icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2023-154 du 18 octobre 2023 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion des ateliers d'initiation aux usages numériques » présenté par Monaco Telecom.

  • N° journal 8670
  • Date de publication 24/11/2023
  • Qualité 100%
  • N° de page

Vu la Constitution ;

Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu l’Ordonnance Souveraine n° 3.560 du 6 décembre 2011 approuvant la Convention, les Cahiers des Charges et les Annexes de la Concession du service public des communications électroniques sur le territoire de la Principauté de Monaco ;

Vu l’Ordonnance Souveraine n° 6.186 du 12 décembre 2016 approuvant l’Avenant à la Convention de Concession du service public des communications électroniques sur le territoire de la Principauté de Monaco ;

Vu l’Ordonnance Souveraine n° 8.654 du 10 mai 2021 approuvant l’Avenant n° 3 à la Convention de Concession du service public des communications électroniques sur le territoire de la Principauté de Monaco ;

Vu le Contrat de Concession du service public des communications électroniques sur le territoire de la Principauté de Monaco du 26 septembre 2011 ;

Vu le Cahier des Charges relatif à la Concession du service public des communications électroniques sur le territoire de la Principauté de Monaco, signé le 26 septembre 2011, annexé à l’Ordonnance Souveraine n° 3.560 du 6 décembre 2011 ;

Vu le Cahier des Charges de l’Avenant à la Concession du service public des communications électroniques et ses Annexes attachées à l’Ordonnance Souveraine n° 6.186 du 12 décembre 2016 ;

Vu le Cahier des Charges de l’Avenant n° 3 à la Convention de Concession du service public des communications électroniques et ses Annexes ;

Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;

Vu la demande d’avis déposée par Monaco Telecom, le 23 juin 2023, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Gestion des ateliers d’initiation aux usages numériques » ;

Vu la prorogation du délai d’examen de la présente demande d’avis, notifiée au responsable de traitement, le 22 août 2023 conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives, en date du 18 octobre 2023, portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

Monaco Telecom SAM est une société concessionnaire d’un service public, immatriculée au RCI, sous le numéro 97 S 03277, qui a notamment pour objet « d’assurer dans les relations intérieures et internationales, tous services de télécommunication. À ce titre, elle assure les activités d’opérateur public chargé de l’exploitation du service téléphonique de la Principauté de Monaco […] ».

Ce responsable de traitement souhaite organiser des ateliers destinés à initier et accompagner les personnes, qui le souhaitent, aux usages numériques. À cet effet, il a créé La Maison du Numérique ainsi que le site Internet www.maisondunumerique.mc, pour permettre au public de s’informer et de s’inscrire aux ateliers et sessions de formation proposés.

Le traitement automatisé d’informations nominatives y afférent est ainsi soumis à l’avis de la Commission, conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.

I. Sur la finalité et les fonctionnalités du traitement

Le présent traitement a pour finalité « Gestion des ateliers d’initiation aux usages numériques ».

Il concerne les usagers. La Commission relève que le personnel habilité du responsable de traitement est également susceptible d’être concerné par le présent traitement. Elle en prend acte.

La Commission constate en outre que l’inscription aux ateliers et aux sessions de formation peut être effectuée par téléphone ou directement sur place au sein du local de La Maison du Numérique. Les usagers peuvent également s’inscrire en ligne via le site Internet de La Maison du Numérique.

Le présent traitement a pour fonctionnalités :

-  le bon fonctionnement et l’amélioration permanente du site internet, de ses services et de ses fonctionnalités ;

-  la gestion des demandes de prise de contact téléphonique ;

-  l’organisation de sessions de formation (« classes ») ou d’ateliers ;

-  la réalisation de statistiques à des fins d’amélioration des ateliers ;

-  l’information des usagers en cas de modification en lien avec leur réservation ;

-  l’envoi de newsletters ;

-  l’organisation en ressources matérielles et humaines de la Maison du Numérique ;

-  la gestion des demandes de droit d’accès, de rectification, d’opposition, d’effacement et de limitation et le droit d’introduire une réclamation.

La Commission relève que les statistiques réalisées sont anonymes. Elle note par ailleurs que toute intervention sur le matériel d’un usager, survenant dans le cadre de l’assistance dispensée par La Maison du Numérique, est précédée de la signature, par ce dernier, d’un Formulaire d’intervention.

Il ressort, en outre, de l’étude du dossier que le site Internet de La Maison du Numérique présente les fonctionnalités suivantes :

-  « Mise à disposition d’un formulaire d’inscription à destination des usagers ;

-  Mise à disposition d’un formulaire de souscription à la newsletter de La Maison du Numérique ;

-  Outils de mesure d’audience Matomo ;

-  Outil de mesure de sécurisation Friendly Captcha ;

-  Outil de fourniture d’adaptation des paramètres du site aux personnes souffrant d’un handicap. ».

La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le présent traitement est justifié par le consentement de la personne concernée, par le respect d’une obligation légale à laquelle il est soumis ainsi que par la réalisation d’un intérêt légitime qui ne méconnaît ni l’intérêt ni les libertés et droits fondamentaux de la personne concernée.

Il précise notamment s’agissant du fondement juridique en lien avec le consentement, que « l’inscription aux ateliers proposés via le formulaire disponible sur le site Internet et l’envoi de la newsletter reposent sur le consentement de la personne concernée. Les personnes rentrent volontairement leurs données afin d’avoir accès aux services proposés par La Maison du Numérique ».

La Commission observe que préalablement à toute souscription, les personnes concernées sont informées de ce que l’inscription à la newsletter induit une collecte d’informations nominatives (adresse IP, adresse email) et qu’elles peuvent se désinscrire, à tout moment, de la liste de diffusion à l’aide d’un lien de désinscription disponible dans chaque newsletter.

Elle note par ailleurs, des informations disponibles relatives au prestataire fournissant l’outil d’adaptation des paramètres du site aux personnes souffrant d’un handicap, que le logiciel utilise uniquement des cookies techniques. La Commission constate qu’un tel outil permet au responsable de traitement d’être en conformité avec son obligation de rendre le site accessible aux personnes en situation de handicap, en application de l’article 1-2 de la loi n° 1.383 du 2 août 2011 pour une Principauté Numérique.

Le responsable de traitement précise également, qu’en application de l’article 12 du Cahier des Charges de l’Avenant n° 3 du Contrat de Concession de service public des communications électroniques en date du 7 mai 2022 et des dispositions de l’article 3.2 de l’Annexe 1 - Plan industriel, « le concessionnaire participe au financement des programmes d’innovation numérique. Ce financement est alloué à la création et à l’animation de La Maison du Numérique ».

Enfin, il est indiqué que les statistiques réalisées sont anonymes « dans le but d’identifier le public visé et le cas échéant adapter ses ateliers », l’exploitation du site maisondunumerique.mc permettant de mettre à disposition du public les différents ateliers proposés par La Maison du Numérique.

En outre l’outil de personnalisation des paramètres techniques du site internet permet au responsable de traitement de « répondre à des obligations légales contenues dans la loi n° 1.482 du 17 décembre 2019 pour une Principauté Numérique ».

La Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.

III. Sur les informations nominatives traitées

Les informations nominatives traitées sont :

-  identité : usager : nom, prénom, date de naissance (optionnel) ;

-  adresses et coordonnées : formulaire de contact : adresse email, numéro de téléphone mobile ou fixe ; newsletter : email ;

-  informations temporelles : formulaire de contact : date et heure d’envoi du formulaire ; newsletter : date et heure d’envoi de la demande de souscription ;

-  information géographique : newsletter : adresse IP (zone géographique d’ouverture de l’email : pays uniquement) ;

-  informations techniques de l’appareil : newsletter : navigateur, support, nom de domaine utilisé pour ouvrir l’email.

La Commission considère que les informations relatives aux données d’identification électronique des personnes habilitées à accéder au présent traitement ainsi qu’à l’horodatage peuvent également être collectées dans le cadre du présent traitement. Elles ont pour origine le système.

La Commission constate de surcroit que les pièces d’identité des personnes concernées sont susceptibles d’être collectées dans le cadre de la procédure de droit d’accès. Il en est de même s’agissant de l’acte de décès d’une personne concernée ainsi que de tout document attestant de la qualité d’ayant-droit d’une personne concernée. La Commission renvoie à cet égard au point IV de la présente délibération.

Les personnes concernées communiquent les informations relatives à leur identité, ainsi qu’à leurs adresses et coordonnées. La Commission constate que les informations temporelles sont issues du système.

Enfin, les informations géographiques et les informations techniques de l’appareil ont pour origine le navigateur.

La Commission considère que les informations ainsi collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.

IV.   Sur les droits des personnes concernées

  • Sur l’information préalable des personnes concernées

L’information préalable des personnes concernées s’effectue par le biais d’une mention sur le document de collecte, d’un document spécifique ainsi que par une rubrique propre à la protection des données accessible en ligne.

S’agissant de la Charte relative à la protection des informations nominatives et de la vie privée et des formulaires joints à la demande d’avis, la Commission considère que ces documents comportent des mentions conformes aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.

La mention figurant au sein de la rubrique en ligne n’ayant en revanche pas été jointe au dossier, la Commission rappelle que celle-ci doit être conforme aux dispositions de l’article 14 susvisé.

Sous cette réserve, elle considère que les modalités d’information préalable des personnes concernées sont conformes aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.

  • Sur l’exercice du droit d’accès

Le droit d’accès s’exerce sur place, par voie postale ou par courrier électronique adressé au Délégué à la Protection des Données.

À cet égard, la Commission rappelle que la réponse à ce droit d’accès doit intervenir dans le mois suivant la réception de la demande.

S’agissant de l’exercice du droit d’accès par voie électronique, la Commission rappelle qu’une procédure doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agit effectivement de la personne concernée par les informations. À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.

Enfin, la Commission rappelle que le droit d’accès d’un ayant-droit d’une personne concernée s’exerce dans le strict cadre des limites posées par l’article 13 alinéa 2 de la loi n° 1.165 du 23 décembre 1993, qui dispose que « [S]auf dispositions législatives contraires, l’ascendant, le descendant jusqu’au second degré, ou le conjoint survivant d’une personne décédée, peut, s’il justifie d’un intérêt, exercer les droits prévus au précédent alinéa, pour ce qui est des informations concernant cette personne ».

Sous cette réserve, elle constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.

V.    Sur les destinataires et les personnes ayant accès au traitement

  • Sur les destinataires

Le responsable de traitement indique que les données collectées dans le cadre du présent traitement sont communiquées au personnel de La Maison du Numérique.

Les informations relatives à la newsletter sont susceptibles d’être communiquées au sous-traitant en charge de la newsletter en cas de maintenance.

La Commission considère que ces communications d’informations sont justifiées.

  • Sur les accès au traitement

Ont par ailleurs accès au présent traitement :

-  le Service dédié à La Maison du Numérique : pour les formulaires : inscription, modification, consultation et maintenance ;

-  le personnel de La Maison du Numérique pour les newsletters : inscription, modification et consultation ;

-  l’infogéreur : accès au site Internet pour inscription, modification et consultation en cas de maintenance ;

-  le sous-traitant en charge de l’envoi des newsletters : consultation uniquement en cas de maintenance.

En ce qui concerne les prestataires de service, la Commission rappelle toutefois que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, leurs droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de services. De plus, ces derniers sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.

Sous cette réserve, la Commission considère que ces accès sont justifiés.

VI.   Sur les rapprochements et interconnexions

Le responsable de traitement indique que le présent traitement ne fait l’objet d’aucun rapprochement et/ou interconnexion.

Il ressort toutefois de l’étude du dossier l’existence d’un rapprochement avec un traitement légalement mis en œuvre en lien avec la messagerie professionnelle pour communication, planification des rendez-vous avec les clients et collecte des contacts. La Commission en prend acte.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.

Cependant, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

La Commission rappelle en outre que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement, au regard des risques présentés par ce traitement et de la nature des données à protéger, devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Le responsable de traitement indique que les données collectées sont conservées 1 an à compter de leur collecte, à l’exception toutefois de celles relatives à la newsletter (informations temporelles, information géographique et informations techniques de l’appareil) qui le sont jusqu’à la désinscription de l’usager.

La Commission prend acte de ce que les copies d’acte de décès, de pièce d’identité et de document attestant de la qualité d’ayant-droit d’une personne concernée sont détruites une fois la demande traitée.

Enfin, s’agissant des informations temporelles, la Commission rappelle que celles-ci doivent être conservées entre 3 mois minimum et 1 an maximum. Il fixe donc en conséquence la durée de conservation des informations temporelles.

Sous réserve de ce qui précède, la Commission considère que ces durées sont conformes aux exigences légales.

Après en avoir délibéré, la Commission :

Rappelle  :

-  que l’information de l’ensemble des personnes doit être conforme aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée ;

-  qu’une procédure doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agit effectivement de la personne concernée par les informations. À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels ;

-  que la réponse à un droit d’accès doit intervenir dans le mois suivant la réception de la demande ;

-  que l’exercice du droit d’accès par un ayant-droit d’une personne concernée s’exerce dans le strict cadre des limites posées à l’article 13 alinéa 2 de la loi n° 1.165 du 23 décembre 1993, modifiée ;

-  que les informations temporelles doivent être conservées entre 3 mois minimum et 1 an maximum ;

-  que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switch, routeurs, pares-feux), ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

Fixe à une durée de 3 mois minimum et 1 an maximum la durée des informations temporelles.

Sous le bénéfice de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par Monaco Telecom, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des ateliers d’initiation aux usages numériques ».

Le Président de la Commission

de Contrôle des Informations Nominatives.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14