icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2012-128 du 23 juillet 2012 de la commission de contrôle des informations nominatives portant avis favorable sur la demande présentée par le ministre d’etat relative à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité «Gestion des données utilisateurs de cartes d’achat public» du Contrôle Général des Dépenses

  • No. Journal 8081
  • Date of publication 10/08/2012
  • Quality 96.75%
  • Page no. 1727
Vu la Constitution ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 841 du 1er mars 1968 relative aux lois du budget ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 1.972 du 24 mars 1959, modifiée, instituant un service du contrôle général des dépenses ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu la demande d’avis déposée par le Ministre d’Etat, le 14 mars 2012, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité «Gestion des données utilisateurs de cartes d’achat public» du Contrôle Général des Dépenses ;
Vu la délibération n° 2012-79 du 14 mai 2012 de la Commission de Contrôle des Informations Nominatives portant avis défavorable sur la demande précitée ;
Vu le courrier du Ministre d’Etat du 25 juin 2012 apportant des précisions sur la licéité du traitement ;
La Commission de Contrôle des Informations Nominatives
Préambule
Le Service du Contrôle Général des Dépenses (CGD) a été institué, auprès du Ministre d’Etat «et sous sa responsabilité», par l’ordonnance souveraine n° 1.972 du 24 mars 1959, susvisée.
Le traitement automatisé d’informations nominatives objet de la présente délibération est soumis à l’avis de la Commission, conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives.
Dans sa délibération n° 2012-79 susvisée, la Commission a mis en exergue que le traitement soulevait deux interrogations pouvant présenter un risque pour la sécurité juridique des opérations automatisées réalisées, et pour les droits des personnes concernées :
- la possibilité de réaliser des opérations de prospection à partir des données des agents et fonctionnaires de l’Etat dépositaires d’une carte d’achat public, formalisée par une case spécifique cochée sur le formulaire de demande d’avis ;
- la licéité du traitement fondée sur une circulaire du Contrôleur Général des Dépenses créant un nouveau moyen de paiement des dépenses publiques en considération des principes de droit public budgétaire monégasque.
A réception de l’avis de la Commission, susvisé, le Ministre d’Etat a adressé une correspondance à la CCIN dans laquelle il met en évidence d’une part, que le contrat qui lie le Gouvernement et son prestataire «ne fait à aucun moment mention d’utilisation des données collectées pour une prospection », d’autre part, que la procédure mise en place respecte les règles budgétaires en vigueur.
Tenant compte de ces éléments et de l’engagement du Ministre d’Etat, la Commission a décidé d’examiner à nouveau ce dossier, et de répondre à sa demande tendant à lui faire part de l’avis de la Commission au regard de ces observations.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité «Gestion des données utilisateurs de cartes d’achat public».
Il concerne les personnes physiques «fonctionnaires ou agents» des Services de l’Etat auxquels une carte d’achat public a été attribuée. Cette carte d’achat est une carte de paiement du réseau «EuroCard-MasterCard» qui est utilisée dans les conditions contractuelles liant le Gouvernement et l’établissement bancaire partenaire.
Les fonctionnalités du traitement sont les suivantes :
- enregistrer et gérer les identifiants des utilisateurs de la carte d’achat public ;
- permettre la création physique et électronique de la carte d’achat public ;
- établir pour chaque carte des plafonds d’autorisation de dépenses pour une période donnée ;
- contrôler les achats effectués dans le cadre de déplacements professionnels ou de formations à l’étranger ;
- établir des statistiques non nominatives sur les dépenses de l’Etat en matière d’action de formation et de missions à l’étranger.
La Commission relève que les informations nominatives des agents et fonctionnaires habilités à disposer et à utiliser une carte d’achat public ne pourront être utilisées, par l’établissement bancaire partenaire, à des fins de prospection.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la justification du traitement
• Sur la licéité du traitement
La Commission relève que ce traitement s’inscrit dans le cadre de l’exécution du budget attribué chaque année aux Services de l’Etat, comme prévu par la loi n° 841, susvisée.
L’ordonnance souveraine n° 1.972 du 24 mars 1953, modifiée, instituant un Service du Contrôle Général des Dépenses établit les grandes lignes du contrôle des dépenses des Services de l’Administration, sous la responsabilité du Ministre d’Etat qui «exerce la direction des services exécutifs», selon l’article 44 de la Constitution.
La Commission relève que, selon l’article 2 de l’ordonnance souveraine n° 1.972, le Contrôle Général des Dépenses a, notamment, pour attributions «le contrôle de l’engagement, de l’ordonnancement et du paiement des dépenses publiques, le contrôle des recettes publiques, le contrôle de la clôture des comptes budgétaires, le contrôle du placement des fonds publics et des opérations de trésorerie». Le Contrôle Général des Dépenses, sous la responsabilité du Ministre d’Etat, veille au respect de la loi portant fixation du budget.
La Commission note, qu’aux termes de l’article 3 de l’ordonnance souveraine n° 1.972, susvisée, «les modalités de ce contrôle sont fixées par Notre Ministre d’Etat qui en définira les conditions d’application.»
La «carte d’achat public» constitue un moyen de paiement mis à disposition des agents et fonctionnaires de l’Administration d’Etat, après autorisation du Contrôle Général des Dépenses, selon des modalités établies par voie de circulaire qui «garantissent l’entier respect des règles budgétaires publiques et du contrôle préalable des dépenses» aux termes du courrier du Ministre d’Etat susvisé.
La Commission prend acte des éléments fournis par le Ministre d’Etat relativement à la licéité du traitement.
• Sur la justification
La Commission relève que le traitement est justifié par l’intérêt légitime du responsable de traitement de mettre à disposition des services de l’exécutif des moyens de paiement adaptés aux développements d’une e-administration, permettant de limiter les coûts de gestion des dépenses publiques et de répondre aux besoins de réactivité des services.
La Commission considère que ce traitement est justifié conformément aux dispositions des articles 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations traitées concernent la personne habilitée à effectuer des opérations avec une carte d’achat public. Ces informations sont les suivantes :
- identité : nom, prénom, service et département de rattachement ;
- adresse et coordonnée : adresse, e-mail et téléphone professionnel, adresse du domicile du titulaire d’une carte nominative ;
- données financières : autorisation de dépense, achats (montant, date, commerce, code, type de commerce).
Selon la demande d’avis, les informations portant sur l’identité, les adresses et coordonnées ont pour origine l’utilisateur par le biais des formulaires de demande. La Commission note qu’elles ont également pour origine le Chef de Service du demandeur.
Selon la demande d’avis, les informations portant sur les données financières ont pour origine «le traitement», plus précisément les relevés électroniques des opérations réalisées avec la carte fournie par l’établissement bancaire prestataire.
La Commission considère que les informations collectées sont «adéquates, pertinentes et non excessives» au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée. Toutefois, l’origine des informations mériterait d’être plus précise.
IV. Sur les droits des personnes concernées
• Sur l’information préalable des personnes concernées
Selon la demande d’avis, les personnes concernées sont informées de leurs droits par une mention figurant sur le document de collecte ainsi qu’une rubrique propre à la protection des informations nominatives accessible en ligne.
Un spécimen de l’information des personnes «accessible en ligne» n’a pas été fourni au dossier. Aussi la Commission n’a pas été en mesures d’en vérifier la conformité avec les dispositions de l’article 14 de la loi.
Concernant la mention figurant sur les documents de collecte portant demande de création de carte, il convient de relever que ce document est établi par le Chef de Service. En conséquence, la personne sur laquelle des informations nominatives sont collectées n’est pas directement visée par l’information inscrite en bas du document de collecte.
En conséquence, la Commission demande que des mesures adaptées soient mises en place afin que l’information des personnes concernées par le traitement soit réalisée conformément à l’article 14 de la loi n° 1.165, par exemple par note de service adressée aux personnes dépositaires d’une carte ou en intégrant ces mentions dans la circulaire afférente à la carte d’achat public.
• Sur l’exercice du droit d’accès, de modification et de mise à jour
Les personnes concernées peuvent exercer leur droit d’accès par un accès en ligne à leur dossier, c’est-à-dire au relevé des opérations réalisées avec la carte d’achat public dont elles sont dépositaires, en adressant un courrier électronique ou un courrier postal au Contrôle Général des Dépenses, ou encore, en se déplaçant au service.
La réponse à toute demande est réalisée dans les 10 jours par un courrier postal ou un courrier électronique.
La Commission constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
Les personnes ayant accès à l’ensemble des informations traitées, dans le cadre de leurs fonctions sont :
- les agents du Contrôle Général des Dépenses et le Contrôleur Général des Dépenses : accès en création, modification et consultation aux données relatives à la carte d’achat public ;
- le Contrôleur Général des Dépenses a un accès de type «administrateur» au traitement puisqu’il gère les autorisations d’accès au présent traitement ;
- les utilisateurs : accès en consultation aux données de leur carte (informations nominatives et données financières) ;
- les personnels en charge de la gestion comptable des crédits de fonctionnement alloués à un service : accès en consultation aux seules informations relatives aux dépenses du service ou du département concerné ;
- les agents de la Trésorerie Générale des Finances, service payeur de l’Administration : accès en consultation et en modification au présent traitement ;
- les personnels en charge de la maintenance du logiciel commercial.
Les destinataires des informations sont :
- le responsable du service ou du département ayant autorité sur l’utilisateur ;
- les agents habilités de la Trésorerie Générale des Finances.
La Commission relève que les accès au traitement et les communications d’informations sont conformes aux dispositions de la loi n° 1.165.
VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.
La Commission rappelle toutefois que le responsable de traitement doit s’assurer que les prestataires choisis sont en mesure de satisfaire aux obligations de sécurité et de confidentialité des traitements et des informations nominatives conformément à l’article 17 de la loi n° 1.165, susvisée.
La Commission rappelle également que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VII. Sur la durée de conservation
Les informations relatives à l’identité et aux coordonnées des utilisateurs sont conservées jusqu’au non renouvellement de la carte ou à la destruction de celle-ci.
Selon le responsable de traitement, les données financières sont conservées par l’établissement bancaire partenaire «qui applique les règles généralement en vigueur pour les données de ce type».
Après en avoir délibéré,
Prend acte des éléments communiqués par le Ministre d’Etat, garant des conditions d’application du contrôle des dépenses des services exécutifs, relativement à la licéité du traitement ;
Demande que :
- l’information des personnes concernées doit prendre en considération l’ensemble des éléments établis à l’article 14 de la loi n° 1.165 ;
A la condition de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’Etat, du traitement automatisé d’informations nominatives ayant pour finalité «Gestion des données utilisateurs de cartes d’achat public» du Contrôle général des dépenses.


Le Président de la Commission
de Contrôle des Informations Nominatives.
Print article
Previous article Return to summary Next article

All rights reserved - Monaco 2016
Version 2018.11.07.14