Délibération n° 2021-276 du 15 décembre 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion du service de messagerie électronique et d'espace de stockage en ligne des clients Monaco Telecom » présenté par Monaco Telecom S.A.M.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.383 du 2 août 2011 pour une Principauté numérique, modifiée ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu le Contrat de Concession du Service Public des communications électroniques sur le territoire de la Principauté de Monaco du 26 septembre 2011 ;
Vu le Cahier des Charges relatif à la Concession du Service Public des communications électroniques sur le territoire de la Principauté de Monaco signé le 26 septembre 2011 annexé à l’Ordonnance Souveraine n° 3.560 du 6 décembre 2011 ;
Vu le Cahier des Charges de l’avenant à la Concession du Service Public des communications électroniques et ses annexes annexés à l’Ordonnance Souveraine n° 6.186 du 12 décembre 2016 ;
Vu le Cahier des Charges de l’Avenant n° 3 à la Convention de Concession du Service Public des Communications électroniques et ses annexes annexés à l’Ordonnance Souveraine n° 8.654 du 10 mai 2021 ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la demande d’avis reçue le 7 septembre 2021 concernant la mise en œuvre par Monaco Telecom SAM d’un traitement automatisé ayant pour finalité « Gestion du service de messagerie électronique et d’espace de stockage en ligne des clients Monaco Telecom » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 4 novembre 2021, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 15 décembre 2021 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Monaco Telecom SAM (MT), immatriculée au RCI, est un organisme de droit privé concessionnaire d’un service public. Elle a notamment pour objet « d’assurer dans les relations intérieures et internationales, tous services de télécommunications. À ce titre, elle assure les activités d’opérateur public chargé de l’exploitation du service téléphonique de la Principauté de Monaco […] ».
Cette société propose à ses clients un service de messagerie électronique et d’espace de stockage en ligne dont elle assure la gestion technique.
Ainsi, le traitement automatisé d’informations nominatives y afférent est soumis à l’avis de la Commission, conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Ce traitement a pour finalité « Gestion du service de messagerie électronique et d’espace de stockage en ligne des clients Monaco Telecom ».
Les personnes concernées sont les salariés de Monaco Telecom et Monaco Telecom Services (MTS) en charge de l’administration de la solution, ainsi que les clients de Monaco Telecom.
Le service de messagerie de Monaco Telecom permet à ses clients :
- la création de (boites aux lettres) BAL ;
- l’envoi et la réception de courriers électroniques ;
- la gestion du carnet d’adresse de la BAL ;
- la gestion d’une fiche de contact du client ;
- la gestion des dossiers de la BAL et des courriers électroniques archivés et supprimés ;
- la gestion de l’agenda dans le calendrier de la BAL ;
- la gestion du carnet d’adresse ;
- la gestion des tâches ;
- le stockage de fichiers dans le Drive.
Les fonctionnalités de Monaco Telecom pour administrer la solution en tant que responsable de traitement sont, à l’analyse du dossier :
- administration des messageries électroniques (BAL) et de l’espace de stockage en ligne (Drive) sur le portail espace client MyMT ;
- modérer de manière automatisée les noms des BAL créées par le client sur la base d’une liste d’adresses dont la création est impossible dans le système et d’une liste de mots-clés, qui, s’ils sont utilisés, renvoie la demande, via le service client, en interne dans les services de Monaco Telecom, pour validation ou refus de l’adresse ;
- gestion des habilitations d’accès au Drive ;
- détection automatique de messages non sollicités (SPMA) et de programmes informatiques malveillants ;
- connexion des administrateurs MT pour des raisons d’exploitation aux messages mis en quarantaine par l’outil anti-spam ;
- connexion administrateur pour répondre à des demandes d’interceptions légales ;
- suppression des messageries inactives (après un an d’inactivité).
En ce qui concerne la modération des noms de BAL, la Commission s’interroge sur le renvoi automatique d’adresses prohibées au service client, et s’inquiète qu’en fonction de la nature de l’adresse, cela puisse conduire à des dénonciations auprès de la Direction de la Sûreté Publique. Aussi, la Commission demande que le choix de saisir le service client pour passer outre un refus automatisé de création de BAL soit à la discrétion du client.
Sous cette réserve, elle constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le traitement est justifié par l’exécution d’un contrat avec la personne concernée et la réalisation d’un intérêt légitime, sans que ne soient méconnus ni l’intérêt, ni les droits et libertés fondamentaux des personnes concernées.
À cet égard, il expose que dans le cadre de « ses offres liées à la souscription d’un contrat d’abonnement internet ou mobile éligible, Monaco Telecom propose à ses clients un service de BAL et de Drive », tout en précisant que « l’accès à la BAL et au Drive constitue l’accessoire du contrat d’abonnement souscris par le client. Ce dernier est libre d’activer ou non sa/ses BAL et son Drive ».
Le responsable de traitement indique également que « l’analyse automatisée du contenu des e-mails avec le logiciel de détection de contenus non sollicités (anti-spam) ou de programmes informatiques malveillants est justifiée par l’application de l’article 19 de la loi n° 1.482 du 17 décembre 2019 pour une Principauté numérique ».
La Commission rappelle également qu’aux termes de l’article 28-7 de la loi n° 1.383 (article 19 de la loi n° 1.482), « Les opérateurs de communications électroniques, les fournisseurs de services de communication au public permettant à leurs utilisateurs d’échanger des correspondances en ligne, ainsi que leur personnel, sont tenus de respecter le secret des correspondances électroniques privées au titre de l’article 22 de la Constitution, sans préjudice des dispositions de l’article 9 de la loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale.
Le secret desdites correspondances couvre le contenu de la correspondance, l’identité des correspondants ainsi que, le cas échéant, l’intitulé du message et les documents joints à la correspondance. (…).
Le traitement automatisé d’analyse, à des fins publicitaires, statistiques ou d’amélioration du service apporté à l’utilisateur, du contenu de la correspondance électronique privée, de l’identité des correspondants ainsi que, le cas échéant, de l’intitulé ou des documents joints mentionnés au deuxième alinéa du présent article est interdit, sauf si le consentement exprès de l’utilisateur est recueilli à une périodicité fixée par arrêté ministériel, qui ne peut être supérieure à un an. Le consentement est spécifique à chaque traitement ».
Aussi, elle appelle à veiller scrupuleusement à la confidentialité des communications des clients en toutes circonstances, même pour des raisons techniques, eu égard aux accès décrits au point V de la présente délibération. La Commission constate néanmoins que MT doit pouvoir se connecter aux messages pour se conformer aux demandes d’interception légale. Aussi, ces accès doivent être strictement encadrés.
Sous cette réserve, la Commission considère que le traitement est justifié, conformément à l’article 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations nominatives traitées
Les informations collectées sont :
- identité : nom, prénom, date de naissance ;
- adresse et coordonnées : adresse(s) postale(s), numéro de téléphone ;
- consommation de biens et services, habitudes de vie : langue de préférence (information facultative) ;
- données d’identification électronique : mot de passe d’accès du compte de messagerie électronique (donnée chiffrée), adresse(s) de la BAL ;
- informations temporelles : logs de connexion et fichiers journaux (via antispam) ;
- fiche de contact du client et carnet d’adresse (champs libres, informations facultatives) : nom, prénom, date de naissance, numéro de téléphone, description du poste, BAL, adresse postale ;
- messages reçus et envoyés : contenu, objet, date et heure d’envoie et de réception ;
- données stockées dans le Drive : fichiers stockés dans le Drive.
Les informations relatives à l’identité et aux adresses et coordonnées proviennent d’une interconnexion avec le traitement ayant pour finalité « Gestion des offres composites ».
En ce qui concerne la langue et les données d’identification électronique, ces informations sont définies par le client.
Les informations temporelles sont créées par le système.
Enfin, la Commission rappelle que les fiches contacts et messages reçus et envoyés, qui sont produis par le client ou les personnes avec qui il échange, relèvent de l’exploitation personnelle dudit client et que lesdites informations ne peuvent en aucune manière, eu égard à la protection de la vie privée issue de la CESDH, de la Constitution monégasque et de la loi n° 1.383, précitée, être accessibles par le responsable de traitement, sauf cas particulier des interceptions légales.
La Commission considère que les informations traitées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165.
IV. Sur les droits des personnes concernées
- Sur l’information préalable des personnes concernées
L’information préalable des personnes concernées est effectuée par le biais d’une mention particulière intégrée dans un document d’ordre général accessible en ligne, une rubrique propre à la protection des données accessible en ligne, ainsi que l’annexe 3 aux Conditions Générales de Vente VTI.
À cet égard, la Commission constate que ladite annexe ne comporte pas les clauses de protection des données personnelles mais est dédiée à l’utilisation de la messagerie/drive. Elle rappelle donc que le document principal support de l’information relative aux données personnelles, non joint au dossier, doit contenir une mention conforme aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.
En qui concerne l’annexe et l’utilisation du service, la Commission constate que les clients ne sont pas informés des restrictions opérées sur les choix de créations de BAL (mots interdits) et de la communication dans certains cas dudit choix d’adresse prohibé au service client.
En outre, si les conditions d’utilisation préviennent les clients que leur messagerie est supprimée au bout d’un an d’inactivité, la Commission estime qu’eu égard à la nature des informations personnelles qui y sont contenues, un mécanisme de prévention du client devrait être mis en place pour qu’il puisse s’y reconnecter s’il le souhaite avant toute suppression.
- Sur l’exercice du droit d’accès, de modification et de mise à jour
Les personnes concernées peuvent exercer leurs droits par courrier électronique, sur place ou par voie postale auprès du Service client de Monaco Telecom.
En outre, la Commission rappelle que la réponse à ce droit d’accès doit intervenir dans le mois suivant la réception de la demande.
Enfin, elle prend acte des précisions du responsable de traitement qui indique disposer d’une procédure relative au droit d’accès par voie électronique permettant de s’assurer que l’expéditeur du courriel est effectivement la personne concernée.
V. Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
- le client propriétaire de(s) BAL pour toutes les informations qui le concernent (écriture, modification, consultation, suppression) ;
- la Direction Technique de Monaco Telecom lors d’incidents sur le service (maintenance, consultation, suppression, modification) ;
- service client de Monaco Telecom après sollicitation du client (écriture, modification) ;
- commercial de Monaco Telecom dans le cadre de la création de la BAL (écriture, consultation, modification) ;
- les équipes techniques de la solution de messagerie électronique personnelle en maintenance niveau 3 (maintenance, consultation, suppression, modification).
En ce qui concerne le prestataire, la Commission rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993 les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service. De plus, ledit prestataire est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
Sous la réserve exprimée au point II de la présente délibération, la Commission considère que ces accès sont justifiés.
VI. Sur les rapprochements et interconnexions
Le responsable de traitement indique que le présent traitement est interconnecté avec le traitement ayant pour finalité « Gestion des offres composites », car « le CRM Monaco Telecom identifie le client et permet ou non l’activation de la BAL », ainsi que celui ayant pour finalité « Mise à disposition d’outils de gestion des comptes et abonnements clients par le biais du portail client MyMT » « afin que le client puisse administrer des BAL depuis son espace client MyMT ».
Cependant, à l’analyse du dossier il appert une interconnexion avec le traitement ayant pour finalité « Gestion des habilitations au système d’information » présent dans le TAIN.
La Commission relève que ces interconnexions sont conformes aux dispositions légales et aux finalités initiales des traitements susvisés, légalement mis en œuvre.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
La Commission rappelle néanmoins que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Elle rappelle également que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
La Commission relève que les informations relatives aux clients sont conservées 6 mois après la suppression de la BAL, excepté :
- le mot passe qui peut être changé par le client à tout moment ;
- l’adresse de la BAL qui est conservée 12 mois à compter de sa suppression ;
- les informations temporelles qui sont conservées 12 mois ;
- les messages qui peuvent être supprimés à tout moment par les clients.
La Commission constate que ces durées sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Demande que le service client ne soit pas automatiquement destinataire des tentatives de créations de BAL contenant des mots prohibés, mais qu’il appartienne au client qui le désire le choix de saisir le service client afin de passer outre un refus automatisé de création de BAL.
Rappelle que :
- conformément aux dispositions de l’article 28-7 de la loi n° 1.383 pour une Principauté numérique, Monaco Telecom doit veiller scrupuleusement à la confidentialité des communications des clients en toutes circonstances, même pour des raisons techniques, eu égard aux accès décrits au point V de la présente délibération ;
- les personnes concernées doivent être informées conformément aux dispositions de l’article 14 de la loi n° 1.165, modifiée ;
- les personnes concernées devraient être informées de la possibilité de se connecter à leur boîte mail avant toute suppression automatique de leur messagerie après un an d’inactivité ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Constate que le présent traitement est interconnecté avec le traitement ayant pour finalité « Gestion des habilitations au système d’information, légalement mis en œuvre.
À la condition de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion du service de messagerie électronique et d’espace de stockage en ligne des clients Monaco Telecom » par Monaco Telecom S.A.M..
Le Président de la Commission de Contrôle des Informations Nominatives.