Délibération n° 2014-61 du 12 mars 2014 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Mise à disposition d’outils de gestion des comptes et abonnements clients par le biais du portail client MyMT » présenté par Monaco Telecom SAM.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu le contrat de concession du service public des communications électroniques sur le territoire de la Principauté de Monaco du 26 septembre 2011 ;
Vu le cahier des charges relatif à la concession du service public des communications électroniques sur le territoire de la Principauté de Monaco signé le 26 septembre 2011 et annexé à l’ordonnance souveraine n° 3.560 du 6 décembre 2011 ;
Vu l’arrêté ministériel n° 2010-638 du 23 décembre 2010 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la demande d’avis déposée par Monaco Telecom SAM, le 6 décembre 2013 concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Portail client en ligne » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 31 janvier 2014, conformément à l’article 19 de l’ordonnance souveraine n° 2.230, susmentionnée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 12 mars 2014 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Monaco Telecom SAM, immatriculée au RCI, est un organisme de droit privé concessionnaire d’un service public. Elle a notamment pour objet « d’assurer dans les relations intérieures et internationales, tous services de télécommunications. A ce titre, elle assure les activités d’opérateur public chargé de l’exploitation du service téléphonique de la Principauté de Monaco […] ».
Cette société souhaite permettre à ses clients de suivre et de gérer leurs offres par l’intermédiaire d’un outil accessible en ligne dénommé « MyMT ».
A ce titre, en application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, ladite société soumet la présente demande d’avis.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Portail clients en ligne ».
Il concerne les clients de Monaco Telecom.
Toutefois, la Commission constate à l’analyse du dossier que sont également concernés les salariés commerciaux de Monaco Telecom SAM.
Elle en prend donc acte.
• Les fonctionnalités mises à disposition sur le portail sont :
Pour l’ensemble des abonnements concernés (fixe, internet, mobile)
- création de compte « MyMT » ;
- récupération du mot de passe d’accès au « MyMT » (Mot de passe oublié) ;
• Pour la téléphonie fixe :
- suivi de la consommation en cours entre deux factures ;
- analyse des consommations associées à la dernière facture ;
- consultation et téléchargement des 3 dernières factures ;
- visualisation d’informations relatives au paiement des factures (solde dû, mode de paiement, etc.) ;
- paiement des factures en ligne ;
- visualisation de l’historique des paiements en ligne ;
• Pour la fourniture de service internet/ voix sur IP
- modification des paramètres d’accès ;
- évolution de l’offre Internet ;
- souscription d’options ;
- impression des paramètres de l’accès internet ;
- consultation et téléchargement des Conditions Générales de Ventes ;
- consultation et téléchargement de l’autorisation de prélèvement automatique et des coordonnées de paiement ;
- consultation et téléchargement des configurations minimales requises ;
- consultation et téléchargement des conditions spécifiques de vente de l’accès internet ;
- consultation et téléchargement des conditions spécifiques de vente du service de téléphonie illimité ;
- visualisation des offres d’accès associées au compte ;
- visualisation des services associés au compte ;
- consultation des paramètres de la box internet ;
- gestion de la configuration box : Wifi/réseau ;
- visualisation des paramètres de connexion « Mc Nomade » ;
- visualisation des paramètres de la messagerie ;
- création d’une (ou plusieurs) adresse(s) mail ;
- gestion des adresses email existantes ;
- activation du service « pages perso » ;
- consultation des paramètres du service « pages perso » ;
- consultation des consommations ;
- gestion des paramètres de la ligne VoIP : visualisation du numéro de VoIP, activation/désactivation de service (signal d’appel, secret d’identité), configuration des renvois d’appels, restriction de l’utilisation de la ligne VoIP, consultation et modification du code PIN ;
- consultation et téléchargement des 6 dernières factures ;
- consultation du solde dû ;
- consultation du mode de paiement choisi ;
- paiement des factures en ligne ;
- affichage de l’historique des paiements en ligne ;
- consultation de la consommation du mois M-1 ;
- consultation des infos personnelles (nom, prénom, adresse, email) ;
- modification de l’email de contact ;
- visualisation des coordonnées bancaires ;
- visualisation des autres comptes internet ;
• Pour la téléphonie mobile :
- visualisation et modification des paramètres du compte « MyMT » ;
- visualisation de la liste des comptes mobiles associés au compte « MyMT » ;
- visualisation du nombre de points de fidélité et de leur date limite d’utilisation ;
- visualisation du bon d’achat maximum correspondant au nombre de points associé au compte sélectionné ;
- information quant à la démarche à suivre pour ouvrir une ligne ;
- visualisation des informations générales associées au compte :
• GP : nom, prénom, l’adresse postale du compte, mandataires
• Pro : raison sociale, enseigne, adresse du contractant, représentant légal (prénom, nom, type de contact et l’adresse postale), mandataires (nom, prénom, type de contact des mandataires), commercial dédié (nom, prénom, l’adresse email du commercial MT)
- visualisation des numéros de compte de facturation associés au compte mobile ;
- visualisation du montant de la dernière facture ;
- consultation et téléchargement des 6 dernières factures ;
- paiement du montant dû ;
- consultation de l’historique des paiements ;
- consultation du mode de paiement associé au compte de facturation sélectionné ;
- souscription au prélèvement automatique ;
- modification des coordonnées bancaires ;
- souscription à la facture dématérialisée ;
- modification de l’email de contact ;
- modification de l’adresse postale de facturation ;
- modification de l’email de contact de facturation ;
- consultation, analyse et export des consommations associées à la dernière facture ;
- visualisation des lignes associées à la facture sélectionnée ;
- visualisation du modèle du téléphone associé à la ligne mobile sélectionnée ;
- visualisation des offres partagées souscrites (entreprises uniquement) ;
- visualisation du nom du forfait associé à la ligne mobile sélectionnée ;
- visualisation des options souscrites ou incluses ;
- visualisation de la durée d’engagement ;
- visualisation de la date de fin d’engagement ;
- visualisation de l’éligibilité de la ligne à la prime mobile ;
- visualisation de la date de fin d’engagement ;
- information quant à la démarche à suivre pour :
• changer de forfait ;
• renouveler son mobile ;
• obtenir une nouvelle carte SIM ;
• modifier ses options ;
- visualisation du numéro de carte SIM ;
- visualisation du code PUK ;
- suivi de la consommation de la ligne en cours de mois ;
- visualisation du nom de l’utilisateur de la ligne (entreprises uniquement) ;
- visualisation de l’ensemble des lignes (flotte mobile) et par ligne (entreprise uniquement) ;
- téléchargement des informations relatives à l’encours consommation de la flotte (entreprises uniquement) ;
- statistiques d’utilisation du « MyMT » (accessibles par Monaco Telecom uniquement) : nombre de compte, nombre de connexion, actes réalisés au travers de « MyMT ».
Par ailleurs, il appert de l’analyse du dossier que le présent traitement est interconnecté avec le traitement ayant pour finalité « Gestion de la communication par le biais du site www.monaco.mc », concomitamment soumis.
A cet égard, elle rappelle que par délibération n° 2014-60, elle a émis un avis défavorable à la mise en œuvre de ce traitement. Dès lors, aucune interconnexion, rapprochement, mise en relation ne peut être effectué avec celui-ci tant que ce dernier n’a pas été mis en conformité avec les dispositions de la loi n° 1.165.
Enfin, la Commission rappelle que tout traitement d’informations nominatives doit avoir une finalité « déterminée, explicite et légitime » aux termes de l’article 10-1 de la loi n° 1.165, modifiée.
A cet égard, la finalité du présent traitement doit être plus explicite et mettre en évidence les objectifs recherchés par le responsable de traitement.
Par conséquent, elle devrait être modifiée par la finalité suivante : « Mise à disposition du client d’outils de gestion des comptes et abonnements clients par le biais du portail client « MyMT » ».
II. Sur la licéité et la justification du traitement
• Sur la licéité
Considérant l’objet social de la société ainsi que les prestations visées dans le cahier des charges relatif à la concession du service public des communications électroniques sur le territoire de la Principauté de Monaco, la Commission relève que ce traitement est licite, conformément à l’article 10-1 de la loi n° 1.165, modifiée ;
• Sur la justification
Ce traitement est justifié par la réalisation d’un intérêt légitime sans que ne soient méconnus ni l’intérêt, ni les droits et libertés fondamentaux de la personne concernée, ainsi que par le consentement de la ou des personnes concernées.
A cet égard, la Commission relève qu’il est légitime pour une société d’offrir à ses clients des nouveaux outils en ligne leur permettant de gérer leurs comptes et de surveiller leurs consommations de manière continue.
A cet égard, la Commission relève que l’initiative et l’opportunité de la création du compte appartient au client désirant utiliser le portail client en ligne.
Elle considère donc que ce traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations nominatives objets du présent traitement sont :
- identité : nom, prénom du cocontractant, du payeur, des mandataires, du représentant légal, du commercial de Monaco Telecom SAM, de l’utilisateur de la ligne ;
- situation de famille : civilité du cocontractant ;
- adresses et coordonnées : adresses d’installation, adresse de facturation, adresse postale du représentant légal, numéro(s) de téléphone associé(s) au compte client ;
- formation, diplômes, vie professionnelle : type de contact du représentant légal, type de contact des mandataires ;
- caractéristiques financières : mode de paiement, RIB, numéro de carte bleue, historique des paiements en ligne, solde dû ;
- consommation de biens et services : offres souscrites, options souscrites, modèle de mobile utilisé, consommations téléphoniques (fixe, mobile, VoIP), équipement internet (box), équipement téléphonique (téléphone en location) ;
- loisirs, habitudes de vie et comportement : consommation téléphonique fixe, VoIP, mobile, informations de connexion « MyMT », mode de paiement ;
- données d’identification électronique : numéro(s) de compte fixe, internet, mobile, numéro(s) de téléphone VoIP, fixe, mobile, identifiants et mots de passe « MyMT », identifiants et mot de passe « Xtramail », adresse mail et mot de passe associé, numéro de série du routeur, nom réseau Wifi/clef Wifi, adresse privée de la box, adresse IP, identifiants et mot de passe « Mc Nomade », numéro de licence « Contrôle parental », numéro de licence « Protection PC », identifiant et mot de passe « Pages perso », domaine/host « Pages perso », identifiant et mot de passe « Espace web », numéro de facture, numéro de carte SIM, numéro IMEI, code PUK, référence paiement, numéro de commande ;
Les informations ont pour origine des interconnexions avec les traitements suivants :
- « Gestion des abonnements « Service de téléphonie mobile » »;
- « Gestion des abonnements « Service de téléphonie fixe » »
- « Gestion des abonnements et Services de l’activité télévision » ;
- « Gestion des abonnements « Service d’accès internet » ».
La Commission relève que le présent traitement ne concerne pas les offres liées à la télévision. L’interconnexion avec le traitement ayant pour finalité « Gestion des abonnements et services de l’activité télévision » n’apparait donc pas justifiée. En conséquent, elle demande sa suspension.
Par ailleurs, elle constate que les trois autres traitements sont légalement mis en œuvre au sens de la loi n° 1.165 et que les informations ne sont pas traitées ultérieurement de manière incompatible avec la finalité pour laquelle elles ont été collectées à l’origine, conformément à l’article 10-1 de la loi dont s’agit.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV. Sur les droits des personnes concernées
• Sur l’information préalable des personnes concernées
L’information préalable des personnes concernées est effectuée à partir d’une rubrique propre à la protection des données accessible en ligne et par le biais des Conditions Générales de Vente (CGV).
La Commission relève que cette information préalable ne concerne que les clients du responsable de traitement.
Toutefois, les commerciaux de cette société ne sont pas visés par ces modalités d’information.
Elle demande donc que l’ensemble des personnes concernées soit valablement informé, conformément aux dispositions de l’article 14 de la loi n° 1.165, modifiée.
Enfin, la Commission constate que la mention d’information insérée dans les différentes CGV est incomplète au vu des exigences de l’article 14 susvisé, notamment en ce qu’elle ne fait pas état de la finalité du traitement.
Elle demande donc que la mention d’information soit complétée afin de satisfaire aux exigences légales.
• Sur l’exercice du droit d’accès, de modification et de mise à jour
Le droit d’accès est exercé par voie postale et par courrier électronique. Le délai de réponse est 30 jours.
Les droits de modification et de mise à jour des données sont exercés selon les mêmes modalités.
La Commission constate ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les personnes ayant accès au traitement
Les personnes ayant accès au traitement sont :
- le Service client en inscription, consultation, modification des fiches clients ;
- le prestataire externe (SMST) en inscription, consultation, modification des fiches clients ;
- l’équipe production et administration de la Direction technique à des fins de maintenance ;
- Capgemini à des fins de tests et de validation des développements réalisés sur des systèmes test.
En ce qui concerne les prestataires, la Commission rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165, modifiée, leurs droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leurs contrats de prestation de service. De plus, ceux-ci sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
Enfin, considérant les attributions de ces services, et eu égard à la finalité du traitement, la Commission considère que ces accès sont justifiés.
VI. Sur les transferts d’informations
Les informations sont communiquées à la société MONEXT, sise en France, pays disposant du niveau de protection adéquat.
Ce transfert a pour objectif de permettre l’utilisation de PAYLINE, qui est une solution de paiement sécurisée en ligne.
La Commission considère donc que ce transfert est justifié.
Par ailleurs, à l’analyse du dossier, la Commission observe que des statistiques sont effectuées par le biais du service Google Analytics.
A cet égard, elle rappelle que ce service permet d’effectuer des statistiques très détaillées portant, notamment, sur le comportement de l’internaute, de collecter bien plus d’informations nominatives que celles déclarées par le responsable de traitement, comme par exemple, l’adresse IP.
Par ailleurs, la Commission relève que ce service est susceptible de transférer des données personnelles vers des pays ne disposant de la protection adéquate, tels que les Etats-Unis. Dans ce cas, le transfert de données est soumis à son autorisation, conformément à l’article 20-1 de la loi n° 1.165, modifiée.
Ainsi, en l’absence d’information sur les modalités de communication et d’exploitation ultérieure des données par ce prestataire de service et dans l’attente d’éléments complémentaires sur ce point, la Commission demande à ce que l’établissement de statistiques soit effectué au moyen d’autres outils conformes aux principes de protection des données personnelles.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.
A cet égard, bien que cela ne soit pas spécifié, il appert de l’analyse du traitement qu’il existe un système de « log » (horodatage et traçabilité) lié audit traitement.
La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Les informations nominatives collectées seront conservées 1 an.
La Commission considère que cette durée est conforme aux exigences légales.
En ce qui concerne les logs visés au point VII de la présente délibération, la Commission fixe à 1 an la durée de conservation de ceux liés aux visiteurs et clients, et à 3 mois celle relative aux logs des personnes ayant accès au traitement.
Après en avoir délibéré,
Invite le responsable de traitement à modifier la finalité du présent traitement par : « Mise à disposition d’outils de gestion des comptes et abonnements clients par le biais du portail client MyMT » ;
Demande que :
- l’établissement de statistiques ne soit pas effectué par le biais du service Google Analytics ;
- aucune interconnexion, rapprochement ou mise en relation ne soit effectuée avec le traitement ayant pour finalité « Animation du portail www.monaco.com » , tant que ce dernier n’a pas été mis en conformité avec les dispositions de la loi n° 1.165 ;
- aucune interconnexion, rapprochement ou mise en relation ne soit effectuée avec le traitement ayant pour finalité « Gestion des abonnements et services de l’activité télévision », qui est sans rapport avec le présent traitement ;
- les mentions d’informations figurant dans les Conditions Générales de Vente soient mises en conformité avec les dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée, et invite le responsable de traitement à s’assurer que les mentions figurant sur l’affichage répondent aux exigences légales ;
- l’ensemble des personnes concernées soit valablement informé.
Fixe à 1 an la durée de conservation des logs liés aux visiteurs et clients, et à 3 mois celle relative aux logs des personnes ayant accès au traitement ;
Sous réserve de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par Monaco Telecom SAM, du traitement automatisé d’informations nominatives ayant pour finalité « Mise à disposition d’outils de gestion des comptes et abonnements clients par le biais du portail client MyMT ».
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu le contrat de concession du service public des communications électroniques sur le territoire de la Principauté de Monaco du 26 septembre 2011 ;
Vu le cahier des charges relatif à la concession du service public des communications électroniques sur le territoire de la Principauté de Monaco signé le 26 septembre 2011 et annexé à l’ordonnance souveraine n° 3.560 du 6 décembre 2011 ;
Vu l’arrêté ministériel n° 2010-638 du 23 décembre 2010 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la demande d’avis déposée par Monaco Telecom SAM, le 6 décembre 2013 concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Portail client en ligne » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 31 janvier 2014, conformément à l’article 19 de l’ordonnance souveraine n° 2.230, susmentionnée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 12 mars 2014 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Monaco Telecom SAM, immatriculée au RCI, est un organisme de droit privé concessionnaire d’un service public. Elle a notamment pour objet « d’assurer dans les relations intérieures et internationales, tous services de télécommunications. A ce titre, elle assure les activités d’opérateur public chargé de l’exploitation du service téléphonique de la Principauté de Monaco […] ».
Cette société souhaite permettre à ses clients de suivre et de gérer leurs offres par l’intermédiaire d’un outil accessible en ligne dénommé « MyMT ».
A ce titre, en application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, ladite société soumet la présente demande d’avis.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Portail clients en ligne ».
Il concerne les clients de Monaco Telecom.
Toutefois, la Commission constate à l’analyse du dossier que sont également concernés les salariés commerciaux de Monaco Telecom SAM.
Elle en prend donc acte.
• Les fonctionnalités mises à disposition sur le portail sont :
Pour l’ensemble des abonnements concernés (fixe, internet, mobile)
- création de compte « MyMT » ;
- récupération du mot de passe d’accès au « MyMT » (Mot de passe oublié) ;
• Pour la téléphonie fixe :
- suivi de la consommation en cours entre deux factures ;
- analyse des consommations associées à la dernière facture ;
- consultation et téléchargement des 3 dernières factures ;
- visualisation d’informations relatives au paiement des factures (solde dû, mode de paiement, etc.) ;
- paiement des factures en ligne ;
- visualisation de l’historique des paiements en ligne ;
• Pour la fourniture de service internet/ voix sur IP
- modification des paramètres d’accès ;
- évolution de l’offre Internet ;
- souscription d’options ;
- impression des paramètres de l’accès internet ;
- consultation et téléchargement des Conditions Générales de Ventes ;
- consultation et téléchargement de l’autorisation de prélèvement automatique et des coordonnées de paiement ;
- consultation et téléchargement des configurations minimales requises ;
- consultation et téléchargement des conditions spécifiques de vente de l’accès internet ;
- consultation et téléchargement des conditions spécifiques de vente du service de téléphonie illimité ;
- visualisation des offres d’accès associées au compte ;
- visualisation des services associés au compte ;
- consultation des paramètres de la box internet ;
- gestion de la configuration box : Wifi/réseau ;
- visualisation des paramètres de connexion « Mc Nomade » ;
- visualisation des paramètres de la messagerie ;
- création d’une (ou plusieurs) adresse(s) mail ;
- gestion des adresses email existantes ;
- activation du service « pages perso » ;
- consultation des paramètres du service « pages perso » ;
- consultation des consommations ;
- gestion des paramètres de la ligne VoIP : visualisation du numéro de VoIP, activation/désactivation de service (signal d’appel, secret d’identité), configuration des renvois d’appels, restriction de l’utilisation de la ligne VoIP, consultation et modification du code PIN ;
- consultation et téléchargement des 6 dernières factures ;
- consultation du solde dû ;
- consultation du mode de paiement choisi ;
- paiement des factures en ligne ;
- affichage de l’historique des paiements en ligne ;
- consultation de la consommation du mois M-1 ;
- consultation des infos personnelles (nom, prénom, adresse, email) ;
- modification de l’email de contact ;
- visualisation des coordonnées bancaires ;
- visualisation des autres comptes internet ;
• Pour la téléphonie mobile :
- visualisation et modification des paramètres du compte « MyMT » ;
- visualisation de la liste des comptes mobiles associés au compte « MyMT » ;
- visualisation du nombre de points de fidélité et de leur date limite d’utilisation ;
- visualisation du bon d’achat maximum correspondant au nombre de points associé au compte sélectionné ;
- information quant à la démarche à suivre pour ouvrir une ligne ;
- visualisation des informations générales associées au compte :
• GP : nom, prénom, l’adresse postale du compte, mandataires
• Pro : raison sociale, enseigne, adresse du contractant, représentant légal (prénom, nom, type de contact et l’adresse postale), mandataires (nom, prénom, type de contact des mandataires), commercial dédié (nom, prénom, l’adresse email du commercial MT)
- visualisation des numéros de compte de facturation associés au compte mobile ;
- visualisation du montant de la dernière facture ;
- consultation et téléchargement des 6 dernières factures ;
- paiement du montant dû ;
- consultation de l’historique des paiements ;
- consultation du mode de paiement associé au compte de facturation sélectionné ;
- souscription au prélèvement automatique ;
- modification des coordonnées bancaires ;
- souscription à la facture dématérialisée ;
- modification de l’email de contact ;
- modification de l’adresse postale de facturation ;
- modification de l’email de contact de facturation ;
- consultation, analyse et export des consommations associées à la dernière facture ;
- visualisation des lignes associées à la facture sélectionnée ;
- visualisation du modèle du téléphone associé à la ligne mobile sélectionnée ;
- visualisation des offres partagées souscrites (entreprises uniquement) ;
- visualisation du nom du forfait associé à la ligne mobile sélectionnée ;
- visualisation des options souscrites ou incluses ;
- visualisation de la durée d’engagement ;
- visualisation de la date de fin d’engagement ;
- visualisation de l’éligibilité de la ligne à la prime mobile ;
- visualisation de la date de fin d’engagement ;
- information quant à la démarche à suivre pour :
• changer de forfait ;
• renouveler son mobile ;
• obtenir une nouvelle carte SIM ;
• modifier ses options ;
- visualisation du numéro de carte SIM ;
- visualisation du code PUK ;
- suivi de la consommation de la ligne en cours de mois ;
- visualisation du nom de l’utilisateur de la ligne (entreprises uniquement) ;
- visualisation de l’ensemble des lignes (flotte mobile) et par ligne (entreprise uniquement) ;
- téléchargement des informations relatives à l’encours consommation de la flotte (entreprises uniquement) ;
- statistiques d’utilisation du « MyMT » (accessibles par Monaco Telecom uniquement) : nombre de compte, nombre de connexion, actes réalisés au travers de « MyMT ».
Par ailleurs, il appert de l’analyse du dossier que le présent traitement est interconnecté avec le traitement ayant pour finalité « Gestion de la communication par le biais du site www.monaco.mc », concomitamment soumis.
A cet égard, elle rappelle que par délibération n° 2014-60, elle a émis un avis défavorable à la mise en œuvre de ce traitement. Dès lors, aucune interconnexion, rapprochement, mise en relation ne peut être effectué avec celui-ci tant que ce dernier n’a pas été mis en conformité avec les dispositions de la loi n° 1.165.
Enfin, la Commission rappelle que tout traitement d’informations nominatives doit avoir une finalité « déterminée, explicite et légitime » aux termes de l’article 10-1 de la loi n° 1.165, modifiée.
A cet égard, la finalité du présent traitement doit être plus explicite et mettre en évidence les objectifs recherchés par le responsable de traitement.
Par conséquent, elle devrait être modifiée par la finalité suivante : « Mise à disposition du client d’outils de gestion des comptes et abonnements clients par le biais du portail client « MyMT » ».
II. Sur la licéité et la justification du traitement
• Sur la licéité
Considérant l’objet social de la société ainsi que les prestations visées dans le cahier des charges relatif à la concession du service public des communications électroniques sur le territoire de la Principauté de Monaco, la Commission relève que ce traitement est licite, conformément à l’article 10-1 de la loi n° 1.165, modifiée ;
• Sur la justification
Ce traitement est justifié par la réalisation d’un intérêt légitime sans que ne soient méconnus ni l’intérêt, ni les droits et libertés fondamentaux de la personne concernée, ainsi que par le consentement de la ou des personnes concernées.
A cet égard, la Commission relève qu’il est légitime pour une société d’offrir à ses clients des nouveaux outils en ligne leur permettant de gérer leurs comptes et de surveiller leurs consommations de manière continue.
A cet égard, la Commission relève que l’initiative et l’opportunité de la création du compte appartient au client désirant utiliser le portail client en ligne.
Elle considère donc que ce traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations nominatives objets du présent traitement sont :
- identité : nom, prénom du cocontractant, du payeur, des mandataires, du représentant légal, du commercial de Monaco Telecom SAM, de l’utilisateur de la ligne ;
- situation de famille : civilité du cocontractant ;
- adresses et coordonnées : adresses d’installation, adresse de facturation, adresse postale du représentant légal, numéro(s) de téléphone associé(s) au compte client ;
- formation, diplômes, vie professionnelle : type de contact du représentant légal, type de contact des mandataires ;
- caractéristiques financières : mode de paiement, RIB, numéro de carte bleue, historique des paiements en ligne, solde dû ;
- consommation de biens et services : offres souscrites, options souscrites, modèle de mobile utilisé, consommations téléphoniques (fixe, mobile, VoIP), équipement internet (box), équipement téléphonique (téléphone en location) ;
- loisirs, habitudes de vie et comportement : consommation téléphonique fixe, VoIP, mobile, informations de connexion « MyMT », mode de paiement ;
- données d’identification électronique : numéro(s) de compte fixe, internet, mobile, numéro(s) de téléphone VoIP, fixe, mobile, identifiants et mots de passe « MyMT », identifiants et mot de passe « Xtramail », adresse mail et mot de passe associé, numéro de série du routeur, nom réseau Wifi/clef Wifi, adresse privée de la box, adresse IP, identifiants et mot de passe « Mc Nomade », numéro de licence « Contrôle parental », numéro de licence « Protection PC », identifiant et mot de passe « Pages perso », domaine/host « Pages perso », identifiant et mot de passe « Espace web », numéro de facture, numéro de carte SIM, numéro IMEI, code PUK, référence paiement, numéro de commande ;
Les informations ont pour origine des interconnexions avec les traitements suivants :
- « Gestion des abonnements « Service de téléphonie mobile » »;
- « Gestion des abonnements « Service de téléphonie fixe » »
- « Gestion des abonnements et Services de l’activité télévision » ;
- « Gestion des abonnements « Service d’accès internet » ».
La Commission relève que le présent traitement ne concerne pas les offres liées à la télévision. L’interconnexion avec le traitement ayant pour finalité « Gestion des abonnements et services de l’activité télévision » n’apparait donc pas justifiée. En conséquent, elle demande sa suspension.
Par ailleurs, elle constate que les trois autres traitements sont légalement mis en œuvre au sens de la loi n° 1.165 et que les informations ne sont pas traitées ultérieurement de manière incompatible avec la finalité pour laquelle elles ont été collectées à l’origine, conformément à l’article 10-1 de la loi dont s’agit.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV. Sur les droits des personnes concernées
• Sur l’information préalable des personnes concernées
L’information préalable des personnes concernées est effectuée à partir d’une rubrique propre à la protection des données accessible en ligne et par le biais des Conditions Générales de Vente (CGV).
La Commission relève que cette information préalable ne concerne que les clients du responsable de traitement.
Toutefois, les commerciaux de cette société ne sont pas visés par ces modalités d’information.
Elle demande donc que l’ensemble des personnes concernées soit valablement informé, conformément aux dispositions de l’article 14 de la loi n° 1.165, modifiée.
Enfin, la Commission constate que la mention d’information insérée dans les différentes CGV est incomplète au vu des exigences de l’article 14 susvisé, notamment en ce qu’elle ne fait pas état de la finalité du traitement.
Elle demande donc que la mention d’information soit complétée afin de satisfaire aux exigences légales.
• Sur l’exercice du droit d’accès, de modification et de mise à jour
Le droit d’accès est exercé par voie postale et par courrier électronique. Le délai de réponse est 30 jours.
Les droits de modification et de mise à jour des données sont exercés selon les mêmes modalités.
La Commission constate ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les personnes ayant accès au traitement
Les personnes ayant accès au traitement sont :
- le Service client en inscription, consultation, modification des fiches clients ;
- le prestataire externe (SMST) en inscription, consultation, modification des fiches clients ;
- l’équipe production et administration de la Direction technique à des fins de maintenance ;
- Capgemini à des fins de tests et de validation des développements réalisés sur des systèmes test.
En ce qui concerne les prestataires, la Commission rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165, modifiée, leurs droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leurs contrats de prestation de service. De plus, ceux-ci sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
Enfin, considérant les attributions de ces services, et eu égard à la finalité du traitement, la Commission considère que ces accès sont justifiés.
VI. Sur les transferts d’informations
Les informations sont communiquées à la société MONEXT, sise en France, pays disposant du niveau de protection adéquat.
Ce transfert a pour objectif de permettre l’utilisation de PAYLINE, qui est une solution de paiement sécurisée en ligne.
La Commission considère donc que ce transfert est justifié.
Par ailleurs, à l’analyse du dossier, la Commission observe que des statistiques sont effectuées par le biais du service Google Analytics.
A cet égard, elle rappelle que ce service permet d’effectuer des statistiques très détaillées portant, notamment, sur le comportement de l’internaute, de collecter bien plus d’informations nominatives que celles déclarées par le responsable de traitement, comme par exemple, l’adresse IP.
Par ailleurs, la Commission relève que ce service est susceptible de transférer des données personnelles vers des pays ne disposant de la protection adéquate, tels que les Etats-Unis. Dans ce cas, le transfert de données est soumis à son autorisation, conformément à l’article 20-1 de la loi n° 1.165, modifiée.
Ainsi, en l’absence d’information sur les modalités de communication et d’exploitation ultérieure des données par ce prestataire de service et dans l’attente d’éléments complémentaires sur ce point, la Commission demande à ce que l’établissement de statistiques soit effectué au moyen d’autres outils conformes aux principes de protection des données personnelles.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.
A cet égard, bien que cela ne soit pas spécifié, il appert de l’analyse du traitement qu’il existe un système de « log » (horodatage et traçabilité) lié audit traitement.
La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Les informations nominatives collectées seront conservées 1 an.
La Commission considère que cette durée est conforme aux exigences légales.
En ce qui concerne les logs visés au point VII de la présente délibération, la Commission fixe à 1 an la durée de conservation de ceux liés aux visiteurs et clients, et à 3 mois celle relative aux logs des personnes ayant accès au traitement.
Après en avoir délibéré,
Invite le responsable de traitement à modifier la finalité du présent traitement par : « Mise à disposition d’outils de gestion des comptes et abonnements clients par le biais du portail client MyMT » ;
Demande que :
- l’établissement de statistiques ne soit pas effectué par le biais du service Google Analytics ;
- aucune interconnexion, rapprochement ou mise en relation ne soit effectuée avec le traitement ayant pour finalité « Animation du portail www.monaco.com » , tant que ce dernier n’a pas été mis en conformité avec les dispositions de la loi n° 1.165 ;
- aucune interconnexion, rapprochement ou mise en relation ne soit effectuée avec le traitement ayant pour finalité « Gestion des abonnements et services de l’activité télévision », qui est sans rapport avec le présent traitement ;
- les mentions d’informations figurant dans les Conditions Générales de Vente soient mises en conformité avec les dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée, et invite le responsable de traitement à s’assurer que les mentions figurant sur l’affichage répondent aux exigences légales ;
- l’ensemble des personnes concernées soit valablement informé.
Fixe à 1 an la durée de conservation des logs liés aux visiteurs et clients, et à 3 mois celle relative aux logs des personnes ayant accès au traitement ;
Sous réserve de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par Monaco Telecom SAM, du traitement automatisé d’informations nominatives ayant pour finalité « Mise à disposition d’outils de gestion des comptes et abonnements clients par le biais du portail client MyMT ».
Le Président de la Commission
de Contrôle des Informations Nominatives.