Délibération n° 2015-92 du 4 novembre 2015 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Système de vidéosurveillance de l’immeuble « Helios » » présenté par le Ministre d’Etat
Vu la Constitution ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la Recommandation du Conseil de l’Europe n° R(89)2 du 19 janvier 1989 sur la protection des données à caractère personnel utilisées à des fins d’emploi ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu la délibération n° 2011-83 de la Commission du 15 novembre 2011 portant recommandation sur les dispositifs de vidéosurveillance mis en œuvre dans les immeubles d’habitation ;
Vu la demande d’avis déposée par le Ministre d’Etat le 5 août 2015 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Système de vidéosurveillance de l’immeuble « Helios » » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 1er octobre 2015, conformément à l’article 19 de l’ordonnance souveraine n° 2.230 susmentionnée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 4 novembre 2015 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
L’immeuble « Helios », situé sur l’Ilot Canton, appartient aux Domaines de l’Etat.
Afin de garantir la sécurité des biens et des personnes se trouvant à l’intérieur de ces immeubles, l’Administration des Domaines souhaite exploiter un traitement automatisé d’informations nominatives ayant pour finalité « Système de vidéosurveillance de l’immeuble « Helios » ».
Le traitement automatisé d’informations nominatives objet de la présente délibération est soumis à l’avis de la Commission conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives.
I.Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « Système de vidéosurveillance de l’immeuble « Helios » ».
Les personnes concernées sont « les résidents, les visiteurs, les employés (toute personne entrant dans l’immeuble) ».
La Commission rappelle que le traitement ne saurait conduire à une surveillance permanente et inopportune des résidents ou de leurs visiteurs, ni permettre le contrôle du travail ou du temps de travail du personnel au sein de immeuble.
Les fonctionnalités du traitement sont les suivantes :
-assurer la sécurité des biens ;
-assurer la sécurité des personnes ;
-permettre la constitution de preuves en cas d’infraction.
Au vu de ces éléments, la Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II.Sur la licéité et la justification du traitement
•Sur la licéité du traitement
L’immeuble dont s’agit appartient au domaine privé de l’Etat.
A ce titre, ce dernier a décidé, en tant que propriétaire unique, la mise en place d’un système de vidéosurveillance aux fins d’assurer la sécurité de son bien et des personnes qui y pénètrent, dans le respect des dispositions de la loi n° 1.165, modifiée.
•Sur la justification
Le responsable de traitement indique que le traitement est justifié par la réalisation d’un intérêt légitime, sans que soient méconnus les libertés et droits fondamentaux des personnes concernées.
A cet égard, la Commission constate que l’installation d’un système de vidéosurveillance a pour but de renforcer la protection des biens et des personnes et que les caméras ont été implantées de manière à minimiser les risques d’atteintes à la vie privée, en application de l’article 10-2 de la loi n° 1.165, modifiée.
Elle relève également que le responsable de traitement précise que les caméras sont fixes et sans zoom, et seront orientées vers les entrées d’immeuble, les entrées de parking et filment uniquement les parties communes, hors parties privatives.
La Commission considère donc que le traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
III.Sur les informations traitées
Les informations nominatives traitées sont les suivantes :
-identité : image des personnes ;
-informations temporelles et horodatage : lieux, dates, heures ;
-données d’identification électronique : login de connexion.
Ces informations collectées ont pour origine le dispositif de vidéosurveillance lui-même.
La Commission considère que les informations traitées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV.Sur les droits des personnes concernées
•Sur l’information des personnes concernées
Le responsable de traitement indique que l’information préalable des personnes concernées est effectuée par le biais d’un affichage. En effet, le responsable de traitement indique que « Des avis sont mis dans les tableaux d’affichage afin de rappeler la vidéo ».
Toutefois, ces pièces n’ayant pas été communiquées, la Commission rappelle que l’affichage devra comporter, a minima, un pictogramme représentant une caméra, ainsi que le nom de la personne ou du service auprès de qui s’exerce le droit d’accès.
Sous cette condition, la Commission considère que les modalités d’information préalable sont conformes aux dispositions de l’article 14 de la loi n° 1.165, modifiée.
•Sur l’exercice du droit d’accès
La Commission observe que le droit d’accès est exercé sur place auprès du Cabinet chargé de l’administration de l’immeuble « Helios ». Les droits de suppression des données sont exercés selon les mêmes modalités.
Le délai de réponse s’effectue sous trente jours.
La Commission constate ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V.Sur les destinataires et les personnes ayant accès au traitement
•Sur les destinataires
Les informations collectées dans le cadre du traitement sont susceptibles d’être communiquées à la Direction de la Sûreté Publique.
La Commission estime que la communication à la Direction de la Sûreté Publique peut être justifiée par les besoins d’une enquête judiciaire. A cet égard, elle rappelle qu’en cas de transmission, les Services de Police ne pourront avoir accès aux informations objet du traitement, que dans le strict cadre de leurs missions légalement conférées.
Dans ces conditions, la Commission estime que de telles transmissions sont conformes aux dispositions de l’article 17-1 de la loi n° 1.165, modifiée.
•Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
-le Gérant et le Responsable de Gestion de l’Administrateur de Biens ;
-le prestataire informatique.
Considérant les attributions des membres du Cabinet Vivalda, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.
La Commission note que le gardien de l’immeuble visualise les images en temps réel uniquement et relève qu’il a un devoir de confidentialité et ne peut en aucun cas commenter les images avec les résidents.
En ce qui concerne le prestataire, la Commission rappelle toutefois que conformément aux dispositions de l’article 17 de la loi n° 1.165, modifiée, ses droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service. De plus, celui-ci est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de l’article 17, susvisé.
Ainsi, elle considère que les accès au traitement sont conformes aux dispositions légales.
VI.Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
La Commission relève néanmoins que les différentes architectures de vidéosurveillance reposent sur des équipements de raccordement de serveurs et périphériques qui doivent être protégés par un login et un mot de passe et que les ports non utilisés doivent être désactivés.
Elle rappelle que la copie ou l’extraction d’informations issues de ce traitement devra être chiffrée sur son support de réception, conformément à la délibération n° 2010-13 précitée.
La Commission rappelle également que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VII.Sur la durée de conservation
La Commission relève que les informations nominatives collectées par le système de vidéosurveillance sont conservées pour une durée d’un mois.
La Commission considère que la durée de conservation est conforme aux exigences légales.
Après en avoir délibéré, la Commission :
Rappelle que :
-le traitement ne saurait conduire à une surveillance permanente et inopportune des résidents ou de leurs visiteurs, ni permettre le contrôle du travail ou du temps de travail du personnel au sein de l’immeuble ;
-l’affichage devra comporter, a minima, un pictogramme représentant une caméra, ainsi que le nom de la personne ou du service auprès de qui s’exerce le droit d’accès ;
-les Services de Police, peuvent être rendus destinataires d’images en cas d’incident, dans le strict cadre de leurs missions légalement conférées ;
-la copie ou l’extraction d’informations issues de ce traitement devra être chiffrée sur son support de réception ;
-les équipements de raccordements de serveurs et périphériques doivent être protégés par un login et un mot de passe et les ports non utilisés doivent être désactivés.
A la condition de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’Etat, du traitement automatisé d’informations nominatives ayant pour finalité « Système de vidéosurveillance de l’immeuble « Helios » ».
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la Recommandation du Conseil de l’Europe n° R(89)2 du 19 janvier 1989 sur la protection des données à caractère personnel utilisées à des fins d’emploi ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu la délibération n° 2011-83 de la Commission du 15 novembre 2011 portant recommandation sur les dispositifs de vidéosurveillance mis en œuvre dans les immeubles d’habitation ;
Vu la demande d’avis déposée par le Ministre d’Etat le 5 août 2015 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Système de vidéosurveillance de l’immeuble « Helios » » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 1er octobre 2015, conformément à l’article 19 de l’ordonnance souveraine n° 2.230 susmentionnée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 4 novembre 2015 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
L’immeuble « Helios », situé sur l’Ilot Canton, appartient aux Domaines de l’Etat.
Afin de garantir la sécurité des biens et des personnes se trouvant à l’intérieur de ces immeubles, l’Administration des Domaines souhaite exploiter un traitement automatisé d’informations nominatives ayant pour finalité « Système de vidéosurveillance de l’immeuble « Helios » ».
Le traitement automatisé d’informations nominatives objet de la présente délibération est soumis à l’avis de la Commission conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives.
I.Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « Système de vidéosurveillance de l’immeuble « Helios » ».
Les personnes concernées sont « les résidents, les visiteurs, les employés (toute personne entrant dans l’immeuble) ».
La Commission rappelle que le traitement ne saurait conduire à une surveillance permanente et inopportune des résidents ou de leurs visiteurs, ni permettre le contrôle du travail ou du temps de travail du personnel au sein de immeuble.
Les fonctionnalités du traitement sont les suivantes :
-assurer la sécurité des biens ;
-assurer la sécurité des personnes ;
-permettre la constitution de preuves en cas d’infraction.
Au vu de ces éléments, la Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II.Sur la licéité et la justification du traitement
•Sur la licéité du traitement
L’immeuble dont s’agit appartient au domaine privé de l’Etat.
A ce titre, ce dernier a décidé, en tant que propriétaire unique, la mise en place d’un système de vidéosurveillance aux fins d’assurer la sécurité de son bien et des personnes qui y pénètrent, dans le respect des dispositions de la loi n° 1.165, modifiée.
•Sur la justification
Le responsable de traitement indique que le traitement est justifié par la réalisation d’un intérêt légitime, sans que soient méconnus les libertés et droits fondamentaux des personnes concernées.
A cet égard, la Commission constate que l’installation d’un système de vidéosurveillance a pour but de renforcer la protection des biens et des personnes et que les caméras ont été implantées de manière à minimiser les risques d’atteintes à la vie privée, en application de l’article 10-2 de la loi n° 1.165, modifiée.
Elle relève également que le responsable de traitement précise que les caméras sont fixes et sans zoom, et seront orientées vers les entrées d’immeuble, les entrées de parking et filment uniquement les parties communes, hors parties privatives.
La Commission considère donc que le traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
III.Sur les informations traitées
Les informations nominatives traitées sont les suivantes :
-identité : image des personnes ;
-informations temporelles et horodatage : lieux, dates, heures ;
-données d’identification électronique : login de connexion.
Ces informations collectées ont pour origine le dispositif de vidéosurveillance lui-même.
La Commission considère que les informations traitées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV.Sur les droits des personnes concernées
•Sur l’information des personnes concernées
Le responsable de traitement indique que l’information préalable des personnes concernées est effectuée par le biais d’un affichage. En effet, le responsable de traitement indique que « Des avis sont mis dans les tableaux d’affichage afin de rappeler la vidéo ».
Toutefois, ces pièces n’ayant pas été communiquées, la Commission rappelle que l’affichage devra comporter, a minima, un pictogramme représentant une caméra, ainsi que le nom de la personne ou du service auprès de qui s’exerce le droit d’accès.
Sous cette condition, la Commission considère que les modalités d’information préalable sont conformes aux dispositions de l’article 14 de la loi n° 1.165, modifiée.
•Sur l’exercice du droit d’accès
La Commission observe que le droit d’accès est exercé sur place auprès du Cabinet chargé de l’administration de l’immeuble « Helios ». Les droits de suppression des données sont exercés selon les mêmes modalités.
Le délai de réponse s’effectue sous trente jours.
La Commission constate ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V.Sur les destinataires et les personnes ayant accès au traitement
•Sur les destinataires
Les informations collectées dans le cadre du traitement sont susceptibles d’être communiquées à la Direction de la Sûreté Publique.
La Commission estime que la communication à la Direction de la Sûreté Publique peut être justifiée par les besoins d’une enquête judiciaire. A cet égard, elle rappelle qu’en cas de transmission, les Services de Police ne pourront avoir accès aux informations objet du traitement, que dans le strict cadre de leurs missions légalement conférées.
Dans ces conditions, la Commission estime que de telles transmissions sont conformes aux dispositions de l’article 17-1 de la loi n° 1.165, modifiée.
•Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
-le Gérant et le Responsable de Gestion de l’Administrateur de Biens ;
-le prestataire informatique.
Considérant les attributions des membres du Cabinet Vivalda, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.
La Commission note que le gardien de l’immeuble visualise les images en temps réel uniquement et relève qu’il a un devoir de confidentialité et ne peut en aucun cas commenter les images avec les résidents.
En ce qui concerne le prestataire, la Commission rappelle toutefois que conformément aux dispositions de l’article 17 de la loi n° 1.165, modifiée, ses droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service. De plus, celui-ci est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de l’article 17, susvisé.
Ainsi, elle considère que les accès au traitement sont conformes aux dispositions légales.
VI.Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
La Commission relève néanmoins que les différentes architectures de vidéosurveillance reposent sur des équipements de raccordement de serveurs et périphériques qui doivent être protégés par un login et un mot de passe et que les ports non utilisés doivent être désactivés.
Elle rappelle que la copie ou l’extraction d’informations issues de ce traitement devra être chiffrée sur son support de réception, conformément à la délibération n° 2010-13 précitée.
La Commission rappelle également que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VII.Sur la durée de conservation
La Commission relève que les informations nominatives collectées par le système de vidéosurveillance sont conservées pour une durée d’un mois.
La Commission considère que la durée de conservation est conforme aux exigences légales.
Après en avoir délibéré, la Commission :
Rappelle que :
-le traitement ne saurait conduire à une surveillance permanente et inopportune des résidents ou de leurs visiteurs, ni permettre le contrôle du travail ou du temps de travail du personnel au sein de l’immeuble ;
-l’affichage devra comporter, a minima, un pictogramme représentant une caméra, ainsi que le nom de la personne ou du service auprès de qui s’exerce le droit d’accès ;
-les Services de Police, peuvent être rendus destinataires d’images en cas d’incident, dans le strict cadre de leurs missions légalement conférées ;
-la copie ou l’extraction d’informations issues de ce traitement devra être chiffrée sur son support de réception ;
-les équipements de raccordements de serveurs et périphériques doivent être protégés par un login et un mot de passe et les ports non utilisés doivent être désactivés.
A la condition de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’Etat, du traitement automatisé d’informations nominatives ayant pour finalité « Système de vidéosurveillance de l’immeuble « Helios » ».
Le Président de la Commission
de Contrôle des Informations Nominatives.