Délibération n° 2021-198 du 15 septembre 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Demander une carte de séjour par voie dématérialisée » exploité par la Direction de la Sûreté Publique présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’Ordonnance du 23 juin 1902 établissant une Direction de la Sûreté Publique, modifiée ;
Vu l’Ordonnance Souveraine n° 3.153 du 19 mars 1964 relative aux conditions d’entrée et de séjour des étrangers dans la Principauté, modifiée ;
Vu l’Ordonnance Souveraine n° 765 du 13 novembre 2006 relative à l’organisation et au fonctionnement de la Direction de la Sûreté Publique, modifiée ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré ;
Vu l’Ordonnance Souveraine n° 7.995 du 12 mars 2020 portant création de la Direction des Services Numériques ;
Vu la délibération n° 2021-107 du 2 juin 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la modification du traitement automatisé d’informations nominatives ayant pour finalité « Gestion et suivi des conditions d’entrée et de séjour des résidents étrangers de la Principauté » ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés d’informations nominatives ;
Vu la demande d’avis déposée par le Ministre d’État, le 16 juin 2021, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Demander une carte de séjour par voie dématérialisée » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 13 août 2021, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 15 septembre 2021 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Le Gouvernement Princier, dans le cadre de la simplification des démarches administratives, souhaite proposer aux personnes désireuses de résider en Principauté un téléservice permettant d’en faire la demande.
Conformément aux dispositions de l’article 7 de la loi n° 1.165 du 23 décembre 1993 modifiée, le Ministre d’État soumet ainsi, à l’avis de la Commission, le traitement ayant pour finalité « Demander une carte de séjour par voie dématérialisée ».
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Demander une carte de séjour par voie dématérialisée ».
Il concerne les personnes souhaitant demander une première carte de séjour et leur famille, ainsi que les agents traitants pour la partie fonctionnelle du traitement.
Les fonctionnalités de la démarche en ligne sont :
- Saisie des informations sur le demandeur ;
- Saisie des informations relatives à la famille ;
- Saisie des informations sur le logement ;
- Saisie des informations sur le parcours et les moyens d’existence ;
- Compléter les informations manquantes ;
- Import de pièces justificatives ;
- Annulation d’une demande par un usager ou par un agent ;
- Envoi d’un courriel de confirmation d’enregistrement de la demande ;
- Envoi d’un courriel de confirmation d’annulation de la demande ;
- Envoi d’un courriel de confirmation de désinscription à la démarche en ligne ;
- Export d’un fichier Excel qui comprend toutes les demandes et leurs informations anonymisées par les agents ayant les droits nécessaires pour effectuer cette action.
En ce qui concerne cette dernière fonctionnalité, et eu égard au grand nombre d’informations collectées par la DSP, la Commission rappelle qu’une information n’est anonyme que si elle ne permet pas de manière irréversible de remonter à la personne concernée. Elle appelle donc l’attention du responsable de traitement sur le fait que la seule suppression des noms et prénoms ne saurait rendre l’information anonyme, si l’ensemble des autres données collectées est conservé. La Commission demande donc à ce qu’un processus d’anonymisation soit mis en place permettant de s’assurer qu’en aucune circonstance il n’est possible de remonter même indirectement à une personne concernée.
Par ailleurs, elle relève que le téléservice propose un lien vers un questionnaire de satisfaction anonyme dont les résultats sont traités par la Direction des Services Numériques. Elle en prend acte.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par le consentement des personnes concernées, par le respect d’une obligation légale à laquelle il est soumis et par la réalisation d’un intérêt légitime qu’il poursuit et qui ne méconnaît ni l’intérêt, ni les droits et libertés fondamentaux des personnes concernées.
À cet égard, il précise que le consentement des personnes concernées est formalisé par un acte positif clair matérialisé par le biais d’une case à cocher mentionnant « J’accepte que mes données personnelles soient traitées dans le cadre du téléservice « Demander une carte de séjour par voie dématérialisée » », ainsi que par l’acceptation préalable des conditions générales d’utilisation du téléservice, indispensable pour la création du compte sécurisé et pour l’accès à la démarche en ligne.
Le téléservice s’inscrit également dans les missions de la DSP en lien avec les conditions d’entrée et de séjour des étrangers dans la Principauté, régies par l’Ordonnance Souveraine n° 3.153 du 19 mars 1964.
En outre, l’intérêt légitime trouve son fondement dans la volonté de l’Administration de simplifier les démarches administratives des administrés en leur permettant de déposer leur déclaration sans se déplacer et sans autre démarche, ce qui s’inscrit dans le cadre de l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré.
La Commission rappelle que conformément aux dispositions de l’article 43 de l’Ordonnance Souveraine susvisée « (…) la création d’un téléservice ne saurait toutefois avoir pour effet de supprimer la possibilité pour l’usager, d’accomplir les démarches, formalités ou paiements qui en sont l’objet par des voies autres qu’électroniques ».
Sous cette réserve, la Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Le responsable de traitement indique que les informations nominatives traitées sont :
- identité : déclarant qui effectue la demande : titre, nom du déclarant, prénom(s) du déclarant, raison sociale ; demandeur qui bénéficie de la demande : statut effectif de demandeur, titre, nom, nom d’usage, prénom(s), sexe, situation familiale, date de naissance, heure de naissance, ville de naissance, pays de naissance ; conjoint, ex-conjoint ou concubin : nature du lien, titre, nom, prénom, date de naissance, nationalité, habitation commune ou non ; séjour et nationalité : nationalité, autre nationalité, pièce d’identité, n° de pièce d’identité, date de délivrance, date de fin de validité, pays de délivrance, ressortissant(e) de l’EEE et pays tiers ; parents : nom et prénom du père, nom de naissance et prénom de la mère, frères et sœurs éventuels ; enfants : nombre d’enfants, nombre d’enfant présents au foyer, nom, prénom, date de naissance , sexe, autorité parentale, adresse principale de l’enfant, code postal et ville, pays, lieu de scolarité travail ;
- adresses et coordonnées : adresse postale précédente, code postal, ville, pays ; adresse postale actuelle : adresse à Monaco, bloc, étage, n° d’appartement, logement, qualité (locataire, propriétaire, hébergé), surface en m2, nombre de pièces principales, nombre d’occupants, nombre de places de stationnement, montant du loyer, périodicité du loyer, date de la dernière quittance) ; contact du demandeur : courriel du demandeur, n° de téléphone du demandeur, canal de communication souhaité (SMS, courriel ou les 2), langue de communication souhaitée ; contact du déclarant : courrier du déclarant ;
- situation socio-professionnelle : Études : informations libres relatives aux études du demandeur ; CV et professions : professions précédentes, dates, noms des employeurs, adresses ; situation professionnelle actuelle : indépendant, à son compte, profession libérale, chef d’entreprise, PDG, associé d’une SARL, aidant d’une personne dans son travail sans rémunération, étudiant, chômeur, retraité, personne au foyer, invalidité/handicap/maladie, rentier ;
- caractéristiques financières : ressources, moyens d’existence (références bancaires, salaires ou autres), statut ou non de propriétaire à Monaco, statut de propriété d’un bien à l’étranger (appartement, villa, immeuble, terrain, commerce ou fonds ou murs) ;
- données d’identification électronique : identifiant technique de l’usager ;
- informations temporelles : horodatages, etc. : données d’horodatage ;
- données de connexion : log de connexion de l’usager, données de messagerie de l’usager, logs du personnel habilité de l’administration ;
- pièces justificatives : en ce qui concerne le demandeur : pièce justifiant de l’identité du titulaire de la carte (passeport, carte d’identité ou document de voyage), acte de naissance, carte de séjour française ou récépissé, passeport et acte de naissance pour enfant mineur, justificatif de situation familiale, justificatifs de revenus, justificatif de résidence, contrat d’abonnement électrique ou dernière facture d’électricité, documents de moralité, visa d’établissement (de type D) pour Monaco, certificat de position militaire ; en ce qui concerne le déclarant : si le déclarant est un parent (ascendant, descendant, collatéral) : une pièce d’identité en cours de validité ; si le déclarant est un tiers de confiance (avocat, prestataire de service, etc.) : un justificatif et un mandat signé par le demandeur (titulaire de la carte de séjour) ; si le déclarant est un employé du demandeur : permis de travail ;
- état de la demande : informations sur la demande : type de demande, motif d’installation (cadre de vie, familial, fiscal, professionnel, réfugié, sécurité, sans motivation principale, à déterminer) ; observations : fichier interne pour les demandes recevables (document PDF généré qui reprend les informations de la demande, il est à destination des agents), export des demandes anonymisées sous format Excel, commentaire associé à la réponse de l’administration, informations réservées à l’administration et fils de discussion (dans le back-office).
Les informations relatives à l’identité, aux adresses et coordonnées, aux caractéristiques financières ainsi que des éléments du dossier sont renseignées par l’usager déclarant, qui est ou non le demandeur.
Enfin, les autres données sont générées par le système.
La Commission constate toutefois qu’il existe des collectes différentes entre le présent traitement et le traitement « métier » ayant pour finalité « Gestion et suivi des conditions d’entrée et de séjour des résidents étrangers de la Principauté ». Elle rappelle qu’hormis les informations propres au fonctionnement du téléservice, le présent traitement ne doit pas étendre la collecte d’informations prévue au traitement métier.
Sous cette réserve, la Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
- Sur l’information préalable des personnes concernées
L’information préalable des personnes concernées est réalisée par le biais d’une mention particulière intégrée dans un document d’ordre général accessible en ligne, à savoir les conditions générales d’utilisation de la démarche en ligne que l’usager doit accepter et peut consulter dès l’accès à la démarche. Il est également que l’usager doit cocher une deuxième case indiquant « j’accepte que mes données personnelles soient traitées dans le cadre du téléservice ».
À la lecture de la mention d’information précitée, la Commission constate qu’elle est conforme aux exigences légales.
Elle constate en outre la mise à disposition d’une politique cookie.
La Commission rappelle néanmoins que les « Agents traitants » doivent être également informés de leurs droits.
Elle attire également l’attention sur la nécessité de sensibiliser les déclarants sur le fait qu’ils doivent informer les personnes qu’ils renseignent dans les formulaires (tels que les membres du foyer, ex-conjoints, etc.) de la communication de leurs informations vers le présent traitement. En effet, ces derniers ne peuvent être directement informés par la DSP de l’existence de celui-ci.
- Sur l’exercice du droit d’accès, de modification et de mise à jour
Le droit d’accès est exercé sur place, par voie postale, par accès en ligne au dossier, ou par courrier électronique auprès de la Direction de la Sûreté Publique.
S’agissant de l’exercice du droit d’accès par voie électronique, la Commission considère qu’une procédure devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.
Sous cette réserve, elle constate ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
Les accès sont définis comme suit :
- les personnels de la Direction de la Sûreté Publique : en lecture, en traitement, en paramétrage, en affectation ;
- la Direction des Services Numériques, ou tiers intervenant pour son compte : accès configuration dans le cadre d’un rôle d’assistance à maitrise d’ouvrage, des missions de maintenance, développement des applicatifs nécessaires au fonctionnement du site et de sécurité du site et du système d’information de l’État. À cet égard, une procédure est mise en œuvre pour que la DSN accède aux informations sur demande écrite en cas de nécessité technique.
En ce qui concerne les prestataires, la Commission rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993 les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de service. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission relève par ailleurs que les personnes concernées disposent d’un accès à leur propre compte.
Elle considère enfin que ces accès sont justifiés.
VI. Sur les rapprochements et les interconnexions avec d’autres traitements
Le présent traitement fait l’objet d’interconnexions avec les traitements suivants :
- « Gestion du compte permettant aux usagers d’entreprendre des démarches par téléservices », légalement mis en œuvre ;
- « Gérer les habilitations des agents et fonctionnaires de l’État aux téléservices contenus dans le « Guichet Virtuel » », légalement mis en œuvre.
Lesdits traitements ont pour vocation de permettre l’accès sécurisé des usagers à la démarche et de gérer les habilitations des personnels de l’État, dans le respect des cadres fixés dans les délibérations y relatives de la Commission portant avis favorables à leur mise en œuvre.
La Commission constate également que le traitement ayant pour finalité « Gestion et suivi des conditions d’entrée et de séjour des résidents étrangers de la Principauté » est interconnecté avec le présent traitement pour disposer des informations nécessaires pour répondre aux demandes des usagers.
Le responsable de traitement indique enfin que le traitement est interconnecté avec les messageries professionnelles légalement mises en œuvre par l’État.
Elle considère que ces interconnexions sont conformes aux exigences légales.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.
Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
En outre, la Commission constate l’utilisation de reCAPTCHA Google qui implique un transfert d’informations vers les États-Unis et rappelle qu’il doit être mis fin à l’utilisation de cette solution.
Elle rappelle en effet que toute utilisation d’outils subordonnant l’accès à un service à un transfert de données vers un pays ne disposant pas d’un niveau de protection adéquat doit disposer d’un fondement juridique apportant des garanties appropriées audit transfert.
La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Les informations sont conservées sur le téléservice 3 mois à compter de la fin du traitement de la demande et les informations temporelles et les données de connexion sont effacées au bout d’un an glissant.
La Commission considère que ces durées de conservation sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Demande que :
- les extractions soient effectuées selon un processus d’anonymisation permettant de s’assurer qu’en aucune circonstance il n’est possible de remonter même indirectement à une personne concernée ;
- les usagers soient sensibilisés sur le fait qu’ils doivent informer les personnes à renseigner dans les formulaires de la communication de leurs informations à la DSP.
Rappelle :
- que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
- qu’hormis les informations propres au fonctionnement du téléservice, le présent traitement ne doit pas étendre la collecte d’informations prévue au traitement métier ;
- que les personnels de la DSP doivent également être informés de leurs droits.
Considère qu’une procédure relative au droit d’accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations ;
Acte que le délai pour le remplacement du Google reCAPTCHA est échu et qu’il doit désormais être mis fin à l’utilisation de toute solution impliquant un transfert de données vers un pays ne disposant pas d’un niveau de protection adéquat, en l’absence de fondement juridique apportant des garanties appropriées audit transfert.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, du traitement automatisé d’informations nominatives ayant pour finalité « Demander une carte de séjour par voie dématérialisée ».
Le Président de la Commission de Contrôle des Informations Nominatives.