Délibération n° 2018-209 du 19 décembre 2018 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Suivi et contrôle des lettres de commande, des marchés d'étude et des conventions » de la Direction de la Prospective, de l'Urbanisme et de la Mobilité (DPUM) présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 1.463 du 7 janvier 2008 portant création d'une Direction de la Prospective, de l'Urbanisme et de la Mobilité ;
Vu la demande d'avis présentée le 5 octobre 2018 par le Ministre d'État, concernant la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Suivi et contrôle des lettres de commande, des marchés d'étude et des conventions » de la Direction la Prospective, de l'Urbanisme et de la Mobilité ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 7 décembre 2018, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 19 décembre 2018 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
L'Ordonnance Souveraine n° 1.463 du 7 janvier 2008 a créé la Direction de la Prospective, de l'Urbanisme et de la Mobilité, qui a notamment la charge d'initier et suivre différents projets, programmes d'investissement, et études.
Le présent traitement a pour objectif de permettre à la DPUM de maîtriser et rationaliser le suivi de ses commandes, marchés et conventions.
Aussi, conformément aux dispositions de l'article 7 de la loi n° 1.165 du 23 décembre1993, le Ministre d'État soumet le traitement ayant pour finalité « Suivi et contrôle des lettres de commande, des marchés d'étude et des conventions » à l'avis de la Commission.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité le « Suivi et contrôle des lettres de commande, des marchés d'étude et des conventions ».
Le responsable de traitement précise qu'il concerne les prestataires et les sociétés en lien avec la DPUM, et ainsi par extension les contacts/signataires des personnes physiques en leur sein.
Les fonctionnalités sont :
- d'enregistrer sur une base, sous forme de tableau les lettres de commande des études, les marchés des études et les conventions au fur et à mesure de leur signature (une copie signée des documents est annexée au tableau) ;
- de suivre et de disposer d'un avancement de ceux-ci ;
- d'assurer le contrôle des délais de rendu des études et de fin d'exécution de la mission ou de la convention ;
- de relancer les prestataires en cas de retard dans l'exécution de leurs missions.
La Commission considère que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Sur la licéité
La Commission relève que l'Ordonnance Souveraine n° 1.463 du 7 janvier 2008 portant création d'une Direction de la Prospective, de l'Urbanisme et de la Mobilité dispose en son article 2 que cette dernière est notamment chargée :
« - (…) 3) de mener les études de programmation des projets d'urbanisme publics, de contribuer à l'établissement des programmes publics d'investissements à moyen et long terme en y intégrant la préoccupation environnementale ;
4) d'élaborer les stratégies et plans de mobilité, d'impulser et de coordonner les actions en faveur des déplacements durables ;
5) des études opérationnelles d'optimisation des transports et du management de la mobilité (impact, simulation, modélisation, plan de circulation et déplacements entreprises) ;
6) d'élaborer et gérer un observatoire de la mobilité en réalisant des études sur les déplacements et l'exploitation de la mobilité ;
7) d'organiser les transports publics et en favoriser le développement notamment en gérant des partenariats d'exploitation d'inter-modalité et en assurant le suivi et le contrôle des Concessions pour l'exploitation du réseau de transport urbain de la Principauté et pour la gestion de l'exploitation de la gare de Monaco ;
8) de mener toutes études prospectives s'inscrivant dans son champ de compétence dans le but d'améliorer le cadre de vie et la mobilité et d'élaborer les bases techniques d'une communication dans les domaines ainsi définis ».
Aussi, la Commission considère que le traitement est licite conformément à l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
Sur la justification
Le traitement est justifié par la réalisation d'un intérêt légitime sans que ne soient méconnus les droits et libertés fondamentaux de la personne concernée.
À cet égard, le responsable de traitement précise que « Les données sont enregistrées à l'occasion de chaque lettre de commande, de chaque marché et de chaque convention et sont utilisées pour remplir et assurer le suivi des missions confiées à la Direction de la Prospective, de l'Urbanisme et de la Mobilité par Ordonnance Souveraine n° 1.463 du 7 janvier 2008 portant création d'une Direction de la Prospective, de l'Urbanisme et de la Mobilité, modifiée (…) ».
La Commission, qui relève que l'informatisation du processus permet un meilleur suivi des missions de la DPUM, considère donc que le traitement est justifié, conformément aux dispositions de l'article 10-2 de la loi n° 1.165 du 23 décembre 1993\.
III. Sur les informations traitées
Les informations nominatives traitées sont :
- Identité : identité, adresse du prestataire ou du signataire de la convention ;
- Caractéristiques financières : relevé d'identité bancaire du prestataire ou signataire de la convention ;
- Documentation : informations contractuelles figurant dans la copie signée du marché, de la lettre de commande et convention.
Les informations ont pour origine la collecte effectuée lors de la signature des documents concernés et renvoyés par les signataires.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
Sur l'information préalable des personnes concernées
Le responsable de traitement indique que l'information préalable des personnes concernées est effectuée par le biais d'un courrier adressé à l'intéressé. La Commission relève que ledit courrier peut être électronique.
La mention, jointe au dossier, est conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993\. Toutefois, la Commission rappelle que contrairement aux éléments indiqués dans la mention susvisée, les personnes concernées ne disposent pas d'un droit d'opposition à l'exploitation des informations les concernant, conformément aux dispositions de l'article 13 de la loi n° 1.165, modifiée.
Sur l'exercice du droit d'accès, de modification et de mise à jour
Le responsable de traitement indique que le droit d'accès est exercé par voie postale ou sur place. La réponse se fera dans le mois suivant la réception de la demande.
La Commission constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.
V. Sur les personnes ayant accès au traitement
Sur les accès au traitement
Le responsable de traitement indique qu'ont accès au traitement :
- le Directeur de la DPUM, en consultation et modification ;
- les agents DPUM en charge du budget, en consultation et modification ;
- les agents DPUM en charge des marchés, en inscription, modification, maintenance ;
- les agents DPUM en charge de piloter les études, en consultation ;
- le Service Informatique du Gouvernement dans sa mission de maintenance.
La Commission souligne qu'en cas de recours à des prestataires, leurs accès doivent être limités à ce qui est strictement nécessaire à l'exécution de leur contrat de prestation de service, conformément à l'article 17 de la loi n° 1.165\. De plus, ils sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement.
La Commission considère que ces accès sont justifiés.
VI. Sur les interconnexions avec d'autres traitements
Le responsable de traitement indique que le présent traitement fait l'objet d'un rapprochement avec le traitement légalement mis en œuvre ayant pour finalité « Gestion des techniques automatisées de communication ».
À cet égard, la Commission rappelle que si ledit traitement a été modifié au sens des articles 8 et 9 de la loi n° 1.165, il incombe au responsable de traitement de procéder aux formalités nécessaires auprès d'elle.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Enfin, la Commission rappelle que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII. Sur la durée de conservation
Le responsable de traitement indique que les informations sont conservées :
- En ce qui concerne les lettres de commande et les marchés, de la signature jusqu'à l'envoi du décompte définitif au prestataire ;
- En ce qui concerne les conventions, de la signature jusqu'au terme prévu dans la convention (y compris la durée de son éventuel renouvellement).
La Commission considère que la durée de conservation des informations est conforme à l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
Après en avoir délibéré, la Commission :
Rappelle que :
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
- si le traitement ayant pour finalité « Gestion des techniques automatisées de communication » a été modifié, il incombe au responsable de traitement de procéder aux formalités nécessaires auprès d'elle ;
- les personnes concernées ne disposent pas d'un droit d'opposition à l'exploitation de leurs informations.
À la condition de la prise en compte des éléments qui précèdent,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État du traitement automatisé d'informations nominatives ayant pour finalité « Suivi et contrôle des lettres de commande, des marchés d'étude et des conventions » de la Direction de la Prospective, de l'Urbanisme et de la Mobilité.
Le Président de la Commission de
Contrôle des Informations Nominatives.