Délibération n° 2012-64 du 16 avril 2012 de la commission de contrôle des informations nominatives portant avis favorable sur la demande présentée par la compagnie des autobus de monaco relative à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité «Permettre l’achat en ligne de titres de transport» dénommé «boutique en ligne»
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe, et son protocole additionnel n° 4 ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’ordonnance souveraine n° 992 du 16 février 2007 approuvant la Convention, le Cahier des charges et leurs annexes de la concession du service public pour l’exploitation du réseau de transport public urbain de voyageurs par autobus ;
Vu l’arrêté ministériel du 11 mai 1933 concernant la Compagnie des Autobus Monégasque ;
Vu le traitement automatisé d’informations nominatives ayant pour finalité « assurer l’exploitation du système billettique du réseau urbain de Monaco » sous la dénomination «application billettique ERG» mis en œuvre par décision du directeur de la Compagnie des Autobus de Monaco du 10 novembre 2010, après avis favorable de la Commission de Contrôle des Informations Nominatives n° 2010-15 du 3 mai 2010 ;
Vu la demande d’avis, déposée le 28 mars 2012, concernant la mise en œuvre par la Compagnie des Autobus de Monaco d’un traitement automatisé d’informations nominatives ayant pour finalité «permettre l’achat en ligne de titres de transport», dénommé «boutique en ligne» ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 16 avril 2012 portant analyse dudit traitement automatisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
Par décision du 10 novembre 2010, la Compagnie des Autobus de Monaco (CAM) a mis en œuvre un traitement permettant l’exploitation du système billettique du réseau urbain de Monaco, après avis favorable de la Commission.
Le présent traitement s’inscrit dans le prolongement de ce système en permettant aux usagers des transports urbains de Monaco, clients de la CAM, de pouvoir disposer d’un compte en ligne sur un site Internet afin d’acheter des titres de transport.
La CAM figurant sur la liste établie par arrêté ministériel n° 2009-382 du 31 juillet 2009, la mise en œuvre de ce traitement est soumise à l’avis préalable de la Commission, conformément aux dispositions de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée.
I. Sur la finalité et les fonctionnalités du traitement
Ce traitement automatisé a pour finalité «permettre l’achat en ligne de titres de transport». Il est dénommé «boutique en ligne».
Il concerne les «usagers des transports urbains et interurbains». Il exploite également des informations sur les agents de la CAM habilités à avoir accès ou à réaliser des opérations automatisées au titre de la billettique.
Ce traitement a pour fonctionnalités :
- de permettre aux clients de recharger des titres de transport sur sa ou ses cartes sans contact ;
- de permettre aux clients de connaître le contenu de sa ou de ses cartes ;
- de permettre aux clients de mettre à jour les informations nominatives associées aux cartes de transports ;
- d’informer les clients, notamment, sur les règles applicables en matière de protection des informations nominatives ;
- d’alimenter et de mettre à jour les données des clients de la CAM ayant choisi la boutique en ligne dans le traitement «billettique ERG» ;
- d’établir des statistiques sur les fonctionnements du service dématérialisé offert aux usagers.
La Commission relève que ce traitement est mis en relation avec celui ayant pour finalité d’« assurer l’exploitation du système billettique du réseau urbain de Monaco ». Considérant les finalités et les fonctionnalités de ces traitements, elle constate qu’ils sont compatibles.
La Commission considère enfin que la finalité du traitement objet de la présente demande d’avis est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la légitimité du traitement
• Sur la licéité du traitement
La Commission observe que la CAM est une société privée concessionnaire d’un service public. A cet égard, elle relève que ladite concession est fondée sur la convention de concession entre le Gouvernement Princier et la Compagnie des Autobus de Monaco qui comporte, d’une part, la desserte du réseau de transports publics, et d’autre part, l’exécution avec le matériel de la concession de transports occasionnels réguliers ou non, sur la demande du concédant, telle qu’approuvée par l’ordonnance souveraine n° 992 du 16 février 2007.
En conséquence, la Commission constate que l’activité d’exploitation du réseau de transports publics urbains de voyageurs par la CAM dispose d’un fondement juridique propre. Elle considère donc que le traitement est licite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
• Sur la justification du traitement
La Commission constate que le traitement est justifié par le consentement de la personne concernée. A cet égard, elle observe que les conditions générales de vente diffusées sur le site en ligne de la CAM doivent être acceptées avant toute utilisation des fonctionnalités du site liées à un compte client.
Elle relève, par ailleurs, que celui-ci est justifié par la convention de concession. En effet, d’après ce contrat, la CAM a l’obligation de mettre en place «une stratégie de vente des titres de transport limitant la vente à bord (…) (points de vente, distributeurs automatiques, vente en ligne etc)». A ce titre, l’article 17 du cahier des charges précise que «dans l’optique de limiter autant que possible la vente de titre à bord des autobus le concessionnaire en accord avec le concédant constituera d’autres points et modalités de vente».
Enfin, elle constate que ce traitement est également justifié par la réalisation d’un intérêt légitime poursuivi par le responsable de traitement, en lui permettant de moderniser les modalités de mise à disposition des titres de transport dans le respect des droits et libertés des personnes.
Au vu de ces éléments, la Commission considère que le traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations nominatives objet du présent traitement sont :
- identité : nom, prénom, date de naissance, numéro client, numéro de la ou des carte(s) sans contact des titulaires attachés au compte client ;
- adresse et coordonnées : adresse électronique du client ;
- caractéristiques économiques et financières : confirmation du paiement ;
- loisirs, habitudes de vie : type d’abonnement, date de validité ;
- données d’identification électronique : numéro de client, numéro de carte, login et mot de passe ;
- identité de l’opérateur de la CAM : prénom de l’opérateur ;
- données de connexion : «Google analytics».
Les informations ont pour origine :
- le client pour l’identité, les adresses et coordonnées ;
- le prestataire de service du système de sécurisation des paiements pour les caractéristiques économiques et financières ;
- le système d’information de la CAM pour les données d’identification électronique du client et l’identification des opérateurs.
Concernant «Google analytics», la Commission rappelle qu’il s’agit d’un service en ligne offert par la société Google qui traite, à la demande des éditeurs de site, les informations des internautes qui se sont connectés audit site. Elle observe donc que Google fournit à la CAM des statistiques sur les internautes qui se sont connectés à son site de vente en ligne en analysant leurs données de connexion, comme leur adresse IP, le temps de fréquentation, les pages visitées (…).
A cet égard, elle relève que ni les conditions générales de vente ni les conditions générales d’utilisation du site Internet de la CAM ne mentionnent l’exploitation de ces données de connexion.
Ainsi, en l’absence de précisions sur les informations effectivement exploitées sur les visiteurs du site Internet de la CAM par un tiers, la Commission estime ne pas être en mesure de s’assurer que l’exploitation des données de connexions des visiteurs dudit site est loyale et licite au sens de l’article 10-1 de la loi n° 1.165.
Elle demande donc que cette exploitation soit suspendue et invite le responsable de traitement à revenir vers elle avec une demande d’avis modificative respectueuse de la loi n° 1.165, si la CAM estime nécessaire de devoir traiter ces informations indirectement nominatives.
IV. Sur les droits de la personne concernée
• Sur l’information des personnes
La personne concernée est informée des dispositions relatives à la protection de ses informations nominatives à différentes étapes par :
- une mention figurant sur les documents de collecte ;
- une mention figurant sur les documents et prospectus d’information ;
- le biais d’un affichage,
- une mention particulière intégrée dans un document d’ordre général accessible en ligne ;
- les mentions légales diffusées sur le site Internet de la boutique en ligne : «conditions d’utilisation du site Internet» et «conditions générales de vente».
La Commission relève que les modalités d’information préalable des personnes sont conformes aux dispositions de l’article 14 de la loi n° 1.165, à l’exception des mentions figurant dans le document intitulé «conditions d’utilisation du site Internet».
En effet, ces documents ne mettent pas en évidence les finalités des traitements automatisés liés ainsi que les destinataires des informations. Certaines indications apparaissent également contraires aux fonctionnements de traitements mis en œuvre par la CAM, et visés dans les conditions d’utilisation.
A cet égard, elle relève notamment que :
- la mention selon laquelle «les informations ne seront utilisées que pour les seules nécessités de l’objet de la collecte des données» n’est pas conforme à l’article 14. La finalité du traitement des informations nominatives doit être expressément mentionnée ;
- la mention selon laquelle «la CAM s’engage, à ne pas céder ces informations à des tiers, c’est-à-dire des organismes ou sociétés extérieures au groupe ou encore à des personnes physiques à des fins autres que les problématiques liées aux domaines d’activités de la CAM» ne permet absolument pas de connaître les destinataires ou catégories de destinataires des informations ;
- la mention informant les personnes qu’elles peuvent «à tout moment » s’opposer « gratuitement et sans motif à la diffusion des données» qu’elles ont fournies, n’est pas conforme aux indications contenues dans des traitements mis en œuvre par la CAM.
La Commission rappelle donc que l’article 14 de la loi n° 1.165 exige que les personnes soient informées, notamment, de la finalité du traitement, du caractère obligatoire ou facultatif des réponses, et de l’identité des destinataires ou des catégories de destinataires.
En conséquence, elle demande que les paragraphes figurant dans la rubrique «éthique : les engagements de la Compagnie des Autobus de Monaco» soient modifiés afin d’être mis en conformité avec les dispositions de l’article 14 de la loi n° 1.165.
• Sur l’exercice du droit d’accès, de modification et de mise à jour
Les clients peuvent exercer leurs droits d’accès et de rectification par courrier électronique, voie postale, sur place, et par un accès en ligne à leur compte client.
Une réponse aux demandes formulées est réalisée dans les 30 jours.
En cas de demande de mise à jour, modification, mise à jour, voire de suppression des données, une réponse est réalisée par courrier électronique, voie postale ou sur place.
Les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les destinataires des informations et les personnes ayant accès au traitement
• Les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement relèvent de l’autorité du responsable de traitement. Il s’agit :
- des administrateurs système (tout accès) ;
- des agents de vente (tout accès sur les données relatives à la vente) ;
- du personnel du Back Office pour le paramétrage et les traitements statistiques ;
- du client lui-même qui a un accès en ligne aux informations qui le concerne.
• Les personnes destinataires des informations
Le concédant est destinataire d’informations statistiques anonymes sur le type d’abonnement géré et vendu par ce biais.
VI. Sur la sécurité du traitement et des informations
La Commission observe que les conditions d’utilisation du site Internet dispose que « «la compagnie des autobus de Monaco» ne garantit pas la sécurité de ce site à moins que «la compagnie des autobus de Monaco» n’ait spécifié qu’une fonction particulière soit cryptée ».
Elle estime qu’une telle rédaction n’est pas de nature à respecter les obligations qui pèsent sur tout responsable de traitement au titre de l’article 17 de la loi n° 1.165.
Aussi, afin de veiller à la sécurité du traitement dont s’agit et du traitement avec lequel il est mis en relation, la Commission demande que la connexion entre le client et le site de la boutique en ligne soit réalisée au travers d’un protocole sécurisé de type https.
En outre, la politique de « reset » du mot de passe en cas d’oubli de ce dernier par le client devra être modifiée. La Commission demande que soit mise en place une politique sécurité permettant, par exemple, le changement de mot de passe à la première connexion accompagné d’une question connue seulement du client. Ce mot de passe ne doit être connu que du seul client.
La Commission rappelle que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger doivent être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VII. La durée de conservation
Selon la demande d’avis, la durée de conservation des informations nominatives traitées est de 3 mois à compter de la fin de validité du contrat pour l’identité, l’adresse électronique, le type d’abonnement et les données d’identification électronique.
La durée de conservation de la confirmation du paiement du client est établie en tenant compte de la «durée légale des données comptables».
La Commission relève que cette durée de conservation est conforme aux demandes qu’elle a formulées dans le traitement ayant pour finalité «assurer l’exploitation du système billettique du réseau urbain de Monaco».
Après en avoir délibéré,
Demande que :
- l’exploitation des données de connexion des internautes par Google Analytics soit suspendue tant que la CAM ne dispose pas des éléments lui permettant de connaître les informations indirectement nominatives traitées à sa demande par ce tiers ;
- les dispositions relatives à la protection des informations nominatives inscrites dans les conditions générales d’utilisation du site soient mises en conformité avec les dispositions de la loi n° 1.165 ;
- la connexion entre le client et le site de la boutique en ligne soit réalisée au travers d’un protocole sécurisé de type https, et que la politique de «reset» soit renforcée ;
Invite le responsable de traitement à revenir vers elle avec une demande d’avis modificative respectueuse de la loi n° 1.165 s’il estime nécessaire de traiter les données de connexion des internautes visitant son site Internet.
A la condition de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations nominatives émet un avis favorable à la mise en œuvre par la Compagnie des Autobus de Monaco du traitement automatisé d’informations nominatives ayant pour finalité «permettre l’achat en ligne de titres de transport», dénommé «boutique en ligne».
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe, et son protocole additionnel n° 4 ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’ordonnance souveraine n° 992 du 16 février 2007 approuvant la Convention, le Cahier des charges et leurs annexes de la concession du service public pour l’exploitation du réseau de transport public urbain de voyageurs par autobus ;
Vu l’arrêté ministériel du 11 mai 1933 concernant la Compagnie des Autobus Monégasque ;
Vu le traitement automatisé d’informations nominatives ayant pour finalité « assurer l’exploitation du système billettique du réseau urbain de Monaco » sous la dénomination «application billettique ERG» mis en œuvre par décision du directeur de la Compagnie des Autobus de Monaco du 10 novembre 2010, après avis favorable de la Commission de Contrôle des Informations Nominatives n° 2010-15 du 3 mai 2010 ;
Vu la demande d’avis, déposée le 28 mars 2012, concernant la mise en œuvre par la Compagnie des Autobus de Monaco d’un traitement automatisé d’informations nominatives ayant pour finalité «permettre l’achat en ligne de titres de transport», dénommé «boutique en ligne» ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 16 avril 2012 portant analyse dudit traitement automatisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
Par décision du 10 novembre 2010, la Compagnie des Autobus de Monaco (CAM) a mis en œuvre un traitement permettant l’exploitation du système billettique du réseau urbain de Monaco, après avis favorable de la Commission.
Le présent traitement s’inscrit dans le prolongement de ce système en permettant aux usagers des transports urbains de Monaco, clients de la CAM, de pouvoir disposer d’un compte en ligne sur un site Internet afin d’acheter des titres de transport.
La CAM figurant sur la liste établie par arrêté ministériel n° 2009-382 du 31 juillet 2009, la mise en œuvre de ce traitement est soumise à l’avis préalable de la Commission, conformément aux dispositions de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée.
I. Sur la finalité et les fonctionnalités du traitement
Ce traitement automatisé a pour finalité «permettre l’achat en ligne de titres de transport». Il est dénommé «boutique en ligne».
Il concerne les «usagers des transports urbains et interurbains». Il exploite également des informations sur les agents de la CAM habilités à avoir accès ou à réaliser des opérations automatisées au titre de la billettique.
Ce traitement a pour fonctionnalités :
- de permettre aux clients de recharger des titres de transport sur sa ou ses cartes sans contact ;
- de permettre aux clients de connaître le contenu de sa ou de ses cartes ;
- de permettre aux clients de mettre à jour les informations nominatives associées aux cartes de transports ;
- d’informer les clients, notamment, sur les règles applicables en matière de protection des informations nominatives ;
- d’alimenter et de mettre à jour les données des clients de la CAM ayant choisi la boutique en ligne dans le traitement «billettique ERG» ;
- d’établir des statistiques sur les fonctionnements du service dématérialisé offert aux usagers.
La Commission relève que ce traitement est mis en relation avec celui ayant pour finalité d’« assurer l’exploitation du système billettique du réseau urbain de Monaco ». Considérant les finalités et les fonctionnalités de ces traitements, elle constate qu’ils sont compatibles.
La Commission considère enfin que la finalité du traitement objet de la présente demande d’avis est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la légitimité du traitement
• Sur la licéité du traitement
La Commission observe que la CAM est une société privée concessionnaire d’un service public. A cet égard, elle relève que ladite concession est fondée sur la convention de concession entre le Gouvernement Princier et la Compagnie des Autobus de Monaco qui comporte, d’une part, la desserte du réseau de transports publics, et d’autre part, l’exécution avec le matériel de la concession de transports occasionnels réguliers ou non, sur la demande du concédant, telle qu’approuvée par l’ordonnance souveraine n° 992 du 16 février 2007.
En conséquence, la Commission constate que l’activité d’exploitation du réseau de transports publics urbains de voyageurs par la CAM dispose d’un fondement juridique propre. Elle considère donc que le traitement est licite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
• Sur la justification du traitement
La Commission constate que le traitement est justifié par le consentement de la personne concernée. A cet égard, elle observe que les conditions générales de vente diffusées sur le site en ligne de la CAM doivent être acceptées avant toute utilisation des fonctionnalités du site liées à un compte client.
Elle relève, par ailleurs, que celui-ci est justifié par la convention de concession. En effet, d’après ce contrat, la CAM a l’obligation de mettre en place «une stratégie de vente des titres de transport limitant la vente à bord (…) (points de vente, distributeurs automatiques, vente en ligne etc)». A ce titre, l’article 17 du cahier des charges précise que «dans l’optique de limiter autant que possible la vente de titre à bord des autobus le concessionnaire en accord avec le concédant constituera d’autres points et modalités de vente».
Enfin, elle constate que ce traitement est également justifié par la réalisation d’un intérêt légitime poursuivi par le responsable de traitement, en lui permettant de moderniser les modalités de mise à disposition des titres de transport dans le respect des droits et libertés des personnes.
Au vu de ces éléments, la Commission considère que le traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations nominatives objet du présent traitement sont :
- identité : nom, prénom, date de naissance, numéro client, numéro de la ou des carte(s) sans contact des titulaires attachés au compte client ;
- adresse et coordonnées : adresse électronique du client ;
- caractéristiques économiques et financières : confirmation du paiement ;
- loisirs, habitudes de vie : type d’abonnement, date de validité ;
- données d’identification électronique : numéro de client, numéro de carte, login et mot de passe ;
- identité de l’opérateur de la CAM : prénom de l’opérateur ;
- données de connexion : «Google analytics».
Les informations ont pour origine :
- le client pour l’identité, les adresses et coordonnées ;
- le prestataire de service du système de sécurisation des paiements pour les caractéristiques économiques et financières ;
- le système d’information de la CAM pour les données d’identification électronique du client et l’identification des opérateurs.
Concernant «Google analytics», la Commission rappelle qu’il s’agit d’un service en ligne offert par la société Google qui traite, à la demande des éditeurs de site, les informations des internautes qui se sont connectés audit site. Elle observe donc que Google fournit à la CAM des statistiques sur les internautes qui se sont connectés à son site de vente en ligne en analysant leurs données de connexion, comme leur adresse IP, le temps de fréquentation, les pages visitées (…).
A cet égard, elle relève que ni les conditions générales de vente ni les conditions générales d’utilisation du site Internet de la CAM ne mentionnent l’exploitation de ces données de connexion.
Ainsi, en l’absence de précisions sur les informations effectivement exploitées sur les visiteurs du site Internet de la CAM par un tiers, la Commission estime ne pas être en mesure de s’assurer que l’exploitation des données de connexions des visiteurs dudit site est loyale et licite au sens de l’article 10-1 de la loi n° 1.165.
Elle demande donc que cette exploitation soit suspendue et invite le responsable de traitement à revenir vers elle avec une demande d’avis modificative respectueuse de la loi n° 1.165, si la CAM estime nécessaire de devoir traiter ces informations indirectement nominatives.
IV. Sur les droits de la personne concernée
• Sur l’information des personnes
La personne concernée est informée des dispositions relatives à la protection de ses informations nominatives à différentes étapes par :
- une mention figurant sur les documents de collecte ;
- une mention figurant sur les documents et prospectus d’information ;
- le biais d’un affichage,
- une mention particulière intégrée dans un document d’ordre général accessible en ligne ;
- les mentions légales diffusées sur le site Internet de la boutique en ligne : «conditions d’utilisation du site Internet» et «conditions générales de vente».
La Commission relève que les modalités d’information préalable des personnes sont conformes aux dispositions de l’article 14 de la loi n° 1.165, à l’exception des mentions figurant dans le document intitulé «conditions d’utilisation du site Internet».
En effet, ces documents ne mettent pas en évidence les finalités des traitements automatisés liés ainsi que les destinataires des informations. Certaines indications apparaissent également contraires aux fonctionnements de traitements mis en œuvre par la CAM, et visés dans les conditions d’utilisation.
A cet égard, elle relève notamment que :
- la mention selon laquelle «les informations ne seront utilisées que pour les seules nécessités de l’objet de la collecte des données» n’est pas conforme à l’article 14. La finalité du traitement des informations nominatives doit être expressément mentionnée ;
- la mention selon laquelle «la CAM s’engage, à ne pas céder ces informations à des tiers, c’est-à-dire des organismes ou sociétés extérieures au groupe ou encore à des personnes physiques à des fins autres que les problématiques liées aux domaines d’activités de la CAM» ne permet absolument pas de connaître les destinataires ou catégories de destinataires des informations ;
- la mention informant les personnes qu’elles peuvent «à tout moment » s’opposer « gratuitement et sans motif à la diffusion des données» qu’elles ont fournies, n’est pas conforme aux indications contenues dans des traitements mis en œuvre par la CAM.
La Commission rappelle donc que l’article 14 de la loi n° 1.165 exige que les personnes soient informées, notamment, de la finalité du traitement, du caractère obligatoire ou facultatif des réponses, et de l’identité des destinataires ou des catégories de destinataires.
En conséquence, elle demande que les paragraphes figurant dans la rubrique «éthique : les engagements de la Compagnie des Autobus de Monaco» soient modifiés afin d’être mis en conformité avec les dispositions de l’article 14 de la loi n° 1.165.
• Sur l’exercice du droit d’accès, de modification et de mise à jour
Les clients peuvent exercer leurs droits d’accès et de rectification par courrier électronique, voie postale, sur place, et par un accès en ligne à leur compte client.
Une réponse aux demandes formulées est réalisée dans les 30 jours.
En cas de demande de mise à jour, modification, mise à jour, voire de suppression des données, une réponse est réalisée par courrier électronique, voie postale ou sur place.
Les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les destinataires des informations et les personnes ayant accès au traitement
• Les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement relèvent de l’autorité du responsable de traitement. Il s’agit :
- des administrateurs système (tout accès) ;
- des agents de vente (tout accès sur les données relatives à la vente) ;
- du personnel du Back Office pour le paramétrage et les traitements statistiques ;
- du client lui-même qui a un accès en ligne aux informations qui le concerne.
• Les personnes destinataires des informations
Le concédant est destinataire d’informations statistiques anonymes sur le type d’abonnement géré et vendu par ce biais.
VI. Sur la sécurité du traitement et des informations
La Commission observe que les conditions d’utilisation du site Internet dispose que « «la compagnie des autobus de Monaco» ne garantit pas la sécurité de ce site à moins que «la compagnie des autobus de Monaco» n’ait spécifié qu’une fonction particulière soit cryptée ».
Elle estime qu’une telle rédaction n’est pas de nature à respecter les obligations qui pèsent sur tout responsable de traitement au titre de l’article 17 de la loi n° 1.165.
Aussi, afin de veiller à la sécurité du traitement dont s’agit et du traitement avec lequel il est mis en relation, la Commission demande que la connexion entre le client et le site de la boutique en ligne soit réalisée au travers d’un protocole sécurisé de type https.
En outre, la politique de « reset » du mot de passe en cas d’oubli de ce dernier par le client devra être modifiée. La Commission demande que soit mise en place une politique sécurité permettant, par exemple, le changement de mot de passe à la première connexion accompagné d’une question connue seulement du client. Ce mot de passe ne doit être connu que du seul client.
La Commission rappelle que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger doivent être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VII. La durée de conservation
Selon la demande d’avis, la durée de conservation des informations nominatives traitées est de 3 mois à compter de la fin de validité du contrat pour l’identité, l’adresse électronique, le type d’abonnement et les données d’identification électronique.
La durée de conservation de la confirmation du paiement du client est établie en tenant compte de la «durée légale des données comptables».
La Commission relève que cette durée de conservation est conforme aux demandes qu’elle a formulées dans le traitement ayant pour finalité «assurer l’exploitation du système billettique du réseau urbain de Monaco».
Après en avoir délibéré,
Demande que :
- l’exploitation des données de connexion des internautes par Google Analytics soit suspendue tant que la CAM ne dispose pas des éléments lui permettant de connaître les informations indirectement nominatives traitées à sa demande par ce tiers ;
- les dispositions relatives à la protection des informations nominatives inscrites dans les conditions générales d’utilisation du site soient mises en conformité avec les dispositions de la loi n° 1.165 ;
- la connexion entre le client et le site de la boutique en ligne soit réalisée au travers d’un protocole sécurisé de type https, et que la politique de «reset» soit renforcée ;
Invite le responsable de traitement à revenir vers elle avec une demande d’avis modificative respectueuse de la loi n° 1.165 s’il estime nécessaire de traiter les données de connexion des internautes visitant son site Internet.
A la condition de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations nominatives émet un avis favorable à la mise en œuvre par la Compagnie des Autobus de Monaco du traitement automatisé d’informations nominatives ayant pour finalité «permettre l’achat en ligne de titres de transport», dénommé «boutique en ligne».
Le Président de la Commission
de Contrôle des Informations Nominatives.