Délibération n° 2013-73 du 17 juin 2013 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité «Gestion de la trésorerie MT et MTI» presentée par Monaco Télécom SAM».
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée ;
Vu le contrat de concession du service public des communications électroniques sur le territoire de la Principauté de Monaco du 26 septembre 2011 ;
Vu le cahier des charges relatif à la concession du service public des communications électroniques sur le territoire de la Principauté de Monaco signé le 26 septembre 2011 et annexé à l’ordonnance souveraine n° 3.560 du 6 décembre 2011 ;
Vu la demande d’avis déposée par monaco télécom SAM le 17 mai 2013 concernant la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité «Gestion de la trésorerie MT et MTI» ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 17 juin 2013 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
Monaco Télécom SAM, immatriculée au RCI, est un organisme de droit privé concessionnaire d’un service public. Elle a notamment pour objet «d’assurer dans les relations intérieures et internationales, tous services de télécommunications. A ce titre, elle assure les activités d’opérateur public chargé de l’exploitation du service téléphonique de la Principauté de Monaco […]».
Monaco Télécom SAM (MT) assure la gestion de sa propre trésorerie et celle de Monaco Télécom international SAM (MTI), sa filiale à 100 %.
A ce titre, en application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, ladite société soumet la présente demande d’avis relative au traitement ayant pour finalité «Gestion de la trésorerie MT et MTI».
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité «Gestion de la trésorerie MT et MTI».
Les personnes concernées sont les collaborateurs, les fournisseurs et les clients.
Ses fonctionnalités sont les suivantes :
- la gestion de la trésorerie ;
- la gestion des paiements, salaires et prélèvements ;
- la gestion des relevés de comptes et des rejets de prélèvements et de virements ;
- la gestion des signatures internes (validation interne) et des signatures bancaires (conformité avec protocole bancaire) ;
- la communication bancaire.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la justification du traitement
• Sur la licéité du traitement
La Commission relève qu’au titre de l’article 28 de l’ordonnance souveraine n° 3.560 du 6 décembre 2011 approuvant la convention, les cahiers des charges et les annexes de la concession du service public des communications électroniques sur le territoire de la Principauté de Monaco, «le Concessionnaire établit et remet au Concédant [chaque année] un rapport contenant [des] données de performance financière» et «une note contenant les données détaillées sur la base desquelles le calcul de la redevance est effectué », [et chaque semestre] un rapport contenant le chiffre d’affaires ainsi que la base clients par ligne de produit».
Elle considère donc que ledit traitement est licite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
• Sur la justification
Ce traitement est justifié d’une part, par l’exécution d’un contrat ou de mesures pré-contractuelles avec la personne concernée et d’autre part, par la réalisation d’un intérêt légitime, sans que soient méconnus les libertés et droits fondamentaux des personnes concernées.
A cet égard, la Commission relève que ce traitement permet à la société de connaître avec précision l’état de la trésorerie et «d’honorer les engagements de paiement et [de] prélèvements des sociétés MT et MTI».
Elle considère donc que le traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations objets du traitement sont :
- identité : nom, prénom payeur, donneur d’ordre ;
- adresses et coordonnées : adresse tiers ;
- caractéristiques financières : identifiant de transaction, numéro de compte émetteur, BIC et IBAN du destinataire, pays émetteur, nom de banque émetteur et destinataire, code BIC émetteur, devise, montant, date d’échéance, mode de règlement, contenu des remises ;
- données d’identification électronique : identité des signataires, email des signataires, emails des salariés utilisateurs ;
- informations de configuration du logiciel : paramétrage des circuits de validation, paramétrage des niveaux de signature, paramétrage des flux financiers et autorisations sur les flux, paramétrage des services et appartenance des utilisateurs au service.
Les informations relatives à l’identité ont pour origine le client, le fournisseur ou le collaborateur. Celles relatives aux adresses et coordonnées proviennent du tiers concerné. Les informations concernant les caractéristiques financières ont pour origine le client, le fournisseur ou la banque. Enfin, les autres informations proviennent de Monaco Télécom.
La Commission considère que les informations traitées sont «adéquates, pertinentes et non excessives» au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV. Sur les droits des personnes concernées
• Sur l’information des personnes concernées
L’information préalable des personnes concernées est effectuée par le biais d’une mention particulière intégrée dans un document d’ordre général accessible en ligne et dans des documents intitulés «CGV, note interne, CGA», non joints au dossier.
A cet égard, la Commission relève que la mention en ligne, intitulée «Protection des données personnelles», ne fait pas apparaître clairement les finalités des traitements exploités par Monaco Télécom.
Elle demande donc au responsable de traitement de s’assurer que les mentions d’information figurant dans les documents précités soient conformes aux dispositions de l’article 14 de la loi n° 1.165 et que la mention accessible en ligne soit complétée.
• Sur l’exercice des droits des personnes concernées
Le droit d’accès est exercé par voie postale ou sur le site internet www.monaco.mc.
Le délai de réponse est de 30 jours.
Les droits de modification, de mise à jour et de suppression sont exercés par voie postale.
La Commission constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
• Sur les destinataires
Les banques HSBC Private Bank, CMB, BNP Paribas et Société Générale à Monaco, ainsi que la HSBC en France sont destinataires des informations relatives à l’identité, aux adresses et coordonnées et aux caractéristiques financières.
La Commission estime que ces communications d’informations sont conformes aux dispositions de la loi n° 1.165, modifiée.
• Sur les personnes ayant accès au traitement
Les services Trésorerie, Comptabilité et Ressources Humaines disposent d’un accès (tous droits) au traitement.
Un sous-traitant dispose également de tels accès aux fins de support et maintenance et sous la supervision de l’utilisateur du Service Trésorerie ayant accepté la session de télémaintenance.
Considérant les attributions de ces services, et eu égard à la finalité du traitement, la Commission considère que ces accès sont justifiés.
VI. Sur les rapprochements avec d’autres traitements
Ce traitement est interconnecté avec les traitements ayant pour finalité respective « Gestion des abonnements «Service d’accès internet»», «Gestion des abonnements et services de l’activité télévision», «Gestion des abonnements «service de téléphonie mobile»», «Gestion des abonnements «service de téléphonie fixe»», « adresses fournisseurs », et «Gestion paie», légalement mis en œuvre.
Il est également interconnecté avec les traitements ayant pour finalité respective «Gestion des ressources humaines hors paie» et «gestion des clients et de leurs abonnements convergents», non légalement mis en œuvre.
A cet égard, la Commission demande que ces deux traitements soient soumis à son avis.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
Elle rappelle enfin que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Le responsable de traitement indique que les informations sont conservées 10 ans après le terme contractuel.
A cet égard, la Commission relève que :
- l’article L. 152 bis du Code de commerce dispose que «les obligations nées à l’occasion de leur commerce entre commerçants ou entre commerçants et non-commerçants se prescrivent par dix ans si elles ne sont pas soumises à des prescriptions plus courtes» ;
- l’article 80 du Code des taxes sur le chiffre d’affaires énonce que «les livres, registres, documents ou pièces sur lesquels peuvent s’exercer les droits de communication et de contrôle de l’Administration doivent être conservés pendant un délai de six ans à compter de la date de la dernière opération mentionnée sur les livres ou registres ou de la date à laquelle les documents ou pièces ont été établis (…)».
Elle constate donc que la durée de conservation des informations est excessive au regard de la finalité du traitement.
Elle décide en conséquence que les informations seront conservées 10 ans à compter de leur collecte.
Après en avoir délibéré,
Demande que :
- les mentions d’information soient mises en conformité avec les dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993 ;
- les interconnexions entre le traitement objet de la présente demande d’avis et ceux ayant pour finalité «Gestion des ressources humaines hors paie» et «Gestion des clients et de leurs abonnements convergents» soient interrompues, et que ces derniers traitements soient soumis à son avis ;
Fixe la durée de conservation des informations à 10 ans à compter de leur collecte.
A la condition de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par Monaco Télécom SAM, du traitement automatisé d’informations nominatives ayant pour finalité «Gestion de la trésorerie MT et MTI».
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée ;
Vu le contrat de concession du service public des communications électroniques sur le territoire de la Principauté de Monaco du 26 septembre 2011 ;
Vu le cahier des charges relatif à la concession du service public des communications électroniques sur le territoire de la Principauté de Monaco signé le 26 septembre 2011 et annexé à l’ordonnance souveraine n° 3.560 du 6 décembre 2011 ;
Vu la demande d’avis déposée par monaco télécom SAM le 17 mai 2013 concernant la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité «Gestion de la trésorerie MT et MTI» ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 17 juin 2013 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
Monaco Télécom SAM, immatriculée au RCI, est un organisme de droit privé concessionnaire d’un service public. Elle a notamment pour objet «d’assurer dans les relations intérieures et internationales, tous services de télécommunications. A ce titre, elle assure les activités d’opérateur public chargé de l’exploitation du service téléphonique de la Principauté de Monaco […]».
Monaco Télécom SAM (MT) assure la gestion de sa propre trésorerie et celle de Monaco Télécom international SAM (MTI), sa filiale à 100 %.
A ce titre, en application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, ladite société soumet la présente demande d’avis relative au traitement ayant pour finalité «Gestion de la trésorerie MT et MTI».
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité «Gestion de la trésorerie MT et MTI».
Les personnes concernées sont les collaborateurs, les fournisseurs et les clients.
Ses fonctionnalités sont les suivantes :
- la gestion de la trésorerie ;
- la gestion des paiements, salaires et prélèvements ;
- la gestion des relevés de comptes et des rejets de prélèvements et de virements ;
- la gestion des signatures internes (validation interne) et des signatures bancaires (conformité avec protocole bancaire) ;
- la communication bancaire.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la justification du traitement
• Sur la licéité du traitement
La Commission relève qu’au titre de l’article 28 de l’ordonnance souveraine n° 3.560 du 6 décembre 2011 approuvant la convention, les cahiers des charges et les annexes de la concession du service public des communications électroniques sur le territoire de la Principauté de Monaco, «le Concessionnaire établit et remet au Concédant [chaque année] un rapport contenant [des] données de performance financière» et «une note contenant les données détaillées sur la base desquelles le calcul de la redevance est effectué », [et chaque semestre] un rapport contenant le chiffre d’affaires ainsi que la base clients par ligne de produit».
Elle considère donc que ledit traitement est licite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
• Sur la justification
Ce traitement est justifié d’une part, par l’exécution d’un contrat ou de mesures pré-contractuelles avec la personne concernée et d’autre part, par la réalisation d’un intérêt légitime, sans que soient méconnus les libertés et droits fondamentaux des personnes concernées.
A cet égard, la Commission relève que ce traitement permet à la société de connaître avec précision l’état de la trésorerie et «d’honorer les engagements de paiement et [de] prélèvements des sociétés MT et MTI».
Elle considère donc que le traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations objets du traitement sont :
- identité : nom, prénom payeur, donneur d’ordre ;
- adresses et coordonnées : adresse tiers ;
- caractéristiques financières : identifiant de transaction, numéro de compte émetteur, BIC et IBAN du destinataire, pays émetteur, nom de banque émetteur et destinataire, code BIC émetteur, devise, montant, date d’échéance, mode de règlement, contenu des remises ;
- données d’identification électronique : identité des signataires, email des signataires, emails des salariés utilisateurs ;
- informations de configuration du logiciel : paramétrage des circuits de validation, paramétrage des niveaux de signature, paramétrage des flux financiers et autorisations sur les flux, paramétrage des services et appartenance des utilisateurs au service.
Les informations relatives à l’identité ont pour origine le client, le fournisseur ou le collaborateur. Celles relatives aux adresses et coordonnées proviennent du tiers concerné. Les informations concernant les caractéristiques financières ont pour origine le client, le fournisseur ou la banque. Enfin, les autres informations proviennent de Monaco Télécom.
La Commission considère que les informations traitées sont «adéquates, pertinentes et non excessives» au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV. Sur les droits des personnes concernées
• Sur l’information des personnes concernées
L’information préalable des personnes concernées est effectuée par le biais d’une mention particulière intégrée dans un document d’ordre général accessible en ligne et dans des documents intitulés «CGV, note interne, CGA», non joints au dossier.
A cet égard, la Commission relève que la mention en ligne, intitulée «Protection des données personnelles», ne fait pas apparaître clairement les finalités des traitements exploités par Monaco Télécom.
Elle demande donc au responsable de traitement de s’assurer que les mentions d’information figurant dans les documents précités soient conformes aux dispositions de l’article 14 de la loi n° 1.165 et que la mention accessible en ligne soit complétée.
• Sur l’exercice des droits des personnes concernées
Le droit d’accès est exercé par voie postale ou sur le site internet www.monaco.mc.
Le délai de réponse est de 30 jours.
Les droits de modification, de mise à jour et de suppression sont exercés par voie postale.
La Commission constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
• Sur les destinataires
Les banques HSBC Private Bank, CMB, BNP Paribas et Société Générale à Monaco, ainsi que la HSBC en France sont destinataires des informations relatives à l’identité, aux adresses et coordonnées et aux caractéristiques financières.
La Commission estime que ces communications d’informations sont conformes aux dispositions de la loi n° 1.165, modifiée.
• Sur les personnes ayant accès au traitement
Les services Trésorerie, Comptabilité et Ressources Humaines disposent d’un accès (tous droits) au traitement.
Un sous-traitant dispose également de tels accès aux fins de support et maintenance et sous la supervision de l’utilisateur du Service Trésorerie ayant accepté la session de télémaintenance.
Considérant les attributions de ces services, et eu égard à la finalité du traitement, la Commission considère que ces accès sont justifiés.
VI. Sur les rapprochements avec d’autres traitements
Ce traitement est interconnecté avec les traitements ayant pour finalité respective « Gestion des abonnements «Service d’accès internet»», «Gestion des abonnements et services de l’activité télévision», «Gestion des abonnements «service de téléphonie mobile»», «Gestion des abonnements «service de téléphonie fixe»», « adresses fournisseurs », et «Gestion paie», légalement mis en œuvre.
Il est également interconnecté avec les traitements ayant pour finalité respective «Gestion des ressources humaines hors paie» et «gestion des clients et de leurs abonnements convergents», non légalement mis en œuvre.
A cet égard, la Commission demande que ces deux traitements soient soumis à son avis.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
Elle rappelle enfin que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Le responsable de traitement indique que les informations sont conservées 10 ans après le terme contractuel.
A cet égard, la Commission relève que :
- l’article L. 152 bis du Code de commerce dispose que «les obligations nées à l’occasion de leur commerce entre commerçants ou entre commerçants et non-commerçants se prescrivent par dix ans si elles ne sont pas soumises à des prescriptions plus courtes» ;
- l’article 80 du Code des taxes sur le chiffre d’affaires énonce que «les livres, registres, documents ou pièces sur lesquels peuvent s’exercer les droits de communication et de contrôle de l’Administration doivent être conservés pendant un délai de six ans à compter de la date de la dernière opération mentionnée sur les livres ou registres ou de la date à laquelle les documents ou pièces ont été établis (…)».
Elle constate donc que la durée de conservation des informations est excessive au regard de la finalité du traitement.
Elle décide en conséquence que les informations seront conservées 10 ans à compter de leur collecte.
Après en avoir délibéré,
Demande que :
- les mentions d’information soient mises en conformité avec les dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993 ;
- les interconnexions entre le traitement objet de la présente demande d’avis et ceux ayant pour finalité «Gestion des ressources humaines hors paie» et «Gestion des clients et de leurs abonnements convergents» soient interrompues, et que ces derniers traitements soient soumis à son avis ;
Fixe la durée de conservation des informations à 10 ans à compter de leur collecte.
A la condition de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par Monaco Télécom SAM, du traitement automatisé d’informations nominatives ayant pour finalité «Gestion de la trésorerie MT et MTI».
Le Président de la Commission
de Contrôle des Informations Nominatives.