Délibération n° 2012-53 du 16 avril 2012 de la commission de contrôle des informations nominatives portant avis favorable sur la demande présentée par la sociéte monégasque de l’Electricite et du gaz (SMEG) relative à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité «Gestion de la relation clientèle» dénommé E-FLUID.
Vu la Constitution ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’ordonnance souveraine n° 2.578 du 13 janvier 2010 approuvant le traité de concession de la SMEG, ainsi que ses annexes et cahiers des charges ;
Vu l’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée ;
Vu le traité de concession du service public de la distribution de l’électricité et du gaz conclu entre la SMEG et la Principauté de Monaco, et entré en vigueur le 1er janvier 2009, accompagné de ses annexes et cahiers des charges ;
Vu la délibération n° 2011-11 du 17 janvier 2011 de la Commission portant avis favorable sur la demande déposée par la SOCIETE MONEGASQUE DE L’ELECTRICITE ET DU GAZ (SMEG) relative à la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité «Gestion de la relation clientèle», dénommé «SESAME » ;
Vu les délibérations n° 2011-42 du 18 avril 2011 et n° 2012-04 du 16 janvier 2012 de la Commission portant avis favorable sur les modifications par la SMEG du traitement «SESAME» précité ;
Vu la demande d’avis déposée par la SMEG le 17 février 2012 relative à la modification de la finalité du traitement «SESAME» ;
Vu la demande d’avis concomitante déposée par la SMEG le 17 janvier 2012 concernant la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité «Gestion de la relation clientèle» dénommé «E-Fluid» ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 16 avril 2012 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
La SOCIETE MONEGASQUE DE L’ELECTRICITE ET DU GAZ (SMEG) est une société anonyme en charge de l’exploitation du service public de la distribution de l’électricité et du gaz, en application du traité de concession, entré en vigueur le 1er janvier 2009, entre la SMEG et la Principauté de Monaco.
Ainsi, conformément aux dispositions de l’article 7 de la loi n° 1.165, modifiée, du 23 décembre 1993, et à l’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application dudit article, la SMEG a précédemment soumis à l’avis de la Commission un traitement automatisé d’informations nominatives ayant pour finalité «Gestion de la relation clientèle» dénommé «SESAME».
Par délibération n° 2011-11 du 17 janvier 2011, la Commission a émis un avis favorable à la mise en œuvre d’un tel traitement, assorti d’un certain nombre de réserves.
Puis, par délibération n° 2011-42 du 18 avril 2011, la Commission a émis un avis favorable à la modification de ce traitement, qui venait prendre en compte les remarques ainsi émises par la Commission, et compléter le traitement d’une fonctionnalité supplémentaire, à savoir la gestion des diagnostics « énergétique » et « sécurité ».
Enfin, par délibération n° 2012-04 du 16 janvier 2012, la Commission a émis un avis favorable à une seconde modification de ce traitement, afférente à la mise en place du système européen de prélèvement bancaire unifié SEPA («Single Euro Payment Area»).
Toutefois aujourd’hui, la SMEG souhaite procéder à la migration de certaines données du traitement «SESAME» vers un nouveau traitement dénommé « E-Fluid », objet de la présente demande d’avis. A ce titre, SESAME a vocation à devenir une base d’archives - cette modification faisant l’objet d’une demande d’avis modificative concomitante.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement, dénommé «E-Fluid», a pour finalité «Gestion de la relation clientèle». La Commission relève qu’il reprend donc l’ancienne finalité du traitement « SESAME », lequel a vocation à devenir un traitement de données clientèle archivées, doté à cet effet d’une nouvelle finalité.
Les fonctionnalités du traitement «E-Fluid» sont les suivantes :
- gestion des contrats signés avec les clients de la SMEG ;
- gestion des courriers émis et reçus des clients ;
- gestion des interventions techniques relatives (dépannage, relève, matériels techniques de raccordement et de comptage) ;
- facturation et recouvrement des créances ;
- suivi de la consommation des clients et établissement de statistiques commerciales ;
- mailings d’informations, d’offres aux clients et réalisation d’enquêtes ;
- gestion des diagnostics énergétiques et sécurité réalisés par la SMEG ou par des prestataires sous-traitant ;
- gestion des mandats de clients sous la forme SEPA avant remise à la banque pour prélèvement ;
- conseil tarifaire, en fonction des usages, à la demande du client ;
- facturation chaud-froid urbain ;
- facturation TRVM.
La Commission observe que ces fonctionnalités correspondent à celles sur lesquelles elle a déjà été amenée à se prononcer favorablement dans le cadre des demandes d’avis relatives à la mise en œuvre du traitement «SESAME», à l’exception des trois dernières, qui sont des nouvelles fonctionnalités intégrées par «E-Fluid».
Elle observe également l’existence de champs de recherche par mots clés, et prend donc acte de cette fonctionnalité additionnelle.
Par ailleurs, elle relève que le traitement est interconnecté avec plusieurs traitements automatisés ayant reçu l’avis favorable ou l’autorisation de la Commission, à savoir les traitements ayant pour finalité «Schéma des colonnes montantes d’électricité et de gaz», «Gestion des informations de comptage d’électricité et de gaz» et «Analyse des consommations énergétiques et des usages», anciennement interconnectés avec le traitement «SESAME».
Enfin, la SMEG indique que les personnes concernées par ce traitement sont l’ensemble de ses clients, ainsi que les tiers payeurs et les mandataires de clients personnes morales.
Au vu de ces éléments, la Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité du traitement
La Commission observe que la SMEG est une société privée concessionnaire d’un service public au sens de l’article 7 de la loi n° 1.165, modifiée.
En effet, elle relève que ladite concession de service public ressort des textes suivants :
- le traité entré en vigueur le 1er janvier 2009 entre la SMEG et la Principauté de Monaco réglementant la distribution d’énergie électrique et de gaz naturel sur le territoire de la Principauté pour la période 2009-2028 ;
- les cahiers des charges et annexes audit traité.
Ces textes ont été approuvés par l’ordonnance souveraine n° 2.578 du 13 janvier 2010.
En conséquence, la Commission constate que l’activité de distribution d’électricité et de gaz sur le territoire monégasque par la SMEG dispose d’un fondement juridique propre pour la période 2009-2028, et que le traitement objet de la présente délibération est donc licite.
III. Sur la justification du traitement
En premier lieu, la SMEG indique que le traitement est justifié par le consentement des personnes concernées.
En effet, celles-ci communiquent librement leurs informations lors de diverses opérations, telles que l’ouverture de comptes, les changements de contrat, les raccordements, les diagnostics de performance énergétique, etc. En ce qui concerne le prélèvement SEPA, ce consentement s’illustre par la signature du mandat SEPA.
De plus, la SMEG demande le consentement écrit de ses clients pour la réalisation de tous diagnostics «sécurité» et «énergie». À cet égard, la Commission prend également acte des indications de la SMEG aux termes desquelles elle «n’intègrera qu’une information concernant la réalisation ou non de ces diagnostics, leur date, voire un commentaire, mais elle n’y insèrera pas les détails des conclusions des experts».
Enfin, la Commission relève que le prélèvement SEPA est autorisé par un mandat délivré par le client et remis à la SMEG, qui concrétise son consentement en vue d’effectuer les prélèvements bancaires nécessaires au règlement de ses factures.
En second lieu, la SMEG indique que le traitement est justifié par le respect d’une obligation légale à laquelle elle est soumise.
A ce titre, la Commission observe que les articles 22 du cahier des charges électricité, et 23 du cahier des charges gaz, imposent à la SMEG la délivrance gratuite de factures, lesquelles doivent comprendre un certain nombre d’éléments obligatoires prévus dans lesdits cahiers des charges, ainsi que dans l’annexe 1 du contrat de concession.
En outre, les articles 4 des cahiers des charges susvisés obligent le concessionnaire à élaborer un appareil statistique qui permette de concevoir et de piloter des actions de maîtrise de la consommation d’électricité.
L’article 6.4 de l’Annexe 1 du traité de concession dispose également que la SMEG est tenue d’effectuer des diagnostics «énergie» et «sécurité», au regard des obligations de conformité des installations imposées par les articles 13.2 et 17.3 des cahiers des charges électricité et gaz, et par l’arrêté ministériel n° 2010-530 du 22 octobre 2010.
Enfin, la SMEG se réfère à la Directive Européenne sur les Services de Paiement, à laquelle Monaco se rallie « pour des raisons d’unicité et de cohésion économique ». La Commission note à cet égard qu’une telle justification illustre non pas une obligation légale du responsable de traitement, mais la réalisation d’un intérêt légitime, celui de vouloir bénéficier des services de paiement mis en œuvre au niveau européen. A ce titre, les mesures mises en place pour le respect des droits fondamentaux des individus, telles qu’exigées par l’article 10-1 de la loi n° 1.165, modifiée, sont examinées au point V de la présente délibération.
En troisième lieu, la SMEG considère que le traitement est justifié par un motif d’intérêt public, à savoir son obligation de fourniture d’énergie et de gaz en Principauté. La Commission observe à cet effet que cette justification est corrélative à l’exécution des contrats de fourniture d’électricité et/ ou de gaz conclus avec les clients.
Au vu de l’ensemble de ces éléments, la Commission considère que le traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
IV. Sur les informations traitées
Les informations nominatives objets du présent traitement sont :
- identité : nom et prénom du client, du payeur, du mandataire, qualité du client (VIP - normal - sous administration - judiciaire …) ;
- situation de famille : civilité ;
- adresses et coordonnées : adresse, mail et téléphone du mandataire/ client/ payeur ;
- formation / diplômes / vie professionnelle : code d’activité professionnelle (hôtellerie, restauration, boulanger-pâtissier, …), Siren-Siret, numéros RCI et SSEE ;
- caractéristiques financières : coordonnées bancaires, facture et compte client, facturation chaud/froid urbain et TRVM, gestion des mandats avec une RUM ;
- consommation de biens et services : caractéristiques techniques (installation, raccordement, utilisation, …) ;
- informations obligatoires de la facture – données contractuelles : nom et coordonnées du concessionnaire, horaires et tarifs d’accès au service clientèle, numéro d’appel du centre de dépannage, intitulé commercial de l’offre souscrite, date d’échéance du contrat, puissance souscrite, le ou les types de compteurs, date d’émission et date limite de recouvrement de la facture.
- Informations potentielles : poste «options» détaillant les options éventuellement souscrites auprès du concessionnaire, poste «services» indiquant les services éventuellement souscrits auprès du concessionnaire, poste «prestations techniques» indiquant les prestations réalisées par le concessionnaire ;
- courriers : courriers émis et reçus par le client ;
- conseil tarifaire : conseil selon les appareils d’utilisation ;
- consommation des énergies : quantité et répartition des énergies par poste tarifaire, consommation effective, courbe de charges (sauf pour les résidentiels inférieurs à 36 Kva) et historique des consommations, nombre de kWh consommés, prix unitaire du kWh, montant hors taxes des consommations ;
- identifiants : numéro de référence du ou des compteurs ; numéro du point de livraison, numéro de référence client, numéro de facture ;
- Informations relatives au diagnostic : diagnostic énergie/ sécurité gaz ou électricité réalisé : date du diagnostic, nom du prestataire sous-traitant, commentaires ;
- Informations relatives aux professionnels ayant réalisé l’immeuble : nom et coordonnées ;
- données SEPA : « RUM » (Référence Unique de Mandat), date de signature du mandat, date du dernier prélèvement transmis à la banque.
Concernant la gestion des mandats SEPA, la Commission relève la SMEG collecte des informations via le mandat de prélèvement SEPA. Ce mandat est communiqué au client sous format papier, qui le remplit, le signe puis le renvoie à la SMEG. Les données ensuite intégrées dans «E-Fluid» sont la «RUM» (Référence Unique de Mandat), la date de signature du mandat, ainsi que la date du dernier prélèvement transmis à la banque. La Commission en prend donc acte.
Par ailleurs, concernant les données contractuelles, et notamment les divers postes susmentionnés, la Commission relève que les terminologies employées relève de l’ancien traitement «SESAME» et ne sont plus applicables en l’espèce, bien qu’en substance, les informations traitées dans ces différents postes soient effectivement collectées dans «E-Fluid». A ce titre, elle relève notamment un poste «Liste des affaires» qui mentionne les différentes interventions techniques afférentes à chaque contrat, les modifications apportées à ce contrat, les options souscrites, etc.
Enfin, la Commission relève plusieurs nouvelles rubriques, à savoir :
- les rubriques «Liste des contrats de prestations» et «Liste des partenaires», pour répondre aux demandes d’intervention de la SMEG ;
- plusieurs rubriques intitulées «Suivi des actions», qui historisent les opérations informatiques menées par le personnel de la SMEG ayant accès au traitement, telles que les créations de fiches, la modification d’informations, etc. ;
- un onglet «Contentieux» relatif aux litiges liés à un compte client, ainsi qu’aux provisions dues ;
- une rubrique « Mes tâches » pour le suivi par le personnel habilité de la SMEG de ses dossiers.
La Commission prend donc acte de ces catégories de données complémentaires.
Par ailleurs, elle observe que les informations objets du traitement ont principalement pour origine les clients, payeurs ou mandataires.
En ce qui concerne les données contractuelles, les divers identifiants, ainsi que les données relatives aux diagnostics et aux professionnels ayant réalisé l’immeuble, celles-ci sont collectées et/ou générées par la SMEG.
Les données relatives au conseil tarifaire sont issues, notamment d’un rapprochement avec le traitement ayant pour finalité «Analyse des consommations énergétiques et des usages», susvisé.
Les données techniques proviennent du traitement ayant pour finalité «Schéma des colonnes montantes d’électricité et de gaz», susvisé, ainsi que des constatations des agents de la SMEG sur le terrain.
Enfin, les données relatives à la consommation des énergies proviennent du système de relève et de télé-relève, et du traitement ayant pour finalité «Gestion des informations de comptage d’électricité et de gaz».
La Commission rappelle toutefois qu’eu égard aux différents champs de commentaires, il conviendra d’y faire figurer uniquement les remarques et observations pertinentes et strictement nécessaires à la finalité du traitement, en application des principes d’adéquation et de proportionnalité prévus à l’article 10-1 de la loi n° 1.165, modifiée.
Sous cette réserve, et au vu de l’ensemble des éléments susmentionnés, la Commission estime que les informations collectées sont «adéquates, pertinentes et non excessives» au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi, précité.
V. Sur les droits des personnes concernées
• Sur l’information des personnes concernées
Aux termes de la demande d’avis, l’information préalable des personnes concernées est effectuée par :
- une mention sur le document de collecte ;
- une mention ou clause particulière intégrée dans un document remis à l’intéressé ;
- un courrier adressé à l’intéressé ;
- une rubrique propre à la protection des données accessibles en ligne ;
- une mention particulière intégrée dans un document d’ordre général accessible en ligne ;
- une mention sur les factures.
A ce titre, la Commission prend acte des déclarations de la SMEG aux termes desquelles les clients seront informés de leurs droits d’accès et de rectification dans le cadre du contrat afférent à la réalisation des diagnostics «sécurité» et «énergies». Concernant le passage au SEPA, l’information sera faite par courrier adressé à chaque futur client. Pour les clients actuels, l’information est donnée lors de l’envoi du mandat SEPA.
Par ailleurs, la Commission rappelle que dans le cadre du traitement «SESAME» qui avait anciennement la même finalité que le traitement «E-Fluid», la SMEG avait déjà procédé à l’information de ses clients par :
- l’envoi avec la facture d’un courrier informant les clients de l’existence du traitement, ainsi que de leurs droits ; et
- l’ajout d’une page dédiée aux conditions générales de vente.
A cet égard, la Commission avait pu constater que ces documents étaient conformes aux dispositions de l’article 14 de la loi n° 1.165, modifiée, à l’exception de la mention des destinataires qui n’y figurait pas. Elle avait donc demandé à la SMEG d’ajouter cette information dans lesdits documents.
Ainsi, sous réserve que les diverses modalités d’information prévues comportent l’ensemble des mentions requises par l’article 14 précité, la Commission considère que l’information des personnes est correctement effectuée.
• Sur l’exercice du droit d’accès
La Commission observe que le droit d’accès est exercé par voie postale ou courrier électronique. Le délai de réponse est de vingt jours.
Les droits de modification, mise à jour et suppression des données sont exercés selon les mêmes modalités.
En matière de prospection, notamment en vue des mailings d’informations et d’offres aux clients, ou pour la réalisation d’enquêtes, la SMEG déclare que les personnes concernées s’expriment par l’opt out.
A cet égard, dans le cadre du traitement «SESAME», la Commission avait pris acte que cette prospection était uniquement réalisée par la SMEG, et qu’il n’existait aucune cession d’informations nominatives, notamment à des fins commerciales.
En l’espèce, à défaut d’information contraire, la Commission estime que ces modalités n’ont pas changé.
Dans ces conditions, elle constate que les droits des personnes concernées sont garantis, conformément aux dispositions de la loi n° 1.165, modifiée.
VI. Sur les destinataires des données
La SMEG indique que certaines informations sont communiquées à des établissements bancaires situés à Monaco, ainsi qu’à une société de recouvrement, aux fins de règlement ou de recouvrement des factures de ses clients.
La Commission considère que ces transferts sont nécessaires à l’accomplissement de tâches légitimes de la part de la SMEG, et que les entités susvisées sont habilitées à recevoir les catégories d’informations concernées dans le cadre de leurs activités.
Par ailleurs, la SMEG indique que certaines données sont transférées à des sociétés prestataires, à savoir les données d’identité et de civilité, certaines informations techniques, ainsi que des données relatives à la consommation des énergies. Ces transferts ont pour but la sous-traitance des opérations de diagnostics pour les clients qui en ont accepté la réalisation.
Toutefois, la Commission relève que les pays d’établissement de ces sociétés destinataires ne sont pas indiqués dans la demande d’avis.
A cet égard, elle rappelle que conformément aux dispositions de l’article 20-1 de la loi n° 1.165, modifiée, tout transfert de données vers un pays n’assurant pas un niveau de protection adéquat est soumis à l’autorisation préalable de la Commission, à l’exception des transferts justifiés par l’une des exceptions limitativement énumérées audit article.
VII. Sur les personnes ayant accès au traitement
La Commission observe que les personnes habilitées à avoir accès aux données sont :
- la Direction commerciale : elle est habilitée à consulter les données, mais également à créer de nouvelles fiches, modifier ou mettre à jour des informations, et d’une manière générale, consulter le traitement ;
- les Directions financière et technique : elles disposent uniquement d’accès en consultation ;
- le Service informatique : il bénéficie de tous les droits nécessaires à l’exploitation technique du traitement ;
- les sous-traitants et prestataires informatiques : ceux-ci disposent des accès nécessaires pour la maintenance et le développement du système.
Concernant ces derniers, la Commission relève qu’une clause de confidentialité est signée avec chacune des sociétés concernées, en application des dispositions de l’article 17 de la loi n° 1.165, modifiée.
Ainsi, considérant les attributions de chacun de ces services et entités, et eu égard à la finalité du traitement, la Commission considère que lesdits accès sont justifiés.
VIII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations n’appellent pas d’observation.
La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
IX. Sur la durée de conservation
La Commission relève que les informations nominatives collectées sont conservées pour une durée de six ans après la date de résiliation du contrat.
Or dans le cadre du traitement «SESAME», la Commission avait pris acte de l’alignement de cette durée de conservation avec le délai prévu par l’article 80 du Code des taxes sur le chiffre d’affaires.
Ainsi en l’espèce, elle considère que cette durée de conservation demeure conforme aux exigences légales.
Toutefois, en ce qui concerne les informations relatives aux professionnels ayant réalisé l’immeuble, la Commission avait relevé que la formulation de données «anonymes» prêtait à confusion, en ce qu’elle ne permettait pas de déterminer comment de telles données (noms et coordonnées) peuvent être anonymisées, ni à compter de quel moment.
Ainsi, considérant la garantie décennale en vigueur en matière de construction immobilière prévue par l’article 2090 du Code Civil, la Commission avait demandé, et réitère par la présente sa demande, à ce que ces informations soient anonymisées 10 ans après la date de fin de réalisation de l’immeuble, par la suppression de toute information nominative relative aux personnes physiques (architecte, etc.) attachées à cette liste de professionnels.
Après en avoir délibéré,
Rappelle que conformément aux dispositions de l’article 20-1 de la loi n° 1.165, modifiée, tout transfert de données vers un pays n’assurant pas un niveau de protection adéquat est soumis à l’autorisation préalable de la Commission, à l’exception des transferts justifiés par l’une des exceptions limitativement énumérées audit article ;
Demande que :
- les documents portant information préalable des personnes concernées soient complétés, le cas échéant, des catégories de destinataires des données, conformément aux exigences de l’article 14 de la loi n° 1.165, modifiée ;
- les informations relatives aux professionnels ayant réalisé l’immeuble soient anonymisées 10 ans après la date de fin de réalisation de l’immeuble, par la suppression de toute information nominative relative aux personnes physiques concernées ;
A la condition de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par la SOCIETE MONEGASQUE DE L’ELECTRICITE ET DU GAZ (SMEG) du traitement automatisé d’informations nominatives ayant pour finalité « Gestion de la relation clientèle » dénommé E-FLUID.
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’ordonnance souveraine n° 2.578 du 13 janvier 2010 approuvant le traité de concession de la SMEG, ainsi que ses annexes et cahiers des charges ;
Vu l’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée ;
Vu le traité de concession du service public de la distribution de l’électricité et du gaz conclu entre la SMEG et la Principauté de Monaco, et entré en vigueur le 1er janvier 2009, accompagné de ses annexes et cahiers des charges ;
Vu la délibération n° 2011-11 du 17 janvier 2011 de la Commission portant avis favorable sur la demande déposée par la SOCIETE MONEGASQUE DE L’ELECTRICITE ET DU GAZ (SMEG) relative à la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité «Gestion de la relation clientèle», dénommé «SESAME » ;
Vu les délibérations n° 2011-42 du 18 avril 2011 et n° 2012-04 du 16 janvier 2012 de la Commission portant avis favorable sur les modifications par la SMEG du traitement «SESAME» précité ;
Vu la demande d’avis déposée par la SMEG le 17 février 2012 relative à la modification de la finalité du traitement «SESAME» ;
Vu la demande d’avis concomitante déposée par la SMEG le 17 janvier 2012 concernant la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité «Gestion de la relation clientèle» dénommé «E-Fluid» ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 16 avril 2012 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
La SOCIETE MONEGASQUE DE L’ELECTRICITE ET DU GAZ (SMEG) est une société anonyme en charge de l’exploitation du service public de la distribution de l’électricité et du gaz, en application du traité de concession, entré en vigueur le 1er janvier 2009, entre la SMEG et la Principauté de Monaco.
Ainsi, conformément aux dispositions de l’article 7 de la loi n° 1.165, modifiée, du 23 décembre 1993, et à l’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application dudit article, la SMEG a précédemment soumis à l’avis de la Commission un traitement automatisé d’informations nominatives ayant pour finalité «Gestion de la relation clientèle» dénommé «SESAME».
Par délibération n° 2011-11 du 17 janvier 2011, la Commission a émis un avis favorable à la mise en œuvre d’un tel traitement, assorti d’un certain nombre de réserves.
Puis, par délibération n° 2011-42 du 18 avril 2011, la Commission a émis un avis favorable à la modification de ce traitement, qui venait prendre en compte les remarques ainsi émises par la Commission, et compléter le traitement d’une fonctionnalité supplémentaire, à savoir la gestion des diagnostics « énergétique » et « sécurité ».
Enfin, par délibération n° 2012-04 du 16 janvier 2012, la Commission a émis un avis favorable à une seconde modification de ce traitement, afférente à la mise en place du système européen de prélèvement bancaire unifié SEPA («Single Euro Payment Area»).
Toutefois aujourd’hui, la SMEG souhaite procéder à la migration de certaines données du traitement «SESAME» vers un nouveau traitement dénommé « E-Fluid », objet de la présente demande d’avis. A ce titre, SESAME a vocation à devenir une base d’archives - cette modification faisant l’objet d’une demande d’avis modificative concomitante.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement, dénommé «E-Fluid», a pour finalité «Gestion de la relation clientèle». La Commission relève qu’il reprend donc l’ancienne finalité du traitement « SESAME », lequel a vocation à devenir un traitement de données clientèle archivées, doté à cet effet d’une nouvelle finalité.
Les fonctionnalités du traitement «E-Fluid» sont les suivantes :
- gestion des contrats signés avec les clients de la SMEG ;
- gestion des courriers émis et reçus des clients ;
- gestion des interventions techniques relatives (dépannage, relève, matériels techniques de raccordement et de comptage) ;
- facturation et recouvrement des créances ;
- suivi de la consommation des clients et établissement de statistiques commerciales ;
- mailings d’informations, d’offres aux clients et réalisation d’enquêtes ;
- gestion des diagnostics énergétiques et sécurité réalisés par la SMEG ou par des prestataires sous-traitant ;
- gestion des mandats de clients sous la forme SEPA avant remise à la banque pour prélèvement ;
- conseil tarifaire, en fonction des usages, à la demande du client ;
- facturation chaud-froid urbain ;
- facturation TRVM.
La Commission observe que ces fonctionnalités correspondent à celles sur lesquelles elle a déjà été amenée à se prononcer favorablement dans le cadre des demandes d’avis relatives à la mise en œuvre du traitement «SESAME», à l’exception des trois dernières, qui sont des nouvelles fonctionnalités intégrées par «E-Fluid».
Elle observe également l’existence de champs de recherche par mots clés, et prend donc acte de cette fonctionnalité additionnelle.
Par ailleurs, elle relève que le traitement est interconnecté avec plusieurs traitements automatisés ayant reçu l’avis favorable ou l’autorisation de la Commission, à savoir les traitements ayant pour finalité «Schéma des colonnes montantes d’électricité et de gaz», «Gestion des informations de comptage d’électricité et de gaz» et «Analyse des consommations énergétiques et des usages», anciennement interconnectés avec le traitement «SESAME».
Enfin, la SMEG indique que les personnes concernées par ce traitement sont l’ensemble de ses clients, ainsi que les tiers payeurs et les mandataires de clients personnes morales.
Au vu de ces éléments, la Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité du traitement
La Commission observe que la SMEG est une société privée concessionnaire d’un service public au sens de l’article 7 de la loi n° 1.165, modifiée.
En effet, elle relève que ladite concession de service public ressort des textes suivants :
- le traité entré en vigueur le 1er janvier 2009 entre la SMEG et la Principauté de Monaco réglementant la distribution d’énergie électrique et de gaz naturel sur le territoire de la Principauté pour la période 2009-2028 ;
- les cahiers des charges et annexes audit traité.
Ces textes ont été approuvés par l’ordonnance souveraine n° 2.578 du 13 janvier 2010.
En conséquence, la Commission constate que l’activité de distribution d’électricité et de gaz sur le territoire monégasque par la SMEG dispose d’un fondement juridique propre pour la période 2009-2028, et que le traitement objet de la présente délibération est donc licite.
III. Sur la justification du traitement
En premier lieu, la SMEG indique que le traitement est justifié par le consentement des personnes concernées.
En effet, celles-ci communiquent librement leurs informations lors de diverses opérations, telles que l’ouverture de comptes, les changements de contrat, les raccordements, les diagnostics de performance énergétique, etc. En ce qui concerne le prélèvement SEPA, ce consentement s’illustre par la signature du mandat SEPA.
De plus, la SMEG demande le consentement écrit de ses clients pour la réalisation de tous diagnostics «sécurité» et «énergie». À cet égard, la Commission prend également acte des indications de la SMEG aux termes desquelles elle «n’intègrera qu’une information concernant la réalisation ou non de ces diagnostics, leur date, voire un commentaire, mais elle n’y insèrera pas les détails des conclusions des experts».
Enfin, la Commission relève que le prélèvement SEPA est autorisé par un mandat délivré par le client et remis à la SMEG, qui concrétise son consentement en vue d’effectuer les prélèvements bancaires nécessaires au règlement de ses factures.
En second lieu, la SMEG indique que le traitement est justifié par le respect d’une obligation légale à laquelle elle est soumise.
A ce titre, la Commission observe que les articles 22 du cahier des charges électricité, et 23 du cahier des charges gaz, imposent à la SMEG la délivrance gratuite de factures, lesquelles doivent comprendre un certain nombre d’éléments obligatoires prévus dans lesdits cahiers des charges, ainsi que dans l’annexe 1 du contrat de concession.
En outre, les articles 4 des cahiers des charges susvisés obligent le concessionnaire à élaborer un appareil statistique qui permette de concevoir et de piloter des actions de maîtrise de la consommation d’électricité.
L’article 6.4 de l’Annexe 1 du traité de concession dispose également que la SMEG est tenue d’effectuer des diagnostics «énergie» et «sécurité», au regard des obligations de conformité des installations imposées par les articles 13.2 et 17.3 des cahiers des charges électricité et gaz, et par l’arrêté ministériel n° 2010-530 du 22 octobre 2010.
Enfin, la SMEG se réfère à la Directive Européenne sur les Services de Paiement, à laquelle Monaco se rallie « pour des raisons d’unicité et de cohésion économique ». La Commission note à cet égard qu’une telle justification illustre non pas une obligation légale du responsable de traitement, mais la réalisation d’un intérêt légitime, celui de vouloir bénéficier des services de paiement mis en œuvre au niveau européen. A ce titre, les mesures mises en place pour le respect des droits fondamentaux des individus, telles qu’exigées par l’article 10-1 de la loi n° 1.165, modifiée, sont examinées au point V de la présente délibération.
En troisième lieu, la SMEG considère que le traitement est justifié par un motif d’intérêt public, à savoir son obligation de fourniture d’énergie et de gaz en Principauté. La Commission observe à cet effet que cette justification est corrélative à l’exécution des contrats de fourniture d’électricité et/ ou de gaz conclus avec les clients.
Au vu de l’ensemble de ces éléments, la Commission considère que le traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
IV. Sur les informations traitées
Les informations nominatives objets du présent traitement sont :
- identité : nom et prénom du client, du payeur, du mandataire, qualité du client (VIP - normal - sous administration - judiciaire …) ;
- situation de famille : civilité ;
- adresses et coordonnées : adresse, mail et téléphone du mandataire/ client/ payeur ;
- formation / diplômes / vie professionnelle : code d’activité professionnelle (hôtellerie, restauration, boulanger-pâtissier, …), Siren-Siret, numéros RCI et SSEE ;
- caractéristiques financières : coordonnées bancaires, facture et compte client, facturation chaud/froid urbain et TRVM, gestion des mandats avec une RUM ;
- consommation de biens et services : caractéristiques techniques (installation, raccordement, utilisation, …) ;
- informations obligatoires de la facture – données contractuelles : nom et coordonnées du concessionnaire, horaires et tarifs d’accès au service clientèle, numéro d’appel du centre de dépannage, intitulé commercial de l’offre souscrite, date d’échéance du contrat, puissance souscrite, le ou les types de compteurs, date d’émission et date limite de recouvrement de la facture.
- Informations potentielles : poste «options» détaillant les options éventuellement souscrites auprès du concessionnaire, poste «services» indiquant les services éventuellement souscrits auprès du concessionnaire, poste «prestations techniques» indiquant les prestations réalisées par le concessionnaire ;
- courriers : courriers émis et reçus par le client ;
- conseil tarifaire : conseil selon les appareils d’utilisation ;
- consommation des énergies : quantité et répartition des énergies par poste tarifaire, consommation effective, courbe de charges (sauf pour les résidentiels inférieurs à 36 Kva) et historique des consommations, nombre de kWh consommés, prix unitaire du kWh, montant hors taxes des consommations ;
- identifiants : numéro de référence du ou des compteurs ; numéro du point de livraison, numéro de référence client, numéro de facture ;
- Informations relatives au diagnostic : diagnostic énergie/ sécurité gaz ou électricité réalisé : date du diagnostic, nom du prestataire sous-traitant, commentaires ;
- Informations relatives aux professionnels ayant réalisé l’immeuble : nom et coordonnées ;
- données SEPA : « RUM » (Référence Unique de Mandat), date de signature du mandat, date du dernier prélèvement transmis à la banque.
Concernant la gestion des mandats SEPA, la Commission relève la SMEG collecte des informations via le mandat de prélèvement SEPA. Ce mandat est communiqué au client sous format papier, qui le remplit, le signe puis le renvoie à la SMEG. Les données ensuite intégrées dans «E-Fluid» sont la «RUM» (Référence Unique de Mandat), la date de signature du mandat, ainsi que la date du dernier prélèvement transmis à la banque. La Commission en prend donc acte.
Par ailleurs, concernant les données contractuelles, et notamment les divers postes susmentionnés, la Commission relève que les terminologies employées relève de l’ancien traitement «SESAME» et ne sont plus applicables en l’espèce, bien qu’en substance, les informations traitées dans ces différents postes soient effectivement collectées dans «E-Fluid». A ce titre, elle relève notamment un poste «Liste des affaires» qui mentionne les différentes interventions techniques afférentes à chaque contrat, les modifications apportées à ce contrat, les options souscrites, etc.
Enfin, la Commission relève plusieurs nouvelles rubriques, à savoir :
- les rubriques «Liste des contrats de prestations» et «Liste des partenaires», pour répondre aux demandes d’intervention de la SMEG ;
- plusieurs rubriques intitulées «Suivi des actions», qui historisent les opérations informatiques menées par le personnel de la SMEG ayant accès au traitement, telles que les créations de fiches, la modification d’informations, etc. ;
- un onglet «Contentieux» relatif aux litiges liés à un compte client, ainsi qu’aux provisions dues ;
- une rubrique « Mes tâches » pour le suivi par le personnel habilité de la SMEG de ses dossiers.
La Commission prend donc acte de ces catégories de données complémentaires.
Par ailleurs, elle observe que les informations objets du traitement ont principalement pour origine les clients, payeurs ou mandataires.
En ce qui concerne les données contractuelles, les divers identifiants, ainsi que les données relatives aux diagnostics et aux professionnels ayant réalisé l’immeuble, celles-ci sont collectées et/ou générées par la SMEG.
Les données relatives au conseil tarifaire sont issues, notamment d’un rapprochement avec le traitement ayant pour finalité «Analyse des consommations énergétiques et des usages», susvisé.
Les données techniques proviennent du traitement ayant pour finalité «Schéma des colonnes montantes d’électricité et de gaz», susvisé, ainsi que des constatations des agents de la SMEG sur le terrain.
Enfin, les données relatives à la consommation des énergies proviennent du système de relève et de télé-relève, et du traitement ayant pour finalité «Gestion des informations de comptage d’électricité et de gaz».
La Commission rappelle toutefois qu’eu égard aux différents champs de commentaires, il conviendra d’y faire figurer uniquement les remarques et observations pertinentes et strictement nécessaires à la finalité du traitement, en application des principes d’adéquation et de proportionnalité prévus à l’article 10-1 de la loi n° 1.165, modifiée.
Sous cette réserve, et au vu de l’ensemble des éléments susmentionnés, la Commission estime que les informations collectées sont «adéquates, pertinentes et non excessives» au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi, précité.
V. Sur les droits des personnes concernées
• Sur l’information des personnes concernées
Aux termes de la demande d’avis, l’information préalable des personnes concernées est effectuée par :
- une mention sur le document de collecte ;
- une mention ou clause particulière intégrée dans un document remis à l’intéressé ;
- un courrier adressé à l’intéressé ;
- une rubrique propre à la protection des données accessibles en ligne ;
- une mention particulière intégrée dans un document d’ordre général accessible en ligne ;
- une mention sur les factures.
A ce titre, la Commission prend acte des déclarations de la SMEG aux termes desquelles les clients seront informés de leurs droits d’accès et de rectification dans le cadre du contrat afférent à la réalisation des diagnostics «sécurité» et «énergies». Concernant le passage au SEPA, l’information sera faite par courrier adressé à chaque futur client. Pour les clients actuels, l’information est donnée lors de l’envoi du mandat SEPA.
Par ailleurs, la Commission rappelle que dans le cadre du traitement «SESAME» qui avait anciennement la même finalité que le traitement «E-Fluid», la SMEG avait déjà procédé à l’information de ses clients par :
- l’envoi avec la facture d’un courrier informant les clients de l’existence du traitement, ainsi que de leurs droits ; et
- l’ajout d’une page dédiée aux conditions générales de vente.
A cet égard, la Commission avait pu constater que ces documents étaient conformes aux dispositions de l’article 14 de la loi n° 1.165, modifiée, à l’exception de la mention des destinataires qui n’y figurait pas. Elle avait donc demandé à la SMEG d’ajouter cette information dans lesdits documents.
Ainsi, sous réserve que les diverses modalités d’information prévues comportent l’ensemble des mentions requises par l’article 14 précité, la Commission considère que l’information des personnes est correctement effectuée.
• Sur l’exercice du droit d’accès
La Commission observe que le droit d’accès est exercé par voie postale ou courrier électronique. Le délai de réponse est de vingt jours.
Les droits de modification, mise à jour et suppression des données sont exercés selon les mêmes modalités.
En matière de prospection, notamment en vue des mailings d’informations et d’offres aux clients, ou pour la réalisation d’enquêtes, la SMEG déclare que les personnes concernées s’expriment par l’opt out.
A cet égard, dans le cadre du traitement «SESAME», la Commission avait pris acte que cette prospection était uniquement réalisée par la SMEG, et qu’il n’existait aucune cession d’informations nominatives, notamment à des fins commerciales.
En l’espèce, à défaut d’information contraire, la Commission estime que ces modalités n’ont pas changé.
Dans ces conditions, elle constate que les droits des personnes concernées sont garantis, conformément aux dispositions de la loi n° 1.165, modifiée.
VI. Sur les destinataires des données
La SMEG indique que certaines informations sont communiquées à des établissements bancaires situés à Monaco, ainsi qu’à une société de recouvrement, aux fins de règlement ou de recouvrement des factures de ses clients.
La Commission considère que ces transferts sont nécessaires à l’accomplissement de tâches légitimes de la part de la SMEG, et que les entités susvisées sont habilitées à recevoir les catégories d’informations concernées dans le cadre de leurs activités.
Par ailleurs, la SMEG indique que certaines données sont transférées à des sociétés prestataires, à savoir les données d’identité et de civilité, certaines informations techniques, ainsi que des données relatives à la consommation des énergies. Ces transferts ont pour but la sous-traitance des opérations de diagnostics pour les clients qui en ont accepté la réalisation.
Toutefois, la Commission relève que les pays d’établissement de ces sociétés destinataires ne sont pas indiqués dans la demande d’avis.
A cet égard, elle rappelle que conformément aux dispositions de l’article 20-1 de la loi n° 1.165, modifiée, tout transfert de données vers un pays n’assurant pas un niveau de protection adéquat est soumis à l’autorisation préalable de la Commission, à l’exception des transferts justifiés par l’une des exceptions limitativement énumérées audit article.
VII. Sur les personnes ayant accès au traitement
La Commission observe que les personnes habilitées à avoir accès aux données sont :
- la Direction commerciale : elle est habilitée à consulter les données, mais également à créer de nouvelles fiches, modifier ou mettre à jour des informations, et d’une manière générale, consulter le traitement ;
- les Directions financière et technique : elles disposent uniquement d’accès en consultation ;
- le Service informatique : il bénéficie de tous les droits nécessaires à l’exploitation technique du traitement ;
- les sous-traitants et prestataires informatiques : ceux-ci disposent des accès nécessaires pour la maintenance et le développement du système.
Concernant ces derniers, la Commission relève qu’une clause de confidentialité est signée avec chacune des sociétés concernées, en application des dispositions de l’article 17 de la loi n° 1.165, modifiée.
Ainsi, considérant les attributions de chacun de ces services et entités, et eu égard à la finalité du traitement, la Commission considère que lesdits accès sont justifiés.
VIII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations n’appellent pas d’observation.
La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
IX. Sur la durée de conservation
La Commission relève que les informations nominatives collectées sont conservées pour une durée de six ans après la date de résiliation du contrat.
Or dans le cadre du traitement «SESAME», la Commission avait pris acte de l’alignement de cette durée de conservation avec le délai prévu par l’article 80 du Code des taxes sur le chiffre d’affaires.
Ainsi en l’espèce, elle considère que cette durée de conservation demeure conforme aux exigences légales.
Toutefois, en ce qui concerne les informations relatives aux professionnels ayant réalisé l’immeuble, la Commission avait relevé que la formulation de données «anonymes» prêtait à confusion, en ce qu’elle ne permettait pas de déterminer comment de telles données (noms et coordonnées) peuvent être anonymisées, ni à compter de quel moment.
Ainsi, considérant la garantie décennale en vigueur en matière de construction immobilière prévue par l’article 2090 du Code Civil, la Commission avait demandé, et réitère par la présente sa demande, à ce que ces informations soient anonymisées 10 ans après la date de fin de réalisation de l’immeuble, par la suppression de toute information nominative relative aux personnes physiques (architecte, etc.) attachées à cette liste de professionnels.
Après en avoir délibéré,
Rappelle que conformément aux dispositions de l’article 20-1 de la loi n° 1.165, modifiée, tout transfert de données vers un pays n’assurant pas un niveau de protection adéquat est soumis à l’autorisation préalable de la Commission, à l’exception des transferts justifiés par l’une des exceptions limitativement énumérées audit article ;
Demande que :
- les documents portant information préalable des personnes concernées soient complétés, le cas échéant, des catégories de destinataires des données, conformément aux exigences de l’article 14 de la loi n° 1.165, modifiée ;
- les informations relatives aux professionnels ayant réalisé l’immeuble soient anonymisées 10 ans après la date de fin de réalisation de l’immeuble, par la suppression de toute information nominative relative aux personnes physiques concernées ;
A la condition de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par la SOCIETE MONEGASQUE DE L’ELECTRICITE ET DU GAZ (SMEG) du traitement automatisé d’informations nominatives ayant pour finalité « Gestion de la relation clientèle » dénommé E-FLUID.
Le Président de la Commission
de Contrôle des Informations Nominatives.