icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2021-135 du 23 juin 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion des campagnes d'emailing » présenté par la Société Monégasque d'Électricité et du Gaz (SMEG).

  • No. Journal 8546
  • Date of publication 09/07/2021
  • Quality 100%
  • Page no.

Vu la Constitution ;

Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu l’Ordonnance Souveraine n° 2.578 du 13 janvier 2010 approuvant le traité de concession de la SMEG ;

Vu le traité de concession de service public de l’électricité et du gaz conclu entre la Principauté de Monaco et la SMEG entré en vigueur le 1er janvier 2009, accompagné de ses annexes et cahier des charges ;

Vu la demande d’avis déposée par la SMEG, le 26 février 2021 concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Gestion des campagnes d’emailing » ;

Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 23 avril 2021, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 23 juin 2021 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

La Société Monégasque de l’Électricité et du Gaz (SMEG) est une société anonyme en charge de l’exploitation du service public de la distribution de l’électricité et du gaz, en application d’un traité de concession conclu avec la Principauté de Monaco, lequel est entré en vigueur le 1er janvier 2009.

La SMEG souhaite mettre en place des campagnes d’emailing à destination de ses clients et de ceux de ses entités.

Le traitement automatisé d’informations nominatives y afférent est ainsi soumis à l’avis de la Commission, conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.

I. Sur la finalité et les fonctionnalités du traitement

Le présent traitement a pour finalité « Gestion des campagnes d’emailing ».

Il concerne les clients de la SMEG (particuliers et professionnels), les abonnés à sa newsletter ainsi que les abonnés à toute autre newsletter émise par ses entités (ex. les abonnés de la newsletter Mobee).

La Commission prend par ailleurs acte que certains salariés de la SMEG (notamment le responsable des campagnes marketing et son suppléant, ainsi que les gestionnaires des de celles-ci) sont également concernés par le traitement.

Les fonctionnalités associées à ce traitement sont :

-  La gestion des campagnes marketing (créer, modifier des campagnes marketing, envoyer les campagnes à des contacts en fonction des sujets par email) ;

-  La gestion des listes de contacts (clients, abonnés aux newsletters) ;

-  La gestion d’une liste noire (personne ne souhaitant plus recevoir les campagnes) ;

-  La gestion d’une liste de NPAI (soit, les retours avec un message d’erreur) ;

-  La génération d’indicateurs sur le résultat d’une campagne (taux d’ouverture, temps passé sur la lecture, etc.).

La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le traitement est justifié par le consentement des personnes concernées ainsi que par la réalisation d’un intérêt légitime qu’il poursuit et qui ne méconnaît ni leur intérêt, ni leurs droits et libertés fondamentaux.

Ce dernier souhaite en effet « dans le cadre de ses différentes actions de communication et de développement de la relation clientèle développer des campagnes d’emailing » afin de diffuser, rapidement et de manière ciblée, par email, toutes informations utiles à ses clients.

S’agissant du consentement des personnes concernées, le responsable de traitement a par ailleurs envisagé deux hypothèses :

- le consentement aux newsletters : il est précisé que la personne concernée s’abonne, elle-même, à la newsletter en renseignant son adresse email et qu’elle peut se désabonner à tout instant ;

- le consentement pour les campagnes clients : dans cette hypothèse, il est exposé que les clients sont informés, lors de la souscription de leur contrat, qu’ils recevront des emails de campagnes marketing et qu’ils peuvent s’en désabonner dès le premier email reçu.

La Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165, modifiée.

III.   Sur les informations traitées

Les informations nominatives exploitées aux fins du présent traitement sont :

- Identité : état civil, identité ;

- Adresse et coordonnées : email, données de localisation GPS ;

- Données d’identification électronique : données d’identification (username/password) ;

- Connexion : données de connexion (adresse IP, journaux d’évènements, etc).

Le responsable de traitement indique que les données relatives à l’identité et à l’adresse des clients ont pour origine ces derniers. En outre, les données d’identification électronique et de connexion proviennent du système.

De même, s’agissant des données de localisation GPS, la Commission constate qu’il s’agit davantage de données relatives à la Commune, déduites de l’adresse IP à partir de laquelle la personne concernée se connecte à internet, et non de véritables coordonnées GPS.

Néanmoins, elle rappelle que les informations nominatives doivent être adéquates, pertinentes et non-excessives au regard de la finalité pour laquelle elles sont collectées, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.

Aussi, s’agissant de simples campagnes d’emailing, la Commission demande que les données de localisation ne fassent l’objet d’aucune collecte.

Sous cette réserve, elle considère que les informations collectées sont « adéquates, pertinentes et non excessives », au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.

IV. Sur les droits des personnes concernées

→  Sur l’information préalable des personnes concernées

Les personnes concernées sont informées par le biais d’une rubrique propre à la protection des données accessible en ligne.

Aucun document n’étant joint à la présente demande d’avis, la Commission rappelle que la mention d’information doit contenir toutes les dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.

Par ailleurs, la Commission rappelle que les salariés de la SMEG concernés par le présent traitement, devront également être informés de leurs droits.

→ Sur l’exercice du droit d’accès

Les personnes concernées peuvent exercer leur droit d’accès par courrier électronique ou par voie postale.

S’agissant de l’exercice du droit d’accès par voie de courrier électronique, la Commission considère qu’une procédure devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations.

À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.

Sous cette réserve, la Commission constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993, modifiée.

V. Sur les personnes ayant accès au traitement

Le responsable de traitement indique qu’ont accès au traitement :

-   Le responsable des campagnes marketing de la SMEG nominativement identifié et son suppléant : tous les droits ;

-  L’administrateur qui travaille au sein de la Direction des Systèmes d’Information de la SMEG/SMA qui intervient en support : tous les droits ;

-   Les gestionnaires de campagnes en fonction de leur groupe d’appartenance : droit de gestion (création, modification, etc.) des campagnes de leur groupe. Il est précisé que ces derniers ne peuvent ni consulter ni gérer les campagnes des autres groupes et n’ont aucun droit d’administration même de leur groupe ;

-   Le prestataire de services dans le cadre de la relation contractuelle le liant au responsable de traitement.

En ce qui concerne le prestataire, la Commission rappelle que, conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de services. De plus, ce dernier est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.

Elle considère que ces accès sont justifiés.

VI.   Sur les interconnexions

Le responsable de traitement indique que le présent traitement est interconnecté avec les traitements ayant pour finalité la « Gestion de la relation clientèle (E-fluid) » et la « Diffusion d’informations et gestion du site Internet www.smeg.mc », tous deux légalement mis en œuvre.

Lesdits traitements lui permettent de récupérer la liste des clients auxquels une campagne emailing doit être envoyée et de gérer, par ailleurs, les abonnés aux newsletters.

La Commission estime que ces interconnexions sont conformes aux dispositions légales.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.

Cependant, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs et routeurs), ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement, au regard des risques présentés par ce traitement et de la nature des données à protéger, devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Les informations collectées dans le cadre dudit traitement sont conservées 6 mois maximum au terme de l’abonnement souscrit ou de sa résiliation.

La Commission prend toutefois acte que les personnes concernées peuvent se désabonner, à tout moment, des newsletters et qu’elles le peuvent par ailleurs pour les campagnes d’emailing, dès le premier email reçu.

Enfin, s’agissant des données d’identification des agents de la SMEG, ces dernières sont conservées tant que la personne est en poste.

En outre la Commission rappelle que les données de connexion doivent être conservées entre 3 mois et un an maximum.

La Commission constate que ces délais sont conformes aux exigences légales.

Après en avoir délibéré, la Commission :

Rappelle que :

- l’information des personnes concernées doit être conforme à l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée ;

- les salariés concernés par le présent traitement doivent être informés, conformément à l’article 14 de la loi n° 1.165, précitée ;

- les données de connexion doivent être conservées entre 3 mois et un an maximum ;

- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switch et routeurs) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

Considère qu’une procédure relative au droit d’accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations.

Demande que les données de localisation ne fassent l’objet d’aucune collecte.

Sous le bénéfice de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par la Société Monégasque de l’Électricité et du Gaz, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des campagnes d’emailing ».

Le Président de la Commission de Contrôle des Informations Nominatives.

Print article
Previous article Return to summary Next article

All rights reserved - Monaco 2016
Version 2018.11.07.14