Délibération n° 2024‑110 du 15 mai 2024 de la Commission de Contrôle des Informations Nominatives portant autorisation de transfert d'informations nominatives ayant pour finalité « Accès à distance par Google depuis les États-Unis à des fins de support client dans le cadre de l'utilisation de la plateforme Firebase » exploité par la Direction des Services Numériques présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la demande d’avis présentée par le Ministre d’État, le 28 mars 2024, concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Gestion de l’application mobile Your Monaco » ;
Vu la demande d’autorisation de transfert d’informations nominatives concomitamment déposée par le Ministre d’État, le 28 mars 2024, ayant pour finalité « Accès à distance par Google depuis les États-Unis à des fins de support client dans le cadre de l’utilisation de la plateforme Firebase » ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives, en date du 15 mai 2024, portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
L’Administration souhaite mettre à disposition des usagers une application mobile permettant l’accès à des informations et services urbains.
Le 28 mars 2024, le Ministre d’État a déposé auprès de la Commission une demande d’avis concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Gestion de l’application mobile Your Monaco ».
De manière concomitante, la Commission a été saisie d’une demande d’autorisation de transfert d’informations nominatives collectées sur le territoire de la Principauté, vers les États-Unis, en lien avec la demande d’avis susvisée.
Ce pays ne disposant pas d’un niveau de protection adéquat, au sens de la législation monégasque, ledit transfert est soumis à l’autorisation de la Commission conformément à l’article 20-1 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité du transfert et les fonctionnalités du traitement
Le transfert de données a pour finalité « Accès à distance par Google depuis les États-Unis à des fins de support client dans le cadre de l’utilisation de la plateforme Firebase ».
Il s’appuie sur le traitement ayant pour finalité « Gestion de l’application mobile Your Monaco ».
Le responsable de traitement précise que « dès lors qu’une application mobile issue du programme Extended Monaco utilisera la plateforme Firebase, (…), la demande d’avis associée au traitement fera l’objet d’une interconnexion avec la présente demande d’autorisation ».
La Commission prend toutefois acte qu’une demande d’autorisation de transfert distincte lui sera soumise en cas d’autres utilisations de la plateforme Firebase.
Les personnes concernées par le transfert sont les usagers de l’application concernée issue du programme Extended Monaco.
Le responsable de traitement indique que l’objectif du présent traitement est de « permettre aux équipes du prestataire d’exécuter leurs missions tout en limitant les accès au contenu » et de « permettre le support pour les fonctionnalités hébergées en Europe ».
La plateforme Firebase permet en effet la gestion opérationnelle et technique de l’application mobile concernée.
La Commission constate que la finalité du traitement est déterminée et explicite conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur les informations nominatives concernées par le transfert
Les informations concernées par le transfert sont :
- envoi de messages de notifications et de messages de données aux utilisateurs de l’application : ID d’installation (ou jeton d’installation) ;
- réalisation de rapports d’erreur en temps réel permettant de détecter, suivre, hiérarchiser et résoudre les problèmes techniques de l’application : UUID d’installation Crashlytics : trace d’incident : information sur le terminal utilisé (nom du modèle de l’appareil, architecture du processeur, quantité de RAM et d’espace disque, nom et numéro du système d’exploitation) ;
- génération de liens de redirection vers le contenu de l’application : utilisateurs finaux : spécification de l’appareil, adresse IP ; utilisateurs ayant cliqué sur le lien : spécification de l’appareil, adresse IP ;
- surveillance des performances de l’application : envoi de messages de notification et de messages de données aux utilisateurs de l’application : ID d’installation (ou jeton d’installation).
L’entité destinataire des informations susvisées est le « sous-traitant ultérieur » du développeur de l’application, à savoir Google situé aux États-Unis d’Amérique, lequel fournit la plateforme exploitée au sein du traitement ayant pour finalité « Gestion de l’application mobile Your Monaco ».
La Commission considère que les informations traitées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
III. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le traitement n’est justifié par aucune des justifications prévues au 1er alinéa de l’article 20-1 de la loi n° 1.165 du 23 décembre 1993.
Il précise cependant qu’une annexe contractuelle (« Cahier Données Personnelles ») a été signée entre le Gouvernement de Monaco et le sous-traitant initial et vient préciser les obligations réciproques de chacune des parties dans le cadre des traitements confiés.
Il ressort des dispositions de cette annexe qu’en cas de recours à de la sous-traitance ultérieure, « le Titulaire reconnaît que l’Autorité de contrôle monégasque de protection des données agira en tant qu’Autorité de contrôle compétente pour les transferts de données réalisées par ses sous-traitants ultérieurs ». « Le Titulaire s’engage à ce que les droits des personnes concernées dans le cadre du présent Cahier Données Personnelles puissent être exercés conformément aux dispositions applicables en Principauté de Monaco ».
La Commission relève à cet égard que le prestataire s’engage notamment à :
- prendre des mesures de sécurité techniques et organisationnelles appropriées en vue d’assurer un niveau de sécurité adapté au risque, des traitements confiés ;
- réserver l’accès aux données à caractère personnel confiées aux seules personnes parmi ses employés et « sous-traitants ultérieurs » ayant besoin d’y accéder pour l’exercice de leurs fonctions dans le cadre de l’exécution du marché.
Le responsable de traitement indique par ailleurs que des clauses contractuelles types lient le sous-traitant initial au sous-traitant ultérieur. Aux termes de ces dernières, la Commission constate que :
« 5.1.3. Responsabilités en vertu du droit non européen : si la loi non européenne sur la protection des données s’applique au traitement des données personnelles du client par l’une ou l’autre des parties, la partie concernée se conformera à toutes les obligations qui lui sont applicables en vertu de cette loi en ce qui concerne le traitement de ces données personnelles du client ».
Il est au surplus précisé que les données relatives à l’utilisation de la plateforme du sous-traitant ultérieur sont hébergées en Europe et que le transfert potentiel de données des utilisateurs est limité à certaines hypothèses.
En toute fin, le responsable de traitement indique que l’information préalable des personnes concernées est assurée au moyen d’une mention d’information intégrée dans les conditions générales d’utilisation de l’application concernée ou directement dans une rubrique « protection des données personnelles » accessible en ligne.
Les mentions d’information étant jointes au dossier de demande d’autorisation de transfert, la Commission relève que les personnes concernées sont informées d’un possible transfert de leurs données vers les États-Unis afin de permettre au personnel habilité du sous-traitant ultérieur « d’assurer un support qui serait nécessaire de l’application ».
Au regard de ce qui précède, la Commission considère que le transfert est licite et justifié au sens de l’article 20-1 alinéa 2 de la loi n° 1.165, susvisée.
IV. Sur la sécurité du transfert et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du transfert et des informations concernées n’appellent pas d’observation.
Après en avoir délibéré :
la Commission de Contrôle des Informations Nominatives autorise le Ministre d’État à procéder au transfert d’informations nominatives à destination des États-Unis ayant pour finalité « Accès à distance par Google depuis les États-Unis à des fins de support client dans le cadre de l’utilisation de la plateforme Firebase ».
Le Président de la Commissionde Contrôle
des Informations Nominatives.