icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2019-18 du 15 janvier 2020 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Recueil des informations nécessaires à la fourniture et à la résiliation d'un service d'assurance mobile ouvert aux clients Monaco Telecom et transmission à l'assureur partenaire » présenté par Monaco Telecom S.A.M..

  • N° journal 8474
  • Date de publication 21/02/2020
  • Qualité 100%
  • N° de page

Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu le Contrat de Concession du Service Public des communications électroniques sur le territoire de la Principauté de Monaco du 26 septembre 2011 ;
Vu le Cahier des Charges relatif à la Concession du Service Public des communications électroniques sur le territoire de la Principauté de Monaco signé le 26 septembre 2011 annexé à l'Ordonnance Souveraine n° 3.560 du 6 décembre 2011 ;
Vu le Cahier des Charges de l'avenant à la Concession du Service Public des communications électroniques et ses annexes annexés à l'Ordonnance Souveraine n° 6.186 du 12 décembre 2016 ;
Vu la délibération n° 2019-84 du 15 mai 2019 de la Commission de Contrôle des Informations Nominatives portant recommandation sur la sécurité devant entourer les cartes de paiement en matière de vente de biens ou de fourniture de services à distance ainsi que les sites web ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la demande d'avis reçue le 10 octobre 2019 concernant la mise en œuvre par Monaco Telecom Services d'un traitement automatisé ayant pour finalité « Fourniture d'un service d'assurance mobile aux clients Monaco Telecom » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 9 décembre 2019, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 15 janvier 2020 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,

Préambule
MONACO TELECOM SAM, immatriculée au RCI, est un organisme de droit privé concessionnaire d'un service public. Elle a notamment pour objet « d'assurer dans les relations intérieures et internationales, tous services de télécommunications. À ce titre, elle assure les activités d'opérateur public chargé de l'exploitation du service téléphonique de la Principauté de Monaco […] ».
Cette société souhaite proposer à ses clients « un service d'assurance sur les éventuels dommages de casse, oxydation et/ou vol pour les terminaux mobiles des clients Monaco Telecom ».
Ainsi, le traitement automatisé d'informations nominatives y afférent est soumis à l'avis de la Commission, conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993.

I. Sur la finalité et les fonctionnalités du traitement
Ce traitement a pour finalité « Fourniture d'un service d'assurance mobile aux clients Monaco Telecom ».
Les personnes concernées sont les clients de Monaco Telecom.
Au vu des éléments transmis dans le dossier, la Commission constate que les salariés de Monaco Telecom SAM sont également concernés par le traitement.
Enfin, les fonctionnalités sont les suivantes :
- Souscription des clients au service d'assurance mobile ;
- Résiliation du service par Monaco Télécom à la demande du client ;
- Suspension et résiliation automatique par Monaco Telecom en cas de recouvrement et/ou de résiliation de toutes les lignes mobiles Monaco Telecom du client).
La Commission relève que Monaco Telecom collecte ainsi les informations nécessaires à la souscription du service ou à sa résiliation, avant de les transmettre au partenaire assureur. Ce dernier, situé dans un pays disposant d'une législation en matière de protection des informations nominatives d'un niveau adéquat, est responsable de traitement concernant la partie assurance.
En outre, il est précisé que le « parcours sinistre, échange de terminal » s'effectue pour le client directement auprès du partenaire assureur « par téléphone, e-mail ou encore par le biais de l'interface dédiée www.mobile. Monacocare.mc gérée par l'assureur ». Aussi, en ce qui concerne ladite interface, la Commission invite Monaco Telecom à informer son partenaire des obligations déclaratives qui peuvent lui incomber relativement à la loi n° 1.165, modifiée, et la nécessité que celle-ci soit conforme aux dispositions légales (sécurité, politique cookies, etc.).
Par ailleurs, elle rappelle que tout traitement d'informations nominatives doit avoir une finalité « déterminée, explicite et légitime » aux termes de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
En l'espèce, la finalité du présent traitement doit être plus explicite c'est-à-dire être claire et précise pour les personnes concernées. À cet égard, la finalité laisse entendre que Monaco Telecom est responsable de traitement d'un service d'assurance, quand il ne fait que transmettre les informations nécessaires à un partenaire assureur, ce dernier étant responsable des informations qu'il exploite sur son système d'information.
Par conséquent, elle modifie la finalité comme suit : « Recueil des informations nécessaires à la fourniture et à la résiliation d'un service d'assurance mobile ouvert aux clients Monaco Telecom et transmission à l'assureur partenaire ».

II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le traitement est justifié par le consentement de la personne concernée et l'exécution d'un contrat ou de mesures pré-contractuelles avec la personne concernée.
À cet égard, il résulte des éléments du dossier qu'il s'agit pour un client ayant un téléphone acheté depuis moins de 6 mois et un abonnement mobile Monaco Telecom de pouvoir souscrire volontairement à une des trois gammes de produits d'assurance permettant le remplacement ou la réparation d'un téléphone endommagé.
La Commission considère que le traitement est justifié, conformément à l'article 10-2 de la loi n° 1.165 du 23 décembre 1993\.

III. Sur les informations nominatives traitées
Les informations nominatives nécessaires au service proposé, et au partenaire assureur, relatives à l'identité du client (nom, prénom, sexe, date de naissance, nom de l'entreprise) et à ses coordonnées (adresse postale, mail et numéro de mobile) sont traitées via interconnexion dans le traitement légalement mis en œuvre ayant pour finalité « Gestion des offres composites », qui permet notamment la gestion des abonnements des clients mobiles qui sont visés par le présent service.
Par ailleurs, les informations collectées spécifiquement pour le présent traitement sont :
- Informations sur le terminal mobile concerné par le service d'assurance : n° IMEI, facture ou tout document indiquant la date d'achat, le prix d'achat, le modèle du terminal, sa couleur, sa capacité, 4 photos du terminal réalisées en boutique par le commercial MT permettant de s'assurer de l'état du terminal.
Aussi, la Commission considère que les informations traitées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165.

IV. Sur les droits des personnes concernées

  • Sur l'information préalable des personnes concernées

L'information préalable des personnes concernées est effectuée par le biais d'une mention ou clause particulière intégrée dans un document remis à l'intéressé et d'une rubrique propre à la protection des données accessible en ligne.
À la lecture des conditions générales des différentes offres d'assurances, la Commission relève que ces dernières sont conformes aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.

  •  
  • Sur l'exercice du droit d'accès, de modification et de mise à jour

Les droits des clients peuvent être exercés sur place, par courrier électronique ou par voie postale auprès du Service Client de MONACO TELECOM.
En outre, la Commission rappelle que la réponse à ce droit d'accès doit intervenir dans le mois suivant la réception de la demande.
Par ailleurs, s'agissant de l'exercice du droit d'accès par voie électronique, la Commission considère qu'une procédure devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d'un document d'identité était demandée, la transmission et le traitement de ce document devront faire l'objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d'identité officiels.

V. Sur les personnes ayant accès au traitement
Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
- Pour la souscription : la Direction Commerciale ;
- En modification : le Service Client, la Direction Commerciale et le service DSI Prod ;
- En mise à jour : le service informatique interne ;
- En consultation : le Service Client, la Direction Commerciale, la Direction Administrative et Financière, le service DSI Prod.
La Commission considère que ces accès sont justifiés.

VI. Sur les rapprochements et interconnexions
Le responsable de traitement indique que le présent traitement est rapproché avec le traitement ayant pour finalité « Gestion des offres composites de Monaco Telecom », légalement mis en œuvre, aux fins indiquées au point III de la présente délibération.
La Commission relève que cette interconnexion est conforme aux dispositions légales et permet au service client de répondre aux sollicitations des appelants.

VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation particulière.
Cependant, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
Elle rappelle également que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.

VIII. Sur la durée de conservation
La Commission relève que les informations relatives à l'identité, aux adresses et coordonnées sont conservées 5 ans à compter de la résiliation, indexées au traitement de « Gestion des offres composites » de Monaco Telecom.
À cet égard, la Commission rappelle avoir fixé plus précisément la durée de conservation « à 2 ans à compter du terme contractuel conformément à l'article 2048 du Code civil en base active plus 3 ans en archive intermédiaire (soit un total de 5 ans) (…) ».
Après en avoir délibéré, la Commission :
Considère qu'une procédure relative au droit d'accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations.
Rappelle que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
Invite Monaco Telecom à informer son partenaire des obligations déclaratives qui peuvent lui incomber relativement à la loi n° 1.165, modifiée, et la nécessité que l'interface mobile.monacocare.mc soit conforme aux dispositions légales (sécurité, politique cookies, etc.).
À la condition de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Recueil des informations nécessaires à la fourniture et à la résiliation d'un service d'assurance mobile ouvert aux clients Monaco Telecom et transmission à l'assureur partenaire » par Monaco Telecom S.A.M..

Le Président de la Commission de Contrôle des Informations Nominatives.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14