Délibération n° 2021-18 du 20 janvier 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Déclaration préalable de course pour les VTC et les VLC étrangers » exploité par la Direction de la Sûreté Publique présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine du 23 juin 1902 établissant une Direction de la Sûreté Publique, modifiée ;
Vu l'Ordonnance Souveraine n° 7.676 du 16 septembre 2019 portant modification de l'Ordonnance Souveraine n° 1.720 du 4 juillet 2008 relative à la règlementation des taxis, des véhicules de remise, des véhicules de service de ville et des motos à la demande ;
Vu l'Ordonnance Souveraine n° 765 du 13 novembre 2006 relative à l'organisation et au fonctionnement de la Direction de la Sûreté Publique, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'arrêté ministériel n° 2019-790 du 16 septembre 2019 fixant les montants des droits de délivrance des vignettes pour l'exploitation de véhicules de location avec chauffeurs étrangers ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la demande d'avis déposée par le Ministre d'État, le 13 octobre 2020, concernant la mise en œuvre d'un traitement automatisé ayant pour finalité « Déclaration préalable de course pour les VTC et VLC étrangers » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 10 décembre 2020, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 20 janvier 2021 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Les entreprises de VTC et VLC autorisées en Principauté à transporter des personnes doivent déclarer les courses envisagées avant d'effectuer leur prestation.
Afin de faciliter ces déclarations, l'État souhaite mettre en œuvre un téléservice en permettant le dépôt.
Ainsi, le traitement automatisé d'informations nominatives objet de la présente est soumis à l'avis de la Commission, conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Déclaration préalable de course pour les VTC et VLC étrangers ».
Il concerne « les chauffeurs de VTC ou VLC » ainsi que les « agents traitants ».
Aussi, la démarche en ligne mise en place à cette fin a pour fonctionnalités :
- Saisie des informations sur la société ;
- Saisie des informations sur le demandeur ;
- Saisie des informations sur le chauffeur ;
- Saisie des informations sur la course ;
- Annulation d'une déclaration par l'entreprise ou par un agent ;
- Envoi d'un courriel de confirmation d'enregistrement de la déclaration ;
- Envoi d'un courriel de confirmation de l'annulation de la déclaration ;
- Envoi d'un courriel de confirmation de désinscription à la démarche en ligne ;
- Export d'un fichier Excel qui comprend toutes les demandes et leurs informations anonymisées par les agents ayant les droits nécessaires pour effectuer cette action.
Il est également précisé que le téléservice propose un lien vers un questionnaire de satisfaction anonyme dont les résultats sont traités par la Direction de l'Administration Numérique, devenue entre-temps Direction des Services Numériques.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par le consentement des personnes concernées, le respect d'une obligation légale et la réalisation d'un intérêt légitime sans que ne soient méconnus les droits et libertés fondamentaux de la personne concernée.
À cet égard le responsable de traitement indique que « le consentement est formalisé par l'obligation préalable d'accepter les conditions générales d'utilisation. L'accord des personnes concernées est donc indispensable pour la création du compte sécurisé et pour l'accès à la démarche en ligne ». Mais il est également formalisé par un acte positif clair sur une case à cocher qui indique « j'accepte que mes données personnelles soient traitées dans le cadre du téléservice « Déclaration préalable de course pour les VTC et VLC étrangers » ».
L'intérêt légitime trouve son fondement dans la volonté de l'Administration de simplifier la démarche des usagers, et « s'inscrit dans le cadre de l'Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l'Administration et l'administré ».
En outre, la Commission relève que le téléservice permet aux chauffeurs de déclarer leurs courses de manière simplifiée et conforme aux dispositions de l'article 45 bis de l'Ordonnance Souveraine n° 1.720 du 4 juillet 2008 relative à la règlementation des taxis, des véhicules de remise, des véhicules de service de ville et des motos à la demande, modifiée, qui dispose que :
« Les conducteurs de véhicules de location avec chauffeurs étrangers, disposant de la vignette prévue à l'article précédent, sont tenus d'effectuer auprès de la Direction de la Sûreté Publique, préalablement à l'heure de prise en charge des personnes et de leurs bagages sur le territoire de la Principauté, une déclaration de course dans des conditions fixées par arrêté ministériel.
La déclaration de course mentionne les indications suivantes :
- caractéristiques du véhicule (marque, type, couleur, immatriculation) ;
- nom et prénom du chauffeur ;
- nom du donneur d'ordre (société ou le client lui-même) ;
- période d'intervention : du (date et heure) au (date et heure) ;
- nom du client à prendre en charge ;
- date, heure et lieu de prise en charge.
La déclaration préalable de course peut être effectuée par tout moyen de communication, y compris électronique.
Les conducteurs de véhicules de location avec chauffeur étrangers doivent pouvoir justifier, par tout moyen, de l'accomplissement des formalités relatives à la déclaration préalable de course et être en possession des documents afférents à la conduite de leur catégorie de véhicule, sans préjudice de l'application des règles de police générale et celles régissant la circulation automobile ».
La Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Les informations nominatives traitées sont :
- identité/situation de famille : demandeur : nom, prénom, raison sociale ; société : nom, n° VLC ; chauffeur : nom, prénom ;
- données d'identification électronique : identifiant technique de l'usager, adresse mail du demandeur ;
- informations temporelles : horodatages, etc. : données d'horodatage ;
- données de connexion : log de connexion de l'usager, données de messagerie de l'usager.
La Commission relève également de l'analyse des pièces annexes du dossier que sont collectées les données relatives aux véhicules, à savoir la marque, couleur, type et n° d'immatriculation. Sont aussi collectées des informations relatives à la date et heure de prise en charge, à l'adresse de prise en charge, au donneur d'ordre, aux clients du VTC ou du bateau de croisière.
Si ces informations sont en adéquation avec les dispositions de l'article 45 bis de l'Ordonnance Souveraine n° 1.720, susvisée, pour laquelle l'avis de la Commission n'a pas été sollicité, elle relève que cela conduit à étendre les personnes concernées par le traitement (clients des VTC).
La Commission estime disproportionné que la Direction de la Sûreté Publique collecte sur un an glissant des informations qui peuvent in fine la conduire à connaitre les habitudes de consommation de VLC de clients personnes physiques qui ne peuvent à aucun moment savoir qu'ils sont concernés par le présent traitement. Elle estime également que la connaissance par cette Direction des noms des clients personnes physiques n'apporte aucune plus-value à l'accomplissement de ses missions de contrôle de l'exercice de la profession de chauffeur de VTC étranger.
Aussi, elle demande que les clients personnes physiques ne soient pas concernés par le présent traitement, et que les informations les concernant ne soient pas collectées.
Par ailleurs, les informations ont pour origine l'entreprise effectuant la demande, excepté les données d'identification électronique, les informations temporelles et les données de connexion qui proviennent du système.
Sous ces réserves, la Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
L'information préalable des personnes concernées est réalisée par le biais d'une mention particulière intégrée dans un document d'ordre général accessible en ligne, à savoir les conditions générales d'utilisation de la démarche en ligne que l'usager doit accepter et peut consulter dès l'accès à la démarche.
À la lecture de celle-ci, la Commission constate que les droits offerts aux personnes concernées sont larges et reprennent des droits du Règlement Général sur la Protection des Données, dont certains n'ont pas vocation à s'appliquer en l'espèce, tels que notamment le droit à la portabilité. Elle s'interroge également sur le point de savoir si le responsable de traitement dispose des moyens effectifs pour faire bénéficier les personnes concernées de ces droits, encore inexistants en droit interne.
Elle attire également l'attention de la Direction de la Sûreté Publique sur la nécessité de sensibiliser les employeurs qui se doivent d'informer leurs chauffeurs de la communication de leurs informations vers le présent traitement. En effet, ces derniers ne peuvent être directement informés par la Direction de la Sûreté Publique de l'existence de celui-ci si ce ne sont pas ces derniers qui effectuent directement la démarche.
* Sur l'exercice du droit d'accès, de modification et de mise à jour
Le droit d'accès est exercé sur place, par voie postale, par accès en ligne au dossier, ou par courrier électronique auprès du service de l'Inspection du Travail.
S'agissant de l'exercice du droit d'accès par voie électronique, la Commission considère qu'une procédure devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d'un document d'identité était demandée, la transmission et le traitement de ce document devront faire l'objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d'identité officiels.
Sous cette réserve, elle constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
La Commission constate qu'il n'y a pas de destinataires des informations objets du présent traitement.
Les accès sont définis comme suit :
- le personnel habilité de la Direction de la Sûreté Publique pour le traitement des demandes ;
- les personnels de la Direction des Systèmes d'Information, ou tiers intervenant pour son compte : tout accès dans le cadre des missions de maintenance, développement des applicatifs nécessaires au fonctionnement du site et de sécurité du site et du système d'information de l'État ;
- les Personnels de la Directions des Services Numériques, ou tiers intervenant pour son compte ayant un rôle d'assistance à maîtrise d'ouvrage sur la procédure : tous droits.
La Commission relève que de plus en plus de traitements métiers ou de téléservices font l'objet d'interventions de Directions supports qui administrent ou créent les solutions. Ces Directions supports sont décrites comme disposant d'accès aux traitements concernés. Elle rappelle que ces dernières n'ont pas à avoir accès en continu à l'information métier, dont la sensibilité peut varier en fonction des Services concernés. Elle rappelle donc que les accès doivent être restreints au strict besoin d'en connaitre et que les interventions de supports soient effectuées selon des modalités définies conformes aux règles de l'art.
En ce qui concerne les prestataires, la Commission rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993 les droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de leur contrat de prestation de service. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission relève par ailleurs que les personnes concernées disposent d'un accès à leur propre compte.
La Commission considère que ces accès sont justifiés.
VI. Sur les interconnexions
Le présent traitement fait l'objet d'interconnexions avec les traitements suivants :
- « Gestion du compte permettant aux usagers d'entreprendre des démarches par téléservices », légalement mis en œuvre ;
- « Gérer les habilitations des agents et fonctionnaires de l'État aux téléservices contenus dans le « Guichet Virtuel » », légalement mis en œuvre.
Lesdits traitements ont pour vocation de permettre l'accès sécurisé des usagers à la démarche et de gérer les habilitations des personnels de l'État, dans le respect des cadres fixés dans les délibérations y relatives de la Commission portant avis favorables à leur mise en œuvre.
Le responsable de traitement indique également que le traitement est interconnecté avec les messageries professionnelles légalement mises en œuvre par l'État.
Elle considère que ces interconnexions sont conformes aux exigences légales.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
La Commission rappelle enfin que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII. Sur la durée de conservation
Les informations nominatives collectées sont conservées 1 an.
La Commission considère que cette durée est conforme aux exigences légales.
Après en avoir délibéré, la Commission :
Rappelle que :
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
- les personnes concernées doivent être informées de manière conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993 ;
- le responsable de traitement, s'il intègre de nouveaux droits en faveur des personnes concernées, doit être en mesure de les assurer, et doit vérifier l'adéquation de ceux-ci avec le présent traitement, notamment en ce qui concerne le droit à la portabilité ;
- les accès doivent être restreints au strict besoin d'en connaitre et que les interventions de supports soient effectuées selon des modalités définies conformes aux règles de l'art.
Considère qu'une procédure relative au droit d'accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations.
Exclut la collecte d'informations relatives aux clients personnes physiques.
Demande que la Direction de la Sûreté Publique attire l'attention des employeurs sur la nécessité d'informer les chauffeurs de la communication de leurs informations vers le présent traitement.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État, du traitement automatisé d'informations nominatives ayant pour finalité « Déclaration préalable de course pour les VTC et VLC étrangers ».
Le Président de la Commission de Contrôle des Informations Nominatives.