Déliberation n° 2013-127 du 21 octobre 2013 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la modification du traitement automatisé d’informations nominatives ayant pour finalité « Fichier d’adresses pour la consultation du magazine du Conseil National en version numérique », présenté par le Conseil National
Vu la Constitution ;
Vu la Convention de sauvegarde des Droits de l’Homme et des Libertés fondamentales du Conseil de l’Europe du 4 novembre 1950, et notamment son article 10 ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu la loi n° 839 du février 1968 sur les élections nationales et communales ;
Vu la loi n° 771 du 25 juillet 1964 sur l’organisation et le fonctionnement du Conseil National ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’ordonnance du 15 avril 1911 sur le fonctionnement du Conseil National ;
Vu la délibération n° 2013-19 du 22 janvier 2013 de la Commission portant avis favorable sur la demande présentée par le Conseil National relative à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Fichier d’adresses pour la consultation du « Courrier du Conseil National » en version numérique » ;
Vu la demande d’avis modificative déposée par le Conseil National le 4 septembre 2013, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Permettre la consultation de la version électronique de « 24 » » ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 21 octobre 2013 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Le Conseil National est une Institution publique consacrée par la Constitution, ainsi que par la loi n° 771 du 25 juillet 1964 et l’ordonnance du 15 avril 1911, susvisées.
Ses services relèvent de l’autorité hiérarchique du Président du Conseil National, dont le fonctionnement est défini par un règlement intérieur soumis au contrôle du Tribunal Suprême.
Ainsi, le Conseil National revêt le statut d’autorité publique au sens de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives.
Afin de communiquer sur ses activités institutionnelles, il exploite un traitement automatisé d’informations nominatives ayant pour finalité « Fichier d’adresses pour la consultation du « Courrier du Conseil National » en version numérique », mis en œuvre après avis favorable de la Commission par délibération n° 2013-19 du 22 janvier 2013.
Aujourd’hui, suite à certaines modifications apportées aux modalités d’exploitation dudit traitement, le Conseil National entend soumettre une demande d’avis modificative, en application de l’article 9 de la loi n° 1.165, modifiée.
I. Sur la finalité et les fonctionnalités du traitement
Le responsable de traitement indique que le traitement a pour nouvelle finalité « Permettre la consultation de la version électronique de « 24 » ».
Il s’agit en l’espèce d’un fichier Excel répertoriant les emails des personnes ayant demandé à pouvoir consulter la nouvelle édition du magazine du Conseil National intitulé « 24 », disponible en version numérique.
A cet égard, dans le cadre de la délibération n° 2013-19 du 22 janvier 2013, la Commission avait décidé de reformuler la finalité afin qu’elle soit « explicite », conformément aux exigences de l’article 10-1 de la loi n° 1.165, modifiée.
Or à l’examen de la demande d’avis modificative, elle constate que cette reformulation n’a pas été prise en compte par le responsable de traitement.
En outre, afin d’éviter qu’une formalité modificative ne soit nécessaire à chaque changement de dénomination du magazine du Conseil National, la Commission estime approprié d’exclure ladite dénomination de la finalité du traitement, et d’employer des termes génériques.
Elle décide donc de reformuler la finalité du traitement comme suit : « Fichier d’adresses pour la consultation du magazine du Conseil National en version numérique ».
Par ailleurs, le responsable de traitement indique que les fonctionnalités du traitement sont les suivantes :
- gestion de la liste des personnes souhaitant consulter la version électronique de « 24 » ;
- envoi subséquent d’un email comprenant la version en format PDF de ce document.
Toutefois, à l’analyse des pièces jointes à la demande d’avis, il appert que ce traitement permet d’adresser non pas un fichier PDF par email, mais un lien Internet redirigeant les personnes vers une version interactive du document, lequel peut également être téléchargé en PDF.
La Commission en prend donc acte.
Enfin, les personnes concernées demeurent inchangées, Il s’agit des « personnes, institutions monégasques et toute personne en faisant la demande ».
Il. Sur la licéité du traitement
Les modifications apportées aux modalités d’exploitation du traitement ne remettent pas en cause sa licéité, telle qu’examinée par la Commission dans le cadre de la délibération n° 2013-19 du 22 janvier 2013.
III. Sur la justification du traitement
Les justifications du traitement demeurent inchangées.
La Commission estime donc que le traitement tel que modifié est justifié, conformément à l’article 10-2 de la loi n° 1.165, modifiée.
Elle rappelle toutefois, comme indiqué dans le cadre de la délibération n° 2013-19, précitée, que le motif d’intérêt public invoqué par le responsable de traitement ne permet pas de justifier la constitution d’un fichier d’adresses email, mais plutôt la mise en œuvre d’un traitement distinct, à savoir le traitement ayant pour finalité la conception du magazine du Conseil National. Or ce traitement n’a, à ce jour, toujours pas été soumis à l’avis de la Commission, malgré sa demande.
Ce traitement entre en effet dans le cadre de la loi n° 1.165, dans la mesure où le magazine du Conseil National comporte des informations nominatives telles que noms, prénoms, photographies de personnes. Or ces informations sont exploitées dans le cadre d’un traitement automatisé lors de la conception de chaque nouveau numéro du magazine.
Au vu de ces éléments, la Commission demande à ce que lui soit adressée dans les plus brefs délais une demande d’avis pour la régularisation de ce traitement.
IV. Sur les informations traitées
Les informations objets du traitement demeurent inchangées, et sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
V. Sur les droits des personnes concernées
• Sur l’information des personnes concernées
Le responsable de traitement indique que l’information préalable des personnes concernées est effectuée par le biais d’une mention insérée dans chaque correspondance email.
Un modèle de cette mention est joint au dossier. La Commission constate que celle-ci comprend l’ensemble des éléments exigés par l’article 14 de la loi n° 1.165, modifiée. Elle rappelle toutefois que la finalité du traitement devra être rectifiée, comme indiqué au point I de la présente délibération.
Par ailleurs, la Commission relève que la mention d’information insérée dans le magazine « 24 » est insuffisante, en ce qu’elle n’indique pas la finalité du traitement dont s’agit, à savoir le traitement ayant pour finalité la conception du magazine du Conseil National, Il conviendra donc de la compléter à l’occasion de la régularisation du traitement dont s’agit.
• Sur l’exercice des droits d’accès, de modification et de suppression
La Commission observe que les modalités d’exercice, par les personnes concernées, de leurs droits d’accès, de modification et de suppression demeurent inchangées et sont conformes aux exigences légales.
VI. Sur les destinataires et les personnes ayant accès au traitement
• Sur les destinataires
Dans le cadre de la première demande d’avis, le responsable de traitement précisait qu’aucun de ses deux prestataires (graphique/impression et maintenance) n’étaient destinataires des données, objets du traitement. Le seul destinataire mentionné était le Service Communication du Conseil National, qui ne répond pas à la définition de « destinataire » au sens de l’article ler de la loi n° 1.165, modifiée, dans la mesure où il s’agit d’un service interne agissant sous l’autorité directe du responsable de traitement.
Toutefois, dans le cadre de la présente demande d’avis modificative, le responsable de traitement indique n’avoir plus qu’un seul prestataire (graphique/impression), lequel est destinataire des données du traitement.
Or au regard de sa mission, la Commission ne considère pas justifié que le fichier d’adresses email des personnes ayant souscrit à l’abonnement électronique du magazine du Conseil National soit communiqué audit prestataire. Il n’en va toutefois pas de même du traitement ayant pour finalité la conception du magazine, en attente de régularisation.
Au vu de ces éléments, et bien que la Commission estime qu’il s’agisse plus probablement d’une erreur matérielle, elle demande que les données objets du présent traitement ne soit pas transmises au prestataire susvisé, le cas échéant.
• Sur les personnes ayant accès au traitement
Les personnes ayant accès au traitement sont les membres du Service Communication du Conseil National (2 personnes), et leurs droits d’accès demeurent inchangés et conformes à la loi n° 1.165, modifiée.
Toutefois, le responsable de traitement ne fait plus mention d’un prestataire chargé de la maintenance dans le cadre de la demande d’avis modificative. La Commission en prend donc acte et relève que cette fonction est attribuée à l’Administrateur informatique, qui dispose à cet effet de tous les droits d’accès nécessaires à l’accomplissement de celle mission.
VII. Sur la sécurité du traitement et des informations qu’il contient
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
Enfin, en cas de dysfonctionnement des serveurs sur lesquels les données sont stockées, la Commission recommande au responsable de traitement de s’assurer qu’aucune information nominative ne soit accessible par le prestataire (constructeur ou autre) en charge de la maintenance des équipements. A cet égard, le support devra être détruit, ou son contenu effacé (formatage couche basse) en cas de restitution du support pour réparation.
VIII. Sur la durée de conservation
La durée de conservation des données reste inchangée et conforme aux exigences légales.
Après en avoir délibéré :
Demande que :
- la reformulation de la finalité du traitement soit prise en compte par le responsable de traitement ;
- la mention d’information insérée dans les emails adressés aux personnes concernées soit rectifiée afin de prendre en compte cette reformulation de finalité ;
- la mention d’information intégrée dans le magazine du Conseil National soit complétée, en indiquant la finalité du traitement permettant la conception de celle publication ;
- le traitement y afférent soit soumis à l’avis de la Commission dans les plus brefs délais à des fins de régularisation immédiate, conformément à l’article 7 de la loi n° 1.165, modifiée ;
- les recommandations de sécurité formulées par la Commission soient prises en compte ;
A la condition de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la modification du traitement automatisé d’informations nominatives ayant pour finalité « Fichier d’adresses pour la Consultation du magazine du Conseil National en version numérique », par le Conseil National.
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu la Convention de sauvegarde des Droits de l’Homme et des Libertés fondamentales du Conseil de l’Europe du 4 novembre 1950, et notamment son article 10 ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu la loi n° 839 du février 1968 sur les élections nationales et communales ;
Vu la loi n° 771 du 25 juillet 1964 sur l’organisation et le fonctionnement du Conseil National ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’ordonnance du 15 avril 1911 sur le fonctionnement du Conseil National ;
Vu la délibération n° 2013-19 du 22 janvier 2013 de la Commission portant avis favorable sur la demande présentée par le Conseil National relative à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Fichier d’adresses pour la consultation du « Courrier du Conseil National » en version numérique » ;
Vu la demande d’avis modificative déposée par le Conseil National le 4 septembre 2013, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Permettre la consultation de la version électronique de « 24 » » ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 21 octobre 2013 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Le Conseil National est une Institution publique consacrée par la Constitution, ainsi que par la loi n° 771 du 25 juillet 1964 et l’ordonnance du 15 avril 1911, susvisées.
Ses services relèvent de l’autorité hiérarchique du Président du Conseil National, dont le fonctionnement est défini par un règlement intérieur soumis au contrôle du Tribunal Suprême.
Ainsi, le Conseil National revêt le statut d’autorité publique au sens de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives.
Afin de communiquer sur ses activités institutionnelles, il exploite un traitement automatisé d’informations nominatives ayant pour finalité « Fichier d’adresses pour la consultation du « Courrier du Conseil National » en version numérique », mis en œuvre après avis favorable de la Commission par délibération n° 2013-19 du 22 janvier 2013.
Aujourd’hui, suite à certaines modifications apportées aux modalités d’exploitation dudit traitement, le Conseil National entend soumettre une demande d’avis modificative, en application de l’article 9 de la loi n° 1.165, modifiée.
I. Sur la finalité et les fonctionnalités du traitement
Le responsable de traitement indique que le traitement a pour nouvelle finalité « Permettre la consultation de la version électronique de « 24 » ».
Il s’agit en l’espèce d’un fichier Excel répertoriant les emails des personnes ayant demandé à pouvoir consulter la nouvelle édition du magazine du Conseil National intitulé « 24 », disponible en version numérique.
A cet égard, dans le cadre de la délibération n° 2013-19 du 22 janvier 2013, la Commission avait décidé de reformuler la finalité afin qu’elle soit « explicite », conformément aux exigences de l’article 10-1 de la loi n° 1.165, modifiée.
Or à l’examen de la demande d’avis modificative, elle constate que cette reformulation n’a pas été prise en compte par le responsable de traitement.
En outre, afin d’éviter qu’une formalité modificative ne soit nécessaire à chaque changement de dénomination du magazine du Conseil National, la Commission estime approprié d’exclure ladite dénomination de la finalité du traitement, et d’employer des termes génériques.
Elle décide donc de reformuler la finalité du traitement comme suit : « Fichier d’adresses pour la consultation du magazine du Conseil National en version numérique ».
Par ailleurs, le responsable de traitement indique que les fonctionnalités du traitement sont les suivantes :
- gestion de la liste des personnes souhaitant consulter la version électronique de « 24 » ;
- envoi subséquent d’un email comprenant la version en format PDF de ce document.
Toutefois, à l’analyse des pièces jointes à la demande d’avis, il appert que ce traitement permet d’adresser non pas un fichier PDF par email, mais un lien Internet redirigeant les personnes vers une version interactive du document, lequel peut également être téléchargé en PDF.
La Commission en prend donc acte.
Enfin, les personnes concernées demeurent inchangées, Il s’agit des « personnes, institutions monégasques et toute personne en faisant la demande ».
Il. Sur la licéité du traitement
Les modifications apportées aux modalités d’exploitation du traitement ne remettent pas en cause sa licéité, telle qu’examinée par la Commission dans le cadre de la délibération n° 2013-19 du 22 janvier 2013.
III. Sur la justification du traitement
Les justifications du traitement demeurent inchangées.
La Commission estime donc que le traitement tel que modifié est justifié, conformément à l’article 10-2 de la loi n° 1.165, modifiée.
Elle rappelle toutefois, comme indiqué dans le cadre de la délibération n° 2013-19, précitée, que le motif d’intérêt public invoqué par le responsable de traitement ne permet pas de justifier la constitution d’un fichier d’adresses email, mais plutôt la mise en œuvre d’un traitement distinct, à savoir le traitement ayant pour finalité la conception du magazine du Conseil National. Or ce traitement n’a, à ce jour, toujours pas été soumis à l’avis de la Commission, malgré sa demande.
Ce traitement entre en effet dans le cadre de la loi n° 1.165, dans la mesure où le magazine du Conseil National comporte des informations nominatives telles que noms, prénoms, photographies de personnes. Or ces informations sont exploitées dans le cadre d’un traitement automatisé lors de la conception de chaque nouveau numéro du magazine.
Au vu de ces éléments, la Commission demande à ce que lui soit adressée dans les plus brefs délais une demande d’avis pour la régularisation de ce traitement.
IV. Sur les informations traitées
Les informations objets du traitement demeurent inchangées, et sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
V. Sur les droits des personnes concernées
• Sur l’information des personnes concernées
Le responsable de traitement indique que l’information préalable des personnes concernées est effectuée par le biais d’une mention insérée dans chaque correspondance email.
Un modèle de cette mention est joint au dossier. La Commission constate que celle-ci comprend l’ensemble des éléments exigés par l’article 14 de la loi n° 1.165, modifiée. Elle rappelle toutefois que la finalité du traitement devra être rectifiée, comme indiqué au point I de la présente délibération.
Par ailleurs, la Commission relève que la mention d’information insérée dans le magazine « 24 » est insuffisante, en ce qu’elle n’indique pas la finalité du traitement dont s’agit, à savoir le traitement ayant pour finalité la conception du magazine du Conseil National, Il conviendra donc de la compléter à l’occasion de la régularisation du traitement dont s’agit.
• Sur l’exercice des droits d’accès, de modification et de suppression
La Commission observe que les modalités d’exercice, par les personnes concernées, de leurs droits d’accès, de modification et de suppression demeurent inchangées et sont conformes aux exigences légales.
VI. Sur les destinataires et les personnes ayant accès au traitement
• Sur les destinataires
Dans le cadre de la première demande d’avis, le responsable de traitement précisait qu’aucun de ses deux prestataires (graphique/impression et maintenance) n’étaient destinataires des données, objets du traitement. Le seul destinataire mentionné était le Service Communication du Conseil National, qui ne répond pas à la définition de « destinataire » au sens de l’article ler de la loi n° 1.165, modifiée, dans la mesure où il s’agit d’un service interne agissant sous l’autorité directe du responsable de traitement.
Toutefois, dans le cadre de la présente demande d’avis modificative, le responsable de traitement indique n’avoir plus qu’un seul prestataire (graphique/impression), lequel est destinataire des données du traitement.
Or au regard de sa mission, la Commission ne considère pas justifié que le fichier d’adresses email des personnes ayant souscrit à l’abonnement électronique du magazine du Conseil National soit communiqué audit prestataire. Il n’en va toutefois pas de même du traitement ayant pour finalité la conception du magazine, en attente de régularisation.
Au vu de ces éléments, et bien que la Commission estime qu’il s’agisse plus probablement d’une erreur matérielle, elle demande que les données objets du présent traitement ne soit pas transmises au prestataire susvisé, le cas échéant.
• Sur les personnes ayant accès au traitement
Les personnes ayant accès au traitement sont les membres du Service Communication du Conseil National (2 personnes), et leurs droits d’accès demeurent inchangés et conformes à la loi n° 1.165, modifiée.
Toutefois, le responsable de traitement ne fait plus mention d’un prestataire chargé de la maintenance dans le cadre de la demande d’avis modificative. La Commission en prend donc acte et relève que cette fonction est attribuée à l’Administrateur informatique, qui dispose à cet effet de tous les droits d’accès nécessaires à l’accomplissement de celle mission.
VII. Sur la sécurité du traitement et des informations qu’il contient
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
Enfin, en cas de dysfonctionnement des serveurs sur lesquels les données sont stockées, la Commission recommande au responsable de traitement de s’assurer qu’aucune information nominative ne soit accessible par le prestataire (constructeur ou autre) en charge de la maintenance des équipements. A cet égard, le support devra être détruit, ou son contenu effacé (formatage couche basse) en cas de restitution du support pour réparation.
VIII. Sur la durée de conservation
La durée de conservation des données reste inchangée et conforme aux exigences légales.
Après en avoir délibéré :
Demande que :
- la reformulation de la finalité du traitement soit prise en compte par le responsable de traitement ;
- la mention d’information insérée dans les emails adressés aux personnes concernées soit rectifiée afin de prendre en compte cette reformulation de finalité ;
- la mention d’information intégrée dans le magazine du Conseil National soit complétée, en indiquant la finalité du traitement permettant la conception de celle publication ;
- le traitement y afférent soit soumis à l’avis de la Commission dans les plus brefs délais à des fins de régularisation immédiate, conformément à l’article 7 de la loi n° 1.165, modifiée ;
- les recommandations de sécurité formulées par la Commission soient prises en compte ;
A la condition de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la modification du traitement automatisé d’informations nominatives ayant pour finalité « Fichier d’adresses pour la Consultation du magazine du Conseil National en version numérique », par le Conseil National.
Le Président de la Commission
de Contrôle des Informations Nominatives.