Délibération n° 2023-161 du 18 octobre 2023 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion des services mobiles data, voix et SMS/MMS des abonnés des opérateurs Roaming Partners en itinérance à Monaco » présenté par Monaco Telecom.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu le Contrat de Concession du Service Public des communications électroniques sur le territoire de la Principauté de Monaco du 26 septembre 2011 ;
Vu le Cahier des charges relatif à la Concession du Service Public des communications électroniques sur le territoire de la Principauté de Monaco, signé le 26 septembre 2011, annexé à l’Ordonnance Souveraine n° 3.560 du 6 décembre 2011 ;
Vu le Cahier des charges de l’avenant à la Concession du Service Public des communications électroniques et ses annexes attachées à l’Ordonnance Souveraine n° 6.186 du 12 décembre 2016 ;
Vu le Cahier des charges de l’Avenant n° 3 à la Convention de Concession du Service Public des Communications électroniques et ses annexes annexés à l’Ordonnance Souveraine n° 8.654 du 10 mai 2021 ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la demande d’avis reçue de Monaco Telecom, le 23 juin 2023, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Gestion des services mobiles, data, voix et SMS/MMS des abonnés des opérateurs Roaming Partners en itinérance à Monaco » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement, le 22 août 2023, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 18 octobre 2023 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Monaco Télécom SAM (MT) est une société concessionnaire de service public, immatriculée au RCI, sous le numéro 97 S 03277. Elle a notamment pour objet « d’assurer dans les relations intérieures et internationales, tous services de télécommunication. À ce titre, elle assure les activités d’opérateur public chargé de l’exploitation du service téléphonique de la Principauté de Monaco […] ».
Le responsable de traitement indique que « Les abonnés mobiles d’opérateurs étrangers disposant d’un accord d’itinérance avec Monaco Telecom (Roaming Partners) pourront continuer d’utiliser leurs services de data, voix et SMS/MMS lors de leur visite à Monaco », ce qui est permis par la collecte d’informations indirectement nominatives.
Ainsi, Monaco Telecom SAM soumet à l’avis de la Commission le traitement automatisé d’informations nominatives ayant pour finalité la « Gestion des services mobiles, data, voix et SMS/MMS des abonnés des opérateurs Roaming Partners en itinérance à Monaco », conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Ce traitement a pour finalité « Gestion des services mobiles, data, voix et SMS/MMS des abonnés des opérateurs Roaming Partners en itinérance à Monaco ».
Il concerne les abonnés des opérateurs Roaming Partners et de manière incidente, les collaborateurs de MT, MTI et de leur sous-traitant.
Les fonctionnalités sont :
En ce qui concerne la gestion technique :
- contrôle du suivi qualité par numéro de téléphone (IMSI) ;
- émission des CDR, journalisation des SMS/MMS et journalisation de connexion IP ;
- émission du « Welcome SMS » (message d’information obligatoire) à la demande du Roaming Partner ;
- anti-fraude : détection des comportements anormaux de Roaming selon une liste de scenarii normalisés (GMSA) ;
- traitement des incidents.
En ce qui concerne la gestion financière des services mobiles :
- facturation aux opérateurs Roaming Partners par le biais de la plateforme de gestion des données roaming du fournisseur (Data/Financial Clearing House).
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par le respect d’une obligation légale à laquelle il est soumis ainsi que par la réalisation d’un intérêt légitime sans que ne soient méconnus ni l’intérêt, ni les droits et libertés fondamentaux de la personne concernée.
À cet égard, il expose que l’Avenant n° 3 à la Convention de Concession du Service Public des Communications électroniques et ses annexes font porter à Monaco Telecom « l’obligation de mettre en place et fournir les interconnexions nécessaires afin d’acheminer le trafic international voix et données entre les réseaux de communications électroniques de Monaco et les réseaux de communications électroniques des autres pays ».
En outre, « Dans le cadre de la fourniture d’une interconnexion avec les opérateurs étrangers, en application du Contrat signé avec Monaco Telecom, cette dernière fournit aux opérateurs étrangers Roaming Partners une continuité des services de téléphonie mobile data, voix et SMS/MMS sur le territoire de la Principauté à leurs clients abonnés ».
La Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations nominatives traitées
Les informations nominatives traitées sont, en ce qui concerne les informations nominatives des abonnés Roaming Partners :
- données d’identification électronique : numéro de téléphone émetteur et numéro du destinataire de l’appel et des SMS/MMS, adresse IP de connexion, IMEI, IMSI, Mac adresse du terminal utilisé ;
- informations temporelles : date et heure de l’appel, date et heure d’émission et de réception du SMS/MMS, durée de l’appel, date et heure de connexion ;
- information géographique : pays destinataire de l’appel, du SMS/MMS et du lieu de connexion.
Les informations relatives aux abonnés Roaming Partners sont transmises par les terminaux de ces derniers lors de leur connexion au réseau monégasque.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
- Sur l’information préalable des personnes concernées
L’information préalable des personnes concernées s’effectue par le biais d’une rubrique propre à la protection des données accessible en ligne.
Si la mention y relative n’a pas été jointe au dossier, la Commission relève que Monaco Telecom met à disposition cette information générique sur son site car elle n’exploite que des informations indirectement nominatives des personnes concernées, avec lesquelles elle n’est pas en relation, excepté pour la mise à disposition de son réseau.
L’information des personnes concernées repose donc sur les Roaming Partners, dans leurs relations avec leurs clientèles respectives et les conditions d’exploitations de leurs données personnelles.
- Sur l’exercice du droit d’accès, de modification et de mise à jour
Le droit d’accès s’exerce sur place, par voie postale ou par courrier électronique auprès du Délégué à la Protection des Données.
À cet égard, la Commission rappelle que la réponse à ce droit d’accès doit intervenir dans le mois suivant la réception de la demande.
S’agissant de l’exercice du droit d’accès par voie électronique, la Commission rappelle qu’une procédure doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agit effectivement de la personne concernée par les informations.
À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.
Sous ces réserves, elle constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
Le responsable de traitement indique que les personnes habilitées à avoir accès au traitement sont :
- l’équipe IT, cœur mobile de MT/MTI en consultation, inscription, maintenance, modification ;
- la Direction des Affaires Financières et la Direction Relations Opérateurs en consultation ;
- les roaming partners ou le Roaming Hub (Orange) : droit d’accès aux données brutes pour suivi du service roaming fourni à leur client (consultation) ;
- comfone : fournisseur de la plateforme de gestion des données roaming en consultation, inscription et maintenance.
En ce qui concerne le prestataire, la Commission rappelle que, conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de services. De plus, ce dernier est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission considère que ces accès sont justifiés.
VI. Sur les rapprochements et interconnexions
Le responsable de traitement indique que le présent traitement ne fait l’objet d’aucune interconnexion ou rapprochement.
Cependant l’analyse du dossier révèle un rapprochement avec le traitement « Gestion de la messagerie professionnelle », légalement mis en œuvre, à des fins de communications en cas de problèmes avec les « Roaming Partners » et en interne.
La Commission considère que ce rapprochement est conforme aux exigences légales.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
Cependant, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
En outre, il convient de rappeler que les communications d’informations doivent être sécurisées en tenant compte de la nature des informations transmises.
La Commission rappelle en outre que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement, au regard des risques présentés par ce traitement et de la nature des données à protéger, devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Le responsable de traitement indique que les informations relatives aux abonnés de ses Roamings Partners sont conservées 12 mois à compter de leur collecte.
La Commission considère que ces durées sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Rappelle que :
- une procédure relative au droit d’accès par voie électronique doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agit effectivement de la personne concernée par les informations ;
- conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, les prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switch, routeurs, pares-feux), ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
- les communications d’informations doivent être sécurisées en tenant compte de la nature des informations transmises.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par Monaco Telecom, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des services mobiles data, voix et SMS/MMS des abonnés des opérateurs Roaming Partners en itinérance à Monaco ».
Le Président de la Commission
de Contrôle des Informations Nominatives.