Délibération n° 2013-77 du 16 juillet 2013 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Site internet d’information au public » présenté par le Conseil Economique et Social
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’ordonnance souveraine n° 3.136 du 22 décembre 1945 instituant un Conseil Economique Provisoire, modifiée ;
Vu la demande d’avis déposée par le Président du Conseil Economique et Social le 21 juin 2013 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Site internet d’information au public » ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Le Conseil Economique et Social a été institué par l’ordonnance souveraine n° 3.136 du 22 décembre 1945, modifiée.
Le Conseil Economique et Social souhaite procéder à la mise en œuvre d’un site internet destiné à informer les internautes sur ses activités.
A ce titre, en application de l’article 7 de la loi n° 1.165 du 23 décembre 1993 concernant la mise en œuvre de traitements automatisés d’informations nominatives par des responsables de traitements personnes morales de droit public, le Président de ladite assemblée soumet la présente demande d’avis relative au traitement ayant pour finalité « Site internet d’information au public ».
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « Site internet d’information au public ».
Les personnes concernées sont « les membres et le Secrétariat du Conseil Economique et Social ainsi que tout utilisateur du site ».
Enfin, les fonctionnalités du traitement sont :
- diffuser au travers du site internet toute information relative à l’action du Conseil Economique et Social ;
- diffuser de façon automatisée ou non les communiqués de presse, communiqués administratifs et des actualités publiées par le Centre de Presse et autres institutions officielles monégasques ;
- diffuser les organigrammes, coordonnées et points de contact ;
- permettre au public d’entrer en contact électroniquement avec le Conseil Economique et Social, au moyen de formulaires de contact, contributions et suggestions ;
- permettre de déployer des espaces privés accessibles à des personnes autorisées et pour lesquelles il a été créé un compte d’utilisateur, afin de mettre à leur disposition des documents dédiés (publications, lettres d’information, notices, formulaires, flux RSS, etc.) ;
- permettre au Conseil Economique et Social d’envoyer des lettres d’informations (newsletters) ciblées, après souscription volontaire ;
- disposer des informations techniques permettant la gestion de la navigation sur les sites ;
- établir des statistiques de façon anonyme.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la justification du traitement
* Sur la licéité du traitement
Conformément à l’article 2 de l’ordonnance souveraine n° 3.136 du 22 décembre 1945 précitée, le Conseil Economique et Social est une « assemblée consultative », composée de 36 membres, « ayant pour fonctions de donner un avis sur les problèmes sociaux, financiers, touristiques, hôteliers, commerciaux, industriels, fonciers et d’urbanisme qui intéressent, d’une façon générale, la vie économique du Pays » .
La Commission considère que le traitement est licite, conformément à l’article 10-1 de la loi n° 1.165.
* Sur la justification du traitement
Le traitement est justifié par la réalisation d’un intérêt légitime poursuivi par le responsable de traitement.
A cet égard, la Commission relève que la mise en œuvre de ce site internet permettra d’informer le public sur ses activités et améliorera la visibilité autant nationale qu’internationale ainsi que le positionnement du Conseil Economique et Social au sein des assemblées similaires.
Ainsi, la Commission considère que le traitement est justifié, conformément à l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations objets du traitement sont les suivantes :
- identité : nom, prénom, civilité, photos ;
- adresses et coordonnées : adresse postale, téléphone, télécopie, adresse email ;
- formation - diplômes - vie professionnelle : parcours professionnel des membres du CES ou du Secrétariat du CES ;
- données d’identification électronique : adresse IP, identifiant, mot de passe (crypté) ;
- données de connexion : données d’horodatage, log de connexion de l’usager et du contributeur, données de messagerie de l’usager.
La Commission observe que les informations collectées relatives à l’identité, aux adresses et coordonnées ainsi qu’à la formation ont pour origine le membre de l’assemblée (après saisie par le Secrétariat du Conseil Economique et Social) ou l’utilisateur du site internet.
Enfin, les catégories d’informations concernant les données d’indentification électronique et de connexion proviennent du serveur web.
Ainsi, la Commission considère que les informations traitées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de
l’article 10-1 de la loi n° 1.165, modifiée.
IV. Sur les droits des personnes concernées
* Sur l’information des personnes concernées
L’information préalable des personnes concernées est effectuée par le biais d’une mention particulière intégrée dans un document d’ordre général accessible en ligne, dont les conditions générales d’utilisation sont annexées à la présente demande d’avis.
La Commission considère que les modalités d’information préalable sont conformes aux dispositions de l’article 14 de
la loi n° 1.165, modifiée.
* Sur l’exercice du droit d’accès
Les droits d’accès et de suppression sont exercés par un accès en ligne, par voie postale ainsi que sur place auprès du Conseil Economique et Social. Le délai de réponse est de 30 jours.
La Commission considère ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
- l’Administrateur de la Direction Informatique ou tiers intervenant pour son compte (tout accès dans le cadre de ses missions de maintenance, développement des applicatifs nécessaires au fonctionnement des sites et de sécurité des sites et du système d’information de l’Etat) ;
- le webmaster de la Direction de l’Administration Electronique et de l’Information aux Usagers ou tiers intervenant pour son compte (consultation, exploitation, validation et traitement des données) ;
- le personnel de l’Administration ou tiers intervenant pour son compte ayant un rôle lié à la contribution : référents, responsables éditoriaux, valideurs, webmasters (création, modification, suppression et validation de contenus aux fins de diffusion sur internet) ;
- le Secrétariat du Conseil Economique et Social (inscription, modification, suppression, consultation) ;
- les membres du Conseil Economique et Social (consultation).
Par ailleurs, il appert de l’analyse du dossier que le prestataire technique a également accès au traitement à des fins de maintenance du système.
Ainsi, considérant les attributions de chacune de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés, conformément aux dispositions légales.
En ce qui concerne le prestataire, la Commission rappelle toutefois que conformément aux dispositions de l’article 17 de la loi n° 1.165, modifiée, ses accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service.
VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observations particulières.
La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VII. Sur la durée de conservation
Les informations sont conservées :
- pour les informations affichées sur le site internet (organigrammes, missions, coordonnées professionnelles et parcours professionnel des membres qui le souhaitent) : tant que l’information est valide ;
- pour les espaces privés réservés aux membres du Conseil Economique et Social : jusqu’à désinscription, radiation ou 3 ans (correspondant à la fin du mandat) après la date de la dernière authentification ;
- pour les newsletters : jusqu’à désinscription de l’intéressé ;
- pour les communiqués de presse ou les actualités : 3 ans.
La Commission considère que ces durées de conservation sont conformes aux exigences légales.
Après en avoir délibéré,
Rappelle que les accès du prestataire doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service ;
A la condition de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Conseil Economique et Social, du traitement automatisé d’informations nominatives ayant pour finalité « Site internet d’information au public ».
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’ordonnance souveraine n° 3.136 du 22 décembre 1945 instituant un Conseil Economique Provisoire, modifiée ;
Vu la demande d’avis déposée par le Président du Conseil Economique et Social le 21 juin 2013 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Site internet d’information au public » ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Le Conseil Economique et Social a été institué par l’ordonnance souveraine n° 3.136 du 22 décembre 1945, modifiée.
Le Conseil Economique et Social souhaite procéder à la mise en œuvre d’un site internet destiné à informer les internautes sur ses activités.
A ce titre, en application de l’article 7 de la loi n° 1.165 du 23 décembre 1993 concernant la mise en œuvre de traitements automatisés d’informations nominatives par des responsables de traitements personnes morales de droit public, le Président de ladite assemblée soumet la présente demande d’avis relative au traitement ayant pour finalité « Site internet d’information au public ».
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « Site internet d’information au public ».
Les personnes concernées sont « les membres et le Secrétariat du Conseil Economique et Social ainsi que tout utilisateur du site ».
Enfin, les fonctionnalités du traitement sont :
- diffuser au travers du site internet toute information relative à l’action du Conseil Economique et Social ;
- diffuser de façon automatisée ou non les communiqués de presse, communiqués administratifs et des actualités publiées par le Centre de Presse et autres institutions officielles monégasques ;
- diffuser les organigrammes, coordonnées et points de contact ;
- permettre au public d’entrer en contact électroniquement avec le Conseil Economique et Social, au moyen de formulaires de contact, contributions et suggestions ;
- permettre de déployer des espaces privés accessibles à des personnes autorisées et pour lesquelles il a été créé un compte d’utilisateur, afin de mettre à leur disposition des documents dédiés (publications, lettres d’information, notices, formulaires, flux RSS, etc.) ;
- permettre au Conseil Economique et Social d’envoyer des lettres d’informations (newsletters) ciblées, après souscription volontaire ;
- disposer des informations techniques permettant la gestion de la navigation sur les sites ;
- établir des statistiques de façon anonyme.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la justification du traitement
* Sur la licéité du traitement
Conformément à l’article 2 de l’ordonnance souveraine n° 3.136 du 22 décembre 1945 précitée, le Conseil Economique et Social est une « assemblée consultative », composée de 36 membres, « ayant pour fonctions de donner un avis sur les problèmes sociaux, financiers, touristiques, hôteliers, commerciaux, industriels, fonciers et d’urbanisme qui intéressent, d’une façon générale, la vie économique du Pays » .
La Commission considère que le traitement est licite, conformément à l’article 10-1 de la loi n° 1.165.
* Sur la justification du traitement
Le traitement est justifié par la réalisation d’un intérêt légitime poursuivi par le responsable de traitement.
A cet égard, la Commission relève que la mise en œuvre de ce site internet permettra d’informer le public sur ses activités et améliorera la visibilité autant nationale qu’internationale ainsi que le positionnement du Conseil Economique et Social au sein des assemblées similaires.
Ainsi, la Commission considère que le traitement est justifié, conformément à l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations objets du traitement sont les suivantes :
- identité : nom, prénom, civilité, photos ;
- adresses et coordonnées : adresse postale, téléphone, télécopie, adresse email ;
- formation - diplômes - vie professionnelle : parcours professionnel des membres du CES ou du Secrétariat du CES ;
- données d’identification électronique : adresse IP, identifiant, mot de passe (crypté) ;
- données de connexion : données d’horodatage, log de connexion de l’usager et du contributeur, données de messagerie de l’usager.
La Commission observe que les informations collectées relatives à l’identité, aux adresses et coordonnées ainsi qu’à la formation ont pour origine le membre de l’assemblée (après saisie par le Secrétariat du Conseil Economique et Social) ou l’utilisateur du site internet.
Enfin, les catégories d’informations concernant les données d’indentification électronique et de connexion proviennent du serveur web.
Ainsi, la Commission considère que les informations traitées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de
l’article 10-1 de la loi n° 1.165, modifiée.
IV. Sur les droits des personnes concernées
* Sur l’information des personnes concernées
L’information préalable des personnes concernées est effectuée par le biais d’une mention particulière intégrée dans un document d’ordre général accessible en ligne, dont les conditions générales d’utilisation sont annexées à la présente demande d’avis.
La Commission considère que les modalités d’information préalable sont conformes aux dispositions de l’article 14 de
la loi n° 1.165, modifiée.
* Sur l’exercice du droit d’accès
Les droits d’accès et de suppression sont exercés par un accès en ligne, par voie postale ainsi que sur place auprès du Conseil Economique et Social. Le délai de réponse est de 30 jours.
La Commission considère ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
- l’Administrateur de la Direction Informatique ou tiers intervenant pour son compte (tout accès dans le cadre de ses missions de maintenance, développement des applicatifs nécessaires au fonctionnement des sites et de sécurité des sites et du système d’information de l’Etat) ;
- le webmaster de la Direction de l’Administration Electronique et de l’Information aux Usagers ou tiers intervenant pour son compte (consultation, exploitation, validation et traitement des données) ;
- le personnel de l’Administration ou tiers intervenant pour son compte ayant un rôle lié à la contribution : référents, responsables éditoriaux, valideurs, webmasters (création, modification, suppression et validation de contenus aux fins de diffusion sur internet) ;
- le Secrétariat du Conseil Economique et Social (inscription, modification, suppression, consultation) ;
- les membres du Conseil Economique et Social (consultation).
Par ailleurs, il appert de l’analyse du dossier que le prestataire technique a également accès au traitement à des fins de maintenance du système.
Ainsi, considérant les attributions de chacune de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés, conformément aux dispositions légales.
En ce qui concerne le prestataire, la Commission rappelle toutefois que conformément aux dispositions de l’article 17 de la loi n° 1.165, modifiée, ses accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service.
VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observations particulières.
La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VII. Sur la durée de conservation
Les informations sont conservées :
- pour les informations affichées sur le site internet (organigrammes, missions, coordonnées professionnelles et parcours professionnel des membres qui le souhaitent) : tant que l’information est valide ;
- pour les espaces privés réservés aux membres du Conseil Economique et Social : jusqu’à désinscription, radiation ou 3 ans (correspondant à la fin du mandat) après la date de la dernière authentification ;
- pour les newsletters : jusqu’à désinscription de l’intéressé ;
- pour les communiqués de presse ou les actualités : 3 ans.
La Commission considère que ces durées de conservation sont conformes aux exigences légales.
Après en avoir délibéré,
Rappelle que les accès du prestataire doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service ;
A la condition de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Conseil Economique et Social, du traitement automatisé d’informations nominatives ayant pour finalité « Site internet d’information au public ».
Le Président de la Commission
de Contrôle des Informations Nominatives.