icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-list-thumbnails icon-thumbnails

Délibération n° 2017-39 du 15 mars 2017 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Billetterie en ligne du Jardin Exotique de Monaco » présenté par la Commune de Monaco.

  • N° journal 8338
  • Date de publication 14/07/2017
  • Qualité 100%
  • N° de page

Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la Recommandation du Conseil de l'Europe n° R(89)2 du 19 janvier 1989 sur la protection des données à caractère personnel utilisées à des fins d'emploi ;
Vu la loi n° 126 du 15 janvier 1930 déterminant le partage des biens acquis avec les fonds du compte 3% ;
Vu la loi n° 959 du 24 juillet 1974 sur l'organisation communale, modifiée ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'arrêté municipal n° 2014-1992 du 16 juin 2014 fixant la liste des services Communaux ;
Vu la demande d'avis déposée par la Commune de Monaco le 21 novembre 2016 concernant la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Billetterie en ligne du Jardin Exotique de Monaco » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 20 janvier 2017, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230, susmentionnée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 15 mars 2017 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Commune souhaite moderniser les modalités de vente des billets du Jardin Exotique en proposant aux visiteurs de les acheter par le biais d'un site Internet dédié.
Le traitement automatisé d'informations nominatives objet de la présente délibération est soumis à l'avis de la Commission conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993\.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Billetterie en ligne du Jardin Exotique de Monaco ».
Il concerne les visiteurs du Jardin Exotique.
Il a pour fonctionnalités :
- La création et la gestion d'un compte utilisateur (obligatoire pour permettre l'achat en ligne) qui ouvre un espace personnel, concernant l'historique des achats et les paramètres de compte (profil, mot de passe, carnet d'adresses). Toute opération d'achat nécessite une authentification obtenue suite à une inscription préalable via un formulaire d'inscription ;
- Le paiement des achats de trois types de billet dans les quantités désirées par le biais d'un lien sécurisé vers une plateforme de paiement en ligne ;
- La gestion et le suivi des commandes.
La Commission constate ainsi que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement

  • Sur la licéité du traitement

La Commission relève tout d'abord qu'aux termes de l'article 5 de la loi n° 959 du 24 juillet 1974 « la Commune peut être admise, en vertu de conventions spéciales, à occuper ou à gérer des biens du domaine public de l'État […] ».
Elle observe ensuite que l'article 4 de la loi n° 126 du 15 janvier 1930 dispose que « sont attribués au domaine public de la Commune : Jardins exotiques (boulevard de l'Observatoire) ».
La Commission observe donc que le traitement est licite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165, modifiée.

  • Sur la justification

Le responsable de traitement indique que le traitement est justifié par la réalisation d'un intérêt légitime, sans que soient méconnus les libertés et droits fondamentaux des personnes concernées.
À cet égard, il expose que « cet outil est pratique, rapide et permet de réduire l'attente aux caisses en cas de forte affluence » et précise que « les droits des personnes sont respectés puisque seules les personnes souhaitant effectuer l'achat de leur billet en ligne seront concernées, les autres pourront bien évidemment les acheter directement à la caisse sur place ».
La Commission considère donc que le traitement est justifié, conformément aux dispositions de l'article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations nominatives traitées sont :
- identité : prénom/nom ;
- adresse et coordonnées : adresse postale : adresse; code postal, ville, pays ;
- consommation de biens et services : historique des achats ;
- loisirs, habitudes de vie et comportement : langue préférée : français, anglais, italien ;
- données d'identification électronique : login (adresse email), mot de passe.
Les informations ont pour origine la personne concernée elle-même lors de la création du compte.
La Commission relève que sont exploités des cookies destinés uniquement au bon fonctionnement du site, et que les personnes sont informées de leur existence dans les conditions générales.
Elle constate que sont également collectés les logs de connexions des personnels habilités.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
IV. Sur les droits des personnes concernées

  • Sur l'information préalable des personnes concernées

L'information préalable des personnes concernées est réalisée à partir d'une mention particulière intégrée dans un document d'ordre général accessible en ligne, à savoir les conditions générales de vente.
Celles-ci, jointes au dossier, doivent être acceptées par les clients du Jardin Exotique en activant une case non pré-cochée et obligatoire.
La Commission constate que l'information réalisée est conforme aux exigences légales fixées à l'article 14 de la loi n° 1.165 du 23 décembre 1993\.

  • Sur l'exercice du droit d'accès, de modification et de mise à jour

Le droit d'accès est exercé par un accès en ligne au dossier, sur place ou par courrier électronique, auprès du Jardin Exotique de Monaco. Le délai de réponse est de quinze jours.
Les droits de modification et de mise à jour des données sont réalisés sur place ou par courrier électronique.
La Commission constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 la loi n° 1.165 du 23 décembre 1993.
V. Sur les destinataires et les personnes ayant accès au traitement
La Commission constate qu'il n'y a pas de destinataire des informations objets du présent traitement.
Le Directeur, l'Adjoint au Directeur, l'Attachée Principale et la Sténodactylographe ont un accès au traitement en inscription, modification, mise à jour, consultation et suppression.
Les personnes concernées disposent d'un accès en inscription, modification, mise à jour et consultation pour les informations les concernant, nécessaire à la gestion de leur compte personnel et de leurs commandes.
La Commission considère que ces accès sont justifiés.
VI. Sur les interconnexions
La Commission relève de l'analyse du dossier que le traitement est interconnecté avec la messagerie électronique, légalement mis en œuvre sous la finalité « Gestion des techniques automatisées d'informations et de communication ».
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Toutefois, concernant la journalisation des accès (logs) au traitement, la Commission relève que seule la dernière connexion effectuée de chaque personne habilitée à accéder au traitement est conservée. Aussi, elle demande que ces logs soient conservés entre 3 mois et un an.
De plus, elle demande que les mots de passe des comptes personnels des internautes soient réputés forts.
Enfin, l'architecture technique du système repose sur des équipements de raccordement (switchs, routeurs, pare-feux) de serveurs et périphériques qui doivent être protégés par un login et un mot de passe réputé fort et les ports non utilisés doivent être désactivés.
La Commission rappelle enfin que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII. Sur la durée de conservation
Les informations collectées sont conservées pour la durée de la validité du compte, qui peut être supprimé à la demande de la personne concernée. Les comptes demeurés inactifs plus d'un an sont également supprimés.
En ce qui concerne les cookies, ils ne doivent pas être conservés plus de 6 mois. Les nouvelles visites ne doivent pas prolonger la durée de vie de ces informations.
Après en avoir délibéré, la Commission :
Demande que les mots de passe des comptes personnels des internautes soient réputés forts.
Rappelle que les équipements de raccordement (switchs, routeurs, pare-feux) de serveurs et périphériques doivent être protégés par un login et un mot de passe réputé fort et que les ports non utilisés doivent être désactivés.
Fixe la durée de conservation :
- entre 3 mois et un an en ce qui concerne les logs de connexion ;
- à 6 mois en ce qui concerne les cookies de fonctionnement, étant précisé que chaque nouvelle visite sur le site ne doit pas conduire à prolonger leur durée de vie.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par la Commune de Monaco, du traitement automatisé d'informations nominatives ayant pour finalité « Billetterie du Jardin Exotique de Monaco ».

Le Président de la Commission
de Contrôle des Informations Nominatives.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2017.10.16.10.1