Délibération n° 2018-208 du 19 décembre 2018 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des visites périodiques de la Commission Technique d'Hygiène, de Sécurité et de Protection de l'Environnement » de la Direction de la Prospective, de l'Urbanisme et de la Mobilité (DPUM) présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 1.463 du 7 janvier 2008 portant création d'une Direction de la Prospective, de l'Urbanisme et de la Mobilité ;
Vu l'Ordonnance Souveraine n° 2.214 du 9 juin 2009 portant création et organisation de la Commission Technique d'Hygiène, de Sécurité et de Protection de l'Environnement, modifiée ;
Vu la demande d'avis présentée le 5 octobre 2018 par le Ministre d'État, concernant la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des visites périodiques de la Commission Technique d'Hygiène, de Sécurité et de Protection de l'Environnement » de la Direction la Prospective, de l'Urbanisme et de la Mobilité ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 7 décembre 2018, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 19 décembre 2018 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
L'Ordonnance Souveraine n° 2.214 du 9 juin 2009 a créé une Commission Technique d'Hygiène, de Sécurité et de Protection de l'Environnement, qui opère des visites périodiques ou inopinées dans des locaux dont elle énumère la nature.
Toutefois, le Ministre d'État a confié à la DPUM la mise en œuvre des moyens informatiques destinés à la gestion desdites visites.
Aussi, conformément aux dispositions de l'article 7 de la loi n° 1.165 du 23 décembre 1993, le Ministre d'État soumet le traitement ayant pour finalité « Gestion des visites périodiques de la Commission Technique d'Hygiène, de Sécurité et de Protection de l'Environnement » à l'avis de la Commission.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité la « Gestion des visites périodiques de la Commission Technique d'Hygiène, de Sécurité et de Protection de l'Environnement ».
Le responsable de traitement précise qu'il concerne les exploitants de l'établissement ou locaux concernés par la visite, les représentants du syndic ou du service de sécurité de l'immeuble.
Les fonctionnalités sont :
- d'enregistrer sur une base, sous forme de tableau, les données relatives à l'établissement objet d'une visite périodique ;
- d'assurer et de faciliter le suivi des visites de chaque établissement ;
- de programmer les rendez-vous ;
- d'établir le procès-verbal de la visite et de le notifier à l'exploitant.
La Commission considère que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Sur la licéité
La Commission relève que l'Ordonnance Souveraine n° 2.214 du 9 juin 2009 a créé une Commission Technique d'Hygiène, de Sécurité et de Protection de l'Environnement qui a notamment pour mission au titre de son article 1er d'intervenir : « (…) à l'occasion de la construction, de l'aménagement, de la modification, de l'ouverture ou de l'exploitation :
- de tout bâtiment, établissement ou local à caractère industriel, commercial, artisanal, professionnel, administratif, associatif, cultuel ou culturel ;
- de tout parc de stationnement ;
- de tout entrepôt, renfermant des matières dangereuses ;
- de tout lieu ouvert au public ou établissement recevant du public ;
- de tout bâtiment à usage d'habitation de plus de 50 mètres de hauteur ;
- de tout équipement ou procédé pouvant provoquer des nuisances ou des pollutions, présenter des risques pour les personnes, ou générer des rejets ou des déchets non acceptables par les installations publiques de traitement ou par l'environnement. ».
L'article 4 de ladite Ordonnance dispose quant à lui que « La Commission procède, pour l'accomplissement des missions qui lui sont confiées à des visites périodiques ou inopinées sur place des locaux ou installations concernés, en déléguant au besoin une sous-commission composée d'au moins deux membres. ».
Aussi, la Commission considère que le traitement est licite conformément à l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
Sur la justification
Le traitement est justifié par la réalisation d'un intérêt légitime sans que ne soient méconnus les droits et libertés fondamentaux de la personne concernée.
À cet égard, le responsable de traitement précise que « Les données sont enregistrées à l'occasion de chaque visite périodique d'un établissement et sont utilisées pour remplir et assurer le suivi des missions confiées à la Commission Technique d'Hygiène, de Sécurité et de Protection de l'Environnement par Ordonnance Souveraine n° 2.214 du 9 juin 2009 portant création et organisation de la Commission Technique d'Hygiène, de Sécurité et de Protection de l'Environnement, modifiée (…) ».
La Commission, qui relève que l'informatisation du processus permet un meilleur suivi des missions de la Commission Technique d'Hygiène, de Sécurité et de Protection de l'Environnement, considère donc que le traitement est justifié, conformément aux dispositions de l'article 10-2 de la loi n° 1.165 du 23 décembre 1993\.
III. Sur les informations traitées
Les informations nominatives traitées sont :
- adresses et coordonnées : nom de l'établissement, adresse, nom et numéro de téléphone de la personne à contacter pour la visite, noms des représentants du syndic ou du service de sécurité de l'immeuble ;
- procès-verbal de la visite : nom de l'exploitant, manquements constatés, nom de l'établissement, adresse, nom de l'exploitant.
Les informations ont pour origine la collecte effectuée sur place lors des visites périodiques ou par téléphone lors de la programmation des rendez-vous.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
Sur l'information préalable des personnes concernées
Le responsable de traitement indique que l'information préalable des personnes concernées est effectuée par le biais d'une mention ou clause particulière intégrée dans un document remis à l'intéressé et d'une mention particulière intégrée dans un document d'ordre général accessible en ligne.
La mention, jointe au dossier et portée sur les PV remis aux exploitants concernés par les visites, est conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993\. Toutefois, la Commission rappelle que contrairement aux éléments indiqués dans la mention susvisée, les exploitants ne disposent pas d'un droit d'opposition à l'exploitation des informations les concernant, conformément aux dispositions de l'article 13 de la loi n° 1.165, modifiée.
Par ailleurs, la Commission relève que cette information ne concerne que les exploitants des locaux ou établissement visités, et n'est pas délivrée aux représentants des syndics ou du service de sécurité des immeubles visités.
Aussi, elle rappelle que toutes les personnes concernées doivent être informées.
Sur l'exercice du droit d'accès, de modification et de mise à jour
Le responsable de traitement indique que le droit d'accès est exercé soit par voie postale ou par courrier électronique. La réponse se fera dans le mois suivant la réception de la demande.
S'agissant de l'exercice du droit d'accès par voie électronique, la Commission considère qu'une procédure devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d'un document d'identité était demandée, la transmission et le traitement de ce document devront faire l'objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d'identité officiels.
À la condition de la prise en compte de ce qui précède, elle constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.
V. Sur les personnes ayant accès au traitement
Sur les accès au traitement
Le responsable de traitement indique qu'ont accès au traitement :
- les agents de la Commission Technique d'Hygiène, de Sécurité et de Protection de l'Environnement, en consultation et modification ;
- le Secrétariat de la DPUM, en consultation et modification ;
- le Directeur de la DPUM, en consultation et modification ;
- le Service Informatique du Gouvernement dans sa mission de maintenance.
La Commission souligne qu'en cas de recours à des prestataires, leurs accès doivent être limités à ce qui est strictement nécessaire à l'exécution de leur contrat de prestation de service, conformément à l'article 17 de la loi n° 1.165\. De plus, ils sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement.
La Commission considère que ces accès sont justifiés.
VI. Sur les interconnexions avec d'autres traitements
Le responsable de traitement indique que le présent traitement fait l'objet d'un rapprochement avec le traitement légalement mis en œuvre ayant pour finalité « Gestion des techniques automatisées de communication ».
À cet égard, la Commission rappelle que si ledit traitement a été modifié au sens des articles 8 et 9 de la loi n° 1.165, il incombe au responsable de traitement de procéder aux formalités nécessaires auprès d'elle.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Enfin, la Commission rappelle que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII. Sur la durée de conservation
Le responsable de traitement indique que les informations sont conservées « sur une périodicité de deux visites ».
La Commission relève que ces visites étant par nature périodiques, le procédé envisagé permet de mettre à jour les données collectées régulièrement selon une modalité suffisamment prévisible.
Elle considère que la durée de conservation des informations est conforme à l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
Après en avoir délibéré, la Commission :
Considère qu'une procédure relative au droit d'accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations.
Rappelle que :
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
- si le traitement ayant pour finalité « Gestion des techniques automatisées de communication » a été modifié, il incombe au responsable de traitement de procéder aux formalités nécessaires auprès d'elle ;
- l'information préalable doit être dispensée à l'ensemble des personnes concernées conformément à l'article 14 de la loi n° 1.165 du 23 décembre 1993 ;
- les exploitants des locaux et établissements visités ne disposent pas d'un droit d'opposition à l'exploitation de leurs informations.
À la condition de la prise en compte des éléments qui précèdent,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des visites périodiques de la Commission Technique d'Hygiène, de Sécurité et de Protection de l'Environnement » de la Direction de la Prospective, de l'Urbanisme et de la Mobilité.
Le Président de la Commission de
Contrôle des Informations Nominatives.