Délibération n° 2016-129 du 21 septembre 2016 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion de la messagerie professionnelle de Monaco Telecom et de Monaco Telecom International » présenté par Monaco Telecom SAM.
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe ;
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu le contrat de concession du Service Public des communications électroniques sur le territoire de la Principauté de Monaco du 26 septembre 2011 ;
Vu le cahier des charges relatif à la concession du Service Public des communications électroniques sur le territoire de la Principauté de Monaco signé le 26 septembre 2011 et annexé à l'Ordonnance Souveraine n° 3.560 du 6 décembre 2011 ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la demande d'avis déposée par Monaco Telecom SAM le 6 juin 2016 concernant la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion de la messagerie professionnelle de Monaco Telecom et de Monaco Telecom International » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 5 août 2016, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 21 septembre 2016 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Monaco Telecom SAM, immatriculée au RCI, est un organisme de droit privé concessionnaire d'un service public. Elle a notamment pour objet « d'assurer dans les relations intérieures et internationales, tous services de télécommunications. A ce titre, elle assure les activités d'opérateur public chargé de l'exploitation du service téléphonique de la Principauté de Monaco […] ».
Dans le cadre de ses activités, ce responsable de traitement entend exploiter une messagerie professionnelle.
Aussi, conformément aux dispositions de l'article 7 de la loi n° 1.165 du 23 décembre 1993, il soumet le traitement ayant pour finalité « Gestion de la messagerie professionnelle de Monaco Telecom et de Monaco Telecom International » à l'avis de la Commission.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « Gestion de la messagerie de Monaco Telecom et Monaco Telecom International ».
Sont concernés les collaborateurs de Monaco Telecom SAM, de Monaco Telecom International, ses prestataires, et d'une manière générale, tout destinataire ou expéditeur d'un message électronique communiqué par le biais de la messagerie dont s'agit. Monaco Télécom International a délégué la gestion de sa messagerie à Monaco Telecom SAM.
Les fonctionnalités du traitement sont les suivantes :
- échange de messages électroniques en interne et avec l'extérieur ;
- historisation de messages électroniques entrants et sortants (fichiers journaux) ;
- gestion des contacts de la messagerie électronique ;
- gestion des dossiers de la messagerie et des messages archivés puis suppression ;
- gestion des habilitations d'accès à la messagerie, administration des comptes de la messagerie ;
- gestion de l'agenda.
Au vu de ces éléments, la Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
La Commission relève que le traitement dont s'agit fait l'objet d'une exploitation ordinaire, sans que l'activité des collaborateurs de Monaco Telecom SAM et Monaco Telecom International ne soit surveillée.
Il est justifié par la réalisation d'un intérêt légitime, sans que ne soient méconnus les libertés et droits fondamentaux des personnes concernées.
La Commission relève que la messagerie électronique permet l'optimisation de l'accomplissement des missions de travail des employés de ces sociétés, et que ce traitement est donc nécessaire au bon fonctionnement de celles-ci.
La Commission considère donc que le traitement est licite et justifié conformément aux articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Les informations objets du traitement sont les suivantes :
- identité : nom, prénom, nom de la société ;
- adresses et coordonnées : adresse, numéro de téléphone, télécopie ;
- formation / diplômes / vie professionnelle : fonction professionnelle, titre ;
- données d'identification électronique : adresse mail ;
- messages (entrants et sortants) : objet, contenu du message, dossier de classement, date et heure ;
- fichiers journaux : nombre de messages entrants et sortants, de messages nettoyés, de spams, volume, format, pièces jointes, noms de domaines expéditeurs de messages ;
- habilitations : gestion des habilitations d'accès à la messagerie et au calendrier ;
- gestion des contacts : nom, prénom, raison social, titre fonction, adresse email, numéros de téléphone et télécopie.
Les informations relatives à l'identité, aux adresses et coordonnées, aux formations/diplômes/vie professionnelle, aux données d'identification électronique et aux messages ont pour origine l'expéditeur du message.
La Commission relève qu'elles peuvent également avoir pour origine le compte de messagerie du collaborateur de Monaco Telecom SAM et Monaco Telecom International.
En ce qui concerne la gestion des contacts, elle est effectuée par l'utilisateur du compte de messagerie.
Les fichiers journaux sont générés par le système lui-même.
Les habilitations ont pour origine le détenteur de la boîte. A cet égard, la Commission relève que « chaque utilisateur d'un compte de messagerie électronique peut de manière autonome attribuer des droits de lecture/modification voire écriture sur ses données à un autre utilisateur identifié de la messagerie électronique de Monaco Telecom et Monaco Telecom International ».
Elle constate que si l'attribution des droits est maîtrisée par le détenteur de la boîte de messagerie qui peut délivrer des accès aux autres utilisateurs, il convient au responsable de traitement de s'assurer qu'en cas de mail litigieux il soit en mesure de déterminer si celui-ci a été envoyé par le détenteur du compte de messagerie ou par une personne disposant d'un droit en écriture sur ledit compte.
Enfin la Commission relève des pièces complémentaires qu'il existe une journalisation des accès au présent traitement.
La Commission considère que les informations traitées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
► Sur l'information des personnes concernées
Le responsable de traitement indique que l'information préalable des personnes concernées est effectuée :
- par des paraphes intégrés dans les mails ;
- par la charte sécurité de l'information de Monaco Telecom.
A la lecture de la mention d'information portée sur les mails, la Commission relève que l'information des personnes concernées est valablement effectuée.
► Sur l'exercice du droit d'accès
La Commission observe que le droit d'accès est exercé par voie postale ou par courrier électronique auprès de la Direction des systèmes d'information hébergement, Direction administration hébergement.
Les droits de modification et de mise à jour des données sont exercés selon les mêmes modalités.
Le délai de réponse est de 30 jours.
La Commission constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.
V. Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
- Les détenteurs de compte de messagerie professionnelle Monaco Telecom pour les informations qui les concernent, en consultation, inscription, modification, mise à jour, suppression ;
- L'équipe d'administration de système interne dans le cadre du maintien en condition opérationnelle du système.
Le responsable de traitement précise qu'en ce qui concerne l'équipe d'administration de système interne, elle est capable d'intervenir en lieu et place de l'utilisateur pour toute fonctionnalité de sa messagerie et est soumise dans ce cadre à la charte de l'administrateur de la messagerie qui lui interdit formellement d'intervenir sans demande expresse de l'utilisateur.
Par ailleurs, la Commission relève à l'analyse du dossier que le responsable de traitement recourt à des prestataires.
En ce qui concerne ces derniers, la Commission rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993 les droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de leur contrat de prestation de service. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission considère que les accès au traitement sont conformes aux dispositions légales.
VI. Sur les rapprochements et interconnexions
Le responsable de traitement indique que le présent traitement est rapproché avec le traitement ayant pour finalité « Gestion des affectations et demandes relatives aux ressources informatiques », concomitamment soumis.
Ce rapprochement permet aux utilisateurs de la messagerie de formuler aux administrateurs des demandes d'intervention.
La Commission rappelle que les mises en relation entre ces traitements ne pourront être effectives qu'à compter de leurs mises en œuvre respectives, conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993.
En outre, elle relève de l'analyse du traitement qu'il fait l'objet d'une interconnexion avec celui ayant pour finalité « Gestion des habilitations au système d'information », légalement mis en œuvre. Elle en prend donc acte.
Par ailleurs, elle rappelle également avoir constaté dans ses délibérations relatives au présent responsable de traitement l'existence de rapprochements entre la messagerie professionnelle de Monaco Telecom et les traitements nécessitant l'envoi de courriers électroniques.
Elle avait à cet égard demandé le dépôt du présent traitement comme préalable à toute possibilité de rapprochement.
La Commission lève désormais ses réserves formulées dans ses délibérations relatives à l'impossibilité de rapprochement des traitements concernés avec la messagerie professionnelle, dès lors que cette dernière aura été mise en œuvre.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation particulière.
Par ailleurs, l'architecture technique du système repose sur des équipements de raccordement (switchs, routeurs, pare-feux) de serveurs et périphériques qui doivent être protégés par un login et un mot de passe réputé fort et les ports non utilisés doivent être désactivés.
La Commission rappelle enfin que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993 les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité de celui-ci au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII. Sur la durée de conservation
Les informations relatives à l'identité, aux adresses et coordonnées, aux formations/diplômes/vie professionnelle, aux données d'identification électronique, et aux messages sont conservées 1 mois sur la boîte aux lettres et 1 an en archive de sauvegarde.
En ce qui concerne les fichiers journaux, les informations sont conservées 14 jours, et les habilitations octroyées le sont, sans intervention des utilisateurs, pour la durée d'existence de la boîte aux lettres.
Les informations relatives à la journalisation des accès sont conservées un an.
La Commission considère que ces durées de conservation sont conformes aux exigences légales.
Après en avoir délibéré,
Constate :
- que les traitements précédemment soumis à l'avis de la Commission sont relevés de la réserve de rapprochement ou d'interconnexion avec la messagerie professionnelle, dès lors que cette dernière aura été mise en œuvre ;
- que le présent traitement est interconnecté avec le traitement ayant pour finalité « Gestion des habilitations au système d'information », légalement mis en œuvre ;
Rappelle :
- que le rapprochement avec le traitement ayant pour finalité « Gestion des affectations et demandes relatives aux ressources informatiques » ne pourra être effectif qu'à compter de leurs mises en œuvre respectives ;
- que l'architecture technique du système repose sur des équipements de raccordement (switchs, routeurs, pare-feux) de serveurs et périphériques qui doivent être protégés par un login et un mot de passe réputé fort et que les ports non utilisés doivent être désactivés ;
A la condition de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par Monaco Telecom SAM, du traitement automatisé d'informations nominatives ayant pour finalité « Gestion de la messagerie professionnelle de Monaco Telecom et Monaco Telecom International ».
Le Président de la Commission
de Contrôle des Informations Nominatives.