Délibération n° 2023-38 du 15 mars 2023 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion du trafic voix et data pour les communications électroniques internationales par Monaco Telecom (MT), Monaco Telecom International (MTI) » présenté par Monaco Telecom.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu le Contrat de Concession du Service Public des communications électroniques sur le territoire de la Principauté de Monaco du 26 septembre 2011 ;
Vu le Cahier des Charges relatif à la Concession du Service Public des communications électroniques sur le territoire de la Principauté de Monaco, signé le 26 septembre 2011, annexé à l’Ordonnance Souveraine n° 3.560 du 6 décembre 2011 ;
Vu le Cahier des Charges de l’avenant à la Concession du Service Public des communications électroniques et ses annexes attachées à l’Ordonnance Souveraine n° 6.186 du 12 décembre 2016 ;
Vu le Cahier des Charges de l’Avenant n° 3 à la Convention de Concession du Service Public des Communications électroniques et ses annexes annexés à l’Ordonnance n° 8.654 du 10 mai 2021 ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la demande d’avis reçue de Monaco Telecom, le 30 novembre 2022, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Gestion du trafic voix et data pour les communications électroniques internationales par Monaco Telecom (MT), Monaco Telecom International (MTI) » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement, le 27 janvier 2023, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 15 mars 2023 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Monaco Telecom SAM (MT) est une société concessionnaire d’un service public, immatriculée au RCI, sous le numéro 97 S 03277. Elle a notamment pour objet « d’assurer dans les relations intérieures et internationales, tous services de télécommunication. À ce titre, elle assure les activités d’opérateur public chargé de l’exploitation du service téléphonique de la Principauté de Monaco […] ».
Cet opérateur téléphonique mène une activité d’achat/vente auprès d’opérateurs télécoms internationaux du trafic voix et data, qui « se matérialise par des accords ou contrats d’acheminement de trafic dits « Carriers » incluant des conditions spécifiques telles que les destinations et pays d’origine des flux, des volumes, durée, tarifs, conditions financières, qualité technique du service, etc. ». Monaco Telecom agit ainsi comme un prestataire d’opérateurs télécoms étrangers. Il accède pour ce faire aux données de ces derniers en opérant le suivi technique et financier de cette prestation.
Ainsi, il soumet à l’avis de la Commission le traitement automatisé d’informations nominatives ayant pour finalité la « Gestion du trafic voix et data pour les communications électroniques internationales par Monaco Telecom (MT), Monaco Telecom International (MTI) », conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Ce traitement a pour finalité « Gestion du trafic voix et data pour les communications électroniques internationales par Monaco Telecom (MT), Monaco Telecom International (MTI) ».
Il concerne les abonnés des opérateurs télécoms clients et/ou partenaires de MT et MTI. Il peut également concerner les abonnés de Monaco Telecom lorsque ce dernier décide d’utiliser ce mécanisme d’achat/vente pour son propre compte. Enfin, de manière incidente, les employés des opérateurs et/ou clients de MT et MTI, les collaborateurs de MT et MTI, ainsi que les employés de l’outil de gestion du trafic sont également concernés par le présent traitement.
Les fonctionnalités sont :
- définir les rôles et habiliter les personnels de MT et MTI sur les portails permettant la gestion du trafic voix et data pour les communications électroniques internationales ;
- effectuer des opérations d’achat/vente de trafic voix et data pour le compte des clients opérateurs télécoms de Monaco Telecom ;
- router ce trafic en fonction des origines et destinations (code pays telecoms) souhaitées en sélectionnant les chemins qu’il doit emprunter pour se rendre de son origine à sa destination ;
- effectuer le suivi de qualité (reportings réguliers) du trafic voix et data : accès aux comptes rendus d’appels (CDR), dispositif anti-fraude (trafic voix) permettant l’envoi automatique d’alertes par mail ;
- signaler aux opérateurs partenaires les fraudes identifiées (communication des CDR concernés ;
- mettre à disposition des opérateurs télécoms clients un portail Opérateur Carrier (trafic voix) : gestion des tickets incidents, partage d’informations tarifaires, comptes rendus statistiques du trafic voix et data pour le routage les concernant ;
- gestion financière du trafic voix et data en vue de leur facturation aux « Opérateurs Carrier » à savoir : les opérateurs télécoms partenaires de MT/MTI qui achètent ou fournissent le trafic voix et/ou data.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par la réalisation d’un intérêt légitime, sans méconnaître les droits et libertés fondamentaux des personnes concernées.
À cet égard, il expose qu’il est de son intérêt légitime de développer une activité d’achat/vente de trafic voix et data, et précise que le traitement s’inscrit dans le cadre de l’exécution des contrats avec les Opérateurs Carrier conclus avec MTI.
En outre, il est légitime pour le responsable de traitement pour délivrer les services prévus par le Contrat de Concession du Service Public des communications électroniques, d’optimiser le cas échéant les coûts en procédant à l’achat de trafic voix et data les concernant par le biais du présent traitement.
Il est en outre précisé que « MT et MTI acheminent ce trafic en application des règles internationales définies par l’UIT (Union Internationale des Télécommunications - organisme des Nations Unies) et pour MT en application du Contrat de Concession de Service Public des Communications électroniques ».
La Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations nominatives traitées
Les informations nominatives traitées sont, en ce qui concerne les informations nominatives des clients d’opérateurs téléphoniques, dont MT, transitant dans le cadre d’opérations d’achat/vente de trafic voix et data :
- comptes rendus d’appels : numéro de téléphone appelé, appelant, date et heure d’appel ;
- journalisation du trafic data/IP : adresse MAC, source et destination, adresse IP.
Les informations nominatives traitées sont, en ce qui concerne les personnels de MT et MTI habilités sur le traitement ainsi que des opérateurs Carrier :
- identité : nom, prénom, adresse email de l’utilisateur/administrateur/personne points de contact MT,MTI et Carrier dans les outils permettant la gestion du trafic voix et data et des employés p ;
- informations temporelles : date et heure de connexion de l’utilisateur/administrateur de MT/MTI et des opérateurs Carriers ;
- tickets générés : ID de la demande, nom, prénom du demandeur, date et type d’opération (réception, ouverture, pise en compte, affectation, intervention, modification, temps de résolution, urgence/caractère, statut, ressources associées, description des actions.
Les informations relatives aux clients d’opérateurs téléphoniques proviennent des systèmes de ces derniers.
Les autres informations proviennent de l’outil.
La Commission considère que les informations ainsi collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
- Sur l’information préalable des personnes concernées
L’information préalable des personnes concernées s’effectue par le biais d’une procédure interne accessible en intranet, d’une mention particulière intégrée dans un document d’ordre général accessible en ligne, d’une rubrique propre à la protection des données accessible en ligne et des « contrats opérateur avec leur propres abonnés, contrats « Carrier » entre MT/MTI et un opérateur étranger ».
Les documents ne sont pas joints au dossier.
La Commission constate toutefois qu’il existe quatre catégories de personnes concernées à informer.
En ce qui concerne ses clients, Monaco Telecom doit prévoir une information sur les traitements qu’il met en œuvre conformément aux dispositions de l’article 14 de la loi n° 1.165, modifiée, de même que pour ses salariés.
Par ailleurs, le responsable de traitement doit s’assurer qu’il pèse sur ses clients opérateurs télécoms une obligation d’informer leurs clients et salariés de la communication de leurs informations à Monaco Telecom, qui est ici destinataire des informations.
La Commission demande donc que l’ensemble des personnes concernées soient informées de leurs droits, selon les modalités adéquates.
- Sur l’exercice du droit d’accès, de modification et de mise à jour
Le droit d’accès s’exerce par voie postale ou par courrier électronique auprès du Délégué à la Protection des Données.
À cet égard, la Commission rappelle que la réponse à ce droit d’accès doit intervenir dans le mois suivant la réception de la demande.
S’agissant de l’exercice du droit d’accès par voie électronique, la Commission rappelle qu’une procédure doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agisse effectivement de la personne concernée par les informations.
À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.
Sous ces réserves, elle constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
Le responsable de traitement indique que les personnes habilitées à avoir accès au traitement sont :
- les collaborateurs administrateurs et utilisateurs MTI de la Direction relations opérateurs (MTI) en charge des relations avec les opérateurs Carrier en inscription, modification, suppression ;
- les collaborateurs Direction réseaux et systèmes en charge du trafic IP et fixe (MT), pour l’exploitation et la gestion des outils techniques réseaux en inscription, modification, suppression ;
- le centre de supervision réseaux en consultation ;
- la Direction financière pour facturation ou paiement du trafic en consultation ;
- le service comptabilité internationale de MT/MTI en lien avec la facturation, en consultation ;
- le Service Supervision en cas d’incident en consultation ;
- les prestataires des outils de gestion du trafic, à la demande de MT pour des besoins de mise à jour et de maintenance, en consultation.
En ce qui concerne les prestataires, la Commission rappelle que, conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de services. De plus, ces derniers sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission considère que ces accès sont justifiés.
VI. Sur les rapprochements et interconnexions
Le responsable de traitement indique que le présent traitement fait l’objet d’une interconnexion avec les traitements légalement mis en œuvre suivants :
- « Gestion du système d’authentification des employés, sous-traitants et partenaires pour un accès sécurisé au réseau Monaco Telecom », afin « de sécuriser l’accès aux outils de gestion de trafic utilisé par les employés de MT/MTI » ;
- « Gestion des offres composites », relativement aux informations et la facturation des données de trafic voix et data des clients de Monaco Telecom, étant précisé que « les volumes de minutes de communications proviennent des autocommutateurs de Monaco Telecom qui génèrent des fichiers de données agrégées (CDR : comptes rendus d’appel) » ;
- « Gestion de la messagerie professionnelle de Monaco Telecom et Monaco Telecom International » pour l’envoi d’alertes et les communications de facturations.
La Commission relève que ces interconnexions sont conformes aux exigences légales.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
Cependant, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
De plus, la copie ou l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception.
La Commission rappelle en outre que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement, au regard des risques présentés par ce traitement et de la nature des données à protéger, devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Le responsable de traitement indique que les informations sont conservées :
- en ce qui concerne les informations relatives à l’identité, mises à jour selon les renseignements fournis « jusqu’à 12 mois à compter de la fin de la relation contractuelle avec les Opérateurs Carrier » en ce qui concerne leurs employés points de contact ;
- jusqu’à trois mois après le départ des salariés de MT et MTI en ce qui concerne leurs informations ;
- 5 ans nominativement en ce qui concerne les tickets puis 5 ans supplémentaires anonymisés ;
- en ce qui concerne les autres informations, 12 mois glissants.
La Commission considère que ces durées sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Rappelle que :
- les quatre catégories de personnes concernées doivent être informées de leurs droits selon des modalités adéquates à leurs situations particulières ;
- la réponse à un droit d’accès doit intervenir dans le mois suivant la réception de la demande ;
- la copie ou l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception ;
- une procédure relative au droit d’accès par voie électronique doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agisse effectivement de la personne concernée par les informations ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switch, routeurs, pares-feux), ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par Monaco Telecom, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion du trafic voix et data pour les communications électroniques internationales par Monaco Telecom (MT), Monaco Telecom International (MTI) ».
Le Président de la Commission de
Contrôle des Informations Nominatives.