Délibération n° 2017-209 du 20 décembre 2017 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion du contrôle d'accès par badges aux galeries techniques de la Principauté de Monaco » de la Direction de l'Aménagement Urbain présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 2.556 du 11 janvier 2010 portant création d'une Direction de l'Aménagement Urbain ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la demande d'avis déposée par le Ministre d'État le 15 septembre 2017 concernant la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion du contrôle d'accès aux galeries techniques de la Principauté de Monaco » ;
Vu la prorogation du délai d'examen de ladite demande d'avis notifiée au responsable de traitement le 13 novembre 2017, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 20 décembre 2017 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Direction de l'Aménagement Urbain (DAU) est chargée de l'entretien des galeries techniques de la Principauté au sein desquelles des prestataires de services et certains Services Publics sont amenés à accéder pour divers travaux ou interventions.
Afin d'assurer la sécurité des accès auxdites galeries, cette direction souhaite installer un système de contrôle d'accès par badges.
Le traitement automatisé d'informations nominatives objet de la présente délibération est donc soumis à l'avis de la Commission conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993\.
I. Sur la finalité et les fonctionnalités du traitement
Ce traitement a pour finalité « Gestion du contrôle d'accès aux galeries techniques de la Principauté de Monaco ».
Les personnes concernées sont le personnel de la DAU, les personnels de certains Services Publics et les prestataires de service.
Enfin, les fonctionnalités sont les suivantes :
- assurer la sécurité des personnes ;
- assurer la sécurité des biens ;
- permettre le contrôle aux entrées et sorties des galeries ;
- permettre de limiter les accès aux seules personnes habilitées à se rendre dans les galeries techniques ;
- permettre la constitution de preuves en cas d'infraction.
La Commission rappelle toutefois que tout traitement d'informations nominatives doit avoir une finalité « déterminée, explicite et légitime » aux termes de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
En l'espèce, la finalité du présent traitement doit être plus explicite c'est-à-dire être claire et précise pour les personnes concernées en indiquant que le contrôle des accès aux galeries techniques s'effectuera par un système de badges.
Par conséquent, elle modifie la finalité comme suit : « Gestion du contrôle d'accès par badges aux galeries techniques de la Principauté de Monaco ».
II. Sur la licéité et la justification du traitement
Le traitement est justifié par la réalisation d'un intérêt légitime poursuivi par le responsable du traitement, sans que ne soient méconnus ni l'intérêt, ni les droits et libertés fondamentaux de la personne concernée.
À cet égard, le responsable de traitement indique que « La mise en place du contrôle d'accès répond à un besoin organisationnel de la Direction » puisque « compte tenu du nombre de prestataires de services et de galeries techniques sur l'ensemble du territoire de la Principauté, il permet de gérer et d'en contrôler les accès ».
La Commission prend acte par ailleurs des précisions du responsable de traitement selon lesquelles le dispositif est mis en place uniquement à des fins sécuritaires (incidents ou vols) et n'a pas pour objet la surveillance des personnes concernées.
La Commission considère donc que le traitement est justifié, conformément aux dispositions de l'article 10-2 de la loi n° 1.165 du 23 décembre 1993\.
III. Sur les informations nominatives traitées
Les informations nominatives traitées sont :
- identité : nom et prénom du personnel, nom du prestataire de services ;
- données d'identification électronique : logs de connexion des personnes habilitées à avoir accès aux informations ;
- informations temporelles et horodatage : date, heure d'entrée et de sortie ;
- accès aux locaux : nom de la galerie technique ;
- badge : numéro du badge et date de délivrance.
Les informations relatives à l'identité ont pour origine la personne elle-même.
Les données identification électronique, les informations temporelles et horodatage, les informations concernant les accès aux locaux et les informations concernant les badges ont pour origine le système lui-même.
La Commission considère donc que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
IV. Sur les droits des personnes concernées
Sur l'information préalable des personnes concernées
L'information préalable des personnes concernées est effectuée par le biais d'une mention sur le document de collecte.
Ce document n'ayant pas été joint à la demande, la Commission rappelle que celui-ci doit impérativement comporter l'ensemble des mentions prévues à l'article 14 de la loi n° 1.165 du 23 décembre 1993.
Sur l'exercice du droit d'accès, de modification et de mise à jour
Le droit d'accès s'exerce par voie postale auprès de la Direction de l'Aménagement Urbain.
La Commission constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.
V. Sur les destinataires et les personnes ayant accès au traitement
Sur les destinataires
Les informations sont susceptibles d'être communiquées à la Direction de la Sûreté Publique.
La Commission estime que la communication à la Direction de la Sûreté Publique peut être justifiée pour les besoins d'une enquête judiciaire.
À cet égard, elle rappelle qu'en cas de transmission, ladite Direction ne pourra avoir communication des informations que dans le strict cadre de ses missions légalement conférées.
La Commission considère donc que ces transmissions sont conformes aux exigences légales.
Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
- le Chef de Section de la Section Énergie de la Direction de l'Aménagement Urbain : inscription, modification, mise à jour et consultation ;
- le Contrôleur de la Section Énergie de la Direction de l'Aménagement Urbain : inscription, modification, mise à jour et consultation ;
- le Surveillant de Travaux au sein de la Section Énergie de la Direction de l'Aménagement Urbain : inscription, modification, mise à jour et consultation ;
- le prestataire : tous droits dans le cadre des opérations de maintenance.
Considérant les attributions de chacune de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.
La Commission constate par ailleurs que les accès distants (PC) utilisés sur le réseau sont chiffrés mais que les accès en télémaintenance ne le sont que partiellement. Elle demande donc que ces derniers soient impérativement sécurisés.
En ce qui concerne le prestataire, elle rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993, les droits d'accès doit être limités à ce qui est strictement nécessaire à l'exécution de son contrat de prestation de service. De plus, ledit prestataire est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation particulière.
La Commission rappelle néanmoins que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
Elle rappelle également que la copie ou l'extraction d'informations issues de ce traitement devra être chiffrée sur son support de réception.
Enfin, la Commission rappelle que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VII. Sur la durée de conservation
Les informations sont conservées 1 mois maximum.
Concernant les informations relatives à l'identité, la Commission considère toutefois qu'elles sont conservées pendant toute la durée de l'attribution du badge.
Par ailleurs, la Commission fixe la durée de conservation des données d'identification électronique de trois mois à un an.
Après en avoir délibéré, la Commission :
Modifie la finalité du traitement « Gestion du contrôle d'accès par badges aux galeries techniques de la Principauté de Monaco ».
Considère que les informations relatives à l'identité sont conservées pendant toute la durée de l'attribution du badge.
Rappelle que :
- le document d'information doit impérativement comporter l'ensemble des mentions prévues à l'article 14 de la loi n° 1.165 du 23 décembre 1993 ;
- les Services de Police monégasque ne pourront avoir communication des informations objet du traitement que dans le strict cadre de leurs missions légalement conférées ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort ;
- la copie ou l'extraction d'informations issues de ce traitement devra être chiffrée sur son support de réception.
Demande que les accès en télémaintenance soient sécurisés.
Fixe la durée de conservation des données d'identification électronique de trois mois à un an.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par le Ministre d'État du traitement automatisé d'informations nominatives ayant pour finalité « Gestion du contrôle d'accès par badges aux galeries techniques de la Principauté de Monaco ».
Le Président de la Commission
de Contrôle des Informations Nominatives.