icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails
Switch to French
MENU
French | English
  • Avis et Communiqués
  • Déliberations-Décisions CCIN

Délibération n° 2019-205 du 18 décembre 2019 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Mise à disposition des usagers d'une application permettant le signalement de nuisances urbaines pour transmission aux Directions de l'Administration concernées » dénommé « Urban Report » exploité par la Direction du Développement des Usages Numériques présenté par le Ministre d'État.

  • No. Journal 8467
  • Date of publication 03/01/2020
  • Quality 100%
  • Page no.

Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 7.013 du 20 juillet 2018 portant création de la Direction du Développement des Usages Numériques ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés d'informations nominatives ;
Vu la demande d'avis déposée par le Ministre d'État, le 19 août 2019, concernant la mise en œuvre d'un traitement automatisé ayant pour finalité la « permettre la remontée de signalements urbains pour des utilisateurs / recevoir et monitorer le signalement pour les métiers » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 17 octobre 2019, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 18 décembre 2019 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,

Préambule
Afin de faciliter le dialogue avec les usagers et améliorer la qualité de vie en Principauté, l'Administration souhaite leur mettre à disposition une application permettant de recueillir des signalements urbains, tels que du « mobilier urbain détérioré, nuisances de chantier, signalement de méduses, remontée positive/compliment sur jardin ou massif floral… ».
Ainsi, le traitement y relatif est soumis à l'avis de la Commission, conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993.

I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « permettre la remontée de signalements urbains pour des utilisateurs / recevoir et monitorer le signalement pour les métiers ».
Il concerne les usagers désirant faire un signalement et le personnel habilité des Directions concernées du Gouvernement.
Les fonctionnalités du traitement sont :
En ce qui concerne le « back Office métiers » de l'application, permettant aux différents services d'accéder et de gérer les éléments suivants du Front Office et du Back Office :
- L'administration du Front Office et du Back Office ;
- Les signalements : réception, affectation, traitement, intervention et suivi ;
- Les demandes de contrôles de chantiers et la visualisation des résultats de ces contrôles ;
- Les statistiques liées aux signalements, traitements, demandes de contrôles ;
- Les comptes utilisateurs métiers : rôles/profils et droits d'accès.
En ce qui concerne l'application mobile à destination des usagers :
- Création de compte usager (fonctionnalité facultative, un signalement pouvant être effectué sans compte, qui permet de suivre le traitement de la résolution du signalement) ;
- Déclaration d'un signalement par l'usager : description transmise aux métiers afin d'organiser, traiter, piloter des interventions ;
- Géolocalisation du terminal si l'usager l'accepte (opt-in).
La Commission constate qu'il est également possible de recontacter les personnes concernées pour leur demander des précisions sur le signalement effectué par le biais d'emails.
Il convient également de relever que l'affectation d'un signalement donné au métier de l'Administration compétent pour son traitement est effectuée par les personnels habilités sur le back office de l'application. Un personnel du métier concerné est alors désigné par la création d'un compte sur l'application.
La Commission rappelle toutefois que tout traitement d'informations nominatives doit avoir une finalité « déterminée, explicite et légitime » aux termes de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
En l'espèce, la finalité du présent traitement doit être plus explicite c'est-à-dire être claire et précise pour que les personnes concernées soient mieux informées de l'objet du traitement.
Par conséquent, elle modifie la finalité comme suit : « Mise à disposition des usagers d'une application permettant le signalement de nuisances urbaines pour transmission aux Directions de l'Administration concernées ».

II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par la réalisation d'un intérêt légitime, sans que ne soient méconnus ni l'intérêt, ni les droits et libertés fondamentaux de la personne concernée, et par le consentement de cette dernière.
Il est indiqué que l'installation de l'application dépend de la volonté de l'usager de l'installer sur son terminal et que la création d'un compte n'est pas une fonctionnalité obligatoire pour pouvoir effectuer un signalement.
Il est en outre précisé que « la solution permettra aux services métiers d'organiser, de traiter et de piloter le suivi des actions (prise en charge du traitement des signalements effectués par les usagers de l'application mobile, supervision des contrôles chantiers, liés ou pas aux signalements des usagers ».
La Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.

III. Sur les informations traitées
Le responsable de traitement indique que les informations nominatives traitées sont :
En ce qui concerne l'usager :
- identité : nom, prénom, s'il y a création de compte ;
- données d'identification électronique : adresse email, s'il y a création de compte ;
- données de signalement : description, photo, localisation (via description ou localisation du smartphone, si l'usager en accepte l'utilisation) ;
- traçabilité de toutes personnes connectées : Identifiants, horodatage.
En ce qui concerne les personnels habilités :
- identité : nom, prénom ;
- données d'identification électronique : email, login, mot de passe.
Les informations relatives à l'usager proviennent de celui-ci.
Enfin, les autres données sont générées par le système.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.

IV. Sur les droits des personnes concernées

  • Sur l'information préalable des personnes concernées

L'information préalable des personnes concernées est effectuée par une rubrique propre à la protection des données accessible en ligne, à savoir les mentions légales accessibles par le biais de l'application, et jointes au dossier.
Après analyse, la Commission constate que lesdites mentions sont conformes aux dispositions de l'article 14 de la loi n° 1.165.
Elle demande néanmoins, eu égard à la nature particulière du traitement, qu'à la partie relative aux photos et commentaires, il soit expressément demandé aux usagers de ne pas communiquer d'informations nominatives relatives à des tiers, le traitement dont s'agit ne devant pas s'analyser en un outil de délation.
Par ailleurs, elle demande que les personnels de l'Administration concernés par le présent traitement soient également informés de leurs droits.

  • Sur l'exercice du droit d'accès, de modification et de mise à jour

Le droit d'accès est exercé sur place auprès de la Direction du Développement des Usages Numériques.
À cet égard, la Commission rappelle que la réponse à ce droit d'accès doit s'exercer dans le mois suivant la réception de la demande.

V. Sur les destinataires et les personnes ayant accès au traitement
Le responsable de traitement indique qu'aucune communication autre que l'envoi des signalements aux services métiers concernés n'est effectuée.
Les accès sont en outre définis comme suit :
- Direction des Réseaux et Systèmes d'information : accès à la partie système uniquement ;
- Direction du Développement des Usages Numériques : accès à l'administration de l'application mobile, de l'application back-office, accès à l'environnement back office de pilotage des traitements de signalement DDUN ;
- Direction de l'Aménagement Urbain : Rôle de supervision des signalements.
La Commission considère que ces accès sont justifiés.

VI. Sur les rapprochements et les interconnexions avec d'autres traitements
Le responsable de traitement indique que le traitement est rapproché avec les traitements suivants :
- « Gestion de la messagerie électronique professionnelle Exchange »,
- « Gestion des outils de communication du Gouvernement ».
La Commission relève que ces rapprochements ont pour objectif la transmission des signalements aux personnels des services devant se charger de leurs traitements.

VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Par ailleurs, la Commission rappelle que les accès et actions des administrateurs doivent être tracés, et ce de manière individuelle, pour une durée définie comprise entre 3 mois et un an.
La Commission rappelle enfin que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.

VIII. Sur la durée de conservation
Les informations relatives aux comptes usagers sont supprimées après suppression du compte par l'usager ou trois ans d'inactivité de ce dernier, après une relance préalable par email.
Les informations relatives aux personnels de l'Administration sont conservées le temps que ces derniers sont affectés au présent traitement.
En ce qui concerne les signalements et leur suivi, pour lesquels aucune durée de conservation n'est renseignée au dossier, la Commission demande à ce qu'ils soient supprimés une fois ces derniers résolus.
Sous cette réserve, la Commission considère que ces durées de conservation sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Modifie la finalité comme suit : « Mise à disposition des usagers d'une application permettant le signalement de nuisances urbaines pour transmission aux Directions de l'Administration concernées ».
Rappelle que :
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
- les accès et actions des administrateurs doivent être tracés, et ce de manière individuelle, pour une durée définie comprise entre 3 mois et un an.
Demande que :
- les personnels de l'Administration soient également informés de leurs droits ;
- les mentions d'informations délivrées aux usagers les enjoignent de ne pas communiquer d'informations nominatives relatives à des tiers, le traitement dont s'agit ne devant pas s'analyser en un outil de délation.
Fixe la durée de conservation des signalements le temps de leur résolution.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État, du traitement automatisé d'informations nominatives ayant pour finalité « Mise à disposition des usagers d'une application permettant le signalement de nuisances urbaines pour transmission aux Directions de l'Administration concernées ».

Le Président de la Commission de Contrôle des Informations Nominatives.

View journal
in PDF format 1.16 MB
Download journal
in PDF format 1.16 MB
Print article
Previous article Return to summary Next article

All rights reserved - Monaco 2016
Version 2018.11.07.14