icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2024-90 du 17 avril 2024 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion des demandes de renseignements et déclarations d'intention de travaux » présenté par la Société Monégasque de l'Électricité et du Gaz (SMEG).

  • N° journal 8693
  • Date de publication 03/05/2024
  • Qualité 100%
  • N° de page

Vu la Constitution ;

Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu l’Ordonnance Souveraine n° 2.578 du 13 janvier 2010 approuvant le Traité, les annexes et les cahiers des charges de la concession du service public de la distribution de l’énergie électrique et du gaz naturel sur le territoire de la Principauté de Monaco ;

Vu l’arrêté ministériel n° 66-9 du 4 janvier 1966 portant réglementation des mesures particulières de protection et de salubrité applicables aux établissements dont le personnel exécute des travaux du bâtiment, des travaux publics et tous autres travaux concernant les immeubles, modifié ;

Vu l’arrêté ministériel n° 74-292 du 14 juin 1974 relatif à l’exécution de travaux à proximité de conduites de distribution publique de gaz ;

Vu le Traité de Concession de service public de l’électricité et du gaz conclu entre la Principauté de Monaco et la Société Monégasque de l’Électricité et du Gaz entré en vigueur le 1er janvier 2009, accompagné de ses annexes et cahiers des charges ;

Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;

Vu la demande d’avis déposée par la Société Monégasque de l’Électricité et du Gaz, le 11 janvier 2024, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Gestion des demandes de renseignements et déclarations d’intention de travaux » ;

Vu la prorogation du délai d’examen de la présente demande d’avis, notifiée au responsable de traitement le 8 mars 2024, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 17 avril 2024 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

La Société Monégasque de l’Électricité et du Gaz (SMEG) est une société anonyme en charge de l’exploitation du service public de la distribution de l’électricité et du gaz, en application du Traité de concession conclu avec la Principauté de Monaco et entré en vigueur le 1er janvier 2009.

Cette société souhaite mettre à la disposition des personnes concernées un portail numérique afin de leur permettre de déposer leurs demandes de renseignements et déclarations d’intention de travaux et de procéder à leur suivi.

Le présent traitement est ainsi soumis à l’avis de la Commission conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.

I.   Sur la finalité et les fonctionnalités du traitement

Le présent traitement a pour finalité « Gestion des demandes de renseignements et déclarations d’intention de travaux ».

Il concerne les demandeurs (personnes physiques agissant pour leur compte ou pour le compte de la société qu’elles représentent) ainsi que les salariés habilités de la SMEG.

Les fonctionnalités associées au traitement sont :

- hors portail numérique :

  • envoyer ou remettre sur place une demande de renseignements ou une déclaration d’intention de travaux ;
  • recevoir les documents de réponse de la SMEG.

- via le portail numérique :

  • créer un compte utilisateur et en assurer sa gestion ;
  • créer une demande de renseignements ou une déclaration d’intention de travaux et suivre son avancement ;
  • rechercher une demande déposée et consulter son détail ;
  • télécharger des documents de réponse de la SMEG ;
  • gérer les demandes utilisateurs via un back-office dédié ;
  • recevoir la demande dans les applications tierces (application métier, SIG).

La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le traitement dont s’agit est justifié par le consentement de la personne concernée ainsi que par la réalisation d’un intérêt légitime qu’il poursuit et qui ne méconnaît ni l’intérêt, ni les droits et libertés fondamentaux des personnes concernées.

Il précise, qu’en raison de ses activités de concession de distribution d’électricité et de gaz, la SMEG reçoit, de manière récurrente, des demandes relatives aux réseaux qu’elle pourrait exploiter à proximité de zones de travaux.

Le responsable de traitement indique à cet égard que les déclarations de travaux sont imposées par la réglementation et notamment par l’arrêté ministériel n° 66-9 du 4 janvier 1966 pour les installations de gaz et par l’arrêté ministériel n° 74-292 du 14 janvier 1974 pour les installations électriques.

La Commission relève qu’en vertu de l’article 2 de l’arrêté ministériel n° 74-292 susvisé, « [L]e responsable de l’exécution des travaux (ci-après désigné par « l’intéressé ») doit dans un délai de dix jours francs au moins avant la date prévue pour le début des travaux (jours fériés non compris) faire auprès du distributeur de gaz, une déclaration d’intention de travaux (…) ».

En outre, au titre de l’article 5 dudit arrêté, « [L]e distributeur ou le transporteur de gaz doit communiquer tous renseignements utiles en sa possession sur l’emplacement des ouvrages de distribution de gaz existant dans la zone où se situent les travaux projetés ainsi que les recommandations techniques écrites applicables à l’exécution des travaux à proximité desdits ouvrages, de manière que l’intéressé puisse être en possession de ces renseignements et recommandations avant l’ouverture du chantier (…) ».

La Commission constate par ailleurs que des obligations d’information auprès de l’exploitant sont prévues au titre de l’arrêté ministériel n° 66-9 du 4 janvier 1966 lors de l’exécution de certains travaux au voisinage des lignes, canalisations et installations électriques.

Le responsable de traitement précise enfin que les demandes de renseignements et déclarations d’intention de travaux peuvent également lui être adressées sur place, par voie postale ou par courriel. Aussi, la mise en place d’un portail numérique permet aux personnes concernées d’effectuer le dépôt de leurs demandes, 7 jours sur 7, 24 heures sur 24, et de suivre leur état d’avancement en temps réel.

La Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.

III.   Sur les informations traitées

Les informations nominatives traitées sont :

-   identité : civilité, nom, prénom, société ;

-   adresse et coordonnées : adresse email, adresse postale, téléphone, fax ;

-   vie professionnelle : fonction ;

-   données d’identification électronique : identifiant (adresse email), mot de passe ;

-   informations temporelles : données d’horodatage, date de création du compte, date de la dernière connexion ;

- demande : type de demande, canal de réponse, nature de l’étude, zone géographique, adresse postale de l’emplacement, statut.

Les informations relatives à l’identité, à l’adresse, aux coordonnées, à la fonction du demandeur ainsi qu’aux données d’identification électronique ont pour origine le demandeur.

Les informations temporelles sont en revanche issues du système et les demandes sont saisies par le demandeur.

La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.

IV.   Sur les droits des personnes concernées

  • Sur l’information préalable des personnes concernées

Le responsable de traitement indique que l’information préalable des personnes concernées est assurée au moyen d’un document spécifique et d’une rubrique propre à la protection des données accessible en ligne.

La Commission n’ayant pas été destinataire desdits documents, elle n’est pas en mesure de se prononcer sur la qualité de l’information qui y est dispensée.

Aussi, elle rappelle que les documents d’information doivent impérativement comporter l’ensemble des mentions prévues à l’article 14 de la loi n° 1.165 du 23 décembre 1993.

  • Sur l’exercice du droit d’accès, de modification et de mise à jour

Le droit d’accès est exercé par les personnes concernées par voie postale ou par courrier électronique adressé à l’attention du Délégué à la protection des données.

La Commission rappelle que la réponse à ce droit d’accès doit s’exercer dans le mois suivant la réception de la demande.

Elle rappelle en outre, que dans le cadre de l’exercice du droit d’accès par voie électronique, une procédure doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agit effectivement de la personne concernée par les informations.

À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.

Sous ces conditions, la Commission considère que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993, modifiée.

V. Sur les destinataires et les personnes ayant accès au traitement

Les personnes ayant accès au traitement sont :

- le personnel de la Direction des Systèmes d’Information ou tiers intervenant pour son compte : tous accès et tous droits dans le cadre des missions d’assistance à maîtrise d’ouvrage, de maintenance, de développement des applicatifs nécessaires au fonctionnement et de sécurité de l’application ;

- le personnel de la Direction Activités Électricité et Gaz en charge du traitement des demandes de renseignements et des déclarations d’intention de travaux : tous accès et tous droits dans le cadre du traitement des demandes de renseignements et des déclarations d’intention de travaux ;

- les demandeurs (personnes physiques agissant pour leur compte ou pour celui des sociétés qu’elles représentent se connectant au portail depuis l’accès public) : accès et gestion des demandes déposées via le portail numérique.

Considérant les attributions de chacune de ces personnes et, eu égard à la finalité du traitement, la Commission considère que les accès susvisés sont justifiés.

En ce qui concerne les tiers intervenant pour le compte du responsable de traitement, la Commission rappelle néanmoins que, conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, leurs droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de services.

De plus, ces derniers sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.

VI.   Sur les interconnexions et rapprochements avec d’autres traitements

Le responsable de traitement indique que le présent traitement est interconnecté avec les traitements légalement mis en œuvre ayant pour finalités :

- « Gestion de la messagerie professionnelle d’entreprise » ;

- « Gestion de l’identité et des authentifications au Système d’information ».

Il précise par ailleurs que le traitement est également interconnecté et rapproché avec les traitements ayant pour finalité respective « Gestion cartographique du territoire et des réseaux » et « Application métier DIT ».

Ces deux traitements n’ayant fait l’objet d’aucune formalité préalable auprès de la Commission, elle rappelle que tout rapprochement ou interconnexion ne peut avoir lieu qu’entre des traitements légalement mis en œuvre.

En conséquence, la Commission demande que ces traitements lui soient soumis dans les plus brefs délais.

VII.  Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.

Cependant, il convient de préciser que la copie ou l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception.

La Commission rappelle en outre que les ports non utilisés doivent être désactivés et que les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

Elle rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui‑ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Le responsable de traitement indique que les informations relatives à l’identité du demandeur, à ses adresses et coordonnées, à sa fonction et aux données d’identification sont conservées tant que le demandeur est actif (pour les demandeurs disposant d’un compte sur le portail numérique) dans la limite de 5 ans suivant le dépôt de la dernière demande.

Les déclarations d’intention de travaux et demandes de renseignements (demandes) sont conservées 5 ans maximum, sauf contentieux en cours, et les informations temporelles sont supprimées à l’issue d’un délai d’1 an.

Il ressort par ailleurs de l’étude du dossier que les demandes des personnes concernées sont passés en statut « archivé » 6 mois après leur date de dépôt. De ce fait, « la consultation de la demande reste possible mais le téléchargement des documents de réponse n’est plus possible ».

La Commission rappelle, qu’en vertu de l’alinéa 1er de l’article 10-1 de la loi n° 1.165, susvisée, « les informations nominatives doivent être (…) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation de la finalité pour laquelle elles sont collectées ou pour laquelle elles sont traitées ultérieurement ».

Aussi, elle estime que la suppression du compte 5 ans suivant le dépôt de la dernière demande est trop longue. La Commission fixe en conséquence cette durée à 3 ans à compter de l’inactivité du compte après envoi d’un email invitant les personnes concernées à se reconnecter.

Après en avoir délibéré, la Commission :

Demande que les traitements ayant pour finalité respective « Gestion cartographique du territoire et des réseaux » et « Application métier DIT » lui soient soumis dans les meilleurs délais.

Rappelle que/qu’en :

- les documents d’information doivent impérativement comporter l’ensemble des mentions prévues à l’article 14 de la loi n° 1.165 du 23 décembre 1993 ;

- la réponse au droit d’accès doit s’exercer dans le mois suivant la réception de la demande ;

- une procédure relative au droit d’accès par voie électronique doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agisse effectivement de la personne concernée par les informations ;

- tout rapprochement ou interconnexion ne peut avoir lieu qu’entre des traitements légalement mis en œuvre ;

- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

Fixe la durée de conservation du compte des personnes concernées à 3 ans à compter l’inactivité de celui‑ci.

Sous le bénéfice de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par la Société Monégasque de l’Électricité et du Gaz, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des demandes de renseignements et déclarations d’intention de travaux ».

Le Président de la Commission de Contrôle des
Informations Nominatives.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14