Délibération n° 2023-2 du 18 janvier 2023 de la Commission de Contrôle des Informations Nominatives portant autorisation à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Vidéosurveillance des locaux de La Boutique by SMEG » présenté par la Société Monégasque de l'Électricité et du Gaz (SMEG).
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.264 du 23 décembre 2002 relative aux activités privées de protection des personnes et des biens ;
Vu l’Ordonnance Souveraine n° 15.699 du 26 février 2003 fixant les conditions d’application de la loi n° 1.264 du 23 décembre 2002, susvisée ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’Ordonnance Souveraine n° 2.578 du 13 janvier 2010 approuvant le traité de concession de la SMEG ;
Vu le traité de concession de service public de l’électricité et du gaz conclu entre la Principauté de Monaco et la SMEG entré en vigueur le 1er janvier 2009, accompagné de ses annexes et cahiers des charges ;
Vu la délibération n° 2010-13 du 3 mai 2010 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les dispositifs de vidéosurveillance mis en œuvre par les personnes physiques ou morales de droit privé ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu l’autorisation délivrée par le Ministre d’État et reçue le 14 décembre 2021 ;
Vu la demande d’autorisation déposée par la Société Monégasque de l’Électricité et du Gaz (SMEG) le 24 novembre 2022 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Vidéosurveillance » ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 18 janvier 2023 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Société Monégasque de l’Électricité et du Gaz (SMEG) est une société anonyme en charge de l’exploitation du service public de la distribution de l’électricité et du gaz, en application d’un traité de concession conclu avec la Principauté de Monaco, lequel est entré en vigueur le 1er janvier 2009.
Afin d’assurer la sécurité des biens et des personnes au sein de son agence commerciale, La Boutique by SMEG, sise en Principauté, cette société souhaite installer un système de vidéosurveillance.
Le traitement objet de la présente demande est mis en œuvre à des fins de surveillance, il relève donc du régime de l’autorisation préalable visé à l’article 11-1 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Le responsable de traitement indique que ce traitement a pour finalité « Vidéosurveillance ».
Les personnes concernées sont les agents SMEG, les clients et tous tiers.
Enfin, les fonctionnalités sont les suivantes :
- assurer la sécurité des personnes ;
- assurer la sécurité des biens ;
- permettre la constitution de preuves en cas d’infractions.
La Commission rappelle toutefois que tout traitement d’informations nominatives doit avoir une finalité « déterminée, explicite et légitime » aux termes de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
En l’espèce, la finalité du présent traitement doit être plus explicite c’est-à-dire être claire et précise pour les personnes concernées en indiquant que le dispositif de vidéosurveillance concerne les locaux de La Boutique by SMEG.
Par conséquent, elle modifie la finalité comme suit : « Vidéosurveillance des locaux de La Boutique by SMEG ».
II. Sur la licéité et la justification du traitement
- Sur la licéité
Dans le cadre de sa recommandation n° 2010-13 du 3 mai 2010, la Commission rappelle les conditions de licéité d’un traitement de vidéosurveillance, au sens de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
À ce titre, elle estime que la licéité d’un tel traitement est attestée par l’obtention de l’autorisation du Ministre d’État, conformément aux dispositions des articles 5 et 6 de la loi n° 1.264 du 23 décembre 2002.
En l’espèce, cette pièce reçue le 14 décembre 2021 est jointe au dossier de demande d’autorisation.
La Commission considère donc que le traitement est licite conformément à l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
- Sur la justification
Le traitement est justifié par la réalisation d’un intérêt légitime poursuivi par le responsable de traitement, sans que ne soient méconnus ni l’intérêt, ni les droits et libertés fondamentaux de la personne concernée.
À cet égard, la Commission constate que le dispositif dont s’agit répond à une logique sécuritaire.
Le responsable de traitement précise à cet effet que « Les caméras ne sont positionnées qu’aux endroits qui justifient une vigilance particulière » et qu’elles « sont par ailleurs positionnées de manière à minimiser les risques d’atteinte à la vie privée ».
Il précise en outre que l’objectif n’est pas de surveiller le travail et/ou le temps de travail des agents de la SMEG.
La Commission rappelle toutefois que sauf justification particulière (par exemple les caisses), les postes de travail des salariés, les tables de rendez-vous et les espaces détente ne doivent pas être filmés.
Enfin, elle relève que la fonction micro n’est pas activée mais que les caméras sont à orientation et zoom réglables.
À cet égard, la Commission rappelle que les caméras mobiles, après mouvement de l’objectif, ne doivent pas filmer les postes de travail des salariés, les tables de rendez-vous et les espaces détente, ainsi que la voie publique.
Sous ces conditions, elle considère que le traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Les informations nominatives traitées sont :
- identité : prise de vue de la silhouette au visage suivant le positionnement de la personne filmée ;
- données d’identification électronique : logs de connexion des personnes habilitées à avoir accès aux images ;
- informations temporelles et horodatage : lieu et identification des caméras, date et heure de la prise de vue.
Ces informations ont pour origine le système de vidéosurveillance.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
- Sur l’information préalable des personnes concernées
L’information préalable des personnes concernées s’effectue tout d’abord par le biais d’un affichage.
À l’analyse de ce document, la Commission considère que les modalités d’information préalable des personnes sont conformes aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993.
Elle rappelle toutefois que cet affichage doit, conformément à sa recommandation n° 2010-13 du 3 mai 2010, garantir une information visible, lisible et claire de la personne concernée et être apposé à chaque entrée de l’établissement.
L’information des personnes concernées s’effectue également par le biais d’une mention ou clause particulière intégrée dans un document remis à l’intéressé et par une procédure interne accessible en Intranet.
Ces documents n’ayant pas été joints à la demande, la Commission rappelle que ceux-ci doivent impérativement comporter l’ensemble des mentions prévues à l’article 14 de la loi n° 1.165 du 23 décembre 1993.
- Sur l’exercice du droit d’accès, de modification et de mise à jour
Le droit d’accès s’exerce par voie postale, par courrier électronique ou sur place auprès de la Direction Administrative et Juridique (DPO).
À cet égard, la Commission rappelle que la réponse à un droit d’accès doit s’exercer impérativement sur place et que cette réponse doit intervenir dans le mois suivant la réception de la demande.
Par ailleurs, s’agissant de l’exercice du droit d’accès par voie électronique, la Commission considère qu’une procédure devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.
La Commission constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.
V. Sur les personnes ayant accès au traitement et les destinataires
- Sur les destinataires
Les informations sont susceptibles d’être communiquées à la Direction de la Sûreté Publique.
La Commission estime que la communication à la Direction de la Sûreté Publique peut être justifiée pour les besoins d’une enquête judiciaire.
À cet égard, elle rappelle qu’en cas de transmission, ladite Direction ne pourra avoir communication des informations que dans le strict cadre de ses missions légalement conférées.
La Commission considère donc que ces transmissions sont conformes aux exigences légales.
- Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
- les administrateurs habilités de la Direction des Systèmes d’Informations : tous droits, y compris en extraction ;
- le prestataire : tous droits dans le cadre de ses opérations de maintenance.
Considérant les attributions de chacune de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.
La Commission constate par ailleurs que les accès distants (PCs) utilisés sur le réseau de vidéosurveillance par les administrateurs sont sécurisés.
En ce qui concerne le prestataire, elle rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service. De plus, ledit prestataire est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission rappelle enfin qu’en application de l’article 17-1 de la loi n° 1.165 du 23 décembre 1993 la liste nominative des personnes ayant accès au traitement doit être tenue à jour, et précise que cette liste doit lui être communiquée à première réquisition.
VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
La Commission rappelle néanmoins que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Elle constate par ailleurs que la copie ou l’extraction d’informations issues de ce traitement est chiffrée sur son support de réception, conformément à sa délibération n° 2010-13 du 3 mai 2010.
La Commission rappelle également que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VII. Sur la durée de conservation
Les informations sont conservées 1 mois.
La Commission considère que cette durée est conforme aux exigences légales.
Après en avoir délibéré, la Commission :
Modifie la finalité du traitement par « Vidéosurveillance des locaux de La Boutique by SMEG ».
Constate que :
- les accès distants (PCs) utilisés sur le réseau de vidéosurveillance par les administrateurs sont sécurisés ;
- la copie ou l’extraction d’informations issues de ce traitement est chiffrée sur son support de réception.
Considère qu’une procédure relative au droit d’accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations.
Rappelle que :
- sauf justification particulière (par exemple les caisses), les postes de travail des salariés, les tables de rendez-vous et les espaces détente ne doivent pas être filmés ;
- les caméras mobiles, après mouvement de l’objectif, ne doivent pas filmer les postes de travail des salariés, les tables de rendez-vous et les espaces détente, ainsi que la voie publique ;
- l’affichage doit garantir une information visible, lisible et claire de la personne concernée et être apposé à chaque entrée de l’établissement ;
- les documents d’information doivent impérativement comporter l’ensemble des mentions prévues à l’article 14 de la loi n° 1.165 du 23 décembre 1993 ;
- la réponse au droit d’accès doit s’exercer uniquement sur place ;
- les Services de Police monégasque ne pourront avoir communication des informations objet du traitement que dans le strict cadre de leurs missions légalement conférées ;
- la liste nominative des personnes ayant accès au traitement doit être tenue à jour et doit lui être communiquée à première réquisition ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
À la condition de la prise en compte de ce qui précède, la Commission de Contrôle des Informations Nominatives autorise la mise en œuvre par la Société Monégasque de l’Électricité et du Gaz (SMEG) du traitement automatisé d’informations nominatives ayant pour finalité « Vidéosurveillance des locaux de La Boutique by SMEG ».
Le Président de la Commission de Contrôle des Informations Nominatives.