Délibération n° 2024‑167 du 11 septembre 2024 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion en ligne des rendez-vous avec Extended Monaco pour l'Entreprise » exploité par la Direction des Services Numériques présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré ;
Vu l’Ordonnance Souveraine n° 7.995 du 12 mars 2020 portant création de la Direction des Services Numériques ;
Vu la délibération n° 2011‑82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la demande d’avis déposée par le Ministre d’État, le 13 mai 2024, concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Gestion en ligne des rendez-vous avec Extended Monaco pour l’Entreprise » ;
Vu la prorogation du délai d’examen de la présente demande d’autorisation notifiée au responsable de traitement le 11 juillet 2024, conformément à l’article 11‑1 de la loi n° 1.165, susmentionnée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 11 septembre 2024 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Direction des Services Numériques (DSN) souhaite mettre en œuvre une solution de prise de rendez-vous en ligne afin de faciliter les démarches des usagers (entreprises) avec le Pôle Extended Monaco pour l’Entreprise.
Le traitement, objet de la présente délibération, est donc soumis à l’avis de la Commission, conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « Gestion en ligne des rendez-vous avec Extended Monaco pour l’Entreprise ».
Les personnes concernées sont les usagers/administrés ainsi que les personnels de l’Administration.
Le présent traitement a pour fonctionnalités :
- permettre aux usagers de prendre rendez-vous en ligne avec le Pôle Extended Monaco pour l’Entreprise de la Direction des Services Numériques, au moyen du portail dédié, en utilisant :
• la connexion optionnelle via MonGuichet.mc pour bénéficier du pré-remplissage de certains champs du formulaire de prise de rendez-vous, et du suivi de leur rendez-vous sur MonGuichet.mc ;
• ou sans connexion via MonGuichet.mc, en continuant en tant qu’invité et donc sans le pré-remplissage de certains champs du formulaire de prise de rendez-vous, et sans le suivi de leur rendez-vous sur MonGuichet.mc ;
- permettre aux usagers de modifier ou annuler leurs rendez-vous avec le Pôle Extended Monaco pour l’Entreprise ;
- permettre à l’agent habilité de gérer, depuis le back‑office (Portail Agent), son calendrier, consulter les rendez-vous, prendre/annuler/modifier les rendez-vous et créer une fiche « client » (usager) ;
- permettre à l’agent habilité, depuis le Portail Agent, d’envoyer une notification (courrier électronique ou/et SMS) à l’usager ne s’étant pas présenté au rendez-vous ;
- établir des statistiques non nominatives relatives à la prise de rendez-vous en ligne ;
- permettre aux administrateurs de la plateforme (Personnel de l’Administration), depuis le Portail Agent avec un rôle administrateur, de gérer l’agenda des agents habilités, de créer et gérer des équipes et services, de gérer les rappels/notifications de rendez-vous reçus par les agents, de créer des fiches usagers, de créer, modifier ou annuler les rendez-vous des usagers, de personnaliser les courriers électroniques et SMS d’information reçus par les usagers, de personnaliser le formulaire de prise de rendez-vous.
La Commission constate que la finalité du présent traitement est « déterminée, explicite et légitime » conformément aux termes de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par un motif d’intérêt public et par la réalisation d’un intérêt légitime qui ne méconnaît ni l’intérêt, ni les droits et libertés fondamentaux de la personne concernée.
S’agissant du motif d’intérêt public, le responsable de traitement indique que le présent traitement s’inscrit dans les missions attribuées à la Direction des Services Numériques à l’article 2 de l’Ordonnance Souveraine n° 7.995 du 12 mars 2020.
L’intérêt légitime trouve son fondement dans la volonté de l’Administration de simplifier les démarches administratives des administrés en leur permettant de prendre des rendez-vous en ligne, ce qui s’inscrit dans le cadre de l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré.
La Commission relève que l’usager peut contacter le Pôle Extended Monaco pour l’Entreprise par téléphone. Dans ce cas un agent prendra alors le rendez-vous pour le compte de l’usager à partir du « Portail Agent ».
Ainsi, elle considère que ceci est conforme aux dispositions de l’article 43 de l’Ordonnance Souveraine susvisée aux termes duquel « (…) la création d’un téléservice ne saurait toutefois avoir pour effet de supprimer la possibilité pour l’usager, d’accomplir les démarches, formalités ou paiements qui en sont l’objet par des voies autres qu’électroniques ».
Enfin, le responsable de traitement précise que la personne concernée consent à la démarche par le biais d’une case à cocher indiquant « J’accepte que les informations saisies soient traitées par la DSN à des fins de « Gestion en ligne des rendez-vous avec Extended Monaco pour l’Entreprise », conformément aux Conditions Générales d’Utilisation ».
Au regard de ce qui précède, la Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10‑1 et 10‑2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Les informations nominatives traitées sont :
- identité :
• usager avec un compte MonGuichet : civilité, nom, prénom ;
• usager invité (sans compte MonGuichet) : nom, prénom, entreprise, fonction ;
• personnel de l’Administration : nom, prénom, rôle attribué ;
- adresses et coordonnées :
• usager connecté avec un compte MonGuichet : numéro de téléphone, adresse email ;
• usager invité (sans compte MonGuichet) : numéro de téléphone, adresse email ;
• personnel de l’Administration : adresse email ;
- consommation de biens et services, habitudes de vie :
• usager connecté avec un compte MonGuichet : langue de communication ;
• usager invité (sans compte MonGuichet) : langue de communication, canal de communication (SMS/email) ;
- données d’identification électronique :
• usager connecté avec un compte MonGuichet : usager id, login et mot de passe ;
• personnel de l’Administration : login et mot de passe ;
- informations temporelles : données d’horodatage, logs de connexion.
Il appert à la lecture du dossier que des cookies sont également traités. Le responsable de traitement indique ne procéder qu’au dépôt de cookies techniques. La Commission appelle toutefois l’attention du responsable de traitement sur le nécessaire respect des dispositions de l’article 14‑2 de la loi n° 1.165 qui dispose
qu’ « il est interdit de subordonner l’accès à un service disponible sur un réseau de communications électroniques à l’acceptation, par l’abonné ou l’utilisateur concerné, du traitement des informations stockées dans son équipement terminal, sauf si la conservation ou l’accès techniques visent exclusivement à effectuer ou à faciliter la transmission d’une communication par la voie d’un réseau de communications électroniques, ou sont strictement nécessaires à la fourniture d’un service expressément demandé par l’abonné ou l’utilisateur ». Ainsi, si des cookies ne remplissent pas ces conditions, la Commission rappelle qu’ils doivent être soumis au consentement des personnes concernées.
Le responsable de traitement indique que les informations relatives à l’usager connecté avec un compte MonGuichet proviennent du traitement ayant pour finalité « Gestion du compte permettant aux usagers d’entreprendre et suivre des démarches par le téléservice dénommé « MonGuichet.mc » » légalement mis en œuvre. Il précise par ailleurs que ces informations peuvent être complétées ou modifiées par l’usager.
Les informations relatives à l’usager invité, qui ne dispose pas d’un compte MonGuichet, proviennent de l’usager lui‑même.
Les informations relatives au personnel de l’Administration sont issues du traitement ayant pour finalité « Gestion des habilitations et des accès au Système d’Information » légalement mis en œuvre.
Les informations temporelles proviennent du système.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
- Sur l’information préalable des personnes concernées
L’information préalable est réalisée par le biais d’une mention particulière intégrée dans un document d’ordre général accessible en ligne, à savoir les conditions générales d’utilisation de la plateforme que la personne concernée doit accepter et peut consulter.
À la lecture de la mention d’information précitée, la Commission constate qu’elle est conforme aux exigences légales.
Elle constate en outre la mise à disposition d’une politique cookie.
La Commission relève de plus que les agents traitants de l’Administration sont informés via une notice d’information disponible sur l’intranet. À la lecture de cette dernière, elle constate que la mention est conforme aux exigences légales.
- Sur l’exercice du droit d’accès des personnes concernées
Le droit d’accès s’exerce par voie postale ainsi qu’au moyen d’un formulaire en ligne.
À cet égard, la Commission rappelle que la réponse à un droit d’accès doit intervenir dans le mois suivant la réception de la demande.
Sous cette réserve, la Commission constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
Le responsable de traitement indique qu’ont accès au présent traitement :
- le personnel de l’Administration du Pôle Extended Monaco pour l’Entreprise de la Direction des Services Numériques : tous droits sur les rendez-vous pris ou à prendre pour l’usager ;
- le personnel de l’Administration (Direction des Services Numériques et Direction des Systèmes d’Information) et tiers agissant pour son compte : en configuration, paramétrage, création, modification, suppression, lecture ;
- le prestataire de la solution : administrateur de la solution et fonction support.
La Commission en prend acte et considère que les accès susvisés sont justifiés au regard du traitement.
Toutefois, en ce qui concerne le prestataire de la solution et les tiers agissant pour le compte de l’Administration, elle rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de services. De plus, ces derniers sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
VI. Sur les rapprochements et interconnexions avec d’autres traitements
Le responsable de traitement indique que le présent traitement fait l’objet d’interconnexions avec les traitements légalement mis en œuvre suivants ayant respectivement pour finalités :
- « Gestion des habilitations et des accès au système d’information » afin de disposer des éléments permettant de créer un compte aux utilisateurs (agents) et les habiliter sur la solution de prise de rendez-vous afin d’exécuter leurs missions selon leur profil ;
- « Gestion du compte permettant aux usagers d’entreprendre et suivre des démarches par le téléservice dénommé « MonGuichet.mc » » afin de permettre aux usagers s’étant authentifié via MonGuichet.mc de bénéficier du pré-remplissage de certains champs du formulaire de prise de rendez-vous en ligne, et d’avoir le suivi de son rendez-vous pris dans son espace suivi des rendez-vous sur Monguichet.mc ;
- « Gestion de la messagerie professionnelle » pour permettre aux acteurs du traitement (technicien, utilisateurs…) de pouvoir échanger dans le cadre de leurs fonctions ;
- « Gestion et analyse des évènements du système d’information » afin de permettre d’analyser et de gérer les évènements du système d’information (alerte, incident, connexions, etc.) ;
- « Gestion centralisée des accès aux applications du SI » : permet aux personnes habilitées de se connecter à leur compte.
Il est également rapproché avec les traitements légalement mis en œuvre suivants :
- « Assistance aux utilisateurs par le Centre de Service de la DSI » permettant de porter assistance à l’utilisateur ;
- « Gestion du site Internet Extended Monaco pour l’entreprise » afin que les usagers puissent via le formulaire de contact disponible sur le site demander des renseignements sur le programme EME et sur les aides du Fonds Bleu. L’agent du Pôle EME pourra alors lui envoyer un lien lui permettant de prendre un rendez-vous pour lui apporter les renseignements demandés ;
- « Bénéficier d’une aide auprès du Fonds Bleu par une démarche en ligne » afin de permettre aux agents traitants de pouvoir suivre, par des rendez-vous avec l’usager, l’avancée d’un projet financé par le Fonds Bleu ainsi que l’accompagner dans son projet si le besoin se présente.
La Commission considère que ces interconnexions et rapprochements sont conformes aux exigences légales.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
La Commission rappelle néanmoins que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Elle rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui‑ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Le responsable de traitement indique que les informations relatives au personnel de l’Administration sont conservées « tant que l’agent est habilité » à l’exception des données d’horodatage relatives à ces personnes qui sont conservées « 12 mois glissants ».
Il indique par ailleurs que les logs de connexion sont conservés « 3 mois à compter de la dernière connexion ».
Enfin, le responsable de traitement indique que les informations relatives à l’usager sont conservées « 6 mois à compter du dernier rendez-vous pris ».
La Commission considère que ces délais sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Rappelle que :
- la réponse à un droit d’accès doit intervenir dans le mois suivant la réception de la demande ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
À la condition de la prise en compte des éléments qui précèdent,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État du traitement automatisé d’informations nominatives ayant pour finalité « Gestion en ligne des rendez-vous avec Extended Monaco pour l’Entreprise ».
Le Président de la Commission de Contrôle des Informations Nominatives.