icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2023-63 du 19 avril 2023 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Digitalisation des enquêtes de satisfaction clients », présenté par la Société Monégasque de l'Électricité et du Gaz (SMEG).

  • No. Journal 8641
  • Date of publication 05/05/2023
  • Quality 100%
  • Page no.

Vu la Constitution ;

Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu l’Ordonnance Souveraine n° 2.578 du 13 janvier 2010 approuvant le Traité, les annexes et les cahiers des charges de la concession du service public de la distribution de l’énergie électrique et du gaz naturel sur le territoire de la Principauté de Monaco ;

Vu le Traité de Concession de service public de l’électricité et du gaz conclu entre la Principauté de Monaco et la SMEG et entré en vigueur le 1er janvier 2009, accompagné de ses annexes et cahiers des charges ;

Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;

Vu la demande d’avis déposée par la SMEG le 23 décembre 2022 concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Digitalisation des enquêtes de satisfaction clients » ;

Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 22 février 2023, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 19 avril 2023 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

La Société Monégasque de l’Électricité et du Gaz (SMEG) est une société anonyme en charge de l’exploitation du service public de la distribution de l’électricité et du gaz, en application du Traité de Concession conclu avec la Principauté de Monaco et entré en vigueur le 1er janvier 2009.

Cette société souhaite se doter d’un système d’évaluation en ligne de la satisfaction clientèle. 

Conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, la mise en œuvre du traitement y afférent est soumise à l’avis préalable de la Commission de Contrôle des Informations Nominatives.

I. Sur la finalité et les fonctionnalités du traitement

Le traitement a pour finalité « Digitalisation des enquêtes de satisfaction clients ».

Il concerne les salariés du responsable de traitement (SMEG et SMEG DEV) ainsi que ses clients.

Les fonctionnalités associées au présent traitement sont :

-  création des enquêtes de satisfaction ;

-  évaluation de la satisfaction clientèle ;

-  établissement de données statistiques et production d’indicateurs ;

-  mesure de la performance de l’entreprise et de ses services ;

-  mesure des évolutions et de l’efficacité des plans d’action.

Il ressort des précisions apportées par le responsable de traitement qu’il existe trois types d’enquêtes de satisfaction adressées aux clients :

-  les enquêtes réalisées à l’initiative du client par le biais d’un QR code accessible en boutique. Dans cette hypothèse, le responsable de traitement précise que le client peut, s’il le souhaite, lui communiquer son identité et dans certains cas ses coordonnées s’il désire être recontacté ;

-  les enquêtes anonymes ;

-  les enquêtes ciblées pour un client, lequel y accède par le biais d’un lien spécifique.

La Commission rappelle à cet égard, qu’en vertu des dispositions de la loi n° 1.165, susvisée, les personnes doivent être valablement informées, par exemple au sein de la politique de confidentialité, de l’existence de ces différents types d’enquêtes.

Elle constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le présent traitement est justifié par le consentement de la personne concernée ainsi que par la réalisation d’un intérêt légitime qu’il poursuit sans que ne soient méconnus ni l’intérêt, ni les libertés et droits fondamentaux de la personne concernée.

Il précise à cet égard que les enquêtes de satisfaction sont adressées aux clients, lesquels sont libres de répondre ou non aux questionnaires.

En outre, « les clients expriment par ailleurs leur consentement à la collecte des données en prenant connaissance de la clause de confidentialité qui apparaît sous la forme d’une fenêtre pop-up avant que le client ne puisse naviguer sur l’application web. Le client est réputé avoir lu et accepté la politique de confidentialité s’il poursuit sa navigation sur l’application web ».

La Commission rappelle toutefois que la poursuite de navigation sur l’application web ne saurait valoir, à elle seule, consentement libre et éclairé des personnes concernées au traitement de leurs données en l’absence de matérialisation dudit consentement par un acte positif clair. Elle rappelle en outre que les personnes concernées doivent pouvoir revenir, à tout moment, sur leur consentement.

Aussi, la Commission demande que les personnes concernées soient en mesure de matérialiser leur consentement par un acte positif clair et de le retirer à tout moment.

Le responsable de traitement indique également que le présent traitement lui permet de se doter d’un « outil fondamental pour recueillir l’information générale sur la satisfaction des clients », cette démarche venant s’inscrire dans le parcours client classique à la suite d’une intervention technique ou commerciale ou après une facturation.

Il souligne de surcroît que cela participe à la simplification de la collecte et de l’analyse des résultats et au renforcement de la relation clientèle en évaluant la confiance des clients dans les services proposés.

Sous réserve de ce qui précède, la Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165, modifiée.

III. Sur les informations traitées

Les informations nominatives exploitées aux fins du présent traitement sont :

-  identité : nom et prénom du client ;

-  coordonnées : adresse email, téléphone du client ;

-  données d’identification électronique : numéro d’identification du client, référence EDL du client, login et mot de passe du personnel SMEG habilité ;

-  réponses aux enquêtes : réponses hors informations nominatives aux questions des enquêtes de satisfactions.

Il ressort par ailleurs des précisions apportées par le responsable de traitement que sont également collectées des données d’horodatage ainsi que les logs de connexion des utilisateurs.

La Commission prend en outre acte des précisions apportées par le responsable de traitement qui indique s’engager à ne pas procéder à l’activation des données de géolocalisation et à la collecte de l’adresse IP des utilisateurs. De même, il précise que les cookies Google Analytics sont désactivés.

Les informations relatives à l’identité, aux coordonnées des clients, au numéro d’identification client et à la référence EDL proviennent d’un traitement de données légalement mis en œuvre.

En outre, les données d’horodatage, les logs de connexion, et les logins et mots de passe du personnel habilité sont issus du système. Enfin, les réponses aux enquêtes ont pour origine le client.

La Commission considère que les informations ainsi collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.

IV.   Sur les droits des personnes concernées

*   Sur l’information préalable des personnes concernées

L’information préalable des personnes concernées est réalisée par le biais d’un document spécifique.

À la lecture du document joint au dossier de demande d’avis, la Commission considère que celui-ci est conforme aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.

*   Sur l’exercice du droit d’accès, de modification et de mise à jour

Le droit d’accès s’exerce par voie postale, sur place ou par courrier électronique.

À cet égard, la Commission rappelle que la réponse à ce droit d’accès doit intervenir dans le mois suivant la réception de la demande.

Par ailleurs, s’agissant de l’exercice du droit d’accès par voie électronique, elle rappelle qu’une procédure doit être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.

Sous cette réserve, la Commission constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.

V. Sur les personnes ayant accès au traitement

Le responsable de traitement indique que les personnes ayant accès au traitement sont :

-  le personnel habilité de la Direction commerciale et de la Mobilité Électrique : un Administrateur par Direction qui crée, gère l’enquête et accède aux résultats et des superviseurs qui accèdent aux résultats d’enquêtes ;

-  le personnel habilité du prestataire : droit de consultation et de maintenance. Il ressort des précisions apportées par le responsable de traitement que le prestataire « pourrait accéder à certaines informations données par le client dans le cadre de la maintenance/support à la demande de la SMEG ».

Considérant les attributions de chacune de ces personnes et, eu égard à la finalité du traitement, la Commission considère que les accès susvisés sont justifiés.

En ce qui concerne le prestataire, la Commission rappelle que, conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, les droits d’accès de ce dernier doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de services. De plus, ce dernier est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.

VI.   Sur les rapprochements et interconnexions avec d’autres traitements

Le responsable de traitement indique que le présent traitement fait l’objet de rapprochements avec les traitements légalement mis en œuvre ayant respectivement pour finalité « Gestion de la relation clientèle » et « Gestion des campagnes d’emailing ».

Par ailleurs, le présent traitement est également rapproché avec les traitements ayant pour finalité « Gestion des clients, de la facturation et du parc de véhicules pour le service d’autopartage Mobee » et « Gestion des clients et de leur facturation pour les bornes de recharge des véhicules électriques evZen » lesquels n’ont fait l’objet d’aucune formalité auprès de la CCIN.

À cet égard, la Commission rappelle que tout rapprochement ne peut avoir lieu qu’entre des traitements légalement mis en œuvre et demande que ces derniers lui soient soumis dans les plus brefs délais.

Sous cette réserve, elle estime que ces rapprochements sont conformes aux exigences légales.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.

Cependant, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement, au regard des risques présentés par ce traitement et de la nature des données à protéger, devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Le responsable de traitement indique que les informations relatives à l’identité, aux coordonnées, au numéro d’identification du client, à la référence EDL ainsi qu’aux réponses apportées aux enquêtes de satisfaction sont conservées 12 mois suivant la réponse donnée à une enquête et sont, au-delà de ce délai, anonymisées si elles ne le sont pas déjà.

Le login du salarié est quant à lui conservé tant que ce dernier est habilité. Enfin, les informations temporelles sont supprimées à l’issue d’un délai de 3 mois.

La Commission considère que ces délais sont conformes aux exigences légales.

Après en avoir délibéré, la Commission :

Rappelle que :

-  l’information des personnes concernées doit être valablement assurée ;

-  tout rapprochement ne peut avoir lieu qu’entre des traitements légalement mis en œuvre ;

-  les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switch, routeurs, pares-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

Considère qu’une procédure relative au droit d’accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute, que l’expéditeur du courriel est effectivement la personne concernée par les informations.

Demande que :

-  les personnes concernées soient en mesure de matérialiser leur consentement par un acte positif clair et de le retirer à tout moment ;

-  les traitements ayant pour finalité respective « Gestion des clients, de la facturation et du parc de véhicules pour le service d’autopartage Mobee » et « Gestion des clients et de leur facturation pour les bornes de recharge des véhicules électriques evZen » lui soient soumis dans les plus brefs délais.

À la condition de la prise en compte des éléments qui précèdent,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par la SMEG, du traitement automatisé d’informations nominatives ayant pour finalité « Digitalisation des enquêtes de satisfaction clients ».

Le Président de la Commission de
Contrôle des Informations Nominatives.

 

Print article
Previous article Return to summary Next article

All rights reserved - Monaco 2016
Version 2018.11.07.14