Délibération n° 2012-118 du 16 juillet 2012 de la commission de contrôle des informations nominatives portant recommandation sur les dispositifs d’enregistrement des conversations téléphoniques mis en œuvre sur le lieu de travail par les établissements bancaires et assimilés
Vu la Constitution ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 et son protocole additionnel ;
Vu la Recommandation du Conseil de l’Europe n° R (89) 2 du 19 janvier 1989 sur la protection des données à caractère personnel utilisées à des fins d’emploi ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu la loi n° 1.362 du 3 août 2009 relative à la lutte contre le blanchiment de capitaux, le financement du terrorisme et la corruption ;
Vu la loi n° 1.338 du 7 septembre 2007 sur les activités financières ;
Vu l’ordonnance souveraine n° 2.318 du 3 aout 2009 fixant les conditions d’application de la loi n° 1.362 du 3 août 2009 relative à la lutte contre le blanchiment de capitaux, le financement du terrorisme et la corruption ;
Vu l’ordonnance souveraine n° 1.284 du 10 septembre 2007 portant application de la loi n° 1.338 du 7 septembre 2007 sur les activités financières ;
Vu l’arrêté ministériel n° 2012-199 du 5 avril 2012 relatif aux obligations professionnelles des établissements de crédit teneurs de comptes-conservateurs d’instruments financiers ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu le Code civil ;
Vu le Code pénal ;
La Commission de Contrôle des Informations Nominatives
Conformément à l’article 1er alinéa 1 de la loi n° 1.165 du 23 décembre 1993, les traitements automatisés ou non automatisés d’informations nominatives ne doivent pas porter atteinte aux libertés et droits fondamentaux consacrés par le titre III de la Constitution.
La Commission de Contrôle des Informations Nominatives, Autorité Administrative Indépendante, a pour mission de veiller au respect de ces dispositions. A ce titre, elle est notamment habilitée à formuler toutes recommandations entrant dans le cadre des missions qui lui sont conférées par la loi.
Par la présente délibération, la Commission souhaite préciser les grands principes de protection des informations nominatives applicables aux dispositifs d’enregistrement des conversations téléphoniques mis en œuvre sur le lieu de travail par les établissements bancaires et assimilés, et ce afin de les orienter dans leurs démarches d’autorisation auprès d’elle.
I. Dispositions générales
Le téléphone est un outil incontournable sur le lieu de travail. Un employé est amené à l’utiliser de manière ponctuelle ou plus fréquente au cours de l’exécution de ses missions, autant pour des raisons professionnelles que privées.
Les établissements bancaires et assimilés peuvent cependant recourir à un système d’enregistrement des conversations téléphoniques dans le cadre de leurs obligations de vigilance et de traçabilité des transmissions d’ordres.
Le fonctionnement de ce type de dispositif est variable : l’enregistrement peut être permanent, ou être désactivé par une manipulation de la part de l’utilisateur du téléphone avant de débuter une conversation.
Il s’ensuit une collecte d’informations nominatives, afférentes tant à la personne utilisant le téléphone qu’à son interlocuteur, cela afin de permettre aux personnes habilitées de consulter et réécouter leur contenu lorsque cela s’avère nécessaire.
Ces traitements «portant sur des soupçons d’activités illicites [ou] des infractions», ou encore «mis en œuvre à des fins de surveillance» au sens de l’article 11-1 de la loi n° 1.165, modifiée, sont soumis à l’autorisation préalable de la Commission.
Toutefois, la Commission relève que la mise en place de tels systèmes comprend un certain nombre de dangers intrinsèques, et notamment :
- le risque d’atteinte à la vie privée des employés lors d’une utilisation à caractère privé du téléphone ;
- le risque de disproportion entre le dispositif mis en place et les objectifs poursuivis par le responsable de traitement ou son représentant ;
- la déloyauté de la collecte et du traitement des données nominatives d’une personne n’ayant pas les moyens de s’y opposer ou de se défendre.
Au vu de ces éléments, et en l’absence de dispositions légales ou réglementaires encadrant ce type de traitement, la Commission estime nécessaire de retenir les principes fondamentaux ci-après exposés, afin de s’assurer de la conformité des dispositifs d’enregistrement des conversations téléphoniques avec les dispositions de la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives.
II. Licéité des dispositifs d’enregistrement des conversations téléphoniques
Aux termes de l’article 10-1 la loi n° 1.165 du 23 décembre 1993, susvisée, «les informations nominatives doivent être collectées et traitées loyalement et licitement […] pour une finalité déterminée, explicite et légitime, et ne pas être traitées ultérieurement de manière incompatible avec cette finalité».
A ce titre, la Commission rappelle les dispositions de l’article 2 de la Recommandation du Conseil de l’Europe n° R (89) 2 du 19 janvier 1989 sur la protection des données à caractère personnel utilisées à des fins d’emploi, aux termes desquelles «le respect de la vie privée et de la dignité humaine de l’employé, en particulier la possibilité de relations sociales et individuelles sur le lieu de travail, devrait être préservé lors de la collecte et de l’utilisation de données à caractère personnel à des fins d’emploi».
En conséquence, la Commission appelle l’attention des établissements bancaires et assimilés sur le fait que les informations nominatives exploitées dans le cadre des traitements qui sous-tendent les dispositifs d’enregistrement des conversations téléphoniques ne sauraient être détournées de la finalité pour laquelle elles ont initialement été collectées.
En outre, ces dispositifs ne sauraient donner lieu à des pratiques abusives portant atteinte aux libertés et droits fondamentaux des collaborateurs, mais également aux droits conférés par la loi aux délégués du personnel et aux délégués syndicaux.
C’est pourquoi, conformément aux dispositions de l’article 11-1 de la loi n° 1.165, modifiée, le demandeur devra apporter les éléments permettant à la Commission de s’assurer que le traitement est «nécessaire à la poursuite d’un objectif légitime essentiel», et que les droits et libertés des personnes seront protégés.
Ainsi, seuls les collaborateurs concernés, au regard des objectifs visés au point IV de la présente délibération, devront être soumis à cette mesure d’enregistrement des conversations téléphoniques.
La Commission préconise que soit instaurée une possibilité de désactiver la fonction d’enregistrement en appuyant sur une touche prévue à cet effet avant une conversation d’ordre privé, dans le cas où l’entreprise tolère une utilisation du téléphone à cette fin. Dans le cas contraire, il convient que le collaborateur soit autorisé à utiliser un téléphone non soumis à enregistrement sur son lieu de travail, ou son téléphone mobile personnel.
III. Justification des dispositifs d’enregistrement des conversations téléphoniques
La Commission considère qu’un traitement d’informations nominatives afférent à un dispositif d’enregistrement des conversations téléphoniques est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée, dès lors qu’il est mis en œuvre aux seules fins de répondre à une obligation légale ou réglementaire de droit monégasque visant à l’établissement de procédures de contrôle interne dans les domaines financier, comptable, bancaire et de lutte contre la corruption et le blanchiment.
Sont ainsi justifiés les traitements d’enregistrement des conversations téléphoniques mis en œuvre dans les domaines :
- de la loi n° 1.338 du 7 septembre 2007 sur les activités financières et son ordonnance souveraine d’application ;
- de la loi n° 1.362 du 3 août 2009 relative à la lutte contre le blanchiment de capitaux, le financement du terrorisme et la corruption et son ordonnance souveraine d’application ;
- de l’arrêté ministériel n° 2012-199 du 5 avril 2012 relatif aux obligations professionnelles des établissements de crédit teneurs de comptes-conservateurs d’instruments financiers.
IV. Fonctionnalités du traitement
La Commission considère que la mise en œuvre d’un dispositif d’enregistrement des conversations téléphoniques par un établissement bancaire ou assimilé ne peut avoir d’autres fonctionnalités que :
- l’enregistrement des conversations dans le cadre de la relation d’affaires pour permettre la traçabilité des ordres ou en cas de litige ;
- l’enregistrement des conversations afin de contrôler la régularité des opérations financières et bancaires effectuées dans le cadre de l’obligation de vigilance.
Le responsable de traitement peut procéder par échantillonnage et de manière aléatoire à un contrôle de la régularité des opérations.
Enfin, la Commission rappelle que ces dispositifs ne sauraient être détournés de leur finalité. Ils ne peuvent par conséquent en aucun cas conduire à un contrôle de l’ensemble des collaborateurs, ni des délégués syndicaux et des délégués du personnel.
V. Information de la personne concernée
L’enregistrement des conversations téléphoniques étant un traitement particulièrement intrusif dans la vie professionnelle et privée autant de l’appelant que de l’appelé, la Commission insiste particulièrement sur la nécessaire information des personnes concernées.
A ce titre, l’existence d’un tel traitement d’informations nominatives doit être portée à la connaissance de ces dernières, conformément à l’article 14 de la loi n° 1.165, modifiée.
Aux termes de cet article, cette information doit porter sur :
- l’identité du responsable de traitement et le cas échéant, celle de son représentant à Monaco ;
- la finalité du traitement ;
- l’identité des destinataires ou des catégories de destinataires des informations ;
- l’existence d’un droit d’opposition, d’accès et de rectification à l’égard des informations les concernant.
Les collaborateurs doivent être informés de la manière la plus efficiente possible. Ainsi, à des fins de transparence, il conviendra d’instaurer une procédure écrite décrivant avec précision, notamment, le déroulement de la procédure de contrôle, ses modalités, les appareils téléphoniques concernés (fixes ou mobiles), la finalité des contrôles envisagés et les modalités de droit d’accès.
Concernant les clients, la Commission demande que ceux-ci soient informés de l’enregistrement : par le biais d’une clause contractuelle, par l’envoi d’un courrier à titre informatif mentionnant la finalité du traitement et les modalités d’exercice du droit d’accès ou par un message vocal. Dans cette hypothèse, afin de leur permettre de connaître les modalités du traitement ainsi que leurs droits d’opposition et d’accès avant d’être mis en relation avec le correspondant, une fonction devra leur permettre de sélectionner ce choix en appuyant sur une touche de leur téléphone. S’il s’agit d’un tiers (ex. un prospect), le collaborateur appelant devra procéder lui même à l’information de cette personne.
VI. Catégories d’informations traitées
Conformément à l’article 10-1 de la loi n°1.165, modifiée, la Commission considère que seules les catégories d’informations suivantes peuvent être traitées :
- identité : voix de l’appelant et de l’appelé ;
- contenu de la conversation téléphonique ;
- adresses et coordonnées : numéros de téléphone de l’appelant et de l’appelé ;
- données d’identification électronique : logs de connexion des personnes habilitées à avoir accès aux enregistrements ;
- horodatage : date, heure, durée de l’appel.
VII. Personnes ayant accès aux informations et destinataires
La Commission considère que l’accès aux informations objets des traitements visés par la présente délibération doit être limité aux seules personnes qui peuvent légitimement en avoir connaissance au regard de leurs fonctions ou de leurs missions, ainsi que de la finalité du traitement.
Sur ce point, la Commission rappelle que, conformément aux dispositions de l’article 17-1, alinéa 2, de la loi n° 1.165 précitée, le responsable de traitement doit «déterminer nominativement la liste de personnes autorisées qui ont seules accès, pour les stricts besoins de l’accomplissement de leurs missions, aux locaux et aux installations utilisés pour les traitements, de même qu’aux informations traitées».
Enfin, la Commission rappelle que les autorités judiciaires et administratives peuvent, dans le cadre exclusif des missions qui leur sont légalement conférées, être destinataires d’informations nominatives traitées, notamment pour la recherche de preuves ou la constatation d’infractions. Dans ce cas, des mesures de sécurité particulières devront être prises, concernant notamment le support sur lequel ces informations sont transmises, ainsi que la procédure de transfert, conformément aux dispositions du point VIII de la présente délibération.
VIII. Mesures de sécurité et de confidentialité
La Commission rappelle qu’en application des articles 17 et 17-1 de la loi n° 1.165, modifiée, le responsable de traitement ou son représentant doit prendre toutes mesures utiles pour préserver la sécurité des informations objets du traitement, telles que l’authentification par un identifiant et un mot de passe individuel (réputé fort), régulièrement renouvelés.
Elle demande en outre à ce que les personnes habilitées à avoir accès au traitement, et notamment aux enregistrements des conversations téléphoniques, soient astreintes à une obligation de confidentialité particulièrement stricte.
Par ailleurs, la Commission admet que des données puissent être extraites et/ou copiées sur un support distinct en vue d’une communication aux autorités administratives ou judiciaires légalement habilitées. Elle rappelle que dans ce cas, toute copie ou extraction de ces données devra être chiffrée sur son support de réception.
IX. Durée de conservation
La Commission rappelle que conformément à l’article 10-1 de la loi n° 1.165, modifiée, les informations nominatives objets du traitement ne peuvent être conservées que pendant une durée n’excédant pas celle nécessaire à la réalisation de la finalité pour laquelle elles sont exploitées.
Ainsi, au regard des fonctionnalités énumérées au point IV de la présente délibération, la Commission distingue deux hypothèses :
1. si l’enregistrement des conversations téléphoniques entre dans le cadre de la relation d’affaires entre un établissement bancaire et ses clients, une durée de conservation maximale de 10 ans est suffisante. Cela correspond aux délais de prescription attachés aux actions en justice en matière commerciale (art. 152 bis du Code de commerce) ;
2. si l’enregistrement des conversations téléphoniques a pour but la détection de crimes ou délits visés aux articles 218-1 et 218-2 du Code pénal, la durée de conservation pourra être au maximum de 10 ans, conformément au délai de prescription prévu à l’article 12 du Code de procédure pénale.
En tout état de cause, la Commission recommande, lorsque cela est possible, d’adopter une durée de conservation moindre, dès lors que les données traitées ne sont plus nécessaires à la réalisation de la finalité pour laquelle elles ont été initialement collectées, conformément à l’article 10-1 susvisé.
Enfin, elle rappelle que dans le cadre de l’ouverture d’une procédure judiciaire, toute information nécessaire issue du traitement pourra être conservée jusqu’à la fin de la procédure.
Après en avoir délibéré,
Rappelle que :
- d’une manière générale, tout traitement automatisé d’informations nominatives afférent à un dispositif d’enregistrement des conversations téléphoniques doit respecter les principes de la loi n° 1.165, modifiée, tels qu’interprétés par la présente délibération ;
- seuls les traitements remplissant les conditions fixées par la présente délibération pourront faire l’objet d’une autorisation de mise en œuvre.
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 et son protocole additionnel ;
Vu la Recommandation du Conseil de l’Europe n° R (89) 2 du 19 janvier 1989 sur la protection des données à caractère personnel utilisées à des fins d’emploi ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu la loi n° 1.362 du 3 août 2009 relative à la lutte contre le blanchiment de capitaux, le financement du terrorisme et la corruption ;
Vu la loi n° 1.338 du 7 septembre 2007 sur les activités financières ;
Vu l’ordonnance souveraine n° 2.318 du 3 aout 2009 fixant les conditions d’application de la loi n° 1.362 du 3 août 2009 relative à la lutte contre le blanchiment de capitaux, le financement du terrorisme et la corruption ;
Vu l’ordonnance souveraine n° 1.284 du 10 septembre 2007 portant application de la loi n° 1.338 du 7 septembre 2007 sur les activités financières ;
Vu l’arrêté ministériel n° 2012-199 du 5 avril 2012 relatif aux obligations professionnelles des établissements de crédit teneurs de comptes-conservateurs d’instruments financiers ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu le Code civil ;
Vu le Code pénal ;
La Commission de Contrôle des Informations Nominatives
Conformément à l’article 1er alinéa 1 de la loi n° 1.165 du 23 décembre 1993, les traitements automatisés ou non automatisés d’informations nominatives ne doivent pas porter atteinte aux libertés et droits fondamentaux consacrés par le titre III de la Constitution.
La Commission de Contrôle des Informations Nominatives, Autorité Administrative Indépendante, a pour mission de veiller au respect de ces dispositions. A ce titre, elle est notamment habilitée à formuler toutes recommandations entrant dans le cadre des missions qui lui sont conférées par la loi.
Par la présente délibération, la Commission souhaite préciser les grands principes de protection des informations nominatives applicables aux dispositifs d’enregistrement des conversations téléphoniques mis en œuvre sur le lieu de travail par les établissements bancaires et assimilés, et ce afin de les orienter dans leurs démarches d’autorisation auprès d’elle.
I. Dispositions générales
Le téléphone est un outil incontournable sur le lieu de travail. Un employé est amené à l’utiliser de manière ponctuelle ou plus fréquente au cours de l’exécution de ses missions, autant pour des raisons professionnelles que privées.
Les établissements bancaires et assimilés peuvent cependant recourir à un système d’enregistrement des conversations téléphoniques dans le cadre de leurs obligations de vigilance et de traçabilité des transmissions d’ordres.
Le fonctionnement de ce type de dispositif est variable : l’enregistrement peut être permanent, ou être désactivé par une manipulation de la part de l’utilisateur du téléphone avant de débuter une conversation.
Il s’ensuit une collecte d’informations nominatives, afférentes tant à la personne utilisant le téléphone qu’à son interlocuteur, cela afin de permettre aux personnes habilitées de consulter et réécouter leur contenu lorsque cela s’avère nécessaire.
Ces traitements «portant sur des soupçons d’activités illicites [ou] des infractions», ou encore «mis en œuvre à des fins de surveillance» au sens de l’article 11-1 de la loi n° 1.165, modifiée, sont soumis à l’autorisation préalable de la Commission.
Toutefois, la Commission relève que la mise en place de tels systèmes comprend un certain nombre de dangers intrinsèques, et notamment :
- le risque d’atteinte à la vie privée des employés lors d’une utilisation à caractère privé du téléphone ;
- le risque de disproportion entre le dispositif mis en place et les objectifs poursuivis par le responsable de traitement ou son représentant ;
- la déloyauté de la collecte et du traitement des données nominatives d’une personne n’ayant pas les moyens de s’y opposer ou de se défendre.
Au vu de ces éléments, et en l’absence de dispositions légales ou réglementaires encadrant ce type de traitement, la Commission estime nécessaire de retenir les principes fondamentaux ci-après exposés, afin de s’assurer de la conformité des dispositifs d’enregistrement des conversations téléphoniques avec les dispositions de la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives.
II. Licéité des dispositifs d’enregistrement des conversations téléphoniques
Aux termes de l’article 10-1 la loi n° 1.165 du 23 décembre 1993, susvisée, «les informations nominatives doivent être collectées et traitées loyalement et licitement […] pour une finalité déterminée, explicite et légitime, et ne pas être traitées ultérieurement de manière incompatible avec cette finalité».
A ce titre, la Commission rappelle les dispositions de l’article 2 de la Recommandation du Conseil de l’Europe n° R (89) 2 du 19 janvier 1989 sur la protection des données à caractère personnel utilisées à des fins d’emploi, aux termes desquelles «le respect de la vie privée et de la dignité humaine de l’employé, en particulier la possibilité de relations sociales et individuelles sur le lieu de travail, devrait être préservé lors de la collecte et de l’utilisation de données à caractère personnel à des fins d’emploi».
En conséquence, la Commission appelle l’attention des établissements bancaires et assimilés sur le fait que les informations nominatives exploitées dans le cadre des traitements qui sous-tendent les dispositifs d’enregistrement des conversations téléphoniques ne sauraient être détournées de la finalité pour laquelle elles ont initialement été collectées.
En outre, ces dispositifs ne sauraient donner lieu à des pratiques abusives portant atteinte aux libertés et droits fondamentaux des collaborateurs, mais également aux droits conférés par la loi aux délégués du personnel et aux délégués syndicaux.
C’est pourquoi, conformément aux dispositions de l’article 11-1 de la loi n° 1.165, modifiée, le demandeur devra apporter les éléments permettant à la Commission de s’assurer que le traitement est «nécessaire à la poursuite d’un objectif légitime essentiel», et que les droits et libertés des personnes seront protégés.
Ainsi, seuls les collaborateurs concernés, au regard des objectifs visés au point IV de la présente délibération, devront être soumis à cette mesure d’enregistrement des conversations téléphoniques.
La Commission préconise que soit instaurée une possibilité de désactiver la fonction d’enregistrement en appuyant sur une touche prévue à cet effet avant une conversation d’ordre privé, dans le cas où l’entreprise tolère une utilisation du téléphone à cette fin. Dans le cas contraire, il convient que le collaborateur soit autorisé à utiliser un téléphone non soumis à enregistrement sur son lieu de travail, ou son téléphone mobile personnel.
III. Justification des dispositifs d’enregistrement des conversations téléphoniques
La Commission considère qu’un traitement d’informations nominatives afférent à un dispositif d’enregistrement des conversations téléphoniques est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée, dès lors qu’il est mis en œuvre aux seules fins de répondre à une obligation légale ou réglementaire de droit monégasque visant à l’établissement de procédures de contrôle interne dans les domaines financier, comptable, bancaire et de lutte contre la corruption et le blanchiment.
Sont ainsi justifiés les traitements d’enregistrement des conversations téléphoniques mis en œuvre dans les domaines :
- de la loi n° 1.338 du 7 septembre 2007 sur les activités financières et son ordonnance souveraine d’application ;
- de la loi n° 1.362 du 3 août 2009 relative à la lutte contre le blanchiment de capitaux, le financement du terrorisme et la corruption et son ordonnance souveraine d’application ;
- de l’arrêté ministériel n° 2012-199 du 5 avril 2012 relatif aux obligations professionnelles des établissements de crédit teneurs de comptes-conservateurs d’instruments financiers.
IV. Fonctionnalités du traitement
La Commission considère que la mise en œuvre d’un dispositif d’enregistrement des conversations téléphoniques par un établissement bancaire ou assimilé ne peut avoir d’autres fonctionnalités que :
- l’enregistrement des conversations dans le cadre de la relation d’affaires pour permettre la traçabilité des ordres ou en cas de litige ;
- l’enregistrement des conversations afin de contrôler la régularité des opérations financières et bancaires effectuées dans le cadre de l’obligation de vigilance.
Le responsable de traitement peut procéder par échantillonnage et de manière aléatoire à un contrôle de la régularité des opérations.
Enfin, la Commission rappelle que ces dispositifs ne sauraient être détournés de leur finalité. Ils ne peuvent par conséquent en aucun cas conduire à un contrôle de l’ensemble des collaborateurs, ni des délégués syndicaux et des délégués du personnel.
V. Information de la personne concernée
L’enregistrement des conversations téléphoniques étant un traitement particulièrement intrusif dans la vie professionnelle et privée autant de l’appelant que de l’appelé, la Commission insiste particulièrement sur la nécessaire information des personnes concernées.
A ce titre, l’existence d’un tel traitement d’informations nominatives doit être portée à la connaissance de ces dernières, conformément à l’article 14 de la loi n° 1.165, modifiée.
Aux termes de cet article, cette information doit porter sur :
- l’identité du responsable de traitement et le cas échéant, celle de son représentant à Monaco ;
- la finalité du traitement ;
- l’identité des destinataires ou des catégories de destinataires des informations ;
- l’existence d’un droit d’opposition, d’accès et de rectification à l’égard des informations les concernant.
Les collaborateurs doivent être informés de la manière la plus efficiente possible. Ainsi, à des fins de transparence, il conviendra d’instaurer une procédure écrite décrivant avec précision, notamment, le déroulement de la procédure de contrôle, ses modalités, les appareils téléphoniques concernés (fixes ou mobiles), la finalité des contrôles envisagés et les modalités de droit d’accès.
Concernant les clients, la Commission demande que ceux-ci soient informés de l’enregistrement : par le biais d’une clause contractuelle, par l’envoi d’un courrier à titre informatif mentionnant la finalité du traitement et les modalités d’exercice du droit d’accès ou par un message vocal. Dans cette hypothèse, afin de leur permettre de connaître les modalités du traitement ainsi que leurs droits d’opposition et d’accès avant d’être mis en relation avec le correspondant, une fonction devra leur permettre de sélectionner ce choix en appuyant sur une touche de leur téléphone. S’il s’agit d’un tiers (ex. un prospect), le collaborateur appelant devra procéder lui même à l’information de cette personne.
VI. Catégories d’informations traitées
Conformément à l’article 10-1 de la loi n°1.165, modifiée, la Commission considère que seules les catégories d’informations suivantes peuvent être traitées :
- identité : voix de l’appelant et de l’appelé ;
- contenu de la conversation téléphonique ;
- adresses et coordonnées : numéros de téléphone de l’appelant et de l’appelé ;
- données d’identification électronique : logs de connexion des personnes habilitées à avoir accès aux enregistrements ;
- horodatage : date, heure, durée de l’appel.
VII. Personnes ayant accès aux informations et destinataires
La Commission considère que l’accès aux informations objets des traitements visés par la présente délibération doit être limité aux seules personnes qui peuvent légitimement en avoir connaissance au regard de leurs fonctions ou de leurs missions, ainsi que de la finalité du traitement.
Sur ce point, la Commission rappelle que, conformément aux dispositions de l’article 17-1, alinéa 2, de la loi n° 1.165 précitée, le responsable de traitement doit «déterminer nominativement la liste de personnes autorisées qui ont seules accès, pour les stricts besoins de l’accomplissement de leurs missions, aux locaux et aux installations utilisés pour les traitements, de même qu’aux informations traitées».
Enfin, la Commission rappelle que les autorités judiciaires et administratives peuvent, dans le cadre exclusif des missions qui leur sont légalement conférées, être destinataires d’informations nominatives traitées, notamment pour la recherche de preuves ou la constatation d’infractions. Dans ce cas, des mesures de sécurité particulières devront être prises, concernant notamment le support sur lequel ces informations sont transmises, ainsi que la procédure de transfert, conformément aux dispositions du point VIII de la présente délibération.
VIII. Mesures de sécurité et de confidentialité
La Commission rappelle qu’en application des articles 17 et 17-1 de la loi n° 1.165, modifiée, le responsable de traitement ou son représentant doit prendre toutes mesures utiles pour préserver la sécurité des informations objets du traitement, telles que l’authentification par un identifiant et un mot de passe individuel (réputé fort), régulièrement renouvelés.
Elle demande en outre à ce que les personnes habilitées à avoir accès au traitement, et notamment aux enregistrements des conversations téléphoniques, soient astreintes à une obligation de confidentialité particulièrement stricte.
Par ailleurs, la Commission admet que des données puissent être extraites et/ou copiées sur un support distinct en vue d’une communication aux autorités administratives ou judiciaires légalement habilitées. Elle rappelle que dans ce cas, toute copie ou extraction de ces données devra être chiffrée sur son support de réception.
IX. Durée de conservation
La Commission rappelle que conformément à l’article 10-1 de la loi n° 1.165, modifiée, les informations nominatives objets du traitement ne peuvent être conservées que pendant une durée n’excédant pas celle nécessaire à la réalisation de la finalité pour laquelle elles sont exploitées.
Ainsi, au regard des fonctionnalités énumérées au point IV de la présente délibération, la Commission distingue deux hypothèses :
1. si l’enregistrement des conversations téléphoniques entre dans le cadre de la relation d’affaires entre un établissement bancaire et ses clients, une durée de conservation maximale de 10 ans est suffisante. Cela correspond aux délais de prescription attachés aux actions en justice en matière commerciale (art. 152 bis du Code de commerce) ;
2. si l’enregistrement des conversations téléphoniques a pour but la détection de crimes ou délits visés aux articles 218-1 et 218-2 du Code pénal, la durée de conservation pourra être au maximum de 10 ans, conformément au délai de prescription prévu à l’article 12 du Code de procédure pénale.
En tout état de cause, la Commission recommande, lorsque cela est possible, d’adopter une durée de conservation moindre, dès lors que les données traitées ne sont plus nécessaires à la réalisation de la finalité pour laquelle elles ont été initialement collectées, conformément à l’article 10-1 susvisé.
Enfin, elle rappelle que dans le cadre de l’ouverture d’une procédure judiciaire, toute information nécessaire issue du traitement pourra être conservée jusqu’à la fin de la procédure.
Après en avoir délibéré,
Rappelle que :
- d’une manière générale, tout traitement automatisé d’informations nominatives afférent à un dispositif d’enregistrement des conversations téléphoniques doit respecter les principes de la loi n° 1.165, modifiée, tels qu’interprétés par la présente délibération ;
- seuls les traitements remplissant les conditions fixées par la présente délibération pourront faire l’objet d’une autorisation de mise en œuvre.
Le Président de la Commission
de Contrôle des Informations Nominatives.