Délibération n° 2018-207 du 19 décembre 2018 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion de la vidéosurveillance de l'École Stella » présenté par le Ministre d'État.

Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la demande d'avis déposée par le Ministre d'État le 5 octobre 2018 concernant la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion de la vidéosurveillance de l'École Stella » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 3 décembre 2018, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 susmentionnée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 19 décembre 2018 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Le Stella est une école située 16, rue Hubert Clerissi à Monaco.
Afin de garantir la sécurité des biens et des personnes se trouvant à l'intérieur de ladite école, le Ministre d'État souhaite procéder à l'installation d'un système de vidéosurveillance.
À ce titre, en application de l'article 7 de la loi n° 1.165 du 23 décembre 1993, le traitement automatisé d'informations nominatives objet de la présente délibération est soumis à l'avis de la Commission.
I.        Sur la finalité et les fonctionnalités du traitement
Ce traitement a pour finalité « Gestion de la vidéosurveillance de l'École Stella ».
Il est indiqué que les personnes concernées sont les élèves, les parents d'élèves et toutes personnes désignées par ces dernières, le personnel de l'établissement et les prestataires.
Les fonctionnalités sont les suivantes :
-         assurer la sécurité des personnes ;
-         assurer la sécurité des biens ;
-         permettre la constitution de preuves.
La Commission constate ainsi que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II.       Sur la licéité et la justification du traitement
        Sur la licéité
L'école Stella est un établissement d'enseignement appartenant à l'État.
À ce titre, ce dernier a décidé la mise en place d'un système de vidéosurveillance aux fins d'assurer la sécurité de son bien et des personnes qui y pénètrent, dans le respect des dispositions de la loi n° 1.165, modifiée.
La Commission considère donc que le traitement est licite conformément à l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
        Sur la justification
Le traitement est justifié par la réalisation d'un intérêt légitime poursuivi par le responsable du traitement, sans que ne soient méconnus ni l'intérêt, ni les droits et libertés fondamentaux de la personne concernée.
Le responsable de traitement indique que le dispositif de vidéosurveillance permettra de sécuriser l'école et d'assurer la protection des enfants.
La Commission note que « le positionnement des caméras permet de surveiller en temps réel les accès de l'école (portes d'entrée et issues de secours) ».
Le responsable de traitement précise par ailleurs que le système de vidéosurveillance permettra « un visionnage différé des portes si celles-ci venaient à être déverrouillées manuellement ».
Le responsable de traitement indique enfin que les caméras n'ont pas de vocation à surveiller les salariés de l'école.
Le responsable de traitement précise que les caméras sont fixes, non dotées de la fonction zoom, ni de la fonction audio.
La Commission rappelle que l'installation de ce dispositif ne peut être effectuée dans les bureaux ou au niveau des postes de travail du personnel.
Enfin, la Commission note la présence d'une caméra dans un ascenseur de l'école, filmant l'intérieur de ce dernier.
À cet égard, elle demande de réorienter le champ de vision de celle-ci, afin de filmer uniquement les portes de l'ascenseur.
Sous ces conditions, elle considère que le traitement est justifié, conformément aux dispositions de l'article 10-2 de la loi n° 1.165 du 23 décembre 1993\.
III.      Sur les informations nominatives traitées
Les informations nominatives traitées sont :
-         identité : image, visage et silhouette des personnes ;
-         données d'identification électronique : logs de connexion des personnes habilitées à avoir accès aux images ;
-         informations temporelles et horodatage : lieu et identification des caméras, date et heure de la prise de vue.
Ces informations ont pour origine le système de vidéosurveillance.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
IV.      Sur les droits des personnes concernées
        Sur l'information préalable des personnes concernées
Le responsable de traitement indique que l'information préalable des personnes concernées est effectuée par le biais d'un affichage.
Ce document n'ayant pas été joint à la demande d'avis, la Commission rappelle que ledit affichage doit comporter, a minima, un pictogramme représentant une caméra, ainsi que le nom du service auprès duquel s'exerce le droit d'accès en Principauté.
Elle rappelle par ailleurs que cet affichage doit garantir une information visible, lisible et claire de la personne concernée et être apposé à chaque entrée de l'école.
Sous ces conditions, la Commission considère que les modalités d'information préalable des personnes sont conformes aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993.
        Sur l'exercice du droit d'accès, de modification et de mise à jour
Le droit d'accès s'exerce sur place. La Commission rappelle que la réponse à ce droit d'accès s'exerce selon les mêmes modalités dans un délai de 30 jours.
Elle constate que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.
V.       Sur les destinataires et les personnes ayant accès au traitement
        Sur les destinataires
Les informations sont susceptibles d'être communiquées à la Direction de la Sûreté Publique.
La Commission estime que la communication à la Direction de la Sûreté Publique peut être justifiée pour les besoins d'une enquête judiciaire.
À cet égard, elle rappelle qu'en cas de transmission, ladite Direction ne pourra avoir communication des informations que dans le strict cadre de ses missions légalement conférées.
La Commission considère donc que ces transmissions sont conformes aux exigences légales.
        Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
-         la Direction : consultation au fil de l'eau, en différé et extraction ;
-         le Secrétariat : consultation au fil de l'eau ;
-         le prestataire : tous droits dans le cadre de ses activités de maintenance.
Considérant les attributions de chacune de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.
La Commission constate par ailleurs qu'aucun accès distant (tablettes, smartphones, etc.) n'est utilisé sur le réseau de vidéosurveillance.
En ce qui concerne le prestataire, elle rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993, les droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de son contrat de prestation de service. De plus, ledit prestataire est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
VI.      Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation particulière.
La Commission rappelle néanmoins les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Elle note également que le « stockeur vidéo » se trouve dans un local sécurisé.
Elle constate enfin que la copie ou l'extraction d'informations issues de ce traitement est chiffrée sur son support de réception.
La Commission rappelle enfin que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VII.     Sur la durée de conservation
Les informations sont conservées 1 mois.
La Commission considère que cette durée est conforme aux exigences légales.
Après en avoir délibéré, la Commission :
Constate :
-         qu'aucun accès distant (tablettes, smartphones, etc.) n'est utilisé sur le réseau de vidéosurveillance ;
-         que la copie ou l'extraction d'informations issues de ce traitement est chiffrée sur son support de réception.
Rappelle que :
-         le traitement ne saurait conduire à une surveillance permanente et inopportune des visiteurs ;
-         l'installation du dispositif de vidéosurveillance ne peut être effectuée dans les bureaux ou au niveau des postes de travail du personnel ;
-         l'affichage doit comporter, a minima, un pictogramme représentant une caméra, ainsi que le nom du service auprès duquel s'exerce le droit d'accès en Principauté ;
-         l'affichage doit garantir une information visible, lisible et claire de la personne concernée et être apposé à chaque entrée de l'école ;
-         la réponse au droit d'accès doit s'exercer uniquement sur place ;
-         la Direction de la Sûreté Publique ne pourra avoir communication des informations que dans le strict cadre de ses missions légalement conférées ;
-         les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Demande que seules les portes de l'ascenseur soient filmées.
À la condition de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par le Ministre d'État du traitement automatisé d'informations nominatives ayant pour finalité « Gestion de la vidéosurveillance de l'École Stella ».

Le Président de la Commission de
Contrôle des Informations Nominatives.