icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2018-42 du 21 mars 2018 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion du service des courses de taxi » présenté par le Ministre d'État.

  • No. Journal 8376
  • Date of publication 06/04/2018
  • Quality 100%
  • Page no.

Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 1.720 du 4 juillet 2008 relative à la règlementation des taxis, des véhicules de remise, des véhicules de service de ville et des motos à la demande ;
Vu l'arrêté ministériel n° 2011-250 du 28 avril 2011 relatif  aux conditions et aux modalités d'installation et d'utilisation de l'appareillage de communication des taxis ;
Vu l'arrêté ministériel n° 2014-329 du 16 juin 2014 fixant les modalités d'exercice minimum des taxis ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la demande d'avis déposée par le Ministre d'État, le 15 décembre 2017, concernant la mise en œuvre d'un traitement automatisé ayant pour finalité la « Gestion du Service des courses de taxi » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 13 février 2018, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 21 mars 2018 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Les professions relatives aux « activités d'exploitation et de conduite, à quelque titre que ce soit, de taxis, de véhicules de remise, de véhicules de service de ville ou de véhicules motorisés à deux ou trois roues utilisés pour le transport de personnes à titre onéreux, dits « motos à la demande » » sont réglementées par l'Ordonnance Souveraine n° 1.720 du 4 juillet 2008, qui contient en son titre II des dispositions particulières aux taxis.
L'article 14 4°de ladite Ordonnance impose aux taxis de « disposer de l'appareillage de communication mis à disposition par l'autorité administrative compétente, pour l'exécution du service de centralisation téléphonique des demandes de courses et leur distribution, dont les conditions et modalités d'installation et d'utilisation sont fixées par arrêté ministériel ».
Ce dispositif impliquant l'exploitation d'informations nominatives, le Ministre d'État soumet  le traitement y afférent  dont la finalité est la « Gestion du Service des courses de taxi ».
Ainsi, ce dernier est soumis à l'avis de la Commission, conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Gestion du Service des courses de taxi ».
Il concerne les clients ou bénéficiaires des courses, les chauffeurs de taxi et les opérateurs de saisie.
Les fonctionnalités du traitement sont :
- gestion des appels reçus pour commander une course ;
- conservation d'un historique des appels ;
- réception des commandes de courses en provenance des interfaces web ou mobile (SOFTCAB) ;
- gestion de la fiche client ;
- distribution des courses avec les chauffeurs disponibles et géolocalisation pour optimiser ce service (taxi le plus proche) ;
- suivi des courses et incidents éventuels ;
- gestion des réclamations clients ;
- gestion des plannings des chauffeurs ;
- gestion et contrôle du service minimum réglementaire ;
- statistiques des courses.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par un motif d'intérêt public et le respect d'une obligation légale.
À cet égard le responsable de traitement indique que « la mise en œuvre d'un système et service de gestion de taxis par l'État relève d'un motif d'intérêt public, à savoir assurer en Principauté un service de taxis, avec en outre l'assurance d'un service minimum à certaines périodes de l'année ».
Il est en outre précisé que la profession de taxi est règlementée par l'Ordonnance Souveraine n° 1.720 du 4 juillet 2008, par l'arrêté ministériel n° 2014-329 du 16 juin 2014 fixant les modalités d'exercice du service minimum en application de l'article 23 de l'Ordonnance susvisée, ainsi que de l'arrêté ministériel n° 2011-250 du 28 avril 2011 relatif aux conditions et modalités d'installation et d'utilisation de l'appareillage de communication des taxis.
À cet égard, l'article 14 4° de l'Ordonnance Souveraine n° 1.720 précise que les taxis doivent « disposer de l'appareillage de communication mis à disposition par l'autorité administrative compétente, pour l'exécution de service de centralisation téléphonique des demandes de courses et leur distribution, dont les conditions et modalités d'installation et d'utilisations sont fixées par arrêté ministériel ».
La Commission relève toutefois que l'arrêté ministériel relatif aux appareillages ne prévoit pas la fonctionnalité de géolocalisation des véhicules telle qu'exposée au point I de la présente délibération. Elle relève néanmoins l'intérêt d'un tel dispositif dans l'allocation d'un véhicule à un client aux fins de désigner le taxi le plus proche, et ainsi d'améliorer la satisfaction des utilisateurs du service de taxis.
Il est néanmoins rappelé que les chauffeurs de taxi doivent être expressément informés du dispositif de géolocalisation.
De plus, ces derniers pouvant utiliser leur véhicule à des fins privées, ledit système doit pouvoir être désactivé en dehors des heures de travail.
Sous cette réserve, la Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.

III. Sur les informations traitées
Les informations nominatives traitées sont :
- Identité : nom, prénom, raison sociale, code client, type de client ;
- adresse et coordonnées : numéro de téléphone, adresse, secteur, position GPS ;
- consommation de biens et services, habitudes de vie : langue parlée, préférence véhicule, mode de paiement, priorité forcée, tarifs ;
- données d'identification électronique : login, mot de passe, email, statut actif du compte utilisateur ;
- informations temporelles : horodatages, etc. : date et heure des appels ;
- réservation d'une course : nom, prénom, email, téléphone, réservation immédiate ou différée, course prioritaire ou non, nombre de taxis commandés, adresse, date et heure de prise en charge, secteur, nombre de passagers, nombre de bagages, destination, estimation du prix et de l'heure d'arrivée ;
- traitement des courses : numéro de course, état, heure de la distribution de la course, heure de la prise en charge, indicateur automatique « R » pour retard éventuel, client/personne transportée, adresse de prise en charge, destination, zone commentaire, numéro de taxi ayant pris la course, identifiant de l'opérateur ou origine de la réservation web, distance entre l'emplacement du taxi au moment de la commande course et le lieu de prise en charge client (taxi le plus proche), numéro de secteur, suivi des évènements éventuels.
La Commission relève que sont également collectés :
- l'IMEI des téléphones des chauffeurs de taxis, nécessaire à l'activation du système ;
- la journalisation des accès des collaborateurs de TESSA au traitement.
Elle en prend acte.
Les informations relatives à l'identité des clients et les adresses et coordonnées ont pour origine la saisie dans softcab par l'opérateur dans la fiche client, ou les clients via l'interface web ou l'application mobile.
Celles relatives à la consommation de biens et services, habitudes de vie proviennent de la fiche client.
En ce qui concerne les données d'identification électronique et les informations temporelles, elles sont générées par Softcab (notamment via l'interface web ou mobile).
De plus, la réservation d'une course est effectuée par le client sur l'interface web, Softcab ou la messagerie de Tessa.
Enfin, le traitement des courses est opéré par Softcab.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.

IV.  Sur les droits des personnes concernées

  • Sur l'information préalable des personnes concernées

L'information préalable des personnes concernées est réalisée pour les chauffeurs de taxi par une « note d'information aux conducteurs de taxis », jointe au dossier.
À l'analyse de ce document, la Commission considère que les modalités d'information préalable des chauffeurs de taxi sont conformes aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993.
Par ailleurs, il est indiqué que des « mentions d'information légale sont intégrées sur chacune des interfaces (web ou mobile) gérées par TESSA. Un message vocal a également été mis en place pour les appelants téléphoniques ». Il est également précisé qu'une note d'information à l'attention des opérateurs salariés de la SARL TESSA a été rédigée.
La Commission constate qu'aucune de ces mentions n'a été portée à sa connaissance et rappelle que l'information des personnes concernées doit être conforme à l'article 14 de la loi n° 1.165 du 23 décembre 1993.
Elle demande aussi à ce que le responsable de traitement veille à ce qu'une mention d'information soit insérée sur le site de l'Association des Exploitants des Taxis Indépendants de Monaco, qui participe à la collecte d'informations nominatives via son site pour le compte de l'État et de la SARL TESSA.

  • Sur l'exercice du droit d'accès, de modification et de mise à jour

Le droit d'accès est exercé par voie postale auprès de la société TESSA.
À cet égard, la Commission rappelle que la réponse à ce droit d'accès doit s'exercer dans le mois suivant la réception de la demande.
Sous cette condition, elle considère que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 la loi n° 1.165 du 23 décembre 1993.

V.  Sur les destinataires et les personnes ayant accès au traitement
La Commission constate qu'il n'y a pas de destinataires des informations objets du présent traitement.
Les accès sont définis comme suit :
- Opérateurs/standardistes de Tessa à Monaco : inscription, modification, consultation (réservations SOFTCAB) ;
-  Direction de l'Expansion Économique et Département des Finances et de l'Économie : consultation, écriture (plannings et statistiques SOFTCAB) ;
- Équipe technique de TESSA Vallauris dans le cadre de sa mission  de support technique et de maintenance : tous droits sur toutes interfaces.
En ce qui concerne le prestataire, la Commission rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993 les droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de son contrat de prestation de service. De plus, ledit prestataire est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission relève que l'Association des Exploitants des Taxis Indépendants de Monaco, avec qui l'État a conclu un mandat simplifié d'exécution du marché de prestation de service de gestion de courses de taxis est « chargé de suivre au nom et pour le compte de l'État l'exécution du marché de prestations de service de gestion de courses de taxis et d'assurer l'ensemble des problématiques techniques liées à la mise en place de ce nouveau système de distribution des courses de taxis… ». À ce titre, l'association semble avoir accès aux informations dudit traitement, voire se faire communiquer des informations afin d'accomplir cette mission, comme cela est indiqué dans la note d'information aux conducteurs de taxis.
À cet égard, la Commission demande que ces accès et communications soient sécurisés et se limitent au seul suivi contractuel et technique du dispositif avec la société TESSA.
Sous cette réserve, la Commission considère que ces accès sont justifiés.

VI. Sur les rapprochements et les interconnexions avec d'autres traitements
Le responsable de traitement indique que le traitement est interconnecté avec les traitements ayant pour finalité respective la gestion de la messagerie électronique professionnelle et la gestion des enregistrements téléphoniques, tous deux exploités par TESSA et légalement mis en œuvre.
L'interconnexion avec la messagerie est nécessaire aux fins de réservation des courses de taxis effectuées sur le site taximonacoprestige.com, exploité par l'Association des Exploitants de Taxis Indépendants de Monaco, qui a conclu avec l'État un mandat simplifié d'exécution de marché de prestations de service de gestion de courses de taxis. Les courses ainsi réservées arrivent sur la boîte mail de TESSA.
À cet égard, la Commission demande au responsable de traitement de veiller à ce que ledit site soit exploité en conformité avec les exigences de protection des informations nominatives et qu'il soit soumis à formalité auprès d'elle. Elle attire notamment l'attention sur responsable de traitement sur la nécessité d'informer les personnes concernées par le présent traitement, dès que celles-ci désirent réserver un taxi sur le site de l'Association, des mentions d'informations obligatoires au titre de l'article 14 de la loi n° 1.165 du traitement opéré par l'État.
Par ailleurs, la Commission relève que la réservation peut être opérée par une interface web française appartenant à TESSA. Elle demande que le responsable de traitement veille à ce que son prestataire ait effectué ses formalités auprès de la CNIL, informe les personnes concernées du présent traitement conformément à l'article 14 de la loi n° 1.165, et n'opère pas une traçabilité sur le site des personnes concernées qui ne soit pas conforme aux recommandations tant de la CNIL que de la CCIN.
Enfin, comme indiqué au point III de la présente délibération, s'il existe un traitement relatif à la procédure de candidature et d'agrément à la profession de chauffeur de taxi, il devra être indiqué à la Commission s'il s'agit d'un rapprochement ou d'une interconnexion, et être soumis à formalité s'il est automatisé.

VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Toutefois, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
Par ailleurs, en ce qui concerne le site exploité en France par la société TESSA dont le nom de domaine est http://www.reservationtaxi.fr, qui permet la réservation de taxi par la création d'un compte client, la Commission rappelle que celui-ci doit être sécurisé.
En outre, elle rappelle que les accès aux applications mobiles doivent être sécurisés.
La Commission rappelle enfin que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.

VIII. Sur la durée de conservation
Les données sont conservées :
- tant que le compte est actif relativement aux données d'identification électronique, qui concernent les clients effectuant une réservation par le biais de l'interface web http://www.reservationtaxi.fr. À cet égard, la Commission demande que soit mise en place une politique d'effacement des comptes clients inactifs depuis 3 ans, après avoir prévenu ces derniers par le biais d'un email un mois avant l'échéance ;
- 31 jours en ce qui concerne les informations temporelles ;
- 800 jours en ce qui concerne l'ensemble des autres informations. Toutefois, eu égard à la finalité du traitement, la Commission considère que cette durée doit être réduite à 2 mois concernant les données de géolocalisation et à 1 an pour le reste d'entre elles.
Par ailleurs, la Commission rappelle que la journalisation des accès des collaborateurs de TESSA doit être conservée minimum 3 mois et maximum 1 an.
Après en avoir délibéré, la Commission :
Rappelle que :
- les chauffeurs de taxis doivent être expressément informés de l'existence du système de géolocalisation ;
-  le système de géolocalisation doit pouvoir être désactivé par les personnes concernées en dehors de leurs horaires de travail ;
- les personnes concernées doivent être informées de manière conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993, quel que soit le canal de collecte de l'information (interface web, application mobile, site de l'Association des Exploitants des Taxis Indépendants de Monaco, appels) ;
- s'il existe un traitement relatif à la procédure de candidature et d'agrément à la profession de chauffeur de taxi, il devra lui être indiqué s'il s'agit d'un rapprochement ou d'une interconnexion, et le soumettre à son avis s'il est automatisé ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort ;
- les accès aux applications mobiles doivent être sécurisés ;
- la journalisation des accès doit être conservée minimum 3 mois et maximum 1 an.
Demande que :
- le responsable de traitement s'assure que le site de l'Association des Exploitants des Taxis Indépendants de Monaco, qui procède à une collecte d'informations nominatives pour le compte de l'État et de la SARL TESSA, soit exploité en conformité avec les exigences de protection des informations nominatives et qu'il soit soumis à formalité auprès d'elle ;
- le responsable de traitement veille à ce que la société TESSA ait effectué ses formalités légales relativement au site de réservation auprès de la CNIL, et qu'elle n'opère pas une traçabilité des personnes concernées sur le site qui ne soit pas conforme aux recommandations tant de la CNIL que de la CCIN ;
- ledit site dont le nom de domaine est http://www.reservationtaxi.fr soit sécurisé ;
- les accès et communications en lien avec l'Association des Exploitants des Taxis Indépendants de Monaco soient sécurisés et se limitent au seul suivi contractuel et technique du dispositif avec la société TESSA ;
- soit mise en place une politique d'effacement des comptes clients inactifs depuis 3 ans, après avoir prévenu ces derniers par le biais d'un email un mois avant l'échéance.
Fixe :
- la durée de conservation des informations relatives  la géolocalisation des véhicules à deux mois ;
- à 1 an la durée de conservation des informations nominatives dont la conservation a été demandée à 800 jours.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État, du traitement automatisé d'informations nominatives ayant pour finalité « Gestion du service des courses de taxi ».

Le Président de la Commission
de Contrôle des Informations Nominatives.

Print article
Previous article Return to summary Next article

All rights reserved - Monaco 2016
Version 2018.11.07.14