Délibération n° 2022-77 du 18 mai 2022 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des étapes/listes/évènements permettant le suivi des procédures de l'ensemble des juridictions monégasques et édition du casier judiciaire » présenté par la Direction des Services Judiciaires.
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.398 du 24 juin 2013 relative à l’administration et à l’organisation judiciaires ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu le Code de procédure pénale ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la demande d’avis déposée par la Direction des Services Judiciaires, le 11 avril 2022, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Gestion des étapes/listes/évènements permettant le suivi des procédures de l’ensemble des juridictions monégasques et édition du casier judiciaire » ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 18 mai 2022, portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Le Directeur des Services Judiciaires dispose, au titre de la loi n° 1.398 du 24 juin 2013 relative à l’administration et à l’organisation judiciaires, d’attributions administratives et judiciaires.
À cet effet, la Direction des Services Judiciaires s’est dotée d’un outil lui permettant de gérer l’ensemble des évènements et des étapes liées aux procédures contentieuses et non-contentieuses mises en œuvre devant les juridictions monégasques et plus généralement, de gérer lesdites procédures.
L’outil lui permet également de générer le casier judiciaire conformément aux textes applicables en Principauté.
Ainsi, le traitement automatisé d’informations nominatives y afférent est soumis à l’avis de la Commission, conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « Gestion des étapes/listes/évènements permettant le suivi des procédures de l’ensemble des juridictions monégasques et édition du casier judiciaire ».
Le responsable de traitement indique que les personnes concernées sont les personnels de la DSJ, tout intervenant dans le cadre d’une procédure (experts, traducteurs, etc.), les auxiliaires de justices (avocats, notaires, huissiers) ainsi que tout justiciable concerné par une procédure.
Le responsable de traitement indique que « le présent traitement permet d’enregistrer les informations relatives aux procédures judiciaires pendantes devant les juridictions monégasques (justice de paix, Tribunal de première instance, Tribunal correctionnel, Tribunal criminel, Cour d’appel, Cour de révision et Tribunal suprême) et de faciliter leur suivi par les différents acteurs (magistrats, greffiers et autres personnes habilitées par le Directeur des Services Judiciaires). Le présent traitement permet par ailleurs de constituer et d’alimenter le casier judiciaire des personnes physiques et morales condamnées dans les conditions prévues aux articles 650 à 659 du Code de procédure pénale et enfin l’archivage et la réalisation de rapports statistiques (anonymes) ».
Le traitement a pour fonctionnalités :
- création de comptes utilisateurs et paramétrage des droits selon profils ;
- permettre un archivage ;
- gestion des évènements et étapes de la procédure ;
- enregistrement des courriers, correspondances et documents reçus et envoyés ;
- intégration des documents scannés (depuis des imprimantes multifonctions) ou des emails ;
- mise à disposition de trames d’actes et de documents et fusions documentaires ;
- création de listes d’intervenants en fonction de leur qualité (traducteurs, experts, etc.) ;
- gestion des audiences ;
- permettre les recherches multicritères au sein de l’outil ;
- gestion du casier judiciaire ;
- établissement de statistiques non nominatives.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le présent traitement est justifié par le respect d’une obligation légale à laquelle le responsable de traitement est soumis ainsi que par un motif d’intérêt public.
Le responsable de traitement indique à cet égard que le recours à l’outil permet à la DSJ « de gérer les procédures civiles, commerciales et pénales mises en œuvre devant l’ensemble des juridictions monégasques (….) » ainsi que « la génération et la gestion du casier judiciaire par le secrétariat du Parquet général conformément aux textes de procédure et plus particulièrement aux articles 650 à 659 du code de procédure pénale. En effet, aux termes de l’article 650 alinéa 1er du code de procédure pénale, « toute condamnation prononcée pour un crime ou un délit par une juridiction de la Principauté donne lieu à la rédaction par le greffier d’un extrait dit « bulletin n° 1 » destiné à être classé au casier judiciaire tenu par le secrétariat du Parquet Général ». En outre, l’article 652 alinéa 2 du même code prévoit que » sont retirés du casier judiciaire, les bulletins relatifs à des condamnations effacées par une amnistie ou réformées en conformité d’une décision de rectification du casier judiciaire » ».
La Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Les informations nominatives traitées sont :
- Informations dites sensibles :
- données de santé y compris les données génétiques : si pertinent en fonction de la procédure ;
- informations faisant apparaître des opinions ou des appartenances politiques, raciales, ethniques, religieuses, philosophiques ou syndicales : si pertinent pour la procédure ;
- mœurs, vie sexuelle : si pertinent selon la procédure ;
- mesures à caractère social : si pertinent selon la procédure.
La Commission souligne que ces informations relèvent de l’article 24-2 de la loi n° 1.165 du 23 décembre 1993 en ce qu’elles concernent des éléments et pièces des procédures judiciaires entrant dans le périmètre dudit article.
- Autres données traitées :
- identité : pour l’établissement du casier judiciaire : civilité, nom, prénom, nationalité, filiation, date de naissance, raison/dénomination sociale des personnes morales condamnées ;
pour les procédures judiciaires : identité, alias, nationalité, document d’identité, photographies, situation personnelle et familiale (tutelle, curatelle, etc.), raison et dénomination sociale des personnes morales parties à une procédure ;
nom et prénom des personnes intervenant dans le cadre d’une procédure judiciaire (auxiliaires de justice, traducteurs, experts etc.) ;
- adresse et coordonnées : pour l’établissement du casier judiciaire : domicile et/ou siège social des personnes condamnées ;
pour les procédures judiciaires : adresses (postale et électronique), numéros de téléphones et de télécopies des parties et des tiers intervenant dans une procédure ;
- formation-diplômes-vie professionnelle : pour l’établissement du casier judiciaire : profession de la personne condamnée ; forme juridique et objet social de la personne morale condamnée ;
- données d’identification électronique : logins et mots de passe des personnes habilitées à avoir accès à l’outil ;
- informations temporelles : logs de connexion des personnes habilitées à avoir accès à l’outil ;
- éléments nécessaires à la constitution du casier judiciaire : juridiction ayant statué, caractéristiques du jugement/arrêt (définitif ou non, contradictoire ou non, par défaut, contumace), date et nature de la condamnation, nature des crimes et délits ayant motivé la condamnation, date des infractions, nature, durée et taux de la peine prononcée, bénéficiaire d’un sursis, date du mandat d’arrêt ou de l’ordonnance de prise de corps éventuelle (650 CPP) ; dispenses de peines, grâces, commutations, réductions de peines, décision de suspension ou d’exécution de 1ère condamnation, suspension de peines, réhabilitations, décisions suspendant ou rapportant des arrêtés d’expulsion, date de l’écrou et expiration de peine ou paiement de l’amende (652 CPP), mesure d’incapacité ou décision constatant une cessation des paiement, un règlement judiciaire ou la liquidation, le prononcé d’une faillite (art. 651 CPP) ;
- éléments et pièces des procédures judiciaires entrant dans le champ de l’article 24-2 de la loi n° 1.165 : ensemble des pièces, documents et éléments créés ou échangés dans le cadre d’une procédure.
Le responsable de traitement précise que les éléments nécessaires à l’établissement du casier judiciaire ont pour origine le Secrétariat du Parquet Général et sont issus du processus judiciaire.
Par ailleurs, les données (identité, adresses et coordonnées) ainsi que les éléments et pièces des procédures judiciaires entrant dans le champ de l’article 24-2 de la loi n° 1.165 proviennent des personnes concernées, des enquêteurs, des auxiliaires de justice, des experts et plus généralement de toute personne intervenant dans le cadre d’une procédure.
Les données d’identification électronique proviennent de l’administrateur du système/personne habilitée et les informations temporelles sont issues du système.
La Commission considère que les informations ainsi collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
- Sur l’information préalable des personnes concernées
L’information préalable des personnes concernées est réalisée par le biais d’un document spécifique.
À cet égard, le responsable de traitement précise que les personnels sont informés par le biais de la Charte du système d’information de la DSJ.
Cette dernière, publiée au Journal de Monaco et jointe au dossier de demande d’avis, la Commission relève que son contenu est conforme aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.
Le responsable de traitement indique par ailleurs qu’« en ce qui concerne les courriers envoyés spontanément par les expéditeurs, la DSJ n’est pas en capacité de les informer conformément aux dispositions de l’article 14 alinéa 2 de la loi n° 1.165. Toutefois, en fonction de la finalité des courriers et des réponses apportées par la DSJ, une information des personnes est effectuée (…) ».
Cette information n’ayant pas été jointe au dossier, la Commission rappelle que celle-ci doit contenir toutes les dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.
Sous cette réserve, elle considère que l’information préalable des personnes concernées est conforme aux dispositions de l’article 14, susvisé.
- Sur l’exercice du droit d’accès, de modification et de mise à jour
Le droit d’accès est exercé par voie postale, sur place ou par courrier électronique auprès de la Direction des Services Judiciaires.
La Commission rappelle que la réponse à ce droit d’accès doit intervenir dans le mois suivant la réception de la demande.
Par ailleurs, s’agissant de l’exercice du droit d’accès par voie électronique, elle considère qu’une procédure devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, la Commission précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.
Le responsable de traitement précise en outre que « l’accès aux informations relatives aux pièces et procédures s’effectue selon les règles spécifiques de procédure applicables en la matière et qui sont en dehors du champ d’application de la loi n° 1.165 ».
La Commission constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les personnes ayant accès au traitement
- Sur les personnes ayant accès au traitement
Le responsable de traitement indique qu’ont accès au présent traitement :
- les personnes habilitées au sein de la DSJ : les personnes bénéficient de droits d’accès différenciés en fonction des habilitations octroyées par le Directeur des Services Judiciaires. Ces habilitations ouvrent des droits en fonction du service ou de la juridiction d’affectation ainsi qu’au regard de la fonction occupée ;
- le service informatique de la DSJ : maintenance et ouverture des droits ;
- le prestataire informatique externe : uniquement pour la maintenance.
À cet égard, il est précisé que « la maintenance sur site intervient en présence d’une personne du service informatique de la DSJ. Par ailleurs, toute télémaintenance se fait, sous la surveillance d’une personne du service informatique de la DSJ, étant précisé que le port d’accès utilisé par le prestataire est désactivé en dehors des opérations de maintenance ».
Compte tenu des attributions de chacune de ces personnes et, eu égard à la finalité du traitement, la Commission considère que les accès susvisés sont justifiés.
En ce qui concerne le prestataire informatique externe, la Commission rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service. De plus, ce dernier est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
- Sur les destinataires
Le responsable de traitement indique que les informations sont susceptibles d’être communiquées :
- en fonction du bulletin du casier judiciaire, aux autorités compétentes, à l’administration pénitentiaire et aux administrations publiques pour les besoins de la constitution d’un dossier administratif dans les limites de l’article 655 du Code de procédure pénale ainsi qu’à toute personne née à Monaco, de nationalité monégasque ou résidente concernée par ledit bulletin ;
- aux personnes intervenant dans le cadre d’une procédure s’agissant des données, ainsi que des éléments et pièces entrant dans le champ de l’article 24-2 de la loi n° 1.165 ;
- à la Direction de la Sûreté Publique en cas d’incident concernant les données d’identification électronique et les informations temporelles.
La Commission considère que ces communications d’informations sont justifiées.
VI. Sur les rapprochements et interconnexions avec d’autres traitements
Le responsable de traitement indique que le présent traitement est rapproché avec les traitements relatifs à l’état civil légalement mis en œuvre.
Il précise à cet égard qu’ « aux termes de l’article 653 du Code de procédure pénale, le Greffe général reçoit et classe au casier judiciaire, en ce qui concerne les personnes physiques de nationalité monégasque, après vérification de leur identité au registre de l’état civil, et les personnes morales ayant leur siège social dans la Principauté, les bulletins afférents aux condamnations prononcées par les juridictions des pays étrangers avec lesquels existent des traités ou des accords de réciprocité, ainsi que les bulletins énumérés dans l’article 651 en provenance des mêmes pays ».
Par ailleurs le présent traitement sera prochainement interconnecté avec un traitement lié à la gestion des habilitations informatiques, lequel va être soumis à la Commission dans de brefs délais.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
La Commission rappelle que les ports non utilisés doivent être désactivés et que les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Elle rappelle également que les communications d’informations doivent être sécurisées en tenant compte de la nature des informations transmises.
La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Le responsable de traitement indique que les informations relatives au présent traitement sont conservées :
- conformément aux délais légaux ou jusqu’au prononcé d’une décision d’amnistie ou de réformation en conformité avec une décision de rectification du casier judiciaire s’agissant du casier judiciaire ;
- jusqu’à l’obtention d’une décision devenue définitive concernant les données ainsi que les éléments et pièces des procédures, ces dernières faisant, par la suite, l’objet d’un archivage ;
- tant que les personnes sont habilitées s’agissant des logins des personnes habilitées à avoir accès à l’outil ;
- 3 ans, eu égard à la sensibilité des informations, concernant les logs de connexion des personnes habilitées à avoir accès à l’outil.
La Commission considère que ces délais de conservation sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Rappelle que :
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switch, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
- les communications d’informations doivent être sécurisées en tenant compte de la nature des informations transmises.
Considère qu’une procédure relative au droit d’accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations.
À la condition de la prise en compte des éléments qui précèdent,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par la Direction des Services Judiciaires, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des étapes/listes/évènements permettant le suivi des procédures de l’ensemble des juridictions monégasques et édition du casier judiciaire ».
Le Président de la Commission de
Contrôle des Informations Nominatives.