icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2023-108 du 19 juillet 2023 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion de la signature électronique des documents liés à la relation contractuelle commerciale » présenté par Monaco Telecom.

  • No. Journal 8673
  • Date of publication 15/12/2023
  • Quality 100%
  • Page no.

Vu la Constitution ;

Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu le Contrat de Concession du Service Public des communications électroniques sur le territoire de la Principauté de Monaco du 26 septembre 2011 ;

Vu le Cahier des Charges relatif à la Concession du Service Public des communications électroniques sur le territoire de la Principauté de Monaco, signé le 26 septembre 2011, annexé à l’Ordonnance Souveraine n° 3.560 du 6 décembre 2011 ;

Vu le Cahier des Charges de l’avenant à la Concession du Service Public des communications électroniques et ses annexes attachées à l’Ordonnance Souveraine n° 6.186 du 12 décembre 2016 ;

Vu le Cahier des Charges de l’Avenant n° 3 à la Convention de Concession du Service Public des Communications électroniques et ses annexes annexés à l’Ordonnance n° 8.654 du 10 mai 2021 ;

Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;

Vu la déclaration ordinaire déposée par Fisam SARL le 30 juin 2022, concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité la « Dématérialisation, conservation sécurisée, archivage et signature électronique, échange recommandé de documents numériques », et dont il a été délivré récépissé le 13 juillet 2022 ;

Vu la demande d’avis reçue de Monaco Telecom, le 30 mars 2023, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Gestion de la signature électronique des documents liés à la relation contractuelle commerciale » ;

Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement, le 26 mai 2023, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 19 juillet 2023 portant examen du traitement automatisé susvisé.

La Commission de Contrôle des Informations Nominatives,

Préambule

Monaco Télécom SAM (MT) est une société concessionnaire d’un service public, immatriculée au RCI, sous le numéro 97 S 03277. Elle a notamment pour objet « d’assurer dans les relations intérieures et internationales, tous services de télécommunication. À ce titre, elle assure les activités d’opérateur public chargé de l’exploitation du service téléphonique de la Principauté de Monaco […] ». 

Cette société souhaite permettre à ses clients de signer électroniquement les contrats, bons de commandes ou mandat « dans le cadre de la souscription aux services mobiles, fixe, Internet, TV et vente éventuelle de terminal » par l’intermédiaire d’un outil de signature électronique en ligne dénommé « PineAppli ».

Ainsi, cet opérateur téléphonique soumet à l’avis de la Commission le traitement automatisé d’informations nominatives ayant pour finalité la « Gestion de la signature électronique des documents liés à la relation contractuelle commerciale », conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.

I.   Sur la finalité et les fonctionnalités du traitement

Ce traitement a pour finalité « Gestion de la signature électronique des documents liés à la relation contractuelle commerciale ».

Il concerne les clients de Monaco Telecom ainsi que les employés de MT et MTS également concernés par le présent traitement. 

Les fonctionnalités sont :

-  la gestion de la signature électronique de l’ensemble des documents liés à la relation contractuelle commerciale tels que les bons de commande, contrats et mandats SEPA par le biais de la plateforme et solution du prestataire PineAppli, interconnectée avec le CRM de MT ;

-  permettre au client de signer électroniquement les documents contractuels émis depuis le CRM de MT par le biais d’une solution de signature électronique reconnue ou via la solution d’identité numérique de la Principauté MConnect ;

-  permettre aux employés de MT et de MTS compétents de gérer le suivi du processus de signature de ces documents , en particulier pour suivre les documents restant en attente de la signature du client, supprimer les contrats en « attente de signature » ou renvoyer une notification pour demande de signature.

La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le présent traitement est justifié par le consentement des personnes concernées.

À cet égard, l’utilisation de la signature est conditionnée par le recueil du consentement du client qui est informé de la possibilité d’avoir recours à la signature électronique s’il le souhaite pour l’ensemble des documents liés à la relation contractuelle. Ce dernier est libre de refuser et peut le cas échéant, utiliser la signature manuscrite.

De plus, le responsable de traitement justifie le présent traitement par la réalisation d’un intérêt légitime, sans méconnaitre les droits et libertés fondamentaux des personnes concernées. 

Ainsi, il expose qu’il est de son intérêt légitime de procéder à la signature électronique des engagements contractuels car ce procédé « offre la possibilité de signer à distance, et par la même occasion de limiter l’impact environnemental de Monaco Telecom » et permet de simplifier le processus de signature et d’assurer un meilleur suivi des documents en attente de signature. 

La Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993. 

III.   Sur les informations nominatives traitées

Les informations nominatives traitées sont en ce qui concerne les clients de MT et MTS habilités sur le traitement sont :

-  identité : signature du client : nom, prénom, date et heure de la signature, certificat électronique de signature : nom, prénom ;

-  adresses et coordonnées : numéro de téléphone, adresse mail ;

-  informations temporelles et horodatage : date et heure de la signature ; date, heure et localisation (IP) du certificat électronique de signature ; date et heure de connexion, mot de passe temporaire du compte PineAppli ;

-  données d’authentification électronique : compte MConnect : Nom, prénom, date d’émission et durée de validité du certificat pour signature.

Les informations nominatives traitées sont, en ce qui concerne les collaborateurs de MT et MTS habilités sur le traitement : 

-  identité : nom, prénom ;

-  adresses et coordonnées : adresse mail professionnelle ;

-  données d’identification électronique : Compte PineAppli : identifiant pour la connexion, mot de passe, clé de chiffrement aux fins de récupération du mot de passe.

La Commission prend acte que les cookies déposés sur les terminaux des utilisateurs le sont uniquement à des fins techniques.

Les informations sont renseignées par les clients et collaborateurs de Monaco Telecom possédant un compte. Cependant, les données d’identification électronique ont pour origine la plateforme du prestataire PineAppli (authentification directe du client ou via Mconnect), qui génère les informations temporelles.

La Commission considère que les informations ainsi collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.

IV.   Sur les droits des personnes concernées

*  Sur l’information préalable des personnes concernées

L’information préalable des personnes concernées est effectuée par le biais d’une mention particulière intégrée dans un document d’ordre général accessible en ligne, à savoir une charte relative à la protection des informations nominatives et de la vie privée.

La Commission relève qu’est joint au dossier un extrait des modalités de droit d’accès ouvertes sur le site Internet de Monaco Telecom. Outre que la totalité des mentions des menus déroulants y relatifs n’a pas été portée au dossier, la Commission relève surtout que ce n’est pas par le biais du site que doit s’effectuer en l’espèce l’information préalable des personnes concernées, mais vraisemblablement pour les clients lors de la souscription des offres dans la documentation contractuelle.

Elle rappelle également que les salariés MT et MTS ayant accès au présent traitement doivent bénéficier d’une information préalable.

*  Sur l’exercice du droit d’accès, de modification et de mise à jour

Le droit d’accès est exercé par la personne concernée par voie postale, sur place et par le biais d’un formulaire de contact en ligne dédié à l’exercice des droits.

À cet égard, la Commission rappelle que la réponse à ce droit d’accès doit intervenir dans le mois suivant la réception de la demande.

S’agissant de l’exercice du droit d’accès par voie électronique, la Commission rappelle qu’une procédure doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agisse effectivement de la personne concernée par les informations.

À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.

Sous ces réserves, elle constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.

V. Sur les destinataires et les personnes ayant accès au traitement

Le responsable de traitement indique que les personnes habilitées à avoir accès au traitement sont :

-  la Direction Marketing et Commercial : personnes habilitées qui sont administrateurs ou utilisatrices de la solution PineAppli pour initier la procédure de signature, consulter les informations du parcours de signature d’un client. L’administrateur pourra modifier les droits d’accès des utilisateurs selon le besoin et générer un compte utilisateur ;

-  le Service client : consultation des informations du parcours de signature d’un client ;

-  la Direction réseaux et système d’information : collaborateurs en charge de l’exploitation et gestion du CRM MT ;

-  le prestataire PineAppli : accès pour exploiter et maintenir la solution de signature électronique.

En ce qui concerne les prestataires, la Commission rappelle que, conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de services. De plus, ces derniers sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.

Sous cette réserve elle considère que ces accès sont justifiés.

VI.   Sur les rapprochements et interconnexions

Le responsable de traitement indique que le présent traitement fait l’objet d’une interconnexion avec les traitements légalement mis en œuvre suivants :

-  « Gestion des offres composites », afin de permettre la mise en œuvre technique de la signature sur les documents contractuels générés par ce CRM ; Cette interconnexion se matérialise par une interface.

-  « Gestion de la messagerie professionnelle », afin de pouvoir utiliser les adresses emails professionnelles des collaborateurs MT dans le cadre du traitement.

La Commission relève que ces interconnexions sont conformes aux exigences légales.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.

Cependant, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

De plus, la copie ou l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception.

La Commission rappelle en outre que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement, au regard des risques présentés par ce traitement et de la nature des données à protéger, devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Le responsable de traitement indique que les informations sont conservées :

-  en ce qui concerne les informations relatives à l’identité des clients, mises à jour selon les renseignements fournis pour la signature et le certificat électronique de signature « une semaine à compter de la fin de la séance de signature » et « 3 ans glissants » pour les informations relatives à l’identité des collaborateurs ;

-  en ce qui concerne leurs adresses et coordonnées, celles-ci sont conservées « une semaine à compter de la fin de la séance de signature » pour les clients et « 3 ans glissants pour les collaborateurs »;

-  en ce qui concerne les données d’identification électronique des collaborateurs , celles-ci sont conservées pendant « la durée contractuelle entre MT et PineAppli » et « 1 mois à compter du départ du salarié » ;

-  les informations temporelles et d’horodatage concernant les signatures des clients sont conservées « 1 semaine à compter de la fin de la séance de signature », ainsi que « 5 ans après le terme contractuel » pour le certificat électronique et enfin « 3 ans glissants »  pour le compte PineAppli ;

Enfin pour les données d’authentification électronique, ces dernières sont conservées « le temps de signature ».

La Commission considère que ces durées sont conformes aux exigences légales.

Après en avoir délibéré, la Commission :

Rappelle que :

-  la réponse à un droit d’accès doit intervenir dans le mois suivant la réception de la demande ;

-  la copie ou l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception ;

-  une procédure relative au droit d’accès par voie électronique doit être mise en place afin que le responsable de traitement puisse s’assurer , en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agisse effectivement de la personne concernée par les informations ;

-  les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switch, routeurs, pares-feux), ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

Sous le bénéfice de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par Monaco Telecom, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion de la signature électronique des documents liés à la relation contractuelle commerciale ».

Le Président de la Commission

de Contrôle des Informations Nominatives.

Print article
Previous article Return to summary Next article

All rights reserved - Monaco 2016
Version 2018.11.07.14