Délibération n° 2021-102 du 19 mai 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Prise de rendez-vous en ligne pour la visite technique d'un véhicule » exploité par le Service des Titres de Circulation et présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 13.637 du 25 septembre 1998 portant création du Service des Titres de Circulation, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée ;
Vu l'Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l'Administration et l'administré ;
Vu l'arrêté ministériel n° 2020-509 du 24 juillet 2020 relatif aux visites techniques de véhicules ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la délibération n° 2015-90 du 16 septembre 2015de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Prise de rendez-vous en ligne pour le contrôle technique d'un véhicule » ;
Vu le Code de la route ;
Vu la demande d'avis déposée par le Ministre d'État, le 12 février 2021, concernant la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité la « Prise de rendez-vous en ligne pour la visite technique d'un véhicule » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 9 avril 2021, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 19 mai 2021 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Le Service des Titres de Circulation est un Service exécutif, au sens de l'article 44 de la Constitution placé sous l'autorité du Ministre d'État.
L'article 2 -3) de l'Ordonnance Souveraine n° 13.637 du 27 septembre 1998, modifiée portant création de ce Service dispose qu'il [le Service des Titres de Circulation] est chargé « de l'exploitation du centre du contrôle technique des véhicules automobiles ». Afin de faciliter les démarches des usagers, il souhaite permettre aux usagers de prendre leur rendez-vous de contrôle technique en ligne.
Le traitement automatisé d'informations nominatives susvisé est soumis à l'avis de la Commission, conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Prise de rendez-vous en ligne pour la visite technique d'un véhicule ».
La Commission constate que le présent traitement remplace celui objet de la délibération n° 2015-90 du 16 septembre 2015, susmentionnée.
Il concerne les usagers (ce terme pouvant désigner la personne qui prend un rendez-vous en ligne et/ou le propriétaire du véhicule) ainsi que les agents en charge du traitement des demandes (le personnel de l'Administration).
Le responsable de traitement indique que « l'objectif du présent traitement est de proposer aux usagers la prise de rendez-vous en ligne pour les visites techniques de véhicules en Principauté par le biais d'une démarche en ligne ». Ainsi, « toute personne souhaitant prendre un rendez-vous en ligne pour la visite technique de son véhicule peut effectuer cette opération après la création de son compte personnel sécurisé. La création du compte usager se fait via login. Le téléservice récupère l'adresse email grâce à ce compte ».
Le présent traitement a pour fonctionnalités :
- La création d'un compte usager ;
- L'identification du véhicule ;
- La consultation des créneaux de rendez-vous disponibles ;
- La sélection du créneau de rendez-vous ;
- L'ajout d'un ou plusieurs rendez-vous (visite technique et/ou contre visite technique) sur le compte usager ;
- L'ajout d'un rendez-vous existant pris au guichet STC sur le compte usager de la démarche en ligne ;
- Le paiement d'une visite technique avec/sans pénalités et l'envoi de la facture ;
- La consultation, l'ajout, la modification, l'annulation d'un rendez-vous ;
- L'envoi d'un courriel et/ou d'un SMS pour la confirmation ou l'annulation d'un rendez-vous ;
- Le contact du STC par courrier électronique ;
- La synchronisation entre la démarche en ligne et l'application interne de gestion des visites techniques ;
- La connexion entre la démarche en ligne et le CIR (base de données du STC) ;
- L'interconnexion avec le traitement Ctonline ;
- La désinscription du téléservice.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par le consentement de la personne concernée, par le respect d'une obligation légale à laquelle il est soumis et par la réalisation d'un intérêt légitime qui ne méconnaît ni l'intérêt, ni les droits et libertés fondamentaux de la personne concernée.
S'agissant du consentement de la personne concernée, celui-ci est formalisé par un acte positif clair matérialisé par le biais d'une case à cocher indiquant : « j'accepte que mes données personnelles soient traitées dans le cadre du téléservice « Prise de rendez-vous en ligne pour la visite technique d'un véhicule » ».
La personne concernée est également tenue d'accepter préalablement les conditions générales d'utilisation du téléservice pour créer le compte qui lui permettra d'accéder au téléservice.
Par ailleurs, la Commission relève, qu'aux termes de l'article 2.3 de l'Ordonnance Souveraine n° 13.637 du 27 septembre 1998 portant création du Service des Titres de Circulation, celui-ci est chargé « de l'exploitation du centre de contrôle technique des véhicules automobiles ». En outre, les visites techniques sont obligatoires en respect des obligations contenues au Titre II Chapitre II Paragraphe III du Code de la route et à l'arrêté ministériel n° 2020-509 du 24 juillet 2020 relatif aux visites techniques de véhicules.
Enfin, le responsable de traitement précise que le présent traitement est justifié par un motif d'intérêt légitime consistant à simplifier les démarches administratives des administrés en leur permettant de déposer leur demande en ligne, ce qui s'inscrit dans le champ de l'Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l'Administration et l'administré. Il indique toutefois que, conformément à l'article 43 de l'Ordonnance Souveraine susvisée, la création de ce téléservice n'a pas pour effet de supprimer la possibilité pour l'usager d'accomplir sa démarche par voie postale ou en se rendant directement au Service des Titres de Circulation.
La Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993, modifiée.
III. Sur les informations traitées
Les informations nominatives traitées sont :
- Identité, situation de famille : nom et prénom de l'usager ;
- Adresses et coordonnées : adresses postale et email, numéro de téléphone ;
- Données d'identification électronique : numéro de permis de l'usager, identifiant technique de l'usager (identifiant unique d'un véhicule), login et mot de passe, QR code inscrit sur le courrier de convocation (ce QR code contient le numéro de référence du rendez-vous et permet de valider l'heure d'arrivée au centre de visite technique) ;
- Autres : données relatives à la visite technique : type de visite, durée, code de convocation ; Attributs des véhicules : code registre, type et numéro d'immatriculation, type de véhicule, numéro de série et marque ; Données de transaction : numéro de transaction bancaire, montant, date de paiement, mode de paiement et numéro de facture.
La Commission constate que le numéro de permis de conduire est également collecté.
- Données de connexion : logs de connexion de l'usager, données d'horodatage, données de messagerie de l'usager, logs du personnel de l'administration.
Les informations relatives à l'identité, aux adresses et coordonnées et aux données d'identification électronique et certains attributs du véhicule (code registre et immatriculation) ainsi que le numéro de permis de conduire ont pour origine la personne concernée (soit l'usager).
Par ailleurs, celles concernant la visite technique du véhicule, le type de véhicule, numéro de série et marque sont issues du traitement « Gestion des véhicules immatriculés en Principauté de Monaco », légalement mis en œuvre et avec lequel le présent traitement est interconnecté.
Enfin, les données de transaction émanent du module web de paiement et les données de connexion du système.
S'agissant du QR Code, la Commission relève que ce dernier a non pas pour origine la personne concernée mais le traitement « Gestion technique et administrative des visites véhicules en Principauté », légalement mis en œuvre.
La Commission considère que les informations ainsi collectées sont « adéquates, pertinentes et non excessives », au regard de la finalité du traitement, conformément à l'article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.
IV. Sur les droits des personnes concernées
- Sur l'information préalable des personnes concernées
Les personnes concernées sont informées par le biais d'une mention particulière intégrée dans un document d'ordre général accessible en ligne, à savoir les Conditions Générales d'Utilisation du téléservice.
À l'analyse de ce document, la Commission considère que celui-ci est conforme à l'article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.
- Sur l'exercice du droit d'accès
Le droit d'accès est exercé par la personne concernée auprès du Service des Titre de Circulation par accès en ligne via son compte utilisateur, par courrier électronique ou par voie postale.
S'agissant de l'exercice du droit d'accès par voie de courrier électronique, la Commission considère qu'une procédure devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations.
À ce titre, elle précise que si une copie d'un document d'identité était demandée, la transmission et le traitement de ce document devront faire l'objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d'identité officiels.
La Commission constate que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
Ont accès au présent traitement :
- Le personnel du Service des Titre de Circulation : tous droits.
- Le personnel de la Direction des Systèmes d'Information ou tiers intervenant pour son compte dans le cadre des missions de maintenance, développement des applicatifs nécessaires au développement du site et de sécurité du système d'information de l'État : tous droits.
- Le prestataire : tous droits.
Le responsable de traitement précise que « la liste des agents ayant accès au traitement est définie et validée par le service ».
La Commission relève que de plus en plus de traitements métiers ou de téléservices font l'objet d'interventions de Directions supports qui administrent ou créent les solutions, en l'occurrence la DSI. Cette Direction support est décrite comme disposant d'accès aux traitements concernés. Elle rappelle que cette dernière n'a pas à avoir accès en continu à l'information métier, dont la sensibilité peut varier en fonction des services concernés.
Elle rappelle donc que les accès doivent être restreints au strict besoin d'en connaître et que les interventions de support doivent être effectuées selon des modalités définies conformes aux règles de l'art.
En ce qui concerne le prestataire de services, la Commission rappelle que, conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, les droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de son contrat de prestation de services. De plus, ce dernier est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission relève, par ailleurs, que les personnes concernées disposent également d'un accès à leur propre compte.
Elle considère que ces accès sont justifiés.
VI. Sur les interconnexions
Le présent traitement fait l'objet d'une interconnexion avec les traitements « Gestion des véhicules immatriculés en Principauté de Monaco » et « Gestion technique et administrative des visites techniques de véhicules ».
Le responsable de traitement indique également que le traitement est interconnecté avec les messageries professionnelles légalement mises en œuvre par l'État.
La Commission considère que ces interconnexions sont conformes aux exigences légales.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation particulière.
Cependant, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
En outre, la Commission constate l'utilisation de reCAPTCHA Google, qui implique un transfert d'informations vers les États-Unis. À cet effet, elle acte, qu'à compter de la présente délibération, comme évoqué dans ses récents avis relatifs aux téléservices, il doit désormais être mis fin à l'utilisation de cette solution.
Elle rappelle ainsi que toute utilisation d'outils subordonnant l'accès à un service à un transfert de données vers un pays ne disposant pas d'un niveau de protection adéquat doit disposer d'un fondement juridique apportant des garanties appropriées audit transfert.
La Commission rappelle également que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement, au regard des risques présentés par ce traitement et de la nature des données à protéger, devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII. Sur la durée de conservation
Les données relatives à l'identité/situation de famille, aux adresses et coordonnées collectées dans le cadre du présent traitement sont conservées 1 an à compter de la dernière demande de rendez-vous. Les données d'identification électroniques, celles relatives à la visite technique, aux attributs du véhicule et les données de transaction sont quant à elles conservées jusqu'à l'échéance du rendez-vous et dans un délai maximum de 4 mois. Enfin, les données de connexion sont conservées 1 an.
La Commission relève que ces délais sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Rappelle que :
- les accès doivent être restreints au strict besoin d'en connaître et que les interventions de supports doivent être effectuées selon des modalités définies conformes aux règles de l'art ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switch, routeurs, pares-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Acte que le délai pour le remplacement du Google ReCAPTCHA est échu et qu'il doit désormais être mis fin à l'utilisation de toute solution impliquant un transfert de données vers un pays ne disposant pas d'un niveau de protection adéquat, en l'absence de fondement juridique apportant des garanties appropriées audit transfert.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État, du traitement automatisé d'informations nominatives ayant pour finalité « Prise de rendez-vous en ligne pour la visite technique d'un véhicule ».
Le Président de la Commission de Contrôle des Informations Nominatives.