icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2024‑216 du 13 novembre 2024 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre de la modification du traitement automatisé d'informations nominatives ayant pour finalité « Enquêtes mensuelles de conjoncture par secteur d'activité en Principauté » exploité par l'Institut Monégasque de la Statistique et des Études Économiques (IMSEE), présentée par le Ministre d'État.

  • N° journal 8723
  • Date de publication 29/11/2024
  • Qualité 100%
  • N° de page

Vu la Constitution ;

Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe ;

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 419 du 7 juin 1945 relative aux mesures d’ordre statistique ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu l’Ordonnance Souveraine n° 3.095 du 24 janvier 2011 portant création de l’Institut Monégasque de la Statistique et des Études Économiques et du Conseil Scientifique de la Statistique et des Études Économiques, modifiée ;

Vu l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré, modifiée ;

Vu l’arrêté ministériel n° 66‑55 du 9 mars 1966 portant attribution d’un numéro d’identification aux établissements industriels, artisanaux, commerciaux et autres et rendant obligatoire l’utilisation de ce numéro d’identification pour les classifications et les statistiques officielles, modifié ;

Vu l’arrêté ministériel n° 2013‑234 du 22 avril 2013 créant le Répertoire du Numéro d’Identification Statistique (N.I.S.) ;

Vu la délibération n° 2011‑82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;

Vu la délibération n° 2013‑55 du 28 mai 2013 de la Commission de Contrôle des Informations Nominatives portant avis favorable sur la demande modificative présentée par le Ministre d’État relative au traitement automatisé d’informations nominatives ayant pour finalité « Fichier d’identification statistique » de la Direction de l’Expansion Économique afin d’en transférer la compétence à l’Institut Monégasque de la Statistique et des Études Économiques sous la finalité « Gestion du Répertoire NIS » ;

Vu la délibération n° 2015‑26 du 18 février 2015 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre de la modification du traitement automatisé ayant pour finalité « La Taxe sur la Valeur Ajoutée » de la Direction des Services Fiscaux présentée par le Ministre d’État ;

Vu la délibération n° 2016‑76 du 15 juin 2016 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Enquêtes mensuelles de conjoncture par secteur d’activité en Principauté » présenté par l’Institut Monégasque de la Statistique et des Études Économiques ;

Vu la demande d’avis déposée par l’Institut Monégasque de la Statistique et des Études Économiques le 22 juillet 2024 concernant la mise en œuvre de la modification d’un traitement automatisé d’informations nominatives ayant pour finalité « Enquêtes mensuelles de conjoncture par secteur d’activité en Principauté » ;

Vu la prorogation du délai d’examen de la présente demande d’autorisation notifiée au responsable de traitement le 19 septembre 2024, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 13 novembre 2024 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

Le chiffre 5 de l’article 2 de l’Ordonnance Souveraine n° 3.095 du 24 janvier 2011, dispose que « L’I.M.S.E.E. est en charge d’assurer (…) les missions suivantes : (…) observer et étudier l’évolution de la situation économique sur le territoire de la Principauté, ses mouvements conjoncturels et structurels, et calculer les agrégats économiques mesurables ».

Par délibération n° 2016‑76 du 15 juin 2016 la Commission a émis un avis favorable à la mise en œuvre du traitement ayant pour finalité « Enquêtes mensuelles de conjoncture par secteur d’activité en Principauté ».

Le responsable de traitement souhaite désormais modifier le traitement dont s’agit, en application de l’article 9 de la loi n° 1.165 du 23 décembre 1993 notamment s’agissant de l’utilisation d’un nouvel outil pour procéder aux enquêtes mensuelles de conjoncture par secteur d’activité en Principauté.

I.   Sur la finalité et les fonctionnalités du traitement

La finalité du traitement ainsi que les personnes concernées demeurent inchangées.

Pour rappel, les fonctionnalités du traitement indiquées en 2016 pour la réalisation des sondages et enquêtes, et qui sont maintenues par le responsable de traitement, sont :

-    créer un fichier dont la finalité est de permettre l’établissement d’enquêtes conjoncturelles mensuelles dites « baromètre » en Principauté de Monaco, et qui seraient établies à partir de réponses reçues dans le cadre de celles-ci ;

-    établir sous forme d’indicateurs (non nominatifs) synthétiques le climat des affaires des secteurs d’activité économique ;

-    adresser des correspondances, avec des questionnaires, par tous moyens de communications, aux personnes concernées ;

-    réceptionner et enregistrer les informations communiquées par tous moyens ;

-    effectuer les opérations de recollement et calculer les agrégats sur la base de procédures et méthodes fixées par l’IMSEE ;

-    rendre public, sous forme d’une publication à vocation mensuelle non nominative, le résultat de ces enquêtes conjoncturelles ;

-    conserver les informations à des fins statistiques, permettant de suivre l’évolution des secteurs d’activité dans le temps et d’analyser leur évolution.

Le responsable de traitement souhaite désormais ajouter des fonctionnalités permettant la création des comptes utilisateurs :

-    créer les comptes utilisateurs dans la solution de création et suivi des enquêtes ;

-    suivi de la création des enquêtes ;

-    tracer les actions réalisées.

La Commission relève que les questionnaires sont désormais remplis par les agents économiques directement en ligne sur une plateforme dédiée. En outre, la liste desdits agents économiques soumis à enquête est régulièrement mise à jour.

Au vu de ces éléments, la Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement

Le responsable de traitement restreint désormais la justification du traitement à un motif d’intérêt public et à la réalisation d’un intérêt légitime qui ne méconnaît ni l’intérêt, ni les droits et libertés fondamentaux de la personne concernée. Elle repose néanmoins sur les mêmes éléments que ceux apportés lors de la demande d’avis initiale.

La Commission considère donc que le traitement est licite et justifié, conformément aux dispositions des articles 10‑1 et 10‑2 de la loi n° 1.165 du 23 décembre 1993.

III.   Sur les informations traitées

Les informations objets du traitement sont les suivantes :

-    identité : personne physique : nom, nom d’usage, objet social, forme juridique, n° RCI, n° NIS ; personne morale : raisons/dénominations sociales, objet social, enseigne, type d’établissement, numéro RCI, forme juridique, numéro NIS ;

-    correspondant : nom, prénom, fonction (le cas échéant), numéro de téléphone, adresse électronique professionnelle ;

-    caractéristiques financières : chiffre d’affaires TTC ; détail par l’employeur : regroupements de salariés selon des critères cumulatifs d’âge, de sexe, de lieu de résidence et de nationalité, et pour chaque regroupement, les informations relatives aux heures déclarées et aux salaires bruts ;

-    informations relatives au suivi d’une enquête : email professionnel de communication, date d’envoi des emails, date de réponse, date de relance ;

-    réponse aux questionnaires : réponses (non nominatives) aux questions des participants ;

-    opposition de l’usager à recevoir des sollicitations par email : email ;

-    identité des agents en charge de l’enquête : email ;

-    données d’identification électronique : login, mot de passe ;

-    informations temporelles : logs applicatifs permettant de savoir qui a réalisé les actions sur la solution.

Par ailleurs, la Commission relève que l’IMSEE attribue, pour des raisons d’efficacité du suivi dans le temps du panel, un statut de répondant absolu, non répondant absolu ou non répondant partiel aux agents économiques concernés par le questionnaire.

Elle constate en outre que les questionnaires sont dotés d’un champ libre intitulé « Observations ». La Commission recommande que le responsable de traitement informe, par l’insertion d’une mention sur le formulaire, les personnes qui le renseignent de leur responsabilité quant à la qualité des informations inscrites dans cette zone qui doivent être objectives et ne pas contenir de données interdites au sens de l’article 12 de la loi n° 1.165 ou de propos injurieux.

L’origine des informations n’appelle pas d’observation.

La Commission considère que les informations traitées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.

IV.   Sur les droits des personnes concernées

>   Sur l’information des personnes concernées

Le responsable de traitement indique que l’information préalable des personnes concernées est effectuée :

-    par un document spécifique ;

-    par une rubrique propre à la protection des données accessible en ligne ;

-    par une mention dans le courriel accompagnant le lien vers l’enquête.

À la lecture de la mention d’information portée sur les courriers, les mails et le site de l’IMSEE relativement au présent traitement, la Commission relève que l’information des personnes concernées est valablement effectuée.

>   Sur l’exercice du droit d’accès

La Commission observe que le droit d’accès est exercé par voie postale, par courrier électronique, par téléphone ou sur place auprès de l’IMSEE.

Les droits de modification et de mise à jour des données sont exercés selon les mêmes modalités.

La Commission rappelle que la réponse à un droit d’accès doit intervenir dans le mois suivant la réception de la demande.

Elle rappelle en outre, que dans le cadre de l’exercice du droit d’accès par voie électronique une procédure doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agit effectivement de la personne concernée par les informations.

À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015‑113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.

Enfin, s’agissant de l’exercice des droits d’accès par téléphone la Commission appelle l’attention du responsable de traitement sur le fait que cette modalité ne lui permet pas d’une part de vérifier qu’il communique effectivement avec la personne concernée, d’autre part d’être en mesure de prouver qu’il a effectivement répondu à l’exercice de ce droit, ni de la conformité de ladite réponse. Cette inadéquation est encore plus renforcée par l’évolution projetée de l’exercice du droit d’accès dans le projet de loi n° 1054 relative à la protection des données personnelles, projet dont il est prévu qu’il soit voté très prochainement. La Commission demande donc que le responsable de traitement ne permette pas l’exercice du droit d’accès par téléphone.

Sous cette réserve, la Commission constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.

V. Sur les personnes ayant accès au traitement

Les personnes habilitées à avoir accès au traitement sont :

-    le personnel de l’IMSEE amené à gérer l’enquête « Baromètre du Commerce de détail » : création, consultation, mise à jour, modification ;

-    tout le personnel de l’IMSEE dans le cadre des missions dévolues à l’Institut, en consultation ;

-    les personnels administratifs de la Direction des Systèmes d’Information (DSI) ou tiers intervenant pour son compte : tout accès dans le cadre des missions de maintenance, développement des applicatifs nécessaires au fonctionnement du site et de sécurité du site et du système d’information de l’État ;

-    les personnels de la Direction des Services Numériques ou tiers intervenant pour son compte ayant un rôle d’assistance à maîtrise d’ouvrage sur la procédure.

En ce qui concerne les tiers intervenant pour le compte de la DSI et de la DSN, la Commission rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993 les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de service. De plus, lesdits tiers sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.

La Commission considère que les accès au traitement sont conformes aux dispositions légales.

VI.   Sur les rapprochements et interconnexions

Le responsable de traitement indiquait lors de la première demande d’avis, que le présent traitement faisait l’objet d’interconnexions et de rapprochements avec les traitements ayant pour finalité « Gestion du répertoire du NIS », « Établissement de statistiques concernant les assurés de la Caisse de Compensation des Services Sociaux », « La Taxe sur la Valeur Ajoutée ».

Dans le cadre de la modification de cette demande d’avis, le responsable de traitement indique conserver ces différentes mises en relation.

Toutefois, il précise que le traitement fait l’objet d’interconnexions et de rapprochements avec les traitements suivants, légalement mis en œuvre :

-    « Assistance aux utilisateurs par le Centre de Service de la DSI » afin de permettre d’une part aux utilisateurs de l’Administration de remonter des demandes sur la solution, de suivre l’évolution du traitement de leur demande, et d’autre part, aux intervenant d’intervenir le moment venu dans la procédure ;

-    « Gestion des accès dédiés au Système d’information du Gouvernement » pour assurer la sécurité des actions réalisées par la DSI/DMA ;

-    « Gestion et analyse des évènements du Système d’information » pour l’intégration des logs serveur dans la solution log management a des fins d’analyse des évènements de sécurité ;

-    « Gestion des habilitations et des accès au Système d’information » afin de permettre l’accès aux environnements de travail pour la réalisation des documents de type Excel ;

-    « Traçabilité des évènements d’annuaires et des accès aux ressources associes » afin de journaliser les actions effectuées sur les serveurs de ficher et les modifications de droits d’accès sur ces serveurs.

Le responsable de traitement indique en outre que le présent traitement fait l’objet d’un rapprochement avec le traitement ayant pour finalité « Gestion de la messagerie professionnelle », légalement mis en œuvre, afin de permettre aux acteurs du traitement d’échanger dans le cadre du traitement et, plus généralement de leurs activités.

Par ailleurs, il appert à l’analyse du dossier que le présent traitement est rapproché avec le traitement ayant pour finalité « Gestion d’un outil de partage et de conservation sécurisés de documents ».

La Commission considère que ces rapprochements et interconnexions sont conformes aux exigences légales.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.

Cependant, la copie ou l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception.

Par ailleurs, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

La Commission rappelle que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993 les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité de celui‑ci au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

Enfin, elle lève sa demande formulée dans sa délibération n° 2016‑76 concernant la sécurisation des communications des questionnaires.

VIII. Sur la durée de conservation

Les informations temporelles sont conservées 12 mois.

Les données d’identifications électroniques des agents de l’Administration ainsi que les informations relatives à leur identité sont conservées « tant que la personne est autorisée à avoir accès à la solution ».

Par ailleurs, les informations relatives au suivi d’une enquête ainsi que l’opposition de l’usager à recevoir des sollicitations par emails sont conservées 2 ans.

Enfin, les autres informations traitées seront conservées informatiquement de manière illimitée.

La Commission considère donc que la durée de conservation des informations objets du traitement est conforme aux obligations légales, et notamment aux dispositions de l’article 2‑3 de l’Ordonnance Souveraine n° 3.095 du 24 janvier 2011 qui dispose que « Les études et enquêtes statistiques effectuées conformément aux dispositions de la présente ordonnance constituent des archives publiques au sens de Notre Ordonnance n° 3.413 du 29 août 2011, modifiée, susvisée.

En application du deuxième alinéa de l’article 33 de l’Ordonnance Souveraine mentionnée au précédent alinéa, l’I.M.S.E.E. demeure le détenteur de tous documents administratifs liés à ses missions visées à l’article 2 de Notre présente Ordonnance, notamment ceux destinés à être conservés de manière illimitée, en raison de la nature confidentielle des données collectées ».

La Commission considère que ces durées sont conformes aux exigences légales.

Après en avoir délibéré la Commission,

Rappelle que :

-    la réponse à ce droit d’accès doit s’exercer dans le mois suivant la réception de la demande ;

-    une procédure relative au droit d’accès par voie électronique doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agisse effectivement de la personne concernée par les informations ;

-    la copie ou l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception ;

-    les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

Demande au responsable de traitement de ne pas traiter d’exercice de droit d’accès par téléphone.

Lève sa demande formulée dans sa délibération n° 2016‑76 concernant la sécurisation des communications des questionnaires.

Recommande que le responsable de traitement informe, par l’insertion d’une mention sur le formulaire, les personnes qui le renseignent de leur responsabilité quant à la qualité des informations inscrites dans la zone commentaire qui doivent être objectives et ne pas contenir de données interdites au sens de l’article 12 de la loi n° 1.165 ou de propos injurieux.

À la condition de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par l’Institut Monégasque de la Statistique et des Études Économiques, de la modification du traitement automatisé d’informations nominatives ayant pour finalité « Enquêtes mensuelles de conjoncture par secteur d’activité en Principauté ».

Le Président de la Commissionde Contrôle des Informations Nominatives.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14