Délibération n° 2021-110 du 2 juin 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des identités numériques au travers du Registre National Monégasque de l'Identité Numérique » dénommé « RNMIN » exploité par la Direction des Services Numériques présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.483 du 17 décembre 2019 relative à l'identité numérique ;
Vu la loi n° 1.383 du 2 août 2011 pour une Principauté Numérique, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés d'informations nominatives ;
Vu la saisine du Ministre d'État en date du 8 avril 2021 concernant le projet d'Ordonnance Souveraine relative à la carte d'identité monégasque ;
Vu la saisine du Ministre d'État en date du 15 avril 2021 concernant le projet d'Ordonnance Souveraine portant modification de l'Ordonnance n° 3.153 du 19 mars 1964 relative aux conditions d'entrée et de séjour des étrangers dans la Principauté, et son arrêté ministériel portant application de l'article 4 ;
Vu la saisine du Ministre d'État en date du 8 avril 2021 concernant 3 projets d'Ordonnances Souveraines portant application des articles 4, 5, 6, 8, 13, 17 et 18 de la loi n° 1.483 relative à l'identité numérique ;
Vu la demande d'avis présentée le 12 avril 2021 par de Ministre d'État concernant, la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des identités numériques au travers du Registre National Monégasque de l'Identité Numérique » ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 2 juin 2021 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Le 17 décembre 2019 a été votée la loi n° 1.483 relative à l'identité numérique. Celle-ci est articulée en application de son article 6 autour d'un Registre National Monégasque de l'Identité Numérique (RNMIN).
Ledit Registre a notamment pour objet « l'identification des personnes physiques et morales avec l'attribution d'un identifiant numérique lié à une identité numérique ».
Aussi, conformément aux dispositions de l'article 7 de la loi n° 1.165 du 23 décembre 1993, le Ministre d'État soumet le traitement ayant pour finalité « Gestion des identités numériques au travers du Registre National Monégasque de l'Identité Numérique » à l'avis de la Commission.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité la « Gestion des identités numériques au travers du Registre National Monégasque de l'Identité Numérique » et est dénommé « RNMIN ».
Il est précisé qu'« Afin de donner toute son effectivité à l'identification numérique, un Registre National Monégasque est créé et a pour vocation de centraliser les identités des personnes disposant d'un identifiant numérique dans le but, d'une part d'assurer l'identification des personnes physiques ou morales et d'autre part, de participer à la réalisation de documents d'identité et par là même, de participer à la lutte contre la fraude ».
Le responsable de traitement précise qu'il concerne les monégasques, résidents, et de manière incidente les agents du Service du Registre National Monégasque de l'Identité Numérique et les administrateurs de base de données du prestataire.
La Commission constate qu'il s'agit effectivement de l'exhaustivité des personnes concernées au jour de la présente demande d'avis. L'article 4 de la loi n° 1.483 prévoit en effet que les monégasques et les résidents disposent d'une identité numérique.
Toutefois, elle rappelle qu'aux termes l'article 5 de cette même loi, le RNMIN concerne d'autres catégories de personnes, à savoir celles enregistrées dans un registre d'un Service Public tenu pour l'application d'une disposition législative ou réglementaire dont la liste est publiée par Ordonnance Souveraine ou celles enregistrées dans un fichier d'un fournisseur d'identité privé.
Si techniquement, les personnes visées à l'article 5 de la loi n° 1.483 ne sont pas prévues au Registre, la Commission rappelle que le présent traitement devra être modifié lors de leur adjonction. L'État devra à cet égard déterminer si le RNMIN « crée » une identité numérique pour ces autres catégories de personnes comme il affirme le faire pour les monégasques et résidents par le biais du registre, ou s'il enregistre ces identités numériques. Elle renvoie à cet égard à sa délibération portant avis sur les projets d'Ordonnance Souveraine portant application des divers articles de la loi n° 1.483, et la détermination du rôle de Fournisseur d'identité.
Par ailleurs, les fonctionnalités sont :
- Créer une identité numérique pour une personne de nationalité monégasque à partir du sommier de la nationalité de la Commune ;
- Créer une identité numérique pour une personne résidente à Monaco à partir des demandes issues du système d'émission à l'initiative de l'application résidents de la Direction de la Sûreté Publique ;
- Changer l'état d'une identité numérique ;
- Contrôler l'état d'une identité numérique.
La Commission relève également qu'en application de l'article 11 de la loi n° 1.483, il a pour vocation de permettre l'accès à certaines personnes habilitées, et en application de l'article 13, de communiquer des informations du Registre à certaines entités.
Enfin, elle relève que la gestion des identités numériques est limitée. En cas de changement de nationalité d'un résident qui serait naturalisé monégasque, aucune démarche n'est effectuée par le Service du RNMIN. La Commune, qui effectue une veille des naturalisations, communiquera alors directement par messagerie électronique avec la Direction de la Sûreté Publique pour initier la demande de changement d'Autorité d'enregistrement de la personne devenue monégasque. Aucune procédure n'est pas non plus mise en place pour vérifier si le certificat attribué à une personne demeure en cohérence avec les évolutions de ses données d'identification personnelle (exemple : changement de nom).
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par une mission d'intérêt public.
À cet égard, il indique que le présent traitement permet au Gouvernement d'exercer la mission dont il est investi en application de la loi relative à l'identité numérique.
En outre, l'article 6 de la loi n° 1.483 relative à l'identité numérique dispose que :
« Il est créé un Registre National Monégasque de l'Identité Numérique qui a pour finalités :
- l'identification des personnes physiques et morales avec l'attribution d'un identifiant numérique lié à une identité numérique ;
- la participation à la réalisation des documents d'identité ou d'autres documents permettant d'établir celle-ci ;
- la participation à la prévention et à la lutte contre la fraude à l'identité ;
- la mise à disposition de données de personnes physiques ou morales aux responsables des fichiers des services publics dans les limites des missions qui leur sont légalement conférées aux fins de faciliter leur exercice ;
- la préservation de l'historique de ces données à des fins administratives ou, à condition que les données soient anonymisées, à des fins statistiques ;
- la simplification des formalités administratives exigées par les autorités publiques ;
- la mise à disposition de données de personnes physiques ou morales aux responsables des fichiers des personnes relevant du secteur privé dans les limites des missions qui leur sont légalement conférées.
Les fichiers d'où proviennent les données à caractère personnel et les données d'identification personnelle enregistrées et conservées dans le Registre National Monégasque de l'Identité Numérique sont interconnectés et interopérables avec ce dernier.
Les modalités d'application du présent article sont fixées par ordonnance souveraine ».
Les articles 7 à 11 de ladite loi viennent quant à eux préciser la qualité des informations nominatives appelées à figurer au RNMIN et la gestion des accès auxdites informations par le Responsable du Service du RNMIN.
La Commission constate que ce service en charge du RNMIN, dont l'existence est prévue par la loi, n'est en rien défini, notamment sur son autorité de rattachement fonctionnel au sein de l'Administration. Elle estime donc qu'une Ordonnance Souveraine portant création dudit Service devrait être adoptée pour en préciser le fonctionnement effectif.
Sous cette réserve, la Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Les informations nominatives traitées sont :
- identité / situation de famille : les 5 champs de l'identité numérique : nom, prénoms, date de naissance, heure de naissance, lieu de naissance, ainsi que les champs supplémentaires suivants : nom d'usage, sexe à la naissance ;
- informations temporelles : logs de connexion du Service du RNMIN et des administrateurs de bases de données du prestataire ;
- état de l'identité numérique : active, inactive, suspendue ;
- autorité d'enregistrement : Direction de la Sûreté Publique ou Mairie ;
- clé primaire : obtenue par le hachage de la concaténation des 5 champs de l'identité numérique.
Les informations ont pour origine, en ce qui concerne les monégasques, le Fichier des nationaux et de leur famille, et pour les résidents la plateforme permettant la délivrance et la gestion des cartes de séjour. Celles relatives à l'état de l'identité numérique sont fournies par le traitement ayant pour finalité les moyens d'utilisation de l'identité numérique, tandis que la clé primaire provient du système lui-même.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
- Sur l'information préalable des personnes concernées
L'information des personnes concernées est réalisée par le biais d'une mention d'information accessible depuis le portail du Gouvernement dans un sous-onglet intitulé « Traitements mis en œuvre par la Direction des Services Numériques ».
Cette dernière étant jointe au dossier, la Commission relève que le contenu de cette mention d'information est conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.
Le responsable de traitement indique néanmoins que cette information ne peut être préalable car il s'agit d'une collecte indirecte d'information au sens de l'article 14 de la loi n° 1.165.
Toutefois, la Commission estime que l'existence de l'ensemble des traitements découlant de la délivrance de l'identité numérique doit être portée à la connaissance des personnes concernées lors de la remise de leur carte d'identité ou de leur carte de séjour.
En effet, comme indiqué en justification du motif d'intérêt public par le Gouvernement, ce dernier a la charge du dispositif de l'identité numérique. Si la Commune (dont la délivrance des cartes d'identité est effectuée « sous la surveillance du Ministre d'État » en application de l'article 39 de la loi n° 859) et la Direction de la Sûreté Publique (qui dépend du Ministre d'État) délivrent les documents qui les concernent, l'identité numérique est octroyée par le système dont l'État a la charge.
Aussi, elle considère que les personnes concernées doivent être informées des destinataires des informations et des traitements y associés, voire du lien vers la page du site d'information du site du Gouvernement, lors de la délivrance des documents précédemment évoqués.
Enfin, la Commission s'interroge sur le rattachement du traitement à la Direction des Services Numériques, quand le traitement est effectué sous la responsabilité du Service du RNMIN.
- Sur l'exercice du droit d'accès, de modification et de mise à jour
Le droit d'accès est exercé par voie postale. Il est précisé qu'un formulaire de contact est disponible depuis la page relative à la Direction des Services Numériques, accessible depuis le site du Gouvernement.
Sous la réserve de l'attribution du doit d'accès à la DSN en lieu et place du Service du RNMIN, la Commission constate que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les personnes ayant accès au traitement
La Commission relève qu'aucune communication d'informations objets du traitement n'est pour l'instant prévue dans la demande d'avis, ce qui est conforme à l'état actuel du système, mais contradictoire avec les dispositions de l'article 13 de la loi n° 1.483 relative à l'identité numérique et ses projets d'Ordonnances Souveraines d'application. Elle demande que toute modification du RNMIN lui soit soumise pour avis, et les mentions d'informations des personnes concernées adaptées à l'arrivée de nouveaux destinataires (fournisseurs d'identités du secteur public ou privé).
Le responsable de traitement indique qu'ont accès au traitement :
- les agents habilités du service du RNMIN ;
- les administrateurs de base de données du prestataire dans le cadre de ses missions de maintenance et d'administration (paramétrage).
La Commission rappelle qu'en ce qui concerne les prestataires, leurs accès doivent être limités à ce qui est strictement nécessaire à l'exécution de leur contrat de prestation de service, conformément à l'article 17 de la loi n° 1.165\. De plus, ils sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement.
La Commission considère que ces accès sont justifiés.
La Commission constate toutefois que l'article 11 de la loi n° 1.483 relative à l'identité numérique dispose que « seules les personnes dûment et spécialement habilitées par le responsable du Registre National Monégasque de l'Identité Numérique peuvent accéder audit registre aux fins d'exploitation, de réalisation, de consultation, de modification ou de radiation ».
La Commission relève toutefois qu'aux termes :
- de l'article 2 du projet d'Ordonnance Souveraine portant application des articles 4 et 5 de la loi n° 1.483, susvisée, « L'État peut confier l'inscription au Registre National Monégasque de l'Identité Numérique à des personnes relevant du secteur privé aux fins de la création et de l'attribution d'un identifiant numérique. (…) » ;
- de l'article 6 du projet d'Ordonnance Souveraine portant application des articles 6, 8, 13, de la loi n° 1.483 le RNMIN « fournit les informations d'identification aux fournisseurs de services habilités par le Service du Registre National Monégasque de l'Identité Numérique ».
Il résulte des dispositions projetées qu'il n'est pas clairement compréhensible de savoir si les personnes habilitées au RNMIN sont limitées aux personnels du Service du RNMIN, ou peuvent être des personnels de Fournisseurs d'Identités. À cet égard, le rapport de la Commission du Conseil National pour le Développement pour le Numérique dédié à ladite loi ne vient pas lever tout doute en parlant d'« obligations incombant au responsable dudit Registre et aux personnes qui, dans l'exercice de leurs fonctions, assurent sa gestion ».
La présente saisine de la Commission étant limitée dans ses ambitions et précisions à la situation technique au jour de sa mise en œuvre, situation qui ne concerne que les personnes renseignées par la Mairie et la Direction de la Sûreté Publique, elle estime qu'une réflexion sur les accès et flux liés à l'acceptation de nouveaux fournisseurs d'identité doit être menée. En cas de modification des accès visés au présent point V de la délibération, une demande d'avis modificative devra être adressée à la Commission.
Elle regrette les trop grandes marges d'interprétations laissées par le dispositif relatif à l'identité numérique, qui influent sur l'appréhension de la protection des informations nominatives.
VI. Sur les interconnexions avec d'autres traitements
Le responsable de traitement indique que le présent traitement fait l'objet d'interconnexions avec les traitements ayant pour finalités respectives :
- « Fichier des nationaux et de leur famille », légalement mis en œuvre, afin de permettre l'enregistrement des monégasques sur le RNMIN et de leur attribuer leur identité numérique ;
- « Gestion d'une plateforme permettant la délivrance et la Gestion des cartes de séjour », concomitamment soumis ;
- « Gestion des moyens d'utilisation de l'identité numérique », concomitamment soumis ;
- « Gestion des opérations nécessaires à l'établissement et à la délivrance de la Carte d'Identité Monégasque », concomitamment soumis ;
- « Fourniture des services de confiance pour l'Identité numérique », concomitamment soumis.
La Commission constate que toutes ces interconnexions sont conformes aux finalités des différents traitements qui sont tous en lien avec la délivrance de l'identité numérique. Elle rappelle néanmoins que ces interconnexions ne peuvent être effectives qu'entre traitements ayant légalement été mis en œuvre.
Enfin, elle relève que certaines interconnexions légalement définies avec le présent registre sont perturbées par la création du traitement ayant pour finalité « Gestion des moyens d'utilisation de l'identité numérique », présenté comme une extension technique de celui-ci. Elle renvoie donc sur ce point à la délibération relative aux moyens d'utilisation de l'identité numérique.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Enfin, la Commission rappelle que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII. Sur la durée de conservation
La Commission relève que l'article 10 de la loi n° 1.483 dispose que « la durée de conservation des informations enregistrées dans le Registre national Monégasque de l'Identité Numérique ne peut être supérieure à celle nécessaire à la finalité pour laquelle elles ont été collectées. Au-delà de cette période, les informations sont conservées uniquement à des fins d'archivage d'utilité publique, à savoir à des fins archivistiques dans l'intérêt du public, à des fins de recherche scientifique ou historique ou à des fins statistiques présentant un caractère d'intérêt général ».
Le responsable de traitement indique que les informations sont :
- Conservées un an pour les informations temporelles ;
- En ce qui concerne les autres informations, jusqu'au décès de la personne si elle est monégasque, et cinq ans après le dernier évènement (demande de carte, décision y relative, remise d'une carte ou d'un PV de refus, neutralisation d'une carte) lié à la carte de séjour en ce qui concerne les résidents.
La Commission prend acte de ces durées de conservation limitatives et les estime conformes à la finalité du traitement.
Après en avoir délibéré, la Commission :
Constate que :
- certaines interconnexions légalement définies avec le présent traitement sont perturbées par la création du traitement ayant pour finalité « Gestion des moyens d'utilisation de l'identité numérique », et renvoie sur ce point à sa délibération relative aux moyens d'utilisation de l'identité numérique ;
- le responsable de traitement a fait le choix de présenter le traitement en l'état des personnes techniquement concernées au jour de la demande (monégasques et résidents), sans inclure les autres catégories de personnes concernées prévues à l'article 5 de la loi n° 1.483.
Dès lors, considère que :
- le traitement devra faire l'objet de modifications qui devront lui être soumises ;
- lesdites modifications devront clarifier le rôle des fournisseurs d'identité (accès ou non au traitement, création ou non d'une identité numérique) et ses conséquences sur les personnes concernées.
Demande que :
- les personnes concernées soient informées de la mise en œuvre de l'ensemble des traitements découlant de l'identité numérique lors de la délivrance de la carte de séjour ou de la carte d'identité monégasque ;
- une Ordonnance Souveraine précise l'Autorité de rattachement du Service du RNMIN et ses missions.
Rappelle que :
- les Ordonnances Souveraines projetées, qui servent de base légale aux différents traitements en lien avec l'identité numérique, devront être publiées au plus tard concomitamment à la mise en œuvre des traitements y associés ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
- les traitements en lien avec l'identité numérique ne pourront être interconnectés qu'une fois qu'ils seront légalement mis en œuvre.
À la condition de la prise en compte des éléments qui précèdent,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État, du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des identités numériques au travers du Registre National Monégasque de l'Identité Numérique ».
Le Président de la Commission de Contrôle des Informations Nominatives.