Délibération n° 2013-51 du 15 avril 2013 de la Commission de Contrôle des Informations Nominatives portant avis favorable sur la demande presentée par la Société Monégasque d’Assainissement (SMA) relative à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité «Gestion des services de téléphonie fixe et mobile professionnels»
Vu la Constitution ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu l’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée ;
Vu l’ordonnance souveraine n° 3.080 du 20 janvier 2011 approuvant l’avenant n° 1 à la Convention de concession d’exploitation des services publics de collecte et de traitement des résidus urbains et assimilés, dissociant les activités de collecte, et l’avenant n° 1 au Cahier des charges pour l’exploitation de l’usine d’incinération des résidus urbains et industriels de Monaco ainsi que son annexe ;
Vu l’ordonnance souveraine n° 3.081 du 20 janvier 2011 approuvant la Convention et le Cahier des charges de la nouvelle concession d’exploitation du service public de collecte des résidus urbains et assimilés ;
Vu l’avenant n° 1 au contrat d’assistance conclu entre la SMEG et la SMA en date du 22 septembre 2011 ;
Vu la demande d’avis déposée par la SMA, le 4 février 2013 concernant la mise en œuvre du traitement automatisé ayant pour finalité la «Gestion des services de téléphonie fixe et mobile professionnels» ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 15 avril 2013 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La SOCIETE MONEGASQUE D’ASSAINISSEMENT (SMA) est une Société Anonyme immatriculée au RCI qui a pour mission d’exploiter la concession de service assainissement, notamment par le nettoiement des voies publiques de la Principauté, la collecte des ordures ménagères, la réalisation et l’exploitation d’une usine d’incinération des résidus urbains et industriels de Monaco.
Aussi, conformément à l’article 7 de la loi n° 1.165, modifiée, la SMA soumet la présente demande d’avis relative à la mise en œuvre du traitement ayant pour finalité «Gestion des services de téléphonie fixe et mobile professionnels».
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité «Gestion des services de téléphonie fixe et mobile professionnels».
Les personnes concernées sont les employés de la SMA, de la SMEG, et les personnes extérieures à la société.
Ses fonctionnalités sont les suivantes :
- émission et réception de touts types d’appels ;
- utilisation d’une messagerie vocale pour le personnel administratif ;
- gestion de l’annuaire téléphonique interne ;
- gestion du matériel téléphonique ;
- gestion des dépenses de l’entreprise liées à l’utilisation professionnelle des services de téléphonie.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le traitement est justifié par la réalisation d’un intérêt légitime, sans que soit méconnu ni l’intérêt, ni les droits et libertés fondamentaux de la personne concernée.
Ainsi, la Commission relève qu’il est dans l’intérêt de l’entreprise, afin de pouvoir normalement fonctionner, de disposer d’un parc de téléphones fixes et mobiles.
Elle considère donc que le traitement est licite et justifié conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations nominatives objets du présent traitement sont :
- identité : nom, prénom ;
- adresses et coordonnées : numéro de téléphone entrant et sortant ;
- données temporelles : date, heure, durée de l’appel ;
- données qualitatives de l’appel : service utilisé, opérateur, destination géographique de l’appel (national, France, international), coûts, surtaxes, volume et nature des données échangées.
Les informations relatives à l’identité ont pour origine les personnes concernées.
Les autres informations ont pour origine le système (autocommutateur).
Enfin, le responsable de traitement indique que lorsque des relevés téléphoniques sont établis, les quatre derniers chiffres du numéro appelé sont occultés.
La Commission considère que les informations collectées sont «adéquates, pertinentes et non excessives» au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV. Sur les droits des personnes concernées
• Sur l’information préalable des personnes concernées
Le responsable de traitement indique que l’information préalable des personnes concernées est effectuée par le biais d’un affichage dans les locaux de la SMA ainsi que par une procédure interne accessible en Intranet.
La Commission relève que les personnes extérieures à la SMA, ne sont pas informées de leurs droits. Elle demande donc à ce qu’il y ait, «a minima», une mention sur son site internet.
• Sur l’exercice du droit d’accès, de modification et de mise à jour
La Commission observe que le droit d’accès est exercé par voie postale ou par courrier électronique. Le délai de réponse est de 20 jours.
Les droits de modification et de mise à jour des données sont exercés selon les mêmes modalités.
La Commission constate ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
• Sur les destinataires
La Commission constate l’absence de destinataire des informations.
• Sur les personnes ayant accès
La Direction des systèmes d’information de la SMEG dispose d’un accès en consultation. A cet égard, la Commission constate qu’aux termes d’un contrat d’assistance conclu entre la SMA et la SMEG, «la SMEG gérera et exploitera le système d’information de la SMA notamment par la gestion du parc de matériels informatiques, du système de téléphonie et des réseaux informatiques» (avenant 1).
Les prestataires télécom (pour le fixe et pour le mobile) de la SMA disposent d’un accès en inscription et modification.
Considérant les attributions de chacune de ces entités, et eu égard à la finalité du traitement, la Commission estime que les accès susvisés sont justifiés.
VI. Sur la sécurité du traitement et des informations
La Commission rappelle que l’article 17 alinéas 3 et 4 de la loi n° 1.165, modifiée, dispose que :
- «Lorsque le responsable du traitement ou son représentant a recours aux services d’un ou plusieurs prestataires, il doit s’assurer que ces derniers sont en mesure de satisfaire aux obligations prescrites aux deux précédents alinéas.
- la réalisation de traitements par un prestataire doit être régie par un contrat écrit entre le prestataire et le responsable de traitement ou son représentant qui stipule notamment que le prestataire et les membres de son personnel n’agissent que sur la seule instruction du responsable de traitement ou de son représentant et que les obligations visées aux deux premiers alinéas du présent article lui incombe également».
Or, elle relève que l’avenant n° 1 au contrat d’assistance conclu entre la SMEG et la SMA ne contient pas de clause de confidentialité permettant au responsable de traitement de s’assurer que le prestataire est en mesure de satisfaire aux obligations de sécurité, comme l’exige l’article 17 alinéa 3.
La Commission demande donc au responsable de traitement de rédiger une clause de confidentialité qui soit conforme aux exigences de l’article précité.
Enfin, elle rappelle que, conformément à cette même disposition, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VII. Sur la durée de conservation
Les informations nominatives collectées sont conservées deux ans.
La Commission considère que cette durée de conservation est conforme aux exigences légales.
Après en avoir délibéré,
Demande :
- que les personnes extérieures à la SMA soient informées de leurs droits par le biais d’une mention sur son site internet, «a minima» ;
- qu’une clause de confidentialité soit conclue entre le responsable de traitement et la SMEG.
A la condition de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par la Société Monégasque d’Assainissement (SMA), du traitement automatisé d’informations nominatives ayant pour finalité «Gestion des services de téléphonie fixe et mobile professionnels».
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu l’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée ;
Vu l’ordonnance souveraine n° 3.080 du 20 janvier 2011 approuvant l’avenant n° 1 à la Convention de concession d’exploitation des services publics de collecte et de traitement des résidus urbains et assimilés, dissociant les activités de collecte, et l’avenant n° 1 au Cahier des charges pour l’exploitation de l’usine d’incinération des résidus urbains et industriels de Monaco ainsi que son annexe ;
Vu l’ordonnance souveraine n° 3.081 du 20 janvier 2011 approuvant la Convention et le Cahier des charges de la nouvelle concession d’exploitation du service public de collecte des résidus urbains et assimilés ;
Vu l’avenant n° 1 au contrat d’assistance conclu entre la SMEG et la SMA en date du 22 septembre 2011 ;
Vu la demande d’avis déposée par la SMA, le 4 février 2013 concernant la mise en œuvre du traitement automatisé ayant pour finalité la «Gestion des services de téléphonie fixe et mobile professionnels» ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 15 avril 2013 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La SOCIETE MONEGASQUE D’ASSAINISSEMENT (SMA) est une Société Anonyme immatriculée au RCI qui a pour mission d’exploiter la concession de service assainissement, notamment par le nettoiement des voies publiques de la Principauté, la collecte des ordures ménagères, la réalisation et l’exploitation d’une usine d’incinération des résidus urbains et industriels de Monaco.
Aussi, conformément à l’article 7 de la loi n° 1.165, modifiée, la SMA soumet la présente demande d’avis relative à la mise en œuvre du traitement ayant pour finalité «Gestion des services de téléphonie fixe et mobile professionnels».
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité «Gestion des services de téléphonie fixe et mobile professionnels».
Les personnes concernées sont les employés de la SMA, de la SMEG, et les personnes extérieures à la société.
Ses fonctionnalités sont les suivantes :
- émission et réception de touts types d’appels ;
- utilisation d’une messagerie vocale pour le personnel administratif ;
- gestion de l’annuaire téléphonique interne ;
- gestion du matériel téléphonique ;
- gestion des dépenses de l’entreprise liées à l’utilisation professionnelle des services de téléphonie.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le traitement est justifié par la réalisation d’un intérêt légitime, sans que soit méconnu ni l’intérêt, ni les droits et libertés fondamentaux de la personne concernée.
Ainsi, la Commission relève qu’il est dans l’intérêt de l’entreprise, afin de pouvoir normalement fonctionner, de disposer d’un parc de téléphones fixes et mobiles.
Elle considère donc que le traitement est licite et justifié conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations nominatives objets du présent traitement sont :
- identité : nom, prénom ;
- adresses et coordonnées : numéro de téléphone entrant et sortant ;
- données temporelles : date, heure, durée de l’appel ;
- données qualitatives de l’appel : service utilisé, opérateur, destination géographique de l’appel (national, France, international), coûts, surtaxes, volume et nature des données échangées.
Les informations relatives à l’identité ont pour origine les personnes concernées.
Les autres informations ont pour origine le système (autocommutateur).
Enfin, le responsable de traitement indique que lorsque des relevés téléphoniques sont établis, les quatre derniers chiffres du numéro appelé sont occultés.
La Commission considère que les informations collectées sont «adéquates, pertinentes et non excessives» au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV. Sur les droits des personnes concernées
• Sur l’information préalable des personnes concernées
Le responsable de traitement indique que l’information préalable des personnes concernées est effectuée par le biais d’un affichage dans les locaux de la SMA ainsi que par une procédure interne accessible en Intranet.
La Commission relève que les personnes extérieures à la SMA, ne sont pas informées de leurs droits. Elle demande donc à ce qu’il y ait, «a minima», une mention sur son site internet.
• Sur l’exercice du droit d’accès, de modification et de mise à jour
La Commission observe que le droit d’accès est exercé par voie postale ou par courrier électronique. Le délai de réponse est de 20 jours.
Les droits de modification et de mise à jour des données sont exercés selon les mêmes modalités.
La Commission constate ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
• Sur les destinataires
La Commission constate l’absence de destinataire des informations.
• Sur les personnes ayant accès
La Direction des systèmes d’information de la SMEG dispose d’un accès en consultation. A cet égard, la Commission constate qu’aux termes d’un contrat d’assistance conclu entre la SMA et la SMEG, «la SMEG gérera et exploitera le système d’information de la SMA notamment par la gestion du parc de matériels informatiques, du système de téléphonie et des réseaux informatiques» (avenant 1).
Les prestataires télécom (pour le fixe et pour le mobile) de la SMA disposent d’un accès en inscription et modification.
Considérant les attributions de chacune de ces entités, et eu égard à la finalité du traitement, la Commission estime que les accès susvisés sont justifiés.
VI. Sur la sécurité du traitement et des informations
La Commission rappelle que l’article 17 alinéas 3 et 4 de la loi n° 1.165, modifiée, dispose que :
- «Lorsque le responsable du traitement ou son représentant a recours aux services d’un ou plusieurs prestataires, il doit s’assurer que ces derniers sont en mesure de satisfaire aux obligations prescrites aux deux précédents alinéas.
- la réalisation de traitements par un prestataire doit être régie par un contrat écrit entre le prestataire et le responsable de traitement ou son représentant qui stipule notamment que le prestataire et les membres de son personnel n’agissent que sur la seule instruction du responsable de traitement ou de son représentant et que les obligations visées aux deux premiers alinéas du présent article lui incombe également».
Or, elle relève que l’avenant n° 1 au contrat d’assistance conclu entre la SMEG et la SMA ne contient pas de clause de confidentialité permettant au responsable de traitement de s’assurer que le prestataire est en mesure de satisfaire aux obligations de sécurité, comme l’exige l’article 17 alinéa 3.
La Commission demande donc au responsable de traitement de rédiger une clause de confidentialité qui soit conforme aux exigences de l’article précité.
Enfin, elle rappelle que, conformément à cette même disposition, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VII. Sur la durée de conservation
Les informations nominatives collectées sont conservées deux ans.
La Commission considère que cette durée de conservation est conforme aux exigences légales.
Après en avoir délibéré,
Demande :
- que les personnes extérieures à la SMA soient informées de leurs droits par le biais d’une mention sur son site internet, «a minima» ;
- qu’une clause de confidentialité soit conclue entre le responsable de traitement et la SMEG.
A la condition de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par la Société Monégasque d’Assainissement (SMA), du traitement automatisé d’informations nominatives ayant pour finalité «Gestion des services de téléphonie fixe et mobile professionnels».
Le Président de la Commission
de Contrôle des Informations Nominatives.