icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-list-thumbnails icon-thumbnails

Délibération n° 2018-64 du 16 mai 2018 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des dossiers des contrôles alimentaires, sanitaires et vétérinaires » présenté par le Ministre d'État.

  • N° journal 8385
  • Date de publication 08/06/2018
  • Qualité 100%
  • N° de page

Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.330 du 8 janvier 2007 relative à la sécurité alimentaire ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l'Administration et l'administré ;
Vu l'Ordonnance Souveraine n° 5.640 du 14 décembre 2015 portant création d'une Direction de l'Action Sanitaire ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la demande d'avis déposée par le Ministre d'État le 20 février 2018 concernant la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion des dossiers des contrôles alimentaires, sanitaires et vétérinaires » ;
Vu la prorogation du délai d'examen de ladite demande d'avis notifiée au responsable de traitement le 18 avril 2018, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 16 mai 2018 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Direction de l'Action Sanitaire est chargée de toutes missions relatives à l'action sanitaire en Principauté.
Afin de mener à bien lesdites missions, notamment la prévention et le dépistage des maladies, elle souhaite mettre en place un traitement de gestion des dossiers de contrôles alimentaires, sanitaires et vétérinaires.
Le traitement automatisé d'informations nominatives objet de la présente délibération est donc soumis à l'avis de la Commission conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993\.
I.          Sur la finalité et les fonctionnalités du traitement
Ce traitement a pour finalité « Gestion des dossiers des contrôles alimentaires, sanitaires et vétérinaires ».
Les personnes concernées sont les personnes physiques (plaignant, contrevenant, propriétaire, exploitant), les personnes morales (sociétés, établissements, gestionnaires, syndics) et les fonctionnaires et agents de la Direction de l'Action Sanitaire.
Enfin, les fonctionnalités sont les suivantes :
Pour les utilisateurs :
-           traitement de dossiers de type : plainte, instruction de demande d'agrément, inspection ou contrôle, validation de l'objet social et autorisation ponctuelle ;
-           établissement d'accusés réception et correspondances relatives à la vie d'un dossier ;
-           établissement des documents préparatoires aux missions d'inspection ;
-           élaboration des comptes rendus d'inspection et correspondances relatives aux suites données ;
-           collecte et numérisation de pièces dans le cadre du traitement des dossiers ;
-           élaboration de plannings liés au traitement des dossiers ;
-           émission de mails ;
-           élaboration de rapports d'analyse dans le cadre du suivi de l'activité de la Division ;
-           statistiques et requêtes sur les plaintes, demandes d'agréments ou autorisations d'exercer et inspections.
Pour les administrateurs fonctionnels :
-           gestion des utilisateurs et leur(s) habilitation(s) ;
-           paramétrage des types de dossiers, écrans et modèles de documents liés aux dossiers ;
-           élaboration de requêtes ;
-           archivage et suppression des données.
La Commission constate ainsi que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II.         Sur la licéité et la justification du traitement
Le traitement est justifié par le respect d'une obligation légale à laquelle est soumis le responsable de traitement ainsi que par un motif d'intérêt public
À cet égard, la Commission constate que l'article 2 de l'Ordonnance Souveraine n° 5.640 du 14 décembre 2015 portant création de la Direction de l'Action Sanitaire, détaille les missions relatives à l'action sanitaire dont est chargée ladite Direction.
Elle prend ainsi note que la Direction de l'Action Sanitaire doit notamment « assurer la prévention et le dépistage des maladies, ainsi que la veille sanitaire », « contribuer à l'élaboration et à l'application des plans d'urgence ainsi qu'à la gestion des crises sanitaires », « contribuer à l'élaboration et à l'application des plans d'urgence, ainsi qu'à la gestion des crises sanitaires », « contribuer à l'élaboration de la politique de santé publique », « assurer une planification de l'offre de soins au regard des besoins de la population » et « accomplir toutes autres actions nécessaires en matière d'hygiène publique et de prévention sanitaire ».
La Commission relève également que le traitement dont s'agit permet aux fonctionnaires et agents de la Direction de l'Action Sanitaire d'accomplir leurs missions.
Elle considère donc que le traitement est justifié, conformément aux dispositions de l'article 10-2 de la loi n° 1.165 du 23 décembre 1993\.
III.        Sur les informations nominatives traitées
Les informations nominatives traitées sont :
         Informations personnelles d'ordre général :
-           données d'identification électronique : login, adresse mail ;
-           informations temporelles : données d'horodatage, logs de connexion de l'utilisateur et de l'administrateur.
Les données d'identification électronique ont pour origine l'Administrateur fonctionnel ou les personnes concernées.
Les informations temporelles ont pour origine le serveur Web (sécurisé).
         Informations personnelles du plaignant dans les dossiers de type « plainte » :
-           identité du plaignant et situation de famille : nom, nom d'usage, prénom, téléphone(s), composition du foyer et âge des occupants au moment de la plainte ;
-           identité du propriétaire du local/appartement/maison objet de la plainte : nom, prénom ;
-           identité du responsable du lieu objet de la plainte (syndic, agence immobilière) : nom, prénom ;
-           adresses et coordonnées : télécopie, adresse personnelle, adresse de la plainte, adresse électronique ;
-           information de suivi : numéro de la plainte, nature de la plainte, mode de formalisation (téléphone, mail, courrier, visite…), description du problème, action menée par la DASA, numérisation des pièces justificatives ou documents communiqués lors de la procédure.
Ces informations ont pour origine la personne concernée.
         Informations personnelles lors de contrôle de salubrité :
-           identité et situation de famille : nom,  nombre d'occupants, nombre d'enfants, nombre d'adultes ;
-           adresses et coordonnées : adresses du logement, numéro de téléphone, adresse électronique ;
-           logement : type et situation ;
-           information de suivi : origine du contrôle, description de la construction, du logement, description des pièces, numérisation des pièces justificatives ou documents communiqués lors de la procédure ;
-           données de santé : identification de la  pathologie respiratoire, type de la pathologie, certificat médical, nombre de personnes souffrant de la pathologie respiratoire, âge des personnes atteintes, sexe, réception de plaintes dans le cadre de toxi-infections alimentaires communes.
Les informations relatives à l'identité, la situation de famille et aux données de santé ont pour origine la personne concernée.
Les informations relatives aux adresses et coordonnées ont pour origine la personne concernée ou le(s) contrôleur(s).
Les informations relatives au logement et au suivi ont pour origine le(s) contrôleur(s).
         Informations personnelles des professionnels dans les dossiers de type « plainte », « création de société » ou « validation de l'objet social », « Demande d'agrément », « Contrôle ou Inspection » ou « Autorisation ponctuelle » :
-           identité : nom, nom d'usage, prénom, numéro d'agrément exploitant ;
-           adresses et coordonnées : adresse, téléphone(s), adresse électronique ;
-           vie professionnelle : fonction, numéro d'agrément exploitant, date d'agrément, date de fin d'agrément ;
-           information de suivi : date du rendez-vous, observations éventuelles, numérisation des pièces justificatives ou documents communiqués lors de la procédure.
Ces informations ont pour origine la personne concernée.
         Informations personnelles des tiers dans les dossiers de type « plainte » ou « Contrôle ou Inspection » :
-           identité : nom, nom d'usage, prénom ;
-           adresses et coordonnées : téléphone(s), télécopie, adresse, adresse électronique ;
-           vie professionnelle : fonction (s'il s'agit d'une personne morale : exemple syndics, gestionnaires, propriétaires…).
Ces informations ont pour origine la personne concernée ou le plaignant ou le tiers intervenant dans le cadre du dossier.
         Informations personnelles liées à l'établissement dans les dossiers de type « plainte », « création de société » ou « validation de l'objet social », « Demande d'agrément », « Contrôle ou Inspection » ou « Autorisation ponctuelle » :
-           identification de l'activité, de l'établissement ou du navire : raison sociale, enseigne, forme juridique, date d'ouverture de l'établissement, numéro de RCI, numéro d'immatriculation du navire ;
-           adresses et coordonnées : téléphone(s), télécopie, adresse de l'établissement, adresse de courrier, adresse du siège social ;
-           activité : date d'entrée en activité, date de cession d'activité, numéro d'agrément, établissement, date d'agrément, date de fin d'agrément, secteur d'activité, composition de l'Équipe, situation de l'établissement (propriétaire, locataire, domaine,…).
Ces informations ont pour origine l'exploitant ou le responsable de l'établissement.
         Informations personnelles des contrôleurs dans le cadre du traitement des dossiers :
-           identité : nom, prénom ;
-           adresses et coordonnées : téléphone, télécopie, adresse mail ;
-           vie professionnelle : fonction, fiche d'aptitude au contrôle alimentaire et au contact avec les denrées alimentaires ;
-           information de suivi : numéro de rapport, bilan et rapport, numérisation des pièces justificatives ou documents communiqués lors de la procédure.
Ces informations ont pour origine l'Administrateur fonctionnel ou les personnes concernées.
La Commission considère ainsi que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
IV.       Sur les droits des personnes concernées
         Sur l'information préalable des personnes concernées
L'information préalable des personnes concernées est effectuée par le biais d'une mention ou clause particulière intégrée dans un document remis à l'intéressé ainsi que par le biais d'un affichage.
Ces documents n'ayant pas été joints à la demande, la Commission rappelle que ceux-ci doivent impérativement comporter l'ensemble des mentions prévues à l'article 14 de la loi n° 1.165 du 23 décembre 1993.
         Sur l'exercice du droit d'accès, de modification et de mise à jour
Le droit d'accès s'exerce sur place auprès de la Direction de l'Action Sanitaire.
La Commission constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.
V.        Sur les destinataires et les personnes ayant accès au traitement
         Sur les destinataires
Le responsable de traitement indique que les informations sont susceptibles d'être communiquées aux autres services de l'État, à savoir principalement l'Administration des Domaines, la Direction de la Prospective, de l'Urbanisme et de la Mobilité, la Direction de l'Aménagement Urbain, la Direction de l'Environnement, la Direction de l'Action et de l'Aide Sociale et la Mairie.
À cet égard, la Commission rappelle qu'en cas de transmission, les services de l'État ne pourront avoir communication des informations que dans le strict cadre de leurs missions légalement conférées.
Le responsable de traitement indique également que les informations sont susceptibles d'être transmises aux tiers intervenant dans le cadre du dossier traité, à savoir les voisins, les propriétaires, les syndics, les sociétés (travaux, nettoyage, décontamination), les gestionnaires, les gérants et les exploitants.
La Commission rappelle en conséquence que de telles communications ne peuvent avoir lieu que de manière ponctuelle et uniquement en fonction dudit dossier.
Sous ces conditions, elle considère donc que ces transmissions sont conformes aux exigences légales.
         Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
-           les fonctionnaires et agents de la Direction de l'Action Sanitaire ou tiers habilités intervenant pour leur compte ayant un profil utilisateur dans l'outil : inscription, modification et consultation ;
-           les fonctionnaires et agents de la Direction de l'Action Sanitaire ou tiers habilités intervenant pour leur compte ayant un profil utilisateur fonctionnel ayant pour mission la gestion des utilisateurs dans l'outil ainsi que la gestion du paramétrage des dossiers et des modèles de document liés aux dossiers : inscription, modification et consultation ;
-           les fonctionnaires et agents de la Direction Informatique ou tiers habilités intervenant pour son compte (sous contrat) : tout accès dans le cadre des missions de maintenance, des développements nécessaires au fonctionnement de l'outil et de sécurité ;
-           les fonctionnaires et agents de la Direction de l'Administration Électronique et de l'Information aux Usagers ou tiers intervenant pour son compte (sous contrat) ayant un rôle d'assistance à maîtrise d'ouvrage sur sollicitation de la Direction de l'Action Sanitaire : inscription, modification et consultation.
Considérant les attributions de chacune de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.
VI.       Sur les interconnexions et rapprochements
Le responsable de traitement indique que le présent traitement fait l'objet d'une interconnexion avec un traitement ayant pour finalité « Gestion des techniques automatisées de communication ».
La Commission prend acte que ce traitement a été légalement mis en œuvre.
VII.      Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation particulière.
La Commission rappelle néanmoins que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
Elle rappelle également que la copie ou l'extraction d'informations issues de ce traitement devra être chiffrée sur son support de réception.
Par ailleurs toute communication d'informations confidentielles et/ou sensibles par voie électronique doit être sécurisée.
La Commission rappelle également que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII.     Sur la durée de conservation
Les informations relatives aux données d'identification électronique d'un fonctionnaire sont conservées jusqu'à 3 mois après le départ dudit fonctionnaire de l'Administration.
Les informations temporelles sont conservées 3 mois.
Les informations collectées dans le cadre de l'instruction des dossiers de type « plainte » ou « contrôle ou inspection », ainsi que les informations collectées lors d'un contrôle de salubrité sont conservées 11 ans à compter de la clôture du contrôle s'il ne donne pas lieu à poursuite, ou, à compter de la décision de la juridiction compétente devenue définitive, puis soumis aux procédures du SCADA.
Les informations collectées dans le cadre de l'instruction des dossiers de type « plainte », « création de société ou validation de l'objet social », « demande d'agrément », « contrôle ou inspection » ou « autorisation ponctuelle » sont conservées 5 ans après la radiation de la société (en l'absence de procédure en cours).
Les informations liées aux contrôleurs dans le cadre du traitement des dossiers sont conservées soit jusqu'à 3 mois après le départ du fonctionnaire de l'Administration soit le temps de la durée de conservation du dossier géré (plainte, « création de société », « validation de l'objet social », « demande d'agrément », « Contrôle ou inspection » ou « Autorisation ponctuelle »).
La Commission considère que ces durées sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Rappelle que :
-           les documents d'information doivent impérativement comporter l'ensemble des mentions prévues à l'article 14 de la loi n° 1.165 du 23 décembre 1993 ;
-           les services de l'État ne pourront avoir communication des informations que dans le strict cadre de leurs missions légalement conférées ;
-           les tiers intervenant dans le cadre d'un dossier ne pourront avoir communication des informations que de manière ponctuelle et uniquement en fonction dudit dossier ;
-           les ports non utilisés doivent être désactivés et les serveurs, périphériques,  équipements de raccordements (switchs, routeurs, pare-feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort ;
-           la copie ou l'extraction d'informations issues de ce traitement devra être chiffrée sur son support de réception ;
-           toute communication d'informations confidentielles et/ou sensibles par voie électronique doit être sécurisée.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par le Ministre d'État du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des dossiers des contrôles alimentaires, sanitaires et vétérinaires ».


Le Président de la Commission de
Contrôle des Informations Nominatives.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2017.10.16.10.1