Délibération n° 2021-157 du 21 juillet 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Vidéoprotection des locaux spécifiques de l'Administration » exploité par la Direction des Systèmes d'Information (DSI), présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’Ordonnance Souveraine n° 7.996 du 12 mars 2020 portant création de la Direction des Systèmes d’Information ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’arrêté ministériel n° 2017-56 du 1er février 2017 portant application de l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré, modifiée, et son annexe « Politique de Sécurité des Systèmes d’Information de l’État » ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la demande d’avis déposée par le Ministre d’État le 23 mars 2021 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Vidéoprotection des locaux spécifiques de l’Administration » ;
Vu la prorogation du délai d’examen de ladite demande d’avis notifiée au responsable de traitement le 20 mai 2021, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 21 juillet 2021 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
L’Administration Gouvernementale souhaite mettre en place un dispositif de vidéoprotection afin d’assurer la sécurité des accès à ses locaux spécifiques.
Le traitement automatisé d’informations nominatives objet de la présente délibération est donc soumis à l’avis de la Commission conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée ;
I. Sur la finalité et les fonctionnalités du traitement
Ce traitement a pour finalité « Vidéoprotection des locaux spécifiques de l’Administration ».
Les personnes concernées sont « toutes les personnes accédant aux zones sous vidéosurveillance ».
Enfin, les fonctionnalités sont les suivantes :
- assurer la sécurité des personnes ;
- assurer la sécurité des biens ;
- vérifier les zones lors du déclenchement d’alerte (ex. porte restée ouverte) ;
- constater l’intrusion et constituer des preuves en cas d’infractions ;
- valider l’accès par l’accueil de tout visiteur non badgé.
Elle constate ainsi que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée ;
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par le respect d’une obligation légale à laquelle il est soumis, ainsi que par la réalisation d’un intérêt légitime, sans que ne soient méconnus les droits et libertés fondamentaux des personnes concernées.
Il précise que le traitement s’inscrit notamment dans le cadre de l’application de mesures physiques demandées par la Politique de Sécurité des Systèmes d’Information de l’État (PSSI), annexée à l’arrêté ministériel n° 2017-56 du 1er février 2017.
La Commission constate ainsi que le traitement dont s’agit répond notamment aux objectifs suivants de cette PSSI :
- « Objectif 9 : Sécurité physique des locaux abritant les systèmes d’information : Inscrire la sécurisation physique des systèmes d’information dans la sécurisation physique des locaux et dans les processus associés.
- Objectif 10 : Sécurité physique des centres informatiques : Dimensionner les protections physiques des centres informatiques en fonction des enjeux liés à la concentration des moyens et données abrités.
- Objectif 11 : Sécurité du système d’information en sûreté : Traiter de manière globale la sécurité des systèmes d’information et de communication qui assurent la sûreté d’un site. ».
Le responsable de traitement indique en outre que l’intérêt légitime poursuivi est la « protection des personnes, des biens et des ressources informatiques dont il a la charge ».
La Commission prend acte à cet effet que l’objectif de ce dispositif n’est pas de surveiller le travail ou le temps de travail des salariés puisque « Les caméras, à l’exception de l’accueil, ne contrôlent que des accès où les salariés n’ont pas lieu d’être » et que « celles-ci ont été orientées spécifiquement pour un périmètre d’enregistrement focalisé sur l’accès ».
Enfin, elle relève que les caméras ne sont pas mobiles et que les fonctionnalités zoom et micro ne sont pas activées.
La Commission rappelle toutefois que les caméras ne doivent filmer que les espaces exploités par le responsable de traitement.
Sous cette condition, elle considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993, modifiée.
III. Sur les informations nominatives traitées
Les informations nominatives traitées sont :
- identité : image, silhouette, visage ;
- données d’identification électronique : login, mot de passe des personnes habilitées à avoir accès aux images ;
- informations temporelles : numéro de la caméra, emplacement des caméras, date et heure de la prise de vue ;
- logs de connexion des personnes habilitées.
Les informations ont pour origine le système de vidéoprotection.
La Commission considère ainsi que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.
IV. Sur les droits des personnes concernées
- Sur l’information préalable des personnes concernées
L’information préalable des personnes concernées est effectuée par le biais d’un affichage.
À l’analyse de ce document, la Commission considère que les modalités d’information préalable des personnes sont conformes aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.
Elle rappelle par ailleurs que cet affichage doit garantir une information visible, lisible et claire de la personne concernée et être apposé à chaque entrée de l’établissement.
Sous cette condition, la Commission considère que les modalités d’information préalable des personnes sont conformes aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.
- Sur l’exercice du droit d’accès, de modification et de mise à jour
Le droit d’accès s’exerce par voie postale auprès de la Direction des Systèmes d’Information.
À cet égard, la Commission rappelle que la réponse à un droit d’accès doit s’exercer impérativement sur place et que cette réponse doit intervenir dans le mois suivant la réception de la demande.
Sous cette condition, elle constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
- Sur les destinataires
Les informations sont susceptibles d’être communiquées à la Direction de la Sûreté Publique.
La Commission estime que la communication à la Direction de la Sûreté Publique peut être justifiée pour les besoins d’une enquête judiciaire.
À cet égard, elle rappelle qu’en cas de transmission, ladite Direction ne pourra avoir communication des informations que dans le strict cadre de ses missions légalement conférées.
La Commission considère donc que ces transmissions sont conformes aux exigences légales.
- Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
- le personnel de l’accueil : consultation au fil de l’eau et en différé du flux vidéo d’une caméra ;
- le personnel habilité de la DSI : tous droits dans le cadre de ses opérations de maintenance ;
- la direction via une demande auprès du personnel habilité de la DSI : consultation au fil de l’eau et en différé, extraction ;
- le prestataire : tous droits, à l’exception de l’extraction, dans le cadre de la maintenance.
Considérant les attributions de chacune de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.
En ce qui concerne le prestataire, la Commission rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service. De plus, ledit prestataire est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
VI. Sur les interconnexions et rapprochements
Le responsable de traitement indique que le présent traitement fait l’objet d’un rapprochement avec un traitement ayant pour finalité « Assistance aux utilisateurs par le Centre de Service de la DSI ».
Il indique en outre que ledit traitement fait l’objet de quatre interconnexions avec les traitements ayant respectivement pour finalité :
- « Gestion des accès par badges aux sites spécifiques de l’Administration » ;
- « Gestion de la messagerie professionnelle » ;
- « Gestion des accès à distance au Système d’information du Gouvernement ;
- « Gestion et analyse des évènements du système d’information ».
La Commission prend acte que ces traitements ont été légalement mis en œuvre.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
La Commission rappelle néanmoins que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Elle constate par ailleurs que la copie ou l’extraction d’informations issues de ce traitement est chiffrée sur son support de réception.
La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Les informations sont conservées 1 mois, à l’exception des identifiants et mots de passe qui sont conservés tant que la personne est en place.
La Commission considère que ces durées sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Constate :
- qu’aucun accès distant (tablettes, smartphones, etc.) n’est utilisé sur le réseau de vidéosurveillance ;
- que la copie ou l’extraction d’informations issues de ce traitement est chiffrée sur son support de réception.
Rappelle que :
- les caméras ne doivent filmer que les espaces exploités par le responsable de traitement ;
- l’affichage doit garantir une information visible, lisible et claire de la personne concernée et être apposé à chaque entrée de l’établissement ;
- la réponse au droit d’accès doit s’exercer uniquement sur place ;
- les Services de Police monégasque ne pourront avoir communication des informations objet du traitement que dans le strict cadre de leurs missions légalement conférées ;
- la liste nominative des personnes ayant accès au traitement doit être tenue à jour et doit lui être communiquée à première réquisition ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par le Ministre d’État du traitement automatisé d’informations nominatives ayant pour finalité « Vidéoprotection des locaux spécifiques de l’Administration ».
Le Président de la Commission de Contrôle des Informations Nominatives.