icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2018-173 du 21 novembre 2018 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Permettre aux usagers d'adhérer en ligne au Pacte National pour la Transition Énergétique » exploité par la Mission pour la Transition Énergétique et présenté par le Ministre d'État.

  • No. Journal 8412
  • Date of publication 14/12/2018
  • Quality 100%
  • Page no.

Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.308 du 23 décembre 2005 portant approbation de ratification du Protocole de Kyoto à la convention-cadre sur les changements climatiques, adopté à Kyoto le 11 décembre 1997 ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 16.605 du 10 janvier 2005 portant organisation des Départements ministériels, modifiée ;
Vu l'Ordonnance Souveraine n° 518 du 19 mai 2006 rendant exécutoire le Protocole de Kyoto à la Convention-cadre sur les changements climatiques, adopté à Kyoto le 11 décembre 1997 ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la demande d'avis déposée par le Ministre d'État, le 17 août 2018, concernant la mise en œuvre d'un traitement automatisé ayant pour finalité « Adhérer au Pacte National pour la Transition Énergétique » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 5 octobre 2018, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 21 novembre 2018 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Comme indiqué par le responsable de traitement, « la Mission pour la Transition Énergétique est une cellule administrative du Département de l'Équipement, de l'Environnement et de l'Urbanisme, en charge de planifier et de mettre à jour la stratégie de transition énergétique ».
Dans cet objectif, elle ouvre une démarche permettant aux usagers d'adhérer au Pacte National pour la transition Énergétique et de s'inscrire aux actions qu'ils souhaitent poursuivre.
Aussi, le Ministre d'État soumet à l'avis de la Commission le traitement y afférent dont la finalité est « Adhérer au Pacte National pour la Transition Énergétique », conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993.

I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Adhérer au Pacte National pour la Transition Énergétique ».
Il concerne les résidents monégasques, les entreprises monégasques, les Institutions monégasques, ainsi que les salariés travaillant à Monaco.
L'adhésion audit Pacte s'effectue par le biais d'une démarche en ligne après création d'un compte personnel sécurisé.
Les fonctionnalités offertes à l'usager inscrit sont :

• En ce qui concerne les personnes souhaitant adhérer au pacte :
- Saisir leurs informations ;
- Choisir d'afficher son nom et prénom sur le site Internet de la Mission pour la Transition Énergétique en tant qu'adhérent du pacte ;
- Choisir les actions auxquelles il s'engage ;
- Suivre le traitement de la demande d'adhésion ;
- Compléter une demande d'adhésion incomplète.

• En ce qui concerne les adhérents du pacte :
- Modifier l'adhésion ;
- Se désinscrire de la démarche en ligne ;
- Réception d'un courriel de confirmation de dépôt de l'adhésion ;
- Réception d'un courriel de désinscription à la démarche en ligne ;
- Expiration et envoi d'un courriel d'expiration d'un accès à la démarche en ligne.

• En ce qui concerne la Mission pour la Transition Énergétique :
- Effectuer des sondages (anonymes) sur l'utilisation du téléservice ;
- D'établir des statistiques.

La Commission rappelle que tout traitement d'informations nominatives doit avoir une finalité « déterminée, explicite et légitime » aux termes de l'article 10-1 de la loi n° 1.165, modifiée.
À cet égard, la finalité du présent traitement doit être plus explicite et mettre en évidence les objectifs recherchés par le responsable de traitement.
Par conséquent, la Commission modifie la finalité comme suit : « Permettre aux usagers d'adhérer en ligne au Pacte National pour la Transition Énergétique ».

II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par le consentement des personnes concernées.
À cet égard, le responsable de traitement indique que « le consentement est formalisé par l'obligation préalable d'accepter les conditions générales d'utilisation. L'accord des personnes concernées est donc indispensable pour la création du compte sécurisé et pour l'accès à la démarche en ligne ».
La Commission relève qu'il est également demandé aux personnes concernées si elles acceptent que leur nom et prénom soient indiqués sur le site officiel de la Mission pour la Transition Énergétique (choix oui/non), sans qu'aucune réponse ne soit cochée au préalable.
Elle en prend acte.
La Commission relève par ailleurs que la cellule Mission pour la Transition Énergétique a pour vocation d'établir la stratégie de la Principauté en la matière et a notamment pour objectif la réduction des émissions de gaz à effet de serre, aux fins de respecter les engagements de Monaco eu égard au protocole de Kyoto.
Enfin, il est précisé que le sondage « sera traité anonymement par la Direction de l'Administration Électronique et de l'Information aux Usagers », devenue entretemps la Direction de l'Administration Numérique, et chargée notamment « d'identifier et d'analyser les attentes des usagers en matière de procédures et d'informations administratives ».
La Commission considère donc que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.

III. Sur les informations traitées
Les informations nominatives traitées sont :
- identité : nom, prénom des particuliers ; raison sociale et nom d'un contact en ce qui concerne les entreprises ;
- adresse et coordonnées : adresse, téléphone, adresse e-mail ;
- consommation de biens et services, habitudes de vie : estimation des émissions de gaz à effet de serre ;
- données d'identification électronique : identifiant technique de l'usager ;
- informations temporelles : horodatages, etc. : données d'horodatage ;
- données de connexion : log de connexion de l'usager, données de messagerie de l'usager ;
- engagement de réduction des émissions de gaz à effet de serre : adhésion au Pacte pour la Transition Énergétique, engagements, pris sur l'année en cours en agissant sur la mobilité, les déchets et l'énergie.
Les informations ont pour origine la personne concernée lors de son adhésion au dispositif, excepté les données d'identification électronique, les informations temporelles et les données de connexion qui proviennent du système.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.

IV. Sur les droits des personnes concernées

  • Sur l'information préalable des personnes concernées

L'information préalable des personnes concernées est réalisée par le biais d'une mention particulière intégrée dans un document d'ordre général accessible en ligne, à savoir les conditions générales d'utilisation de la démarche en ligne que l'usager doit accepter et peut consulter dès l'accès à la démarche.
Ces dernières n'étant pas jointes au dossier, la Commission rappelle que les personnes concernées doivent être informées de manière conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.

  • Sur l'exercice du droit d'accès, de modification et de mise à jour

Le droit d'accès est exercé par voie postale, par accès en ligne au dossier, ou par courrier électronique auprès de la Mission pour la Transition Énergétique.
La Commission constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 la loi n° 1.165, modifiée.

V. Sur les destinataires et les personnes ayant accès au traitement
La Commission constate qu'il n'y a pas de destinataires des informations objets du présent traitement.
Les accès sont définis comme suit :
- Personnels de la Mission pour la Transition Énergétique : tous droits ;
- Prestataires : tous droits dans le cadre de leurs missions ;
- Personnels administratifs de la Direction Informatique (devenue Direction  des Réseaux et Systèmes d'Information) ou tiers intervenant pour son compte : tous accès dans le cadre des missions de maintenance, développement des applicatifs nécessaires au fonctionnement du site et de sécurité du site et du système d'information de l'État ;
- Personnels de la Direction de l'Administration Électronique et de l'Information aux Usagers (devenue Direction de l'Administration Numérique) ou tiers intervenant pour son compte ayant un rôle d'assistance à maîtrise d'ouvrage sur la procédure : tous droits.
La Commission relève également que les usagers disposent d'un accès aux comptes qu'ils ont créés afin d'en permettre la gestion.
En ce qui concerne les prestataires, elle rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993 les droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de son contrat de prestation de service. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission considère que ces accès sont justifiés.

VI. Sur les interconnexions
Le présent traitement fait l'objet d'interconnexions avec les traitements suivants :
- « Gestion du compte permettant aux usagers d'entreprendre des démarches par téléservices », légalement mis en œuvre ;
- « Gérer les habilitations des agents et fonctionnaires de l'État aux téléservices contenus dans le « Guichet Virtuel » », légalement mis en œuvre.
Lesdits traitements ont pour vocation de permettre l'accès sécurisé des usagers à la démarche de transition énergétique et de gérer les habilitations des personnels de la Mission de la Transition Énergétique, dans le respect des cadres fixés dans les délibérations y relatives de la Commission portant avis favorable à leur mise en œuvre.
La Commission relève également que le traitement est interconnecté avec le traitement ayant pour finalité « Gestion des techniques automatisées de communication » aux fins d'utilisation de la messagerie électronique de l'État.
Celle-ci estime donc que ces interconnexions sont conformes aux exigences légales.

VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Cependant, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
En outre, il appert de l'analyse du dossier que les usagers, lors de la création de leur compte effectuée dans le cadre du traitement ayant pour finalité « Gestion du compte permettant aux usagers d'entreprendre des démarches par téléservices » soumis en 2011, ne sont pas invités à saisir un mot de passe suffisamment robuste.
Or, la Commission rappelle que concernant tout traitement, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger doivent être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
Aussi, elle demande que les personnes concernées soient invitées à renseigner un mot de passe réputé fort, afin de tenir compte des évolutions en la matière.

VIII. Sur la durée de conservation
Les données sont conservées le temps de l'adhésion au pacte, soit un an, excepté les informations temporelles et les données de connexion qui sont effacées au bout de 3 mois.
La Commission relève que ces délais sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Modifie la finalité comme suit : « Permettre aux usagers d'adhérer en ligne au Pacte National pour la Transition Énergétique ».
Constate qu'il est demandé aux personnes concernées si elles acceptent que leur nom et prénom soient indiqués sur le site officiel de la Mission pour la Transition Énergétique.
Rappelle que :
- les personnes concernées doivent être informées de manière conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993 ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort, régulièrement renouvelé.
Demande que les usagers, lors de la création de leurs comptes dans le cadre du traitement « Gestion du compte permettant aux usagers d'entreprendre des démarches par téléservices », soient invités à renseigner des mots de passe réputés forts, afin de tenir compte des exigences techniques et organisationnelles actuelles.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État, du traitement automatisé d'informations nominatives ayant pour finalité « Permettre aux usagers d'adhérer en ligne au Pacte National pour la Transition Énergétique ».

Le Président de la Commission de Contrôle des Informations Nominatives.

Print article
Previous article Return to summary Next article

All rights reserved - Monaco 2016
Version 2018.11.07.14