Délibération n° 2024‑131 du 12 juin 2024 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion des rendez‑vous clients » présenté par Monaco Telecom.

Vu la Constitution ;

Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu le Contrat de Concession du Service Public des communications électroniques sur le territoire de la Principauté de Monaco du 26 septembre 2011 ;

Vu le Cahier des Charges relatif à la Concession du Service Public des communications électroniques sur le territoire de la Principauté de Monaco, signé le 26 septembre 2011, annexé à l’Ordonnance Souveraine n° 3.560 du 6 décembre 2011 ;

Vu le Cahier des Charges de l’avenant à la Concession du Service Public des communications électroniques et ses annexes attachées à l’Ordonnance Souveraine n° 6.186 du 12 décembre 2016 ;

Vu le Cahier des Charges de l’Avenant n° 3 à la Convention de Concession du Service Public des Communications électroniques et ses annexes annexés à l’Ordonnance Souveraine n° 8.654 du 10 mai 2021 ;

Vu la délibération n° 2011‑82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;

Vu la demande d’avis reçue de Monaco Telecom, le 25 mars 2024, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Gestion des rendez-vous clients » ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 12 juin 2024 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

Monaco Telecom SAM (MT) est une société concessionnaire de service public, immatriculée au RCI, sous le numéro 97S03277. Elle a notamment pour objet « d’assurer dans les relations intérieures et internationales, tous services de télécommunication. À ce titre, elle assure les activités d’opérateur public chargé de l’exploitation du service téléphonique de la Principauté de Monaco […] ».

Cette société souhaite se doter d’un outil de gestion des rendez-vous clients afin d’optimiser les déplacements de ses techniciens et d’améliorer la qualité du service proposé aux clients.

Ainsi, Monaco Telecom SAM soumet à l’avis de la Commission le traitement automatisé d’informations nominatives ayant pour finalité la « Gestion des rendez-vous clients », conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.

I.   Sur la finalité et les fonctionnalités du traitement

Ce traitement a pour finalité « Gestion des rendez-vous clients ».

Il concerne les clients MT, les collaborateurs MT/MTS et les prestataires.

Les fonctionnalités sont :

-    la planification des rendez-vous clients et par conséquent des interventions sur le terrain ;

-    la création de rapports d’intervention ;

-    le suivi de l’intervention.

À la lecture du dossier, la Commission relève que le présent traitement permet également de constater le passage effectif des techniciens chez le client, constituant en cas de retard ou d’incident lors d’une intervention un élément de preuve.

Le responsable de traitement indique que la solution de prise de rendez-vous est composée de deux modules :

-    un logiciel web notamment destiné à l’administrateur afin de paramétrer la solution ;

-    un logiciel mobile destiné aux techniciens leur permettant de consulter les demandes d’intervention et de réaliser le compte rendu d’activité.

Ces derniers disposent de comptes génériques, par équipe qui permettent selon le responsable de traitement « d’éviter un traitement de données personnelles qui n’est pas nécessaire, et de manière opérationnelle, de gérer plus facilement les aléas (absence imprévue d’un collaborateur notamment) ».

Le responsable de traitement précise qu’un tableau blanc informe les techniciens du planning de la semaine et de leur affectation au jour le jour dans les équipes. Il indique en outre que ces informations sont également insérées dans un document Excel tenu par le responsable du service.

La Commission en prend acte.

La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le présent traitement est justifié par l’exécution d’un contrat ainsi que par la réalisation d’un intérêt légitime qu’il poursuit sans que ne soient méconnus ni l’intérêt, ni les droits et libertés fondamentaux de la personne concernée.

À cet égard, le responsable de traitement précise que dans le cadre de la relation contractuelle avec le client, il est soumis à une obligation d’assistance et de dépannage.

S’agissant de la justification du traitement par l’existence d’un intérêt légitime, le responsable de traitement indique que l’outil lui permet d’affecter des équipes de techniciens aux interventions sur le terrain. Il précise par ailleurs, qu’il lui permet aussi d’organiser le planning des interventions et de recueillir la preuve du passage effectif des techniciens chez les clients mais également une preuve de l’exécution de la prestation en cas de contestation, retard ou incident.

La Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10‑1 et 10‑2 de la loi n° 1.165 du 23 décembre 1993.

III.   Sur les informations nominatives traitées

Les informations nominatives traitées sont :

Pour les clients :

-    identité : nom, prénom et signature ;

-    coordonnées : adresse postale, email, numéro de téléphone ;

-    rapports d’intervention.

Pour les collaborateurs/prestataires MT :

-    données d’identification électronique : comptes individuels et génériques ;

-    informations temporelles : logs applicatifs (date, heure, login) et données techniques (chargement de page, synchronisation mobile…) ;

-    le fichier Excel détaillé au point I de la présente délibération.

À la lecture du dossier la Commission relève que sont également traitées des informations relatives à la consommation de biens et de services notamment l’objet du rendez-vous (dépannage, installation box, installation fibre, etc.). À cet égard, le responsable de traitement précise que « la nature du rendez-vous est importante car elle détermine la durée (…) et le fait d’intervenir en binôme ou éventuellement seul pour les techniciens ».

Par ailleurs, le responsable de traitement indique que les techniciens intervenant sur le terrain ont également la possibilité d’insérer des commentaires dans l’outil. À cet égard il précise qu’« il est important d’avoir un détail des actions effectuées, en particulier dans le cas d’un dépannage ou d’une installation en échec, pour pouvoir remédier au problème lors du prochain passage ».

La Commission en prend acte et rappelle que les informations inscrites dans cette zone doivent être objectives et la responsabilité de la qualité de ces dernières, notamment en ce qui concerne l’absence de données interdites au sens de l’article 12 de la loi n° 1.165 ou de propos injurieux, pèse sur le responsable de traitement.

Les informations relatives aux clients proviennent du traitement ayant pour finalité « Gestion des offres composites de Monaco Telecom », légalement mis en œuvre. Les autres informations proviennent du système.

La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.

IV.   Sur les droits des personnes concernées

>   Sur l’information préalable des personnes concernées

L’information préalable des personnes concernées s’effectue par le biais d’une rubrique propre à la protection des données accessible en ligne, d’une mention sur le document de collecte ainsi que par une procédure interne accessible en Intranet. Le responsable de traitement précise que les clients sont informés au moment de la signature suite à l’intervention par la mention suivante, figurant sur le terminal du technicien, qu’ils doivent cocher « J’accepte et confirme avoir été informé(e) de mes droits relatifs à la protection de mes données nominatives conformément à la réglementation en vigueur ».

La Commission n’ayant pas été destinataire des documents assurant l’information préalable des personnes concernées, elle n’est pas en mesure de se prononcer sur la qualité de celle‑ci.

Ainsi, elle rappelle que l’ensemble des personnes concernées doit être informé conformément aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993.

>   Sur l’exercice du droit d’accès, de modification et de mise à jour

Le droit d’accès s’exerce sur place, par voie postale ou par courrier électronique auprès du Délégué à la Protection des Données.

À cet égard, la Commission rappelle que la réponse à ce droit d’accès doit intervenir dans le mois suivant la réception de la demande.

Elle précise qu’une procédure relative au droit d’accès par voie électronique doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agisse effectivement de la personne concernée par les informations.

À ce titre, elle souligne que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015‑113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.

Sous ces réserves, elle constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.

V. Sur les destinataires et les personnes ayant accès au traitement

Le responsable de traitement indique que les personnes habilitées à avoir accès au traitement sont :

-    la Direction Commerciale (DMC) : en inscription, modification, consultation pour le suivi et la prise de rendez-vous clients ;

-    la Direction Relation Client : en inscription, modification, consultation pour le suivi et la prise de rendez-vous clients ;

-    la Direction Réseaux et Systèmes d’Information :

     •  équipe terrain : en inscription, modification et consultation ;

     •  équipe système d’information : en consultation pour le suivi technique de l’outil ;

-    le prestataire (fournisseur de la solution) : tous droits dans le cadre de la maintenance.

En ce qui concerne le prestataire, la Commission rappelle que, conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de services. De plus, ce dernier est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.

La Commission considère que ces accès sont justifiés.

VI.   Sur les rapprochements et interconnexions

Le responsable de traitement indique que le présent traitement fait l’objet d’un rapprochement avec le traitement légalement mis en œuvre suivant « Gestion des offres composites de Monaco Telecom ».

La Commission considère que ce rapprochement est conforme aux exigences légales.

VII.  Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.

Cependant, il convient de rappeler que le fichier Excel utilisé dans le cadre du présent traitement doit être sécurisé.

Par ailleurs, la Commission rappelle que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

La Commission rappelle en outre que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement, au regard des risques présentés par ce traitement et de la nature des données à protéger, devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Le responsable de traitement indique que les informations relatives à l’identité et les coordonnées sont conservées pendant 1 an. Il précise que ces informations sont accessibles par les techniciens intervenant sur le terrain pendant 1 semaine.

Il indique en outre que le tableau Excel reprenant l’affectation des techniciens aux équipes est conservé 1 an.

Par ailleurs, le responsable de traitement indique que les logs de connexion sont conservés pendant 2 mois.

À cet égard, la Commission demande que les logs de connexion soient conservés selon une durée choisie fixée entre 3 mois minimum et 1 an maximum.

Enfin, le responsable de traitement n’ayant pas indiqué la durée de conservation des données d’identification électronique, la Commission considère que ces informations sont susceptibles d’être conservées tant que la personne est habilitée à avoir accès à la solution. Elle fixe en conséquence la durée de conservation.

Après en avoir délibéré, la Commission :

Demande que les logs de connexion soient conservés selon une durée choisie fixée entre 3 mois minimum et 1 an maximum.

Rappelle que :

-    le responsable de traitement doit s’assurer du caractère proportionné des informations inscrites dans la zone de commentaires libre ;

-    la réponse au droit d’accès doit s’effectuer dans le mois suivant la réception de la demande ;

-    une procédure relative au droit d’accès par voie électronique doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agisse effectivement de la personne concernée par les informations ;

-    le fichier Excel utilisé dans le cadre du présent traitement doit être sécurisé ;

-    les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switch, routeurs, pares-feux), ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

Fixe la durée de conservation des données d’identification électronique à la période pendant laquelle la personne est habilitée à avoir accès à la solution. 

Sous le bénéfice de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par Monaco Telecom, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des rendez-vous clients ».

Le Président de la Commission

de Contrôle des Informations Nominatives.