Délibération n° 2015-113 du 18 novembre 2015 de la Commission de Contrôle des Informations Nominatives portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels
Vu la Constitution ;
Vu le Pacte international relatif aux droits civils et politiques du 16 décembre 1966, rendu exécutoire par l’ordonnance souveraine n° 13.330 du 12 février 1998 ;
Vu la Convention de sauvegarde des Droits de l’Homme et des Libertés fondamentales du Conseil de l’Europe du 4 novembre 1950, rendue exécutoire par l’ordonnance souveraine n° 408 du 15 février 2006 ;
Vu la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du Conseil de l’Europe du 28 janvier 1981, ainsi que son Protocole additionnel du 8 novembre 2001 ;
Vu la Convention des Nations Unies contre la criminalité transnationale organisée, et ses Protocoles additionnels faits à New York le 15 novembre 2000 et rendus exécutoires par l’ordonnance souveraine n° 16.026 du 3 novembre 2003 ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’ordonnance souveraine n° 16.584 du 22 décembre 2004 relative à la délivrance des passeports ;
Vu l’ordonnance souveraine n° 2.108 du 19 mars 2009 relative à la carte d’identité monégasque électronique ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la délibération n° 2012-24 du 13 février 2012 de la Commission de Contrôle des Informations Nominatives portant recommandation sur le traitement des documents d’identité officiels ;
Vu le Code Pénal ;
Vu le Code Civil ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Conformément à l’article 1er de la loi n° 1.165 du 23 décembre 1993, modifiée, les traitements automatisés ou non automatisés d’informations nominatives ne doivent pas porter atteinte aux libertés et droits fondamentaux consacrés par le titre III de la Constitution.
La Commission de Contrôle des Informations Nominatives, autorité administrative indépendante, a pour mission de veiller au respect de ces dispositions. A ce titre, elle est notamment habilitée, aux termes de l’article 2 de la loi n° 1.165, modifiée, à formuler toutes recommandations entrant dans le cadre des missions qui lui sont conférées par ladite loi.
A cet égard, la Commission a adopté en 2012 une délibération portant sur le traitement des documents d’identité officiels afin d’appeler l’attention des responsables de traitement sur l’utilisation qui peut en être faite.
L’objectif est ainsi de lutter contre le vol et l’usurpation d’identité, l’utilisation illicite des informations nominatives contenues dans ces documents et les conséquences que cela peut induire pour les victimes. A chaque fois qu’une nouvelle copie d’un document d’identité est mise en circulation s’ajoute un risque supplémentaire d’usurpation d’identité.
En effet, ces documents ne sont pas anodins. Ils sont délivrés par les Etats afin de permettre à une personne de certifier son identité. Bien que non obligatoires selon les Pays, ils sont nécessaires dans une société pour accomplir certains actes de la vie courante (ouvrir un compte bancaire, voyager…).
De nombreux textes internationaux dont, notamment, les Protocoles additionnels à la Convention des Nations Unies contre la criminalité transnationale organisée, en vigueur en Principauté, imposent aux Etats de prendre les mesures nécessaires « pour assurer l’intégrité et la sécurité des documents de voyage ou d’identité délivrés par lui ou en son nom et pour empêcher qu’ils ne soient créés, délivrés et utilisés illicitement ».
Cette obligation de sécurité renforcée découle du constat selon lequel ces documents sont le support d’informations nominatives. En effet, en fonction des Pays, ces documents peuvent contenir : les nom et prénom d’un individu, un portrait photo, l’âge, la date de naissance, l’adresse, un numéro d’identification, la profession, la citoyenneté, ou bien encore des informations biométriques.
La Commission souhaite, par la présente délibération, annuler et remplacer la recommandation n° 2012-24 afin d’apporter des précisions sur la collecte et la conservation de la copie de documents d’identité officiels.
I. Sur l’application du principe de proportionnalité
La Commission rappelle que l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives dispose que les informations nominatives doivent être « adéquates, pertinentes et non excessives au regard de la finalité pour laquelle elles sont collectées et pour laquelle elles sont traitées ultérieurement ».
Eu égard aux risques intrinsèques liés à la collecte et la conservation de la copie d’un document d’identité officiel, la Commission pose le principe que, sauf dispositions légales ou réglementaires le prévoyant expressément, la collecte, l’enregistrement ou encore l’exploitation des documents d’identité - que le support de ce traitement soit automatisé ou non - ne sont pas conformes au principe de proportionnalité au sens de l’article 10-1 susvisé.
A cet égard, la Commission relève que le corpus légal ou réglementaire monégasque prévoit expressément les modalités d’utilisation des documents d’identité ou de certaines informations y figurant.
En effet, des législations différentes prévoient en fonction des démarches que l’intéressé envisage d’accomplir, si celui-ci doit :
- « Produire », « fournir » ou « joindre » des pièces permettant de justifier son identité. Ainsi, lorsque cela est opportun la législation prévoit soit de produire « la copie certifiée conforme d’une pièce d’identité », « la copie » de la carte d’identité, soit de fournir « une fiche d’état civil ou la photocopie d’une pièce d’identité officielle et récente » soit de joindre « une photocopie de la pièce d’identité » ;
- « Présenter un justificatif d’identité » ;
- se défaire momentanément de sa carte d’identité en échange d’un badge.
Aussi, elle recommande aux responsables de traitement du secteur public et du secteur privé qui souhaitent collecter et conserver de tels documents, de veiller à disposer d’un fondement légal ou réglementaire leur permettant d’y procéder.
A titre d’exemple, l’article 3 de la loi n° 1.362 du 3 août 2009 relative à la lutte contre le blanchiment de capitaux, le financement du terrorisme et la corruption, qui dispose que « les organismes et les personnes visés aux articles premier et 2 doivent, lorsqu’ils nouent une relation d’affaires, identifier leurs clients habituels ainsi que leurs mandataires et vérifier les identités de chacun d’entre eux au moyen d’un document probant, dont ils conservent copie », constitue une justification à la collecte et à la conservation de documents d’identité officiels par les responsables de traitements qui y sont soumis.
Toutefois, la Commission conçoit que la copie de documents d’identité officiels puisse être collectée dans des circonstances particulières pour lesquelles aucune autre modalité de vérification de l’identité d’une personne concernée n’est possible.
Il s’agit notamment des relations ou vente à distance nécessitant le contrôle de l’identité des personnes. Par exemple, lorsqu’un commerçant veut s’assurer de l’identité d’un titulaire de carte bancaire, il peut demander l’envoi sécurisé d’une copie de la carte d’identité à titre de justificatif, qu’il ne pourra conserver plus de 6 mois. Ou bien lorsqu’il s’agit d’une demande de paiement ou de remboursement suite à la participation à un jeu, pour une durée de conservation ne pouvant pas dépasser le temps de traitement de la demande.
Par ailleurs, la Commission relève qu’il peut être nécessaire d’envoyer une copie d’un document d’identité pour attester de son identité dans l’exercice d’un droit personnel, tel que l’envoi d’une plainte.
Enfin, elle rappelle que lorsque ce traitement est réalisé à l’aide d’opérations automatisées il doit, préalablement à sa mise en œuvre, être soumis aux formalités prévues par la loi n° 1.165, modifiée. A ce titre, elle précise que la base légale ou règlementaire, ou à défaut la justification particulière et étayée, fondant la collecte desdits documents ou l’exploitation des informations qu’ils comportent, doit être expressément précisée dans le dossier soumis à l’analyse de la Commission.
II. Sur la durée de conservation
La Commission rappelle qu’aux termes de l’article 10-1 de la loi n° 1.165, modifiée, les informations nominatives doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la finalité pour laquelle elles sont collectées ou pour laquelle elles sont traitées ultérieurement.
A ce titre, elle estimera au cas par cas, en fonction des justifications apportées et des textes auxquels les responsables de traitement se réfèrent, les durées de conservation adéquates.
Par ailleurs, en ce qui concerne les justificatifs relatifs à la vérification de l’identité d’un titulaire de carte bancaire, la copie d’un document d’identité ne pourra être conservée plus de 6 mois.
Enfin, lorsque sa collecte est ponctuellement permise, la copie d’un document d’identité reçu lors de relations à distance (exemple : remboursement suite à la participation à un jeu) ne peut être conservée que le temps du traitement de la demande ou de la vérification de l’identité de la personne concernée.
III. Sur les personnes ayant accès aux informations et les destinataires
La Commission estime que l’accès aux traitements exploitant les documents d’identité ou les informations y figurant doit être limité aux seules personnes qui, en raison de leurs fonctions, peuvent légitimement en avoir connaissance au regard de la finalité du traitement.
Elle précise, par ailleurs, que si les traitements relèvent des articles 11 et 11-1 de la loi n° 1.165, modifiée, le responsable de traitement doit « déterminer nominativement la liste de personnes autorisées qui ont seules accès, pour les stricts besoins de l’accomplissement de leurs missions, aux locaux et aux installations utilisés pour les traitements, de même qu’aux informations traitées », conformément aux dispositions de l’article 17-1 de la loi n° 1.165 dont s’agit.
Elle rappelle de plus que les communications sécurisées de ces documents doivent être limitées aux seuls destinataires fondés à les recevoir, qui devront être indiqués dans les formalités à soumettre à la Commission.
IV. Sur la sécurité et la confidentialité du traitement
La Commission rappelle que la sécurité et la confidentialité de tout traitement et des informations qu’il contient sont essentielles au respect des dispositions de la loi n° 1.165 du 23 décembre 1993, modifiée.
Elle demande que les modalités de collecte à distance soient protégées et notamment que les copies de documents d’identité soient déposées sur une page sécurisée.
La Commission recommande également que les personnes dont les copies de documents d’identité sont collectées soient invitées à transmettre celles-ci en noir et blanc et barrées, afin d’en rendre difficiles d’éventuelles reproductions.
Aussi, elle demande qu’une attention particulière soit portée aux règles de sécurisation des accès aux données afin qu’elles ne puissent être détruites de manière accidentelle ou illicite, perdues accidentellement, altérées, diffusées ou accessibles sans autorisation, notamment lorsque le traitement comporte des transmissions d’informations dans un réseau.
A cet égard, elle précise que :
- les responsables de traitement doivent désigner les personnes chargées d’établir des profils d’habilitation strictement adaptés à la finalité du traitement ;
- les habilitations ne doivent être données qu’aux utilisateurs ou groupes d’utilisateurs strictement désignés ;
- chaque utilisateur doit s’authentifier par un identifiant et un mot de passe réputé fort ;
- les opérations de maintenance du système informationnel du responsable de traitement par un prestataire doivent être régies par un contrat écrit rappelant les obligations de sécurité et de confidentialité qui lui incombent.
Après en avoir délibéré, la Commission :
Rappelle que :
-les traitements automatisés au non automatisés d’informations nominatives comportant des données relatives aux documents d’identité officiels devront remplir les conditions fixées par la loi n° 1.165 du 23 décembre 1993, modifiée, telles que précisées dans le cadre de la présente délibération ;
-la délibération n° 2012-24 du 13 février 2012 portant recommandation sur le traitement des documents d’identité officiels est annulée et remplacée par la présente délibération.
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu le Pacte international relatif aux droits civils et politiques du 16 décembre 1966, rendu exécutoire par l’ordonnance souveraine n° 13.330 du 12 février 1998 ;
Vu la Convention de sauvegarde des Droits de l’Homme et des Libertés fondamentales du Conseil de l’Europe du 4 novembre 1950, rendue exécutoire par l’ordonnance souveraine n° 408 du 15 février 2006 ;
Vu la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du Conseil de l’Europe du 28 janvier 1981, ainsi que son Protocole additionnel du 8 novembre 2001 ;
Vu la Convention des Nations Unies contre la criminalité transnationale organisée, et ses Protocoles additionnels faits à New York le 15 novembre 2000 et rendus exécutoires par l’ordonnance souveraine n° 16.026 du 3 novembre 2003 ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’ordonnance souveraine n° 16.584 du 22 décembre 2004 relative à la délivrance des passeports ;
Vu l’ordonnance souveraine n° 2.108 du 19 mars 2009 relative à la carte d’identité monégasque électronique ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la délibération n° 2012-24 du 13 février 2012 de la Commission de Contrôle des Informations Nominatives portant recommandation sur le traitement des documents d’identité officiels ;
Vu le Code Pénal ;
Vu le Code Civil ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Conformément à l’article 1er de la loi n° 1.165 du 23 décembre 1993, modifiée, les traitements automatisés ou non automatisés d’informations nominatives ne doivent pas porter atteinte aux libertés et droits fondamentaux consacrés par le titre III de la Constitution.
La Commission de Contrôle des Informations Nominatives, autorité administrative indépendante, a pour mission de veiller au respect de ces dispositions. A ce titre, elle est notamment habilitée, aux termes de l’article 2 de la loi n° 1.165, modifiée, à formuler toutes recommandations entrant dans le cadre des missions qui lui sont conférées par ladite loi.
A cet égard, la Commission a adopté en 2012 une délibération portant sur le traitement des documents d’identité officiels afin d’appeler l’attention des responsables de traitement sur l’utilisation qui peut en être faite.
L’objectif est ainsi de lutter contre le vol et l’usurpation d’identité, l’utilisation illicite des informations nominatives contenues dans ces documents et les conséquences que cela peut induire pour les victimes. A chaque fois qu’une nouvelle copie d’un document d’identité est mise en circulation s’ajoute un risque supplémentaire d’usurpation d’identité.
En effet, ces documents ne sont pas anodins. Ils sont délivrés par les Etats afin de permettre à une personne de certifier son identité. Bien que non obligatoires selon les Pays, ils sont nécessaires dans une société pour accomplir certains actes de la vie courante (ouvrir un compte bancaire, voyager…).
De nombreux textes internationaux dont, notamment, les Protocoles additionnels à la Convention des Nations Unies contre la criminalité transnationale organisée, en vigueur en Principauté, imposent aux Etats de prendre les mesures nécessaires « pour assurer l’intégrité et la sécurité des documents de voyage ou d’identité délivrés par lui ou en son nom et pour empêcher qu’ils ne soient créés, délivrés et utilisés illicitement ».
Cette obligation de sécurité renforcée découle du constat selon lequel ces documents sont le support d’informations nominatives. En effet, en fonction des Pays, ces documents peuvent contenir : les nom et prénom d’un individu, un portrait photo, l’âge, la date de naissance, l’adresse, un numéro d’identification, la profession, la citoyenneté, ou bien encore des informations biométriques.
La Commission souhaite, par la présente délibération, annuler et remplacer la recommandation n° 2012-24 afin d’apporter des précisions sur la collecte et la conservation de la copie de documents d’identité officiels.
I. Sur l’application du principe de proportionnalité
La Commission rappelle que l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives dispose que les informations nominatives doivent être « adéquates, pertinentes et non excessives au regard de la finalité pour laquelle elles sont collectées et pour laquelle elles sont traitées ultérieurement ».
Eu égard aux risques intrinsèques liés à la collecte et la conservation de la copie d’un document d’identité officiel, la Commission pose le principe que, sauf dispositions légales ou réglementaires le prévoyant expressément, la collecte, l’enregistrement ou encore l’exploitation des documents d’identité - que le support de ce traitement soit automatisé ou non - ne sont pas conformes au principe de proportionnalité au sens de l’article 10-1 susvisé.
A cet égard, la Commission relève que le corpus légal ou réglementaire monégasque prévoit expressément les modalités d’utilisation des documents d’identité ou de certaines informations y figurant.
En effet, des législations différentes prévoient en fonction des démarches que l’intéressé envisage d’accomplir, si celui-ci doit :
- « Produire », « fournir » ou « joindre » des pièces permettant de justifier son identité. Ainsi, lorsque cela est opportun la législation prévoit soit de produire « la copie certifiée conforme d’une pièce d’identité », « la copie » de la carte d’identité, soit de fournir « une fiche d’état civil ou la photocopie d’une pièce d’identité officielle et récente » soit de joindre « une photocopie de la pièce d’identité » ;
- « Présenter un justificatif d’identité » ;
- se défaire momentanément de sa carte d’identité en échange d’un badge.
Aussi, elle recommande aux responsables de traitement du secteur public et du secteur privé qui souhaitent collecter et conserver de tels documents, de veiller à disposer d’un fondement légal ou réglementaire leur permettant d’y procéder.
A titre d’exemple, l’article 3 de la loi n° 1.362 du 3 août 2009 relative à la lutte contre le blanchiment de capitaux, le financement du terrorisme et la corruption, qui dispose que « les organismes et les personnes visés aux articles premier et 2 doivent, lorsqu’ils nouent une relation d’affaires, identifier leurs clients habituels ainsi que leurs mandataires et vérifier les identités de chacun d’entre eux au moyen d’un document probant, dont ils conservent copie », constitue une justification à la collecte et à la conservation de documents d’identité officiels par les responsables de traitements qui y sont soumis.
Toutefois, la Commission conçoit que la copie de documents d’identité officiels puisse être collectée dans des circonstances particulières pour lesquelles aucune autre modalité de vérification de l’identité d’une personne concernée n’est possible.
Il s’agit notamment des relations ou vente à distance nécessitant le contrôle de l’identité des personnes. Par exemple, lorsqu’un commerçant veut s’assurer de l’identité d’un titulaire de carte bancaire, il peut demander l’envoi sécurisé d’une copie de la carte d’identité à titre de justificatif, qu’il ne pourra conserver plus de 6 mois. Ou bien lorsqu’il s’agit d’une demande de paiement ou de remboursement suite à la participation à un jeu, pour une durée de conservation ne pouvant pas dépasser le temps de traitement de la demande.
Par ailleurs, la Commission relève qu’il peut être nécessaire d’envoyer une copie d’un document d’identité pour attester de son identité dans l’exercice d’un droit personnel, tel que l’envoi d’une plainte.
Enfin, elle rappelle que lorsque ce traitement est réalisé à l’aide d’opérations automatisées il doit, préalablement à sa mise en œuvre, être soumis aux formalités prévues par la loi n° 1.165, modifiée. A ce titre, elle précise que la base légale ou règlementaire, ou à défaut la justification particulière et étayée, fondant la collecte desdits documents ou l’exploitation des informations qu’ils comportent, doit être expressément précisée dans le dossier soumis à l’analyse de la Commission.
II. Sur la durée de conservation
La Commission rappelle qu’aux termes de l’article 10-1 de la loi n° 1.165, modifiée, les informations nominatives doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la finalité pour laquelle elles sont collectées ou pour laquelle elles sont traitées ultérieurement.
A ce titre, elle estimera au cas par cas, en fonction des justifications apportées et des textes auxquels les responsables de traitement se réfèrent, les durées de conservation adéquates.
Par ailleurs, en ce qui concerne les justificatifs relatifs à la vérification de l’identité d’un titulaire de carte bancaire, la copie d’un document d’identité ne pourra être conservée plus de 6 mois.
Enfin, lorsque sa collecte est ponctuellement permise, la copie d’un document d’identité reçu lors de relations à distance (exemple : remboursement suite à la participation à un jeu) ne peut être conservée que le temps du traitement de la demande ou de la vérification de l’identité de la personne concernée.
III. Sur les personnes ayant accès aux informations et les destinataires
La Commission estime que l’accès aux traitements exploitant les documents d’identité ou les informations y figurant doit être limité aux seules personnes qui, en raison de leurs fonctions, peuvent légitimement en avoir connaissance au regard de la finalité du traitement.
Elle précise, par ailleurs, que si les traitements relèvent des articles 11 et 11-1 de la loi n° 1.165, modifiée, le responsable de traitement doit « déterminer nominativement la liste de personnes autorisées qui ont seules accès, pour les stricts besoins de l’accomplissement de leurs missions, aux locaux et aux installations utilisés pour les traitements, de même qu’aux informations traitées », conformément aux dispositions de l’article 17-1 de la loi n° 1.165 dont s’agit.
Elle rappelle de plus que les communications sécurisées de ces documents doivent être limitées aux seuls destinataires fondés à les recevoir, qui devront être indiqués dans les formalités à soumettre à la Commission.
IV. Sur la sécurité et la confidentialité du traitement
La Commission rappelle que la sécurité et la confidentialité de tout traitement et des informations qu’il contient sont essentielles au respect des dispositions de la loi n° 1.165 du 23 décembre 1993, modifiée.
Elle demande que les modalités de collecte à distance soient protégées et notamment que les copies de documents d’identité soient déposées sur une page sécurisée.
La Commission recommande également que les personnes dont les copies de documents d’identité sont collectées soient invitées à transmettre celles-ci en noir et blanc et barrées, afin d’en rendre difficiles d’éventuelles reproductions.
Aussi, elle demande qu’une attention particulière soit portée aux règles de sécurisation des accès aux données afin qu’elles ne puissent être détruites de manière accidentelle ou illicite, perdues accidentellement, altérées, diffusées ou accessibles sans autorisation, notamment lorsque le traitement comporte des transmissions d’informations dans un réseau.
A cet égard, elle précise que :
- les responsables de traitement doivent désigner les personnes chargées d’établir des profils d’habilitation strictement adaptés à la finalité du traitement ;
- les habilitations ne doivent être données qu’aux utilisateurs ou groupes d’utilisateurs strictement désignés ;
- chaque utilisateur doit s’authentifier par un identifiant et un mot de passe réputé fort ;
- les opérations de maintenance du système informationnel du responsable de traitement par un prestataire doivent être régies par un contrat écrit rappelant les obligations de sécurité et de confidentialité qui lui incombent.
Après en avoir délibéré, la Commission :
Rappelle que :
-les traitements automatisés au non automatisés d’informations nominatives comportant des données relatives aux documents d’identité officiels devront remplir les conditions fixées par la loi n° 1.165 du 23 décembre 1993, modifiée, telles que précisées dans le cadre de la présente délibération ;
-la délibération n° 2012-24 du 13 février 2012 portant recommandation sur le traitement des documents d’identité officiels est annulée et remplacée par la présente délibération.
Le Président de la Commission
de Contrôle des Informations Nominatives.