Délibération n° 2017-54 du 19 avril 2017 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les dispositifs d'enregistrement des conversations téléphoniques mis en œuvre sur le lieu de travail par les établissements bancaires et assimilés.

Vu la Constitution ;
Vu la Convention de sauvegarde des Droits de l'Homme et des Libertés fondamentales du Conseil de l'Europe du 4 novembre 1950, rendue exécutoire par l'Ordonnance Souveraine n° 408 du 15 février 2006 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la Recommandation CM/Rec(2015)5 du Conseil de l'Europe du 1er avril 2015 sur le traitement des données à caractère personnel dans le cadre de l'emploi ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives modifiée ;
Vu la loi n° 1.338 du 7 septembre 2007 sur les activités financières ;
Vu l'Ordonnance Souveraine n° 1.284 du 10 septembre 2007 portant application de la loi n° 1.338 du 7 septembre 2007 susvisée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'arrêté ministériel n° 2012-199 du 5 avril 2012 relatif aux obligations professionnelles des établissements de crédit teneurs de comptes-conservateurs d'instruments financiers ;
Vu le Code civil ;
La Commission de Contrôle des Informations Nominatives,
Conformément à l'article 1er alinéa 1 de la loi n° 1.165 du 23 décembre 1993, les traitements automatisés ou non automatisés d'informations nominatives ne doivent pas porter atteinte aux libertés et droits fondamentaux consacrés par le titre III de la Constitution.
La Commission de Contrôle des Informations Nominatives, Autorité Administrative Indépendante, a pour mission de veiller au respect de ces dispositions. À ce titre, elle est notamment habilitée à formuler toutes recommandations entrant dans le cadre des missions qui lui sont conférées par la loi.
Par la présente délibération, la Commission souhaite préciser les grands principes de protection des informations nominatives applicables aux dispositifs d'enregistrement des conversations téléphoniques mis en œuvre sur le lieu de travail par les établissements bancaires et assimilés, et ce afin de les orienter dans leurs démarches d'autorisation auprès d'elle.
À ce titre, cette recommandation annule et remplace la délibération n° 2012-118 du 16 juillet 2012 portant recommandation sur les dispositifs d'enregistrement des conversations téléphoniques mis en œuvre sur le lieu de travail par les établissements bancaires et assimilés.
I. Dispositions générales
Les établissements bancaires et assimilés peuvent recourir à un système d'enregistrement des conversations téléphoniques dans le cadre de leur obligation de traçabilité des transmissions d'ordres.
Il s'ensuit une collecte d'informations nominatives, afférentes tant à la personne utilisant le téléphone qu'à son interlocuteur, cela afin de permettre aux personnes habilitées de consulter et réécouter leur contenu lorsque cela s'avère nécessaire.
Ces traitements « mis en œuvre à des fins de surveillance » au sens de l'article 11-1 de la loi n° 1.165, modifiée, sont soumis à l'autorisation préalable de la Commission.
Toutefois, la Commission relève que la mise en place de tels systèmes comprend un certain nombre de dangers intrinsèques, et notamment :
- le risque d'atteinte à la vie privée des employés lors d'une utilisation à caractère privé du téléphone ;
- le risque de disproportion entre le dispositif mis en place et les objectifs poursuivis par le responsable de traitement ou son représentant ;
- la déloyauté de la collecte et du traitement des données nominatives d'une personne n'ayant pas les moyens de s'y opposer ou de se défendre.
Au vu de ces éléments, la Commission estime nécessaire de retenir les principes fondamentaux ci-après exposés, afin de s'assurer de la conformité des dispositifs d'enregistrement des conversations téléphoniques avec les dispositions de la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives.
II. Fonctionnalités du traitement
La Commission considère que la mise en œuvre d'un dispositif d'enregistrement des conversations téléphoniques par un établissement bancaire ou assimilé ne peut avoir d'autres fonctionnalités que :
- l'enregistrement des conversations dans le cadre de la relation d'affaires pour permettre la traçabilité des ordres ;
-  l'établissement de preuves en cas de litige avec un client/employé.
Le responsable de traitement peut procéder par échantillonnage et de manière aléatoire à un contrôle de la régularité des opérations.
III. Licéité et justification des dispositifs d'enregistrement des conversations téléphoniques
La Commission considère qu'un traitement d'informations nominatives afférent à un dispositif d'enregistrement des conversations téléphoniques est justifié, conformément aux dispositions de l'article 10-2 de la loi n° 1.165, modifiée, dès lors qu'il est mis en œuvre aux seules fins de répondre aux obligations issues de la loi n° 1.338 du 7 septembre 2007 sur les activités financières et son ordonnance souveraine d'application et de l'arrêté ministériel n° 2012-199 du 5 avril 2012 relatif aux obligations professionnelles des établissements de crédit teneurs de comptes-conservateurs d'instruments financiers.
Par ailleurs, elle rappelle qu'aux termes de l'article 10-1 la loi n° 1.165 du 23 décembre 1993, susvisée, « les informations nominatives doivent être collectées et traitées loyalement et licitement […] pour une finalité déterminée, explicite et légitime, et ne pas être traitées ultérieurement de manière incompatible avec cette finalité ».
À ce titre, la Recommandation CM/Rec(2015)5 du Conseil de l'Europe du 1er avril 2015 sur le traitement des données à caractère personnel dans le cadre de l'emploi précise que « le respect de la dignité humaine, de la vie privée et de la protection des données à caractère personnel devrait être garanti lors du traitement de données à des fins d'emploi, notamment pour permettre aux employés le développement libre de leur personnalité et afin de préserver la possibilité de relations sociales et individuelles sur leur lieu de travail ».
En conséquence, la Commission appelle l'attention des établissements bancaires et assimilés sur le fait que les informations nominatives exploitées dans le cadre des traitements qui sous-tendent les dispositifs d'enregistrement des conversations téléphoniques ne sauraient être détournées de la finalité pour laquelle elles ont initialement été collectées.
En outre, ces dispositifs ne sauraient donner lieu à des pratiques abusives portant atteinte aux libertés et droits fondamentaux des collaborateurs, mais également aux droits conférés par la loi aux Délégués du Personnel et aux Délégués Syndicaux.
C'est pourquoi, conformément aux dispositions de l'article 11-1 de la loi n° 1.165, modifiée, le demandeur devra apporter les éléments permettant à la Commission de s'assurer que les droits et libertés des personnes seront protégés.
Ainsi, seuls les collaborateurs concernés, au regard des objectifs visés au point II de la présente délibération, devront être soumis à cette mesure d'enregistrement des conversations téléphoniques.
La Commission préconise que soit instaurée une modalité permettant d'avoir une conversation d'ordre privé non enregistrée, notamment par la mise à disposition d'un « téléphone blanc » non enregistré ou en laissant la possibilité aux salariés d'utiliser leurs téléphones personnels.
IV. Catégories d'informations traitées
Conformément à l'article 10-1 de la loi n° 1.165, modifiée, la Commission considère que seules les catégories d'informations suivantes peuvent être traitées :
- identité : voix de l'appelant et de l'appelé ;
- contenu de la conversation téléphonique ;
- adresses et coordonnées : numéros de téléphone de l'appelant et de l'appelé ;
- données d'identification électronique : logs de connexion des personnes habilitées à avoir accès aux enregistrements ;
- données de connexion : logs, traces d'exécution, horodatage, fichiers journaux.
V. Durée de conservation
La Commission rappelle que conformément à l'article 10-1 de la loi n° 1.165, modifiée, les informations nominatives objets du traitement ne peuvent être conservées que pendant une durée n'excédant pas celle nécessaire à la réalisation de la finalité pour laquelle elles sont exploitées.
Ainsi, la Commission estime que l'enregistrement des conversations téléphoniques effectué dans le cadre de la relation d'affaires entre un établissement bancaire et ses clients peut être conservé pour une durée maximale de 5 ans, correspondant à la durée de prescription prévue par le Code civil.
Enfin, elle rappelle que dans le cadre de l'ouverture d'une procédure judiciaire, toute information nécessaire issue du traitement pourra être conservée jusqu'à la fin de la procédure.
VI. Information de la personne concernée
L'enregistrement des conversations téléphoniques étant un traitement particulièrement intrusif dans la vie professionnelle et privée autant de l'appelant que de l'appelé, la Commission insiste particulièrement sur la nécessaire information des personnes concernées.
À ce titre, l'existence d'un tel traitement d'informations nominatives doit être portée à la connaissance de ces dernières, conformément à l'article 14 de la loi n° 1.165, modifiée.
Aux termes de cet article, cette information doit porter sur :
- l'identité du responsable de traitement et le cas échéant, celle de son représentant à Monaco ;
- la finalité du traitement ;
- l'identité des destinataires ou des catégories de destinataires des informations ;
- l'existence d'un droit d'opposition, d'accès et de rectification à l'égard des informations les concernant.
Les collaborateurs doivent être informés de la manière la plus efficiente possible. Ainsi, à des fins de transparence, il conviendra d'instaurer une procédure écrite décrivant avec précision, notamment, le déroulement de la procédure de contrôle, ses modalités, les appareils téléphoniques concernés (fixes ou mobiles), la finalité des contrôles envisagés et les modalités de droit d'accès.
Concernant les clients et les tiers la Commission demande que ceux-ci soient informés de l'enregistrement : par le biais d'une clause contractuelle, par l'envoi d'un courrier à titre informatif mentionnant la finalité du traitement et les modalités d'exercice du droit d'accès ou par un message vocal.
VII. Personnes ayant accès aux informations et destinataires
La Commission considère que l'accès aux informations objets des traitements visés par la présente délibération doit être limité aux seules personnes qui peuvent légitimement en avoir connaissance au regard de leurs fonctions ou de leurs missions, ainsi que de la finalité du traitement.
Sur ce point, la Commission rappelle que, conformément aux dispositions de l'article 17-1, alinéa 2, de la loi n° 1.165 précitée, le responsable de traitement doit « déterminer nominativement la liste de personnes autorisées qui ont seules accès, pour les stricts besoins de l'accomplissement de leurs missions, aux locaux et aux installations utilisés pour les traitements, de même qu'aux informations traitées ».
Elle recommande qu'aucun accès permettant l'audition d'enregistrement téléphonique ne soit possible sans, a minima, l'accord du responsable de la conformité.
Enfin, la Commission rappelle que les autorités judiciaires et administratives peuvent, dans le cadre exclusif des missions qui leur sont légalement conférées, être destinataires d'informations nominatives traitées, notamment pour la recherche de preuves ou la constatation d'infractions. Dans ce cas, des mesures de sécurité particulières devront être prises, concernant notamment le support sur lequel ces informations sont transmises, ainsi que la procédure de transfert, conformément aux dispositions du point IX de la présente délibération.
VIII. Interconnexions
La Commission constate que les traitements objets de la présente délibération sont nécessairement interconnectés avec ceux ayant pour finalité «  la Gestion de la téléphonie fixe et mobile ».
IX. Mesures de sécurité et de confidentialité
La Commission rappelle qu'en application des articles 17 et 17-1 de la loi n° 1.165, modifiée, le responsable de traitement ou son représentant doit prendre toutes mesures utiles pour préserver la sécurité des informations objets du traitement, telles que l'authentification par un identifiant et un mot de passe individuel (réputé fort) régulièrement renouvelé.
Par ailleurs, elle attire l'attention sur la nécessité d'avoir une sécurité adéquate en cas d'utilisation d'un commutateur téléphonique IP connecté à l'Internet et/ou au système d'information.
Enfin, la Commission admet que des données puissent être extraites et/ou copiées sur un support distinct en vue d'une communication aux autorités administratives ou judiciaires légalement habilitées. Elle rappelle que dans ce cas, toute copie ou extraction de ces données devra être chiffrée sur son support de réception.
Après en avoir délibéré, la Commission :
Rappelle que :
- d'une manière générale, tout traitement automatisé d'informations nominatives afférent à un dispositif d'enregistrement des conversations téléphoniques doit respecter les principes de la loi n° 1.165, modifiée, tels que précisés par la présente délibération ;
- la délibération n° 2012-118 du 16 juillet 2012 portant recommandation sur les dispositifs d'enregistrement des conversations téléphoniques mis en œuvre sur le lieu de travail par les établissements bancaires et assimilés est annulée et remplacée par la présente délibération.

Le Président de la Commission
de Contrôle des Informations
Nominatives.