icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2021-257 du 17 novembre 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des éléments techniques et de paramétrage permettant pour les clients MT la mise en œuvre de services d'enregistrements téléphoniques fixes et mobiles » présenté par Monaco Telecom S.A.M..

  • N° journal 8572
  • Date de publication 07/01/2022
  • Qualité 100%
  • N° de page

Vu la Constitution ;

Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu le Contrat de Concession du Service Public des communications électroniques sur le territoire de la Principauté de Monaco du 26 septembre 2011 ;

Vu le Cahier des Charges relatif à la Concession du Service Public des communications électroniques sur le territoire de la Principauté de Monaco signé le 26 septembre 2011 annexé à l’Ordonnance Souveraine n° 3.560 du 6 décembre 2011 ;

Vu le Cahier des Charges de l’avenant à la Concession du Service Public des communications électroniques et ses annexes annexés à l’Ordonnance Souveraine n° 6.186 du 12 décembre 2016 ;

Vu le Cahier des Charges de l’Avenant n° 3 à la Convention de Concession du Service Public des Communications électroniques et ses annexes annexés à l’Ordonnance Souveraine n° 8.654 du 10 mai 2021 ;

Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;

Vu la demande d’avis reçue le 23 juillet 2021 concernant la mise en œuvre par Monaco Telecom SAM d’un traitement automatisé ayant pour finalité « Fourniture du portail client permettant la gestion d’un service d’enregistrement des communications » ;

Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 21 septembre 2021, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 17 novembre 2021 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

Monaco Telecom SAM (MT), immatriculée au RCI, est un organisme de droit privé concessionnaire d’un service public. Elle a notamment pour objet « d’assurer dans les relations intérieures et internationales, tous services de télécommunications. À ce titre, elle assure les activités d’opérateur public chargé de l’exploitation du service téléphonique de la Principauté de Monaco […] ».

Cette société propose à ses clients un service d’enregistrement des communications téléphoniques, dont elle est responsable de traitement en ce qui concerne son administration.

Ainsi, le traitement automatisé d’informations nominatives y afférent est soumis à l’avis de la commission, conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.

I. Sur la finalité et les fonctionnalités du traitement

Ce traitement a pour finalité « Fourniture du portail client permettant la gestion d’un service d’enregistrement des communications ».

Les personnes concernées sont les salariés de Monaco Telecom en charge de l’administration de la solution, ainsi que les clients et leurs personnels.

Les fonctionnalités sont :

-  habilitations des personnels MT sur le portail de gestion ;

-  création et mise à disposition des comptes clients sur le portail de gestion (initialisation à la demande du client par MT) ;

-  gestion des numéros de téléphones à renseigner dont les communications, SMS, MMS sont enregistrés (MT intègre une flotte de lignes fixes et/ou mobiles, spécifiée par le client) ;

-  support client en cas de difficulté technique.

Il est indiqué que le responsable de traitement « ajoute à la demande du client, les numéros de téléphone des lignes client susceptibles d’être enregistrées ; (…) les habilitations du personnel du client en mesure d’activer/désactiver les enregistrements et de procéder aux écoutes desdits enregistrements/lecture de SMS/MMS ».

En outre, il appert que le client est responsable du traitement d’enregistrement qu’il met en œuvre au sein de son entreprise, étant précisé à cet égard qu’il « décide de manière parfaitement autonome de l’activation/désactivation de l’enregistrement sur les lignes de ses salariés concernés, des durées de rétention applicables à chaque ligne, ainsi que de la gestion des demandes d’écoutes desdits enregistrements ». La Commission relève des éléments du dossier que Monaco Telecom informe ses clients de leurs obligations en la matière.

Enfin, la Commission rappelle que tout traitement d’informations nominatives doit avoir une finalité « déterminée, explicite et légitime » aux termes de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.

En l’espèce, la finalité du présent traitement doit être plus explicite c’est-à-dire être claire et précise pour les personnes concernées en indiquant notamment l’objectif de Monaco Telecom et les limites de son intervention sur les enregistrements téléphoniques/SMS/MMS mis en œuvre par ses clients.

Par conséquent, elle modifie la finalité comme suit : « Gestion des éléments techniques et de paramétrage permettant pour les clients MT la mise en œuvre de services d’enregistrements téléphoniques fixes et mobiles ».

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le traitement est justifié par le consentement de la personne concernée ainsi que par l’exécution d’un contrat avec la personne concernée.

À cet égard, il précise que « la mise à disposition du portail est effectuée dans le cadre de la souscription au service d’enregistrement des lignes téléphoniques fourni par Monaco Telecom. Le traitement est nécessaire à la fourniture du service, ce à quoi consent le client (…) ».

La Commission considère que le traitement est justifié, conformément à l’article 10-2 de la loi n° 1.165 du 23 décembre 1993.

III. Sur les informations nominatives traitées

Les informations collectées sont :

-  identité : numéro de compte client, nom et prénom des utilisateurs habilités, nom et prénom des salariés concernés associés à chaque ligne (information facultative) ;

-  adresse et coordonnées : numéros de téléphone ;

-  données d’identification électronique : identifiant et mot de passe du client, identifiant et mot de passe du compte administrateur MT ;

-  informations temporelles : logs retraçant tous actes de gestion effectués sur le compte(logs des actions effectuées par le client/logs des actions effectuées par l’administrateur MT).

Les informations relatives à l’identité proviennent d’une interconnexion avec le traitement ayant pour finalité « Gestion des offres composites », ou sont communiquées/complétées par le client. Les informations temporelles sont créées par le système.

Enfin, la Commission relève que le portail permet la conservation pour le compte des clients des enregistrements audios, SMS, MMS. Ces données chiffrées ne sont pas consultables par MT qui agit en tant que prestataire et celles-ci sont donc exploitées par les clients de MT dans le cadre des traitements qu’ils mettent en œuvre.

La Commission considère que les informations traitées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165.

IV. Sur les droits des personnes concernées

  • Sur l’information préalable des personnes concernées

L’information préalable des personnes concernées est effectuée par le biais d’une mention particulière intégrée dans un document d’ordre général accessible en ligne.

Le document n’étant pas joint au dossier, la Commission rappelle que ladite mention doit être conforme aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.

  • Sur l’exercice du droit d’accès, de modification et de mise à jour

Les personnes concernées peuvent exercer leurs droits par courrier électronique, sur place ou par voie postale auprès du Service client de Monaco Telecom.

En outre, la Commission rappelle que la réponse à ce droit d’accès doit intervenir dans le mois suivant la réception de la demande.

Enfin, elle prend acte des précisions du responsable de traitement qui indique disposer d’une procédure relative au droit d’accès par voie électronique permettant de s’assurer que l’expéditeur du courriel est effectivement la personne concernée.

V. Sur les personnes ayant accès au traitement

  • Sur les personnes ayant accès au traitement

Les personnes habilitées à avoir accès au traitement sont :

-  les équipes commerciales et techniques au sein de Monaco Telecom ayant un compte sur la plateforme, à des fins de support client, configuration initiale du portail client ;

-  l’éditeur de la solution pour support de niveau 3 et accès aux logs applicatifs et système.

Il est également précisé que le client pourra gérer ses usagers, les clefs d’enregistrement utiles au chiffrement des appels/SMS/MMS, les enregistrements et leurs consultations.

La Commission relève qu’il appartient au client, en tant que responsable de traitement d’un système d’enregistrement téléphonique, d’effectuer auprès de la CCIN la demande d’autorisation y relative précisant notamment la finalité du traitement et les modalités permettant d’assurer la proportionnalité de celui-ci.

En ce qui concerne le prestataire, la Commission rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service. De plus, ledit prestataire est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.

La Commission considère que ces accès sont justifiés.

VI. Sur les rapprochements et interconnexions

Le responsable de traitement indique que le présent traitement est interconnecté avec le traitement ayant pour finalité « Gestion des offres composites », légalement mis en œuvre, aux fins d’associer le compte client à l’offre souscrite.

La Commission relève que cette interconnexion est conforme aux dispositions légales et à la finalité initiale du traitement susvisé.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.

La Commission rappelle néanmoins que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

Elle rappelle également que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

La Commission relève que les informations relatives aux clients sont conservées le temps de la durée du contrat, excepté les informations sur les salariés de ces derniers, qui sont facultatives et renseignées par le client qui en maîtrise la durée.

Il est également indiqué que les informations temporelles sont conservées pour la durée de vie du compte client. La Commission estime que cette durée est trop longue et la fixe à 1 an glissant.

Sous cette réserve, la Commission constate que ces durées sont conformes aux exigences légales.

Après en avoir délibéré, la Commission :

Modifie la finalité du traitement par « Gestion des éléments techniques et de paramétrage permettant pour les clients MT la mise en œuvre de services d’enregistrements téléphoniques fixes et mobiles » ;

Fixe la durée de conservation des informations temporelles à 1 an glissant ;

Rappelle que :

-  les personnes concernées doivent être informées conformément aux dispositions de l’article 14 de la loi n° 1.165, modifiée ;

-  les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

À la condition de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des éléments techniques et de paramétrage permettant pour les clients MT la mise en œuvre de services d’enregistrements téléphoniques fixes et mobiles » par Monaco Telecom S.A.M..

Le Président de la Commission de Contrôle des Informations Nominatives.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14