icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails
Voir le site en Anglais
MENU
Français | Anglais
  • Avis et Communiqués
  • Déliberations-Décisions CCIN

Délibération n° 2022-8 du 19 janvier 2022 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Téléservice permettant la gestion des autorisations d'aéronefs télépilotés en vue du contrôle de l'espace aérien monégasque » exploité par la Direction de l'Aviation Civile, présenté par le Ministre d'État.

  • N° journal 8576
  • Date de publication 04/02/2022
  • Qualité 100%
  • N° de page

Vu la Constitution ;

Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu la loi n° 1.458 relative à l’aviation civile ;

Vu l’Ordonnance Souveraine n° 5.796 du 4 avril 2016 portant création d’une Direction de l’Aviation Civile ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu l’arrêté ministériel n° 2021-532 du 2 août 2021 relatif aux conditions d’utilisation des aéronefs non habités et télépilotés, des ballons libres légers, des planeurs ultra légers ainsi qu’aux aéronefs tractés ;

Vu la demande d’avis présentée le 12 octobre 2021 par de Ministre d’État, concernant la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des aéronefs télépilotés » ;

Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 10 décembre 2021, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 19 janvier 2022 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

La Direction de l’Aviation Civile doit procéder à la gestion de l’espace aérien monégasque et de l’Héliport.

L’utilisation de l’espace aérien monégasque par des aéronefs télépilotés fait l’objet d’une législation dédiée qui conduit notamment la Direction de l’Aviation civile à délivrer des agréments et des autorisations de vol.

Aussi, conformément aux dispositions de l’article 7 de la loi n° 1.165 du 23 décembre 1993, le Ministre d’État soumet le traitement ayant pour finalité « Gestion des aéronefs télépilotés » à l’avis de la Commission.

I. Sur la finalité et les fonctionnalités du traitement

Le traitement a pour finalité la « Gestion des aéronefs télépilotés ».

Le responsable de traitement précise qu’il concerne les fonctionnaires et agents de l’État habilités, les prestataires habilités et les exploitants d’aéronefs télépilotés (opérateurs).

Les fonctionnalités sont :

-  gestion des demandes d’agrément ;

-  gestion des autorisations de vol ;

-  suivi, en mode authentifié, par les opérateurs agréés de leurs engins et de leurs vols ;

-  gestion des autres demandes des opérateurs ;

-  suivi et contrôle des vols et des zones réglementées ;

-  détection des drones survolant la Principauté et reconnaissance automatique des drones autorisés ou non ;

-  établissement de statistiques, tableaux de bord et rapports.

La Commission rappelle que tout traitement d’informations nominatives doit avoir une finalité « déterminée, explicite et légitime » aux termes de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.

En l’espèce, la finalité du présent traitement doit être plus explicite c’est-à-dire être claire et précise pour les personnes concernées en indiquant notamment que le responsable de traitement exploite un site Internet permettant notamment les demandes d’agréments.

Par conséquent, elle modifie la finalité comme suit : « Téléservice permettant la gestion des autorisations d’aéronefs télépilotés en vue du contrôle de l’espace aérien monégasque ».

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le présent traitement est justifié par le respect d’une obligation légale à laquelle il est soumis, ainsi que par un motif d’intérêt public.

À cet égard, il précise que le traitement permet de répondre aux missions incombant à la Direction de l’Aviation Civile. Ces missions trouvent leur origine dans la loi n° 1.458 relative à l’Aviation Civile, ainsi que dans l’Ordonnance Souveraine n° 5.796 du 4 avril 2016 portant création d’une Direction de l’Aviation Civile.

La Commission relève que cette dernière est notamment chargée de :

-  « (…) La gestion de l’espace aérien et de l’héliport, ainsi que de la tutelle technique des hélisurfaces ; (…)

-  le contrôle dans les domaines de la sécurité aérienne et la participation au contrôle de la sûreté aérienne ;

-  toutes autres missions qui viendraient à lui être confiées par voie législative ou réglementaire ».

La Commission constate en outre que l’article 104 de la loi n° 1.458, susvisée, dispose que « l’utilisation d’un aéronef télépiloté peut être soumise à un agrément dont les conditions sont déterminées par arrêté ministériel ». Ces conditions sont fixées par l’arrêté ministériel n° 2021-532 du 2 août 2021 relatif aux conditions d’utilisation des aéronefs non habités et télépilotés, des ballons libres légers, des planeurs ultra légers ainsi qu’aux aéronefs tractés.

La Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.

III. Sur les informations traitées

Les informations nominatives traitées relatives à l’exploitant sont :

-  identité : agent : nom, prénom ; exploitant : nom de la société, nom, prénom ; pilote : nom, prénom, date de naissance ; exploitant et pilote : copie de la pièce d’identité ;

-  adresses et coordonnées : exploitant : adresse, numéro de téléphone et email ;

-  formation diplômes vie professionnelle : pilote : copie de la licence pilote ;

-  consommation de biens et services : date et heure de début et de fin des vols, données de positionnement de l’aéronef ;

-  données d’identification électronique : agent : login et mot de passe ; exploitant : login et mot de passe ;

-  infraction : constat d’infraction à la règlementation et au respect de la demande de vol associée (récupération d’éléments probatoires) ;

-  informations temporelles horodatage : agent/exploitant : logs de connexion et actions effectuées sur l’application ;

-  identification : numéro unique d’une autorisation de vol, identification de l’aéronef (marque, modèle, numéro de série, numéro du contrôleur de vol, numéro du traceur associé) ;

-  documents relatifs à la demande d’agrément faite par l’exploitant : certificat d’assurance, extrait Kbis de la société de l’exploitant.

La Commission constate que la collecte de ces informations est encadrée par l’article 12 de l’arrêté ministériel n° 2021-532, susvisé.

Les informations concernant l’exploitant ou le pilote ont pour origine l’exploitant.

Les données de positionnement de l’appareil sont collectées par le biais de traceurs installés sur les aéronefs. À cet égard, l’arrêté ministériel n’autorise sauf dérogation que l’usage de drones professionnels. La mesure de géolocalisation est donc proportionnée dès lors qu’elle ne s’applique qu’à des sociétés ayant connaissance desdites conditions. La Commission demande qu’en cas d’usage dérogatoire de vols non professionnels, aucun système de géolocalisation ne puisse être actif en dehors des heures d’autorisation de vol concernées.

Le système produit les informations temporelles et les données d’identifications électroniques.

Enfin, les données d’identification sont délivrées par la Direction de l’Aviation Civile.

La Commission relève en outre qu’aucun cookie autre que nécessaire au fonctionnement du téléservice n’est collecté.

La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.

IV.   Sur les droits des personnes concernées

  • Sur l’information préalable des personnes concernées

L’information préalable des personnes concernées est réalisée par le biais d’un document spécifique.

À la lecture de la mention d’information jointe au dossier, la Commission constate qu’elle est conforme aux dispositions de l’article 14 de la loi n° 1.165, modifiée.

  • Sur l’exercice du droit d’accès, de modification et de mise à jour

Le droit d’accès est exercé par voie postale, ou par courrier électronique auprès de la Direction de l’Aviation Civile.

S’agissant de l’exercice du droit d’accès par voie électronique, la Commission considère qu’une procédure devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.

Sous cette réserve, elle constate ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.

V. Sur les destinataires et les personnes ayant accès au traitement

Le responsable de traitement indique qu’ont accès au traitement :

-  le personnel autorisé de l’Aviation Civile : tous les droits ;

-  le personnel autorisé de la Sûreté Publique et Département de l’Intérieur : consultation (intervention dans le processus d’acceptation d’un agrément/workflow) ;

-  les Personnels de la Direction des Réseaux et Systèmes d’information ou des tiers intervenants pour son compte : tous accès dans la maintenance (sécurité), développement des applicatifs nécessaires au fonctionnement du site et de sécurité du site et du système d’information de l’État ;

-  le personnel autorisé du prestataire : tout accès nécessaire à la réalisation des prestations encadrées dans le contrat de prestation associé.

La Commission rappelle qu’en ce qui concerne les prestataires, leurs accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de service, conformément à l’article 17 de la loi n° 1.165. De plus, ils sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement.

Concernant les enquêtes administratives effectuées par la Direction de la Sûreté Publique, la Commission rappelle que les raisons d’un avis défavorable à la délivrance d’un agrément n’ont pas à être connues des agents de la Direction de l’Aviation Civile.

Elle constate en outre que les informations peuvent être communiquées au Ministre d’État en application de l’article 4 de l’arrêté ministériel n° 2021-532, précité.

La Commission considère que ces accès et communications sont justifiés.

VI.   Sur les interconnexions avec d’autres traitements

Le responsable de traitement indique que le présent traitement fait l’objet d’interconnexions avec les traitements légalement mis en œuvre suivants :

-  « Gestion de la messagerie électronique professionnelle » afin « de permettre aux acteurs du traitement de pouvoir échanger ».

-  « Gestion des accès à distance au Système d’information du Gouvernement dénommé « Le Bastion » » permettant d’identifier et de sécuriser les accès du prestataire habilité à accéder à l’infrastructure « ASD Flysafe » hébergé à la DSI.

La Commission relève que ces interconnexions sont conformes aux dispositions légales.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.

Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

En outre, il convient de préciser que la copie ou l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception.

De plus pour toutes les créations de comptes, l’identifiant et le mot de passe doivent être communiqués par deux canaux distincts.

Enfin, la Commission rappelle que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Le responsable de traitement indique que les informations relatives aux pilotes, exploitants, documents relatifs à l’agrément et identification sont conservées le temps de la durée de validité de l’agrément, soit un an renouvelable.

Toutefois, les informations temporelles/horodatage sont supprimées au bout d’un an.

Les constats d’infraction sont conservés 3 ans.

Les documents d’identité sont supprimés dès validation ou refus de l’agrément.

La Commission considère que ces durées sont conformes aux exigences légales.

Après en avoir délibéré, la Commission :

Modifie la finalité du traitement par « Gestion des autorisations d’aéronefs télépilotés permettant le contrôle de l’espace aérien monégasque ».

Considère, s’agissant de l’exercice du droit d’accès par voie électronique, qu’une procédure devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations.

Rappelle que :

-  pour toutes les créations de comptes, l’identifiant et le mot de passe doivent être communiqués par deux canaux distincts ;

-  les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;

-  la copie ou l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception ;

-  les raisons d’un avis défavorable à la délivrance d’un agrément suite à l’enquête de la Direction de la Sûreté Publique n’ont pas à être connues des agents de la Direction de l’Aviation Civile.

Demande qu’en cas d’usage dérogatoire de vols non professionnels, aucun système de géolocalisation ne puisse être actif en dehors des heures d’autorisation de vol concernées.

À la condition de la prise en compte des éléments qui précèdent,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État du traitement automatisé d’informations nominatives ayant pour finalité « Téléservice permettant la gestion des autorisations d’aéronefs télépilotés en vue du contrôle de l’espace aérien monégasque ».

Le Président de la Commission de
Contrôle des Informations Nominatives.

Visualiser le journal
au format PDF 1,95 MB
Télécharger le journal
au format PDF 1,95 MB
Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14