Délibération n° 2021-112 du 2 juin 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Fourniture des services de confiance pour l'identité numérique » dénommé « MConnect et MConnect Mobile » exploité par la Direction des Services Numériques et présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.483 du 17 décembre 2019 relative à l'identité numérique ;
Vu la loi n° 1.383 du 2 août 2011 pour une Principauté Numérique, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés d'informations nominatives ;
Vu la saisine du Ministre d'État en date du 8 avril 2021 concernant le projet d'Ordonnance Souveraine relative à la carte d'identité monégasque ;
Vu la saisine du Ministre d'État en date du 15 avril 2021 concernant le projet d'Ordonnance Souveraine portant modification de l'Ordonnance Souveraine n° 3.153 du 19 mars 1964 relative aux conditions d'entrée et de séjour des étrangers dans la Principauté, et son arrêté ministériel portant application de l'article 4 ;
Vu la saisine du Ministre d'État en date du 8 avril 2021 concernant 3 projets d'Ordonnances Souveraines portant application des articles 4, 5, 6, 8, 13, 17 et 18 de la loi relative à l'identité numérique ;
Vu la demande d'avis présentée le 12 avril 2021 par de Ministre d'État concernant, la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Fourniture des services de confiance pour l'identité numérique » ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 2 juin 2021 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Le 17 décembre 2019 a été votée la loi n° 1.483 relative à l'identité numérique qui est articulée en application de son article 6 autour d'un Registre National Monégasque de l'Identité Numérique (RNMIN). Ce RNMIN « s'appuie sur des mécanismes d'authentification performants et permettant d'apporter aux utilisateurs la confiance nécessaire dans l'utilisation de l'outil internet et des réseaux de communication. C'est en ce sens que le Gouvernement Princier souhaite instaurer la reconnaissance de cette identité numérique par des plateformes de service de confiance. En effet, le cadre juridique prévoit l'élaboration et la mise en œuvre d'une plateforme de services dans le but d'offrir un certain nombre de services délivrés par l'État. Lorsque la plateforme délivre des services de confiance, ils peuvent être fournis à titre gratuit ou à titre onéreux. Ces services de confiance consistent une identification ou une authentification numérique. ».
Conformément aux dispositions de l'article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, le Ministre d'État soumet le traitement ayant pour finalité « Fourniture des services de confiance pour l'identité numérique » à l'avis de la Commission.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité la « Fourniture des services de confiance pour l'identité numérique » et est dénommé « MConnect et MConnect Mobile ».
Le responsable de traitement précise qu'il concerne les monégasques, résidents, et les administrateurs de base de données du prestataire.
La Commission constate qu'il s'agit effectivement de l'exhaustivité des personnes concernées.
Toutefois, la Commission rappelle qu'une identité numérique pourra être délivrée par un Fournisseur d'Identité à toute personne qui sera inscrite dans un registre tenu par le Service Public ou dans un fichier d'un fournisseur d'identité privé. Les modalités de délivrance de l'identité numérique par ces fournisseurs d'identité ne sont aujourd'hui pas définies. La Commission n'est donc pas en mesure de déterminer le degré d'autonomie dont ces derniers disposeront pour la délivrance de certificats d'authentification ; tout comme elle ne peut certifier, à la lecture de la loi n° 1.483 relative à l'identité numérique et ses projets d'Ordonnances Souveraines d'application, si les identités délivrées par ces fournisseurs d'identité devront être incluses dans le présent traitement.
Aussi, la Commission rappelle qu'en cas de modification ultérieure du traitement, elle devra être saisie pour avis.
En outre, les fonctionnalités sont :
- Le service d'authentification fournit les services permettant à l'usager de se connecter à des téléservices/fournisseurs de service selon un niveau de sécurité demandé ;
- Le service de signature/horodatage fournit les services permettant la signature électronique certifiée de documents ;
- Le service de dérivation qui fournit le moyen de dériver l'identité numérique d'une carte sur un smartphone ;
- Le service de notification qui fournit les interfaces de communication entre l'application mobile et le fournisseur d'identité.
La Commission constate ainsi que le présent traitement, interconnecté avec le RNMIN, concerne trois « services » : authentification, signature, dérivation mobile.
De ces trois services, seule l'authentification a une consécration légale dans la loi sur l'identité numérique, ses projets de textes d'application, et les Ordonnances Souveraines sur la carte d'identité et les titres de séjour.
À cet égard, l'article 5 du projet d'Ordonnance Souveraine portant application des articles 6, 8 et 13 de la loi n° 1.483, précitée, prévoit que le RNMIN « fait l'objet d'une interconnexion avec un service de confiance d'identification numérique et d'authentification permettant l'utilisation de téléservices et de services privés », tout en précisant que « Ce service de confiance est un dispositif qui permet aux personnes physiques et morales d'accéder de manière sécurisée à des services numériques. Il est placé sous l'autorité d'un responsable qui en assure la sécurité en termes de disponibilité, intégrité, confidentialité et traçabilité et qui délivre les habilitations pour accéder à ce service de confiance. ».
La délivrance du service de dérivation de l'identité numérique sur mobile et de l'octroi d'une signature électronique n'apparaissent nulle part. Faut-il comprendre que ces services sont « les moyens d'utilisation de l'identité numérique du titulaire » d'une carte d'identité ou de séjour, notion non définie introduite dans les projets d'Ordonnances Souveraines relatives à la carte d'identité monégasque et aux titres de séjour ?
Le cas échéant, il n'y a aucune prévisibilité juridique de la portée de cette notion, qui pourrait être encore étendue sans rencontrer de difficulté eu égard à l'absence de définition.
En outre, si tel est bien le cas, il s'agit de services qui devraient être réservés aux titulaires desdits documents d'identité. Or, le présent traitement étant interconnecté avec le RNMIN, qui doit concerner in fine d'autres personnes que les seuls résidents et monégasques, comment ces services s'articuleront avec les identités des fournisseurs d'identité du secteur privé ? Bénéficieront-ils de ces services, dévoyant alors l'autonomie des fournisseurs d'identité consacrée par la loi n° 1.483 ? Ou bien y aura-t-il deux registres dans le registre, un pour les résidents et monégasques, l'autre pour le reste des populations concernées, instaurant une pratique non prévue par les textes ?
La Commission relève néanmoins, en lien avec la finalité du présent traitement, « que les services de confiance fournissent les fonctionnalités d'authentification et de signature/horodatage qui sont utilisées par les téléservices. ».
La Commission considère que le présent traitement a été réfléchi pour la fourniture d'une identité régalienne et s'inquiète de la faisabilité technique de l'ouverture d'une identité numérique aux autres populations visées dans la loi n° 1.483 relative à l'identité numérique.
Elle considère également que la mise à disposition des nationaux et résidents de MConnect Mobile et de la signature électronique devrait être insérée dans les projets d'Ordonnances Souveraines les concernant.
Concernant plus précisément MConnect Mobile, la Commission relève qu'il est indiqué qu'il agit en tant que Fournisseur d'Identité.
Eu égard aux points sus évoqués et à la spécificité de la solution qui fonctionne via une application mobile, elle estime que MConnect Mobile devrait faire l'objet d'une formalité dédiée.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par une mission d'intérêt public.
À cet égard, le responsable de traitement indique que le présent traitement permet au Gouvernement d'exercer la mission dont il est investi en application de la loi relative à l'identité numérique.
En outre, l'article 5 du projet d'Ordonnance Souveraine portant application des articles 6, 8 et 13 de la loi n° 1.483, précitée, prévoit que le RNMIN « fait l'objet d'une interconnexion avec un service de confiance d'identification numérique et d'authentification permettant l'utilisation de téléservices et de services privés. ».
À cet égard, la Commission réitère ses observations formulées au point précédent de la présente délibération.
Sous cette réserve, la Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993, modifiée.
III. Sur les informations traitées
Les informations nominatives traitées sont :
- identité / situation de famille : les 5 champs de l'identité numérique : nom, prénoms, date de naissance, heure de naissance, lieu de naissance, ainsi que les champs supplémentaires suivants : nom d'usage, sexe à la naissance ;
- informations temporelles : logs de connexion des administrateurs de bases de données du prestataire ;
- état de l'identité numérique : active, inactive, suspendue ;
- autorité d'enregistrement : Direction de la Sûreté Publique ou Mairie ;
- clé primaire : obtenue par le hachage de la concaténation des 5 champs de l'identité numérique ;
- traits de l'identité : nom d'exercice, prénoms, noms de naissance, genre, date et heure de naissance, lieu de naissance, prénoms + nom, clé primaire de l'identité numérique régénérée, autorité d'enregistrement, statut de l'identité ;
- mode d'authentification : par carte ou mobile.
Les informations relatives à l'identité, aux traits de son identité et au mode d'authentification ont pour origine le traitement ayant pour finalité « Gestion des moyens d'utilisation de l'identité numérique ». Les informations temporelles sont produites par le système, tandis que les autres informations proviennent du traitement ayant pour finalité « Gestion des identités numériques au travers du Registre National Monégasque de l'Identité Numérique ».
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.
IV. Sur les droits des personnes concernées
- Sur l'information préalable des personnes concernées
L'information des personnes concernées est réalisée par le biais d'une mention d'information particulière intégrée dans un document d'ordre général accessible en ligne.
Il est précisé que « les mentions d'informations préalables communiquées aux utilisateurs des services de confiance pour l'identité numérique (MConnect) sont communiquées dans une rubrique directement accessible sur le portail MCONNECT préalablement à la connexion aux téléservices. ».
Cette dernière étant jointe au dossier, la Commission relève que le contenu de cette mention d'information est conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.
La Commission constate cependant que l'enrôlement des personnes sur le présent traitement est déjà effectué quand ils se connectent aux téléservices accessibles avec leur identité numérique. L'information ainsi proposée n'est donc pas préalable mais postérieure.
Elle estime ainsi que l'ensemble des traitements découlant de la délivrance de l'identité numérique doit être porté à la connaissance des personnes concernées lors de la remise de leur carte d'identité ou de leur carte de séjour.
En effet, comme indiqué en justification du motif d'intérêt public par le Gouvernement, ce dernier a la charge du dispositif de l'identité numérique. Si la Commune (dont la délivrance des cartes d'identité est effectuée « sous la surveillance du Ministre d'État » en application de l'article 39 de la loi n° 859) et la Direction de la Sûreté Publique (qui dépend du Ministre d'État) délivrent les documents qui les concernent, l'identité numérique est octroyée par le système dont l'État a la charge.
Aussi, elle considère que les personnes concernées doivent être informées des destinataires des informations et des traitements y associés, voire du lien vers la page du site d'information du site du Gouvernement, lors de la délivrance des documents précédemment évoqués.
Enfin, la Commission s'interroge sur le rattachement du traitement à la Direction des Services Numériques.
- Sur l'exercice du droit d'accès, de modification et de mise à jour
Le droit d'accès est exercé par voie postale. Il est précisé qu'un formulaire de contact est disponible depuis la page relative à la Direction des Services Numériques, accessible depuis le site du Gouvernement.
Sous la réserve de l'attribution du doit d'accès à la DSN, la Commission constate que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993, modifiée.
V. Sur les personnes ayant accès au traitement
Le responsable de traitement indique qu'ont accès au traitement les seuls administrateurs de bases de données du prestataire dans le cadre de ses missions de maintenance et d'administration (infogérance et garantie de l'intégrité).
La Commission rappelle qu'en ce qui concerne les prestataires, leurs accès doivent être limités à ce qui est strictement nécessaire à l'exécution de leur contrat de prestation de service, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée. De plus, ils sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement.
La Commission considère que ces accès sont justifiés.
VI. Sur les interconnexions avec d'autres traitements
Le responsable de traitement indique que le présent traitement fait l'objet d'interconnexions avec les traitements ayant pour finalités respectives :
- « Gestion des identités numériques au travers du Registre National Monégasque de l'Identité Numérique », concomitamment soumis ;
- « Gestion des moyens d'utilisation de l'identité numérique », concomitamment soumis ;
- « Plateforme d'activation et de Gestion de l'identité numérique après délivrance du titre », concomitamment soumis.
La Commission constate que toutes ces interconnexions sont conformes aux finalités des différents traitements qui sont tous en lien avec la délivrance de l'identité numérique. Elle rappelle néanmoins que ces interconnexions ne peuvent être effectives qu'entre traitements ayant légalement été mis en œuvre.
Il est également précisé que le traitement s'interconnectera avec les téléservices nécessitant l'utilisation de ces services de confiance pour fonctionner. Sont aujourd'hui concernés le traitement ayant pour finalité « demande d'actes en ligne délivrés par le Service d'État Civil-Nationalité », et celui ayant pour finalité « réaliser une signature entre plusieurs parties par le biais d'une démarche en ligne ». Elle en prend acte.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
En outre, la Commission constate qu'elle ne dispose pas de l'ensemble des informations juridiques et techniques sur le fonctionnement de la « dérivation mobile MConnect Mobile ». Elle estime donc ne pas être en mesure de se déterminer sur cette dérivation qu'elle considère être un traitement autonome, et demande donc à ce que ce service ne soit pas activé avant une nouvelle saisine sur ce point spécifique qui devrait intervenir dans les meilleurs délais.
La Commission relève que (les entités de) la Principauté (sont) est en cours d'obtention à l'international de la reconnaissance de (leur) sa qualité d'autorité de certification racine de confiance, ce qui peut conduire jusqu'à ladite obtention et selon certaines utilisations des certificats à des avertissements portés à l'attention des parties utilisatrices. L'utilisation du certificat est alors conditionnée à la volonté des parties utilisatrices de les autoriser.
Enfin, la Commission rappelle que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII. Sur la durée de conservation
Le responsable de traitement indique que les informations sont :
- Conservées un an pour les informations temporelles ;
- En ce qui concerne les autres informations, jusqu'au décès de la personne si elle est monégasque, et cinq ans après le dernier évènement (demande de carte, décision y relative, remise d'une carte ou d'un PV de refus, neutralisation d'une carte) lié à la carte de séjour en ce qui concerne les résidents.
La Commission constate que ces durées de conservation sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Demande que :
- MConnect Mobile ne soit pas activé avant d'avoir été soumis à une formalité dédiée répondant aux interrogations juridiques et techniques de la Commission ;
- les personnes concernées soient informées lors de la délivrance de la carte de séjour ou de la carte d'identité monégasque de l'ensemble des traitements en lien avec l'identité numérique.
Estime que seul un service de confiance d'identification et d'authentification est légalement prévu pour être interconnecté avec le RNMIN, ce qui de fait n'inclut pas la signature électronique et la dérivation mobile introduites dans le présent traitement ; cette signature et cette dérivation semblent en outre être dédiées uniquement aux monégasques et résidents, et non à l'ensemble des personnes devant in fine figurer sur ledit Registre.
Rappelle que :
- en cas de modification ultérieure du présent traitement elle devra en être saisie pour avis ;
- les Ordonnances Souveraines projetées, qui servent de base légale aux différents traitements en lien avec l'identité numérique, devront être publiées au plus tard concomitamment à la mise en œuvre des traitements y associés ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
- les traitements en lien avec l'identité numérique ne pourront être interconnectés qu'une fois légalement mis en œuvre.
Constate que la Principauté est en cours d'obtention à l'international de la reconnaissance de sa qualité d'autorité de certification racine de confiance, ce qui peut conduire, jusqu'à ladite obtention, à des alertes de sécurité portées à l'attention des parties utilisatrices des certificats. Leur utilisation est alors conditionnée à la volonté des parties utilisatrices de les autoriser. La Commission estime que cela est de nature à brouiller le message de confiance dans le numérique et à en affecter ainsi l'utilisation effective.
À la condition de la prise en compte des éléments qui précèdent,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État, du traitement automatisé d'informations nominatives ayant pour finalité « Fourniture des services de confiance pour l'identité numérique. ».
Le Président de la Commission de Contrôle des Informations Nominatives.