de la fiche d’inscription pour les nouveaux clients concernant l’identité, les adresses et coordonnées, les caractéristiques financières, l’origine de la carte, le code utilisateur ;
- la CAM ou ses partenaires dans le cadre de l’interopérabilité pour le numéro de carte sans contact ;
- la CAM pour le numéro client, le numéro de facture, les données opérateurs ;
- le prestataire de service pour les données de connexions au système et les données de traçabilité des utilisations.
La Commission considère que les informations collectées sont «adéquates, pertinentes et non excessives» au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV. Sur les droits des personnes concernées
• L’information des personnes concernées
Les clients sont informés de leurs droits par le biais d’une mention figurant dans les documents de collecte, par un affichage et par une mention particulière intégrée dans les conditions générales d’utilisation.
La Commission rappelle que les personnels de la CAM et du prestataire doivent également être expressément informés de leurs droits. A cet égard, elle demande au responsable de traitement de s’assurer de l’effectivité de cette information, et notamment, de mettre à jour les documents d’information rédigés à l’attention des opérateurs de la CAM.
Enfin, la Commission demande que seules les informations relatives au nom, prénom et adresse de l’usager soient utilisées à des fins de prospection.
• Droits d’accès, de modification et de suppression
Les personnes peuvent exercer leur droit par un accès en ligne à leur dossier, par voie postale, par courrier électronique ou sur place aux bureaux de la CAM.
Une réponse est apportée à leur demande dans les 30 jours. Leurs droits de modification, mise à jour ou suppression des données sont exercés selon les mêmes modalités.
La Commission constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
• Sur les personnes ayant accès aux informations
Les personnes habilitées à avoir accès au traitement sont :
- les techniciens chargés de l’entretien des vélos et du système, tout accès, étant précisé que les données liées au prise et dépôt de vélos sont anonymes dans ce cas ;
- le personnel de la CAM chargés de la gestion des comptes clients en inscriptions, modification et mise à jour ;
- les responsables de la CAM : tout accès en considération des obligations de qualité et de sécurité des équipements mis à dispositions ;
- le prestataire de service localisé en France: tout accès pour maintenance.
La Commission relève que les accès sont dévolus dans le cadre des attributions des personnes selon leur affectation et leurs missions.
• Sur les destinataires
Les personnes ou organismes pouvant recevoir communication d’informations issues de ce traitement sont :
- l’établissement bancaire du responsable de traitement pour les prélèvements automatiques et qui reçoit l’identité de la personne concernée et les informations bancaires permettant d’opérer les prélèvements ;
- la Direction de la Sûreté Publique et les autorités compétentes en cas de déclaration de vol des véhicules, et reçoivent l’identité du client et les données de traçabilité du vélo déclaré perdu ou volé.
La Commission constate que ces destinataires sont habilités à recevoir communication des informations dont s’agit.
VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations n’appellent pas d’observations particulières.
La Commission rappelle néanmoins que la copie ou l’extraction d’information doit être chiffrée sur son support de réception.
Elle rappelle enfin que conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du traitement.
VII. Sur les durées de conservation
D’après le responsable de traitement, les informations sont conservées :
- 3 mois après la fin de la relation contractuelle en ce qui concerne les informations des clients relatives à l’identité, aux adresses et coordonnées, aux caractéristiques financières, à l’origine de la carte, et à la donnée d’identification électronique ;
- la durée de l’accès accordé à un opérateur pour les «données opérateurs» ;
- 10 ans pour les données d’utilisation, à des fins de justification des facturations au client ;
- 10 ans pour les données de connexion au serveur, dans le cadre des obligations de preuve de qualité et de maintenance des véhicules mis à disposition par la CAM.
La Commission relève que les durées de conservation de ces deux dernières catégories d’informations sont excessives au regard de la finalité du traitement. Elle observe que ces données permettent de suivre les déplacements d’un usager et que les justifications avancées n’ont pas été juridiquement fondées.
Elle remarque que la forme nominative des données d’utilisation des usagers a pour intérêt de permettre la facturation des utilisations, et de disposer d’informations pouvant, le cas échéant, être nécessaires en cas de litiges. Elle note que les obligations de sécurité et d’entretien de la CAM ne nécessitent pas la conservation des informations des utilisateurs des vélos.
Elle relève que le délai de recours sur facturation fixé à 14 jours par les conditions générales d’utilisation. En outre, les délais d’action de l’abonné en cas de prélèvement dépassant le montant auquel il pouvait raisonnablement s’attendre, applicables au sein de l’espace européen des paiements (SEPA) peuvent, selon le cas, s’étendre jusqu’à 13 mois suivant la date de débit. Aussi, la Commission estime que la forme nominative des informations relatives aux données d’utilisation des vélos en libre-service par un usager doit être supprimée treize mois à compter de la date de recouvrement de la facture par la CAM.
En tout état de cause, ces informations ne pourront être utilisées à d’autres fins que celle permettant la facturation ou la preuve d’une facturation correspondant à un service utilisé.
Toutefois, en cas de litige, elles pourront être conservées le temps nécessaire à sa résolution, par exemple en cas d’incident de paiement, de dégradation des équipements ou d’accident de la circulation.
Par ailleurs, la Commission relève que, conformément à l’article 80 du Code des Taxes sur le chiffre d’affaires, les factures doivent être conservées 6 ans par année comptable.
Après en avoir délibéré,
Rappelle que :
- les données permettant de connaître des trajets d’un usager ne peuvent être utilisées à des fins de surveillance ou de contrôle des personnes ;
- seules les informations relatives au nom, prénom et adresse de l’usager pourront être utilisées à des fins de prospection commerciale ;
Demande :
- que l’information des usagers soit modifiée afin de prévoir un consentement préalable à toute prospection commerciale par voie électronique, conformément à l’article 11 de la loi sur l’économie numérique ;
- de mettre à jour les documents d’information rédigés à l’attention des opérateurs de la CAM ;
- à être tenue destinataire d’un courrier visant à supprimer le traitement ayant pour finalité «suivi technique de l’expérimentation de stations de vélos électroniques en libre-service», mis en œuvre le 17 mai 2010 après avis favorable de la Commission par délibération n° 2010-16 ;
- que les durées de conservation soient modifiées comme développé précédemment ;
A la condition de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations nominatives émet un avis favorable à la mise en œuvre, par la Compagnie des Autobus de Monaco, du traitement automatisé d’informations nominatives ayant pour finalité «Suivi technique et facturation du système de vélos électriques en libre service».
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe, et son protocole additionnel n° 4 ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu les principes directeurs sur la protection des données à caractère personnel à l’égard des cartes à puce adoptés le 14 mai 2004 par le Comité Européen de Coopération Juridique du Conseil de l’Europe ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 992 du 16 février 2007 approuvant la convention, le cahier des charges et leurs annexes de la concession du service public pour l’exploitation du réseau de transport public urbain de voyageurs par autobus, et le renouvellement de ladite concession ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la délibération n° 2010-15 du 3 mai 2010 portant avis favorable à la mise en œuvre par la Compagnie des Autobus de Monaco du traitement automatisé d’informations nominatives ayant pour finalité «Assurer l’exploitation du système billettique du réseau urbain de Monaco», dénommé «Application billettique ERG» ;
Vu la délibération n° 2010-16 du 3 mai 2010 portant avis favorable sur le traitement automatisé de la CAM ayant pour finalité «Suivi technique de l’expérimentation de stations de vélos électroniques en libre-service» ;
Vu la délibération n° 2011-54 du 4 juillet 2011 portant avis favorable à la mise en œuvre par la Compagnie des Autobus de Monaco du traitement automatisé d’informations nominatives ayant pour finalité «Participation à la billettique interopérable des Alpes-Maritimes», dénommée «Lancement du contrat «carte azur multimodale»» ;
Vu la demande d’avis, reçue le 6 décembre 2012, concernant la mise en œuvre par la Compagnie des Autobus de Monaco relative au traitement automatisé d’informations nominatives ayant pour finalité «Suivi technique et facturation du système de vélos électriques en libre service» ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 22 janvier 2013 portant analyse dudit traitement automatisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
Le 3 mai 2010, la Commission a émis une délibération n° 2010-16 portant avis favorable sur le traitement automatisé de la Compagnie des Autobus de Monaco (CAM) ayant pour finalité «Suivi technique de l’expérimentation de stations de vélos électroniques en libre-service». Celui-ci a été mis en œuvre par le Directeur de la CAM le 17 mai 2010.
Le traitement devait être exploité sur une période de six mois, renouvelable le cas échéant, à des fins d’expérimentation d’un service de prêt de vélos à assistance électrique sur le territoire monégasque.
Cette phase d’expérimentation ayant été concluante, la CAM souhaite mettre en conformité ce traitement afin de pouvoir définitivement l’exploiter.
Le présent traitement s’inscrit dans le cadre d’une politique des transports publics respectueuse de l’environnement encouragée par le Gouvernement princier. Il est soumis à l’avis préalable de la Commission de Contrôle des Informations Nominatives, conformément à l’article 7 de la loi n° 1.165, susvisée.
I. Sur la finalité et les fonctionnalités du traitement
Ce traitement a pour finalité «Suivi technique et facturation du système de vélos électriques en libre service».
Les personnes concernées sont les clients de la CAM ayant souscrit le service d’utilisation de vélos en libre-service en Principauté, les opérateurs de la CAM et le personnel du prestataire chargé du développement, de la maintenance et de la sécurité des systèmes ainsi que du suivi et de la maintenance des vélos.
Les fonctionnalités du traitement sont :
- de permettre au client :
• de suivre ses utilisations facturées ;
• de disposer d’un compte utilisateur en ligne ;
- de permettre à la CAM :
• de créer une fiche client et d’établir la carte sans contact permettant la location des vélos ;
• d’établir la facturation ;
• de suivre des litiges ;
• d’assurer le suivi technique du système d’information et la maintenance des vélos ;
• d’évaluer les flux entre les stations permettant de gérer l’organisation des stations sur le territoire ;
• de permettre la traçabilité des vélos au parc de stationnement en cas de non restitution, de vol ou de détérioration ;
• d’établir des statistiques.
La Commission observe que le traitement permet également de connaître les itinéraires pris par une personne ou une carte donnée à différents moments de la journée par le biais des lieux de prise et de dépôt des vélos. Elle relève que ces informations sont liées aux modalités de facturation du mode de transport choisi et des incidents techniques pouvant survenir sur les vélos ou des accidents.
Elle constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la justification du traitement
• Sur la licéité du traitement
Le responsable de traitement indique que «la CAM s’est vue confier par le gouvernement monégasque la gestion et l’exploitation de vélos électriques en libre service».
Il précise que, conformément au contrat de concession approuvé par ordonnance souveraine n° 992 du 16 février 2007, le Gouvernement a décidé de pérenniser l’expérience.
La Commission considère que le traitement est licite, conformément à l’article 10-1 de la loi n° 1.165, modifiée.
• Sur la justification du traitement
La CAM justifie la mise en œuvre de ce traitement par :
- le consentement de la personne concernée au travers de l’acceptation des conditions générales d’accès et d’utilisation du service ;
- un motif d’intérêt public lié à la politique de développement durable du Gouvernement Princier et du développement de mode de déplacements interurbains répondant à ces impératifs ;
- l’exécution d’un contrat avec la personne concernée, à savoir lui permettre de disposer du service souscrit dans le respect des conditions posées par l’exploitant.
La Commission considère que ce traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations nominatives traitées sont :
- identité du client : nom, prénom, date de naissance, photo d’identité (avec consentement), numéro de la carte sans contact, numéro client, statut du contrat ;
- adresse et coordonnées : adresse, téléphone, adresse électronique ;
- caractéristiques financières : date et référence unique du mandat, coordonnées IBAN - BIC, numéro de facture, distances parcourues, montant ;
- origine de la carte : CAM, SNCF ou carte Zou, carte Azur ;
- donnée d’identification électronique : code utilisateur ;
- données opérateurs : nom, prénom, numéro de carte sans contact, login d’accès à un poste, login d’accès au serveur, données d’horodatage ;
- données de traçabilité des utilisations : ID trajet (identifiant aléatoire attribué au déplacement), ID vélo (ou numéro du vélo), date et lieu de prise, date et lieu de dépose, durée, distance.
Les informations ont pour origine :
- l’intéressé, notamment par le biais de sa pièce d’identité et de la fiche d’inscription pour les nouveaux clients concernant l’identité, les adresses et coordonnées, les caractéristiques financières, l’origine de la carte, le code utilisateur ;
- la CAM ou ses partenaires dans le cadre de l’interopérabilité pour le numéro de carte sans contact ;
- la CAM pour le numéro client, le numéro de facture, les données opérateurs ;
- le prestataire de service pour les données de connexions au système et les données de traçabilité des utilisations.
La Commission considère que les informations collectées sont «adéquates, pertinentes et non excessives» au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV. Sur les droits des personnes concernées
• L’information des personnes concernées
Les clients sont informés de leurs droits par le biais d’une mention figurant dans les documents de collecte, par un affichage et par une mention particulière intégrée dans les conditions générales d’utilisation.
La Commission rappelle que les personnels de la CAM et du prestataire doivent également être expressément informés de leurs droits. A cet égard, elle demande au responsable de traitement de s’assurer de l’effectivité de cette information, et notamment, de mettre à jour les documents d’information rédigés à l’attention des opérateurs de la CAM.
Enfin, la Commission demande que seules les informations relatives au nom, prénom et adresse de l’usager soient utilisées à des fins de prospection.
• Droits d’accès, de modification et de suppression
Les personnes peuvent exercer leur droit par un accès en ligne à leur dossier, par voie postale, par courrier électronique ou sur place aux bureaux de la CAM.
Une réponse est apportée à leur demande dans les 30 jours. Leurs droits de modification, mise à jour ou suppression des données sont exercés selon les mêmes modalités.
La Commission constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
• Sur les personnes ayant accès aux informations
Les personnes habilitées à avoir accès au traitement sont :
- les techniciens chargés de l’entretien des vélos et du système, tout accès, étant précisé que les données liées au prise et dépôt de vélos sont anonymes dans ce cas ;
- le personnel de la CAM chargés de la gestion des comptes clients en inscriptions, modification et mise à jour ;
- les responsables de la CAM : tout accès en considération des obligations de qualité et de sécurité des équipements mis à dispositions ;
- le prestataire de service localisé en France: tout accès pour maintenance.
La Commission relève que les accès sont dévolus dans le cadre des attributions des personnes selon leur affectation et leurs missions.
• Sur les destinataires
Les personnes ou organismes pouvant recevoir communication d’informations issues de ce traitement sont :
- l’établissement bancaire du responsable de traitement pour les prélèvements automatiques et qui reçoit l’identité de la personne concernée et les informations bancaires permettant d’opérer les prélèvements ;
- la Direction de la Sûreté Publique et les autorités compétentes en cas de déclaration de vol des véhicules, et reçoivent l’identité du client et les données de traçabilité du vélo déclaré perdu ou volé.
La Commission constate que ces destinataires sont habilités à recevoir communication des informations dont s’agit.
VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations n’appellent pas d’observations particulières.
La Commission rappelle néanmoins que la copie ou l’extraction d’information doit être chiffrée sur son support de réception.
Elle rappelle enfin que conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du traitement.
VII. Sur les durées de conservation
D’après le responsable de traitement, les informations sont conservées :
- 3 mois après la fin de la relation contractuelle en ce qui concerne les informations des clients relatives à l’identité, aux adresses et coordonnées, aux caractéristiques financières, à l’origine de la carte, et à la donnée d’identification électronique ;
- la durée de l’accès accordé à un opérateur pour les «données opérateurs» ;
- 10 ans pour les données d’utilisation, à des fins de justification des facturations au client ;
- 10 ans pour les données de connexion au serveur, dans le cadre des obligations de preuve de qualité et de maintenance des véhicules mis à disposition par la CAM.
La Commission relève que les durées de conservation de ces deux dernières catégories d’informations sont excessives au regard de la finalité du traitement. Elle observe que ces données permettent de suivre les déplacements d’un usager et que les justifications avancées n’ont pas été juridiquement fondées.
Elle remarque que la forme nominative des données d’utilisation des usagers a pour intérêt de permettre la facturation des utilisations, et de disposer d’informations pouvant, le cas échéant, être nécessaires en cas de litiges. Elle note que les obligations de sécurité et d’entretien de la CAM ne nécessitent pas la conservation des informations des utilisateurs des vélos.
Elle relève que le délai de recours sur facturation fixé à 14 jours par les conditions générales d’utilisation. En outre, les délais d’action de l’abonné en cas de prélèvement dépassant le montant auquel il pouvait raisonnablement s’attendre, applicables au sein de l’espace européen des paiements (SEPA) peuvent, selon le cas, s’étendre jusqu’à 13 mois suivant la date de débit. Aussi, la Commission estime que la forme nominative des informations relatives aux données d’utilisation des vélos en libre-service par un usager doit être supprimée treize mois à compter de la date de recouvrement de la facture par la CAM.
En tout état de cause, ces informations ne pourront être utilisées à d’autres fins que celle permettant la facturation ou la preuve d’une facturation correspondant à un service utilisé.
Toutefois, en cas de litige, elles pourront être conservées le temps nécessaire à sa résolution, par exemple en cas d’incident de paiement, de dégradation des équipements ou d’accident de la circulation.
Par ailleurs, la Commission relève que, conformément à l’article 80 du Code des Taxes sur le chiffre d’affaires, les factures doivent être conservées 6 ans par année comptable.
Après en avoir délibéré,
Rappelle que :
- les données permettant de connaître des trajets d’un usager ne peuvent être utilisées à des fins de surveillance ou de contrôle des personnes ;
- seules les informations relatives au nom, prénom et adresse de l’usager pourront être utilisées à des fins de prospection commerciale ;
Demande :
- que l’information des usagers soit modifiée afin de prévoir un consentement préalable à toute prospection commerciale par voie électronique, conformément à l’article 11 de la loi sur l’économie numérique ;
- de mettre à jour les documents d’information rédigés à l’attention des opérateurs de la CAM ;
- à être tenue destinataire d’un courrier visant à supprimer le traitement ayant pour finalité «suivi technique de l’expérimentation de stations de vélos électroniques en libre-service», mis en œuvre le 17 mai 2010 après avis favorable de la Commission par délibération n° 2010-16 ;
- que les durées de conservation soient modifiées comme développé précédemment ;
A la condition de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations nominatives émet un avis favorable à la mise en œuvre, par la Compagnie des Autobus de Monaco, du traitement automatisé d’informations nominatives ayant pour finalité «Suivi technique et facturation du système de vélos électriques en libre service».
Le Président de la Commission
de Contrôle des Informations Nominatives.