icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2018-86 du 20 juin 2018 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion du site Internet de la CCIN » présenté par son Président.

  • N° journal 8390
  • Date de publication 13/07/2018
  • Qualité 100%
  • N° de page

Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l'article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la délibération n° 2001-53 du 19 décembre 2001 portant avis sur la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Site Internet de la CCIN » ;
Vu la délibération n° 2013-140 du 27 novembre 2013 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la modification du traitement automatisé d'informations nominatives ayant pour finalité « Gestion du site Internet de la CCIN » ;
Vu la délibération n° 2015-41 du 15 avril 2015 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la modification du traitement automatisé d'informations nominatives ayant pour finalité « Gestion du site Internet de la CCIN » ;
Vu la demande d'avis déposée par le Président de la Commission de Contrôle des Informations Nominatives le 2 mars 2018 concernant la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion du site Internet de la CCIN » ;
Vu la prorogation du délai d'examen de la présente demande d'avis qui a été notifiée au responsable de traitement le 2 mai 2018, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 20 juin portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Commission de Contrôle des Informations Nominatives (CCIN) est une Autorité Administrative Indépendante, organisme de droit public.
Pour répondre à l'évolution de ses missions ainsi qu'à l'accroissement du nombre de démarches des responsables de traitement et des particuliers, la CCIN a souhaité moderniser son site Internet par l'ajout d'un certain nombre de fonctionnalités.
Elle entend donc aujourd'hui remplacer le traitement initial par le présent traitement.
À ce titre, en application de l'article 7 de la loi n° 1.165 du 23 décembre 1993, le Président de la Commission soumet la présente demande d'avis.
I.          Sur les personnes concernées et les fonctionnalités du traitement
Le traitement a pour finalité «  Gestion du site Internet de la CCIN ».
Les personnes concernées sont :
-           les membres de la Commission et les agents du Secrétariat Général nominativement désignés sur la page de présentation ainsi que dans les mentions légales du site ;
-           les personnes mentionnées dans les publications de la CCIN mises en ligne sur son site Internet (ex. Rapports d'activités, revue de presse, etc.) ;
-           les administrateurs informatiques de la CCIN (site et outil statistiques) ;
-           le prestataire en charge du développement ainsi que de la maintenance du site Internet et de l'outil statistiques ;
-           tous les visiteurs du site Internet.
Enfin, les fonctionnalités sont les suivantes :
-           présentation de la CCIN et diffusion d'informations relatives à la loi n° 1.165 du 23 décembre 1993 ;
-           diffusion de la législation, des délibérations ainsi que des diverses publications de la CCIN ;
-           diffusion des actualités de la CCIN ;
-           mise en ligne de formulaires de formalités à la disposition des responsables de traitement pour consultation et téléchargement ;
-           mise à disposition de l'outil « Testez vos traces online » ;
-           lien vers les formalités en ligne ;
-           index de recherches par mots clés ;
-           administration du site ;
-           mise en place d'un flux RSS ;
-           établissement de statistiques de navigation (gestion au sein de la CCIN des cookies).
La Commission constate ainsi que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II.         Sur la licéité et la justification du traitement
La Commission observe que le traitement dont s'agit est justifié par le respect d'obligations légales ainsi qu'un motif d'intérêt public.
En effet, la CCIN communique par le biais de son site Internet dans le cadre des missions qui lui sont légalement conférées par l'article 2, 11° et 14° de la loi n° 1.165 du 23 décembre 1993, notamment.
Par ailleurs, la Commission relève que le site Internet de la CCIN permet de mettre instantanément à la disposition du public un certain nombre de documents (formulaires, délibérations et informations diverses) afin que les personnes concernées soient en mesure d'exercer leurs droits, et les responsables de traitement de se conformer à leurs obligations légales.
Ce traitement répond également à la réalisation d'un intérêt légitime, à savoir de rendre la législation sur la protection des informations nominatives accessible au plus grand nombre et de publier des informations pratiques et d'actualité.
En outre, les droits des personnes concernées sont respectés, comme cela est examiné au point IV de la présente délibération.
Au vu de ces éléments, la Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993\.
III.        Sur les informations nominatives traitées
Les informations nominatives traitées sont :
-           identité : nom, prénom, photos des membres de la Commission, raison sociale du prestataire technique ;
-           situation de famille : civilité ;
-           coordonnées (non nominatives) : adresse postale, numéro de téléphone,  fax et adresse courriel de la CCIN ;
-           vie professionnelle : fonction ;
-           données d'identification électroniques des administrateurs informatiques de la CCIN et du prestataire (site Internet et outil statistiques) : identifiants, mots de passe ;
-           horodatage : journalisation des accès ;
-           documentation mise en ligne sur le site et téléchargeable : guides, rapports d'activité, délibérations, études diverses, revue de presse, formulaires, législation applicable, etc. ;
-           information d'ordre général (non nominatives) : présentation de la CCIN, aide aux formalités, informations juridiques sur la protection des données, etc ;
-           contenu de l'outil de statistiques de navigation (cookies) : adresse IP (uniquement les deux 1ers octets), pages visitées et leur nombre, nombre d'affichage par page, durée passée sur chaque page, nombre de clics, nom et version du navigateur web de l'internaute, système d'exploitation de l'internaute, horodatage d'accès, nombre et nom des documents téléchargés, etc..
Les informations relatives aux noms, prénoms et fonction des membres de la Commission et des agents du Secrétariat Général de la CCIN sont issues des ordonnances souveraines les ayant nommés et du traitement ayant pour finalité «  Gestion des Ressources Humaines ».
La civilité, l'identité et la fonction des personnes mentionnées dans les publications de la CCIN disponibles en ligne, ainsi que leurs photos éventuelles, proviennent du traitement ayant pour finalité « Élaboration des publications de la CCIN ».
L'adresse email et les coordonnées de la CCIN sont des informations non nominatives publiques. Il en va de même de l'identité de la société prestataire de la CCIN mentionnée dans ses mentions légales.
Les informations relatives aux données d'identification électroniques des administrateurs informatiques de la CCIN et du prestataire ainsi que la journalisation des accès ont pour origine le site Internet de la CCIN et  l'outil de statistiques.
Les informations relatives aux statistiques ont pour origine l'outil de statistiques.
Concernant la documentation mise en ligne sur le site de la CCIN :
-           les guides, rapports d'activités, revue de presse, etc., proviennent du traitement ayant pour finalité « Élaboration des publications de la CCIN » ;
-           les délibérations et rapports de la Commission proviennent du traitement ayant pour finalité « Gestion de l'activité délibérative de la Commission ».
Enfin, les informations d'ordre général (non nominatives) publiées sur le site de la CCIN proviennent de la conception dudit site en interne.
La Commission considère donc que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
IV.       Sur les droits des personnes concernées
         Sur l'information préalable des personnes concernées
La Commission observe que l'information préalable des personnes concernées est effectuée suivant plusieurs modalités.
Tout d'abord, les agents du Secrétariat Général sont informés par le biais d'avenants à la charte informatique de la CCIN.
Par ailleurs, le site Internet comporte dans ses mentions légales un paragraphe spécifique à la protection des informations nominatives.
À l'analyse de ce document et de ces mentions, la Commission considère ainsi que les modalités d'information préalable des personnes sont conformes aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993.
         Sur l'exercice du droit d'accès, de modification et de mise à jour
Le droit d'accès s'exerce sur place ou par voie postale auprès du Secrétariat Général.
Elle constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.
V.        Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès aux informations sont :
-           les administrateurs informatiques de la CCIN (site Internet et outil statistiques) : tous droits ;
-           le prestataire (site Internet et outil statistiques) : tous droits dans le cadre de ses opérations de développement et de maintenance.
Considérant les attributions de chacune de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.
En ce qui concerne le prestataire, la Commission rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993, les droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de son contrat de prestation de service. De plus, ledit prestataire est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
VI.       Sur les interconnexions et rapprochements
Le responsable de traitement indique que le présent traitement fait l'objet de rapprochements avec trois traitements ayant respectivement pour finalité « Élaboration des publications de la CCIN », « Gestion de l'activité délibérative de la Commission », et « Gestion des Ressources Humaines ».
La Commission constate que ces traitements ont été légalement mis en œuvre.
VII.      Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation particulière.
La Commission rappelle néanmoins que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
Elle  rappelle également que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII.     Sur la durée de conservation
Les informations relatives à l'identité des membres de la Commission et des agents du Secrétariat Général, ainsi que leur fonction respective, sont conservées sur le site Internet de la CCIN tant que les personnes concernées sont en fonction à la CCIN.
Les informations relatives aux personnes citées dans les publications de la CCIN sont conservées sans limitation de durée comme prévu dans le traitement ayant pour finalité « Élaboration des publications de la CCIN ».
Les données d'identification électroniques des administrateurs CCIN  et du prestataire (site Internet et outil statistiques) sont conservées le temps de la relation contractuelle.
Les informations relatives à l'horodatage et le contenu de l'outil de statistiques  sont conservées 1 an.
Les autres informations n'ont pas un caractère nominatif.
La Commission considère que ces durées de conservation sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Rappelle que les ports non utilisés doivent être désactivés et les serveurs, périphériques,  équipements de raccordements (switchs, routeurs, pare-feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
Sous réserve de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par son Président du traitement automatisé d'informations nominatives ayant pour finalité « Gestion du site Internet de la CCIN ».

Le Président de la Commission de
Contrôle des Informations Nominatives.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14