icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2020-79 du 15 avril 2020 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion du site Internet Extended Monaco » du Secrétariat Général du Gouvernement présenté par le Ministre d'État.

  • No. Journal 8484
  • Date of publication 01/05/2020
  • Quality 100%
  • Page no.

Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 5.840 du 13 mai 2016 portant création du Secrétariat Général du Gouvernement ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la délibération n° 2019-83 du 15 mai 2019 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les modalités de dépôt et la durée de conservation des cookies et autres traceurs sur les terminaux d'utilisateurs de réseaux de communication électronique ;
Vu la demande d'avis déposée par le Ministre d'État, le 24 décembre 2019, concernant la mise en œuvre d'un traitement automatisé ayant pour finalité « Gestion du site Internet Extended Monaco » ;
Vu la demande d'autorisation concernant le transfert d'informations nominatives vers les États-Unis d'Amérique déposée par le Ministre d'État pour finalité « Réalisation de statistiques d'audiences du site Internet Extended Monaco par Google Inc. aux États-Unis » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 21 février 2020, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 15 avril 2020 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,

Préambule
Dans le cadre du programme Extended Monaco, le Gouvernement souhaite disposer d'un site Internet lui permettant :
- d'informer sur le programme Extended Monaco ;
- de promouvoir le programme digital mis en œuvre par la Principauté de Monaco à l'échelle internationale ;
- d'améliorer et dynamiser la notoriété du programme Extended Monaco ;
- de fidéliser l'audience et créer un lien avec les utilisateurs et le public du site.
Ainsi, le traitement automatisé d'informations nominatives y afférent est soumis à l'avis de la Commission, conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993.

I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Gestion du site Internet Extended Monaco ».
Il concerne tout internaute qui accède au site, les utilisateurs qui souhaitent recevoir la newsletter et ceux utilisant les formulaires de contact.
Le traitement a pour fonctionnalités de :
- Permettre la navigation sur le site via l'utilisation de cookies ;
- Permettre aux personnes de faire remonter leurs idées et satisfaction via un formulaire « feedback » ;
- Permettre aux personnes de contacter la DITN ;
- Permettre la diffusion d'informations publiques sur le programme Extended Monaco ;
- Permettre l'envoi d'une newsletter ;
- Établir des statistiques et mesurer l'audience.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par le consentement des personnes concernées ainsi que par la réalisation d'un intérêt légitime sans que ne soient méconnus les droits et libertés fondamentaux de la personne concernée.
À cet égard, le responsable de traitement indique que certaines fonctionnalités du traitement - newsletter et feedback - requièrent le consentement de la personne concernée par la nécessité de cocher une case via une démarche active, tandis que l'intérêt légitime réside dans la nécessité d'utiliser ce média afin notamment de promouvoir et diffuser de l'information sur son programme digital « Monaco Extended ».
Il précise également que les droits et libertés des personnes sont préservés en limitant le nombre de données traitées, par la possibilité pour la personne d'exercer ses droits, et par la possibilité de paramétrer les cookies via un bandeau obligeant les personnes concernées à se positionner préalablement à toute navigation sur le site.
Concernant les cookies, la Commission relève néanmoins que les cookies visés par le bandeau concernent Google Tag et Google Analytics. Elle en prend acte et rappelle que tout cookie remontant des informations directement ou indirectement nominatives qui n'est pas strictement nécessaire au fonctionnement d'un site doit faire l'objet d'une demande de consentement d'installation sur son navigateur à la personne concernée.
Elle rappelle également que, pour que le consentement aux cookies puisse être conforme, les personnes concernées doivent pouvoir revenir sur celui-ci.
La Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.

III.  Sur les informations traitées
Les informations nominatives traitées sont :
- Identité : nom (facultatif) ;
- Coordonnées : adresse email ;
- Données cookies : adresse IP, nom de domaine Internet de l'internaute, pages visitées et leur nombre, nombre d'affichage par page, durée passée sur chaque page, nombre de clics, nom et version du navigateur web de l'internaute, système d'exploitation de l'internaute, horodatage d'accès au site et des pages visitées sur le site ;
- Commentaires ou suggestions de la personne : texte libre et observations des utilisateurs.
Les informations sont communiquées par la personne concernée, excepté les données qui sont collectées par les cookies.
Concernant ces derniers, la Commission relève que seuls sont indiqués au dossier et sur le bandeau d'information affiché aux visiteurs du site, des cookies déposés par Google Analytics. Elle considère donc qu'aucun autre cookie qui n'est pas strictement nécessaire techniquement n'est déposé sur le site. Toutefois, il appert que des cookies de statistiques sont potentiellement collectés par le biais de la prestation de mailing. La Commission demande donc qu'une revue des cookies effectivement déposés soit effectuée et que le responsable de traitement revienne vers elle sur ce point pour complément d'information.
La Commission relève que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.

IV. Sur les droits des personnes concernées

  • Sur l'information préalable des personnes concernées

L'information préalable des personnes concernées est réalisée par le biais d'une mention particulière intégrée dans un document d'ordre général accessible en ligne.
À cet égard, la Commission relève que les internautes peuvent accéder aux mentions légales, aux conditions d'utilisation et à la politique cookies, jointes au dossier. Elle constate que ces dernières sont conformes aux exigences légales.

  • Sur l'exercice du droit d'accès, de modification et de mise à jour

Le droit d'accès est exercé par voie postale ou par courrier électronique auprès de la Délégation Interministérielle chargée de la Transition Numérique - Secrétariat Général du Gouvernement.
S'agissant de l'exercice du droit d'accès par voie électronique, la Commission considère qu'une procédure devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d'un document d'identité était demandée, la transmission et le traitement de ce document devront faire l'objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d'identité officiels.
Sous cette réserve, elle constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.

V. Sur les destinataires et les personnes ayant accès au traitement
La Commission constate que seules peuvent être communiquées les informations relatives aux statistiques à Google, sis aux États-Unis d'Amérique. Le transfert est dès lors analysé dans la délibération y relative.
Par ailleurs, les accès sont définis comme suit :
- Personnels habilités de la DITN (SGG) : consultation et exploitation pour répondre aux demandes et suggestions des utilisateurs par mails ;
- Personnels habilités du prestataire de développement du site : droit de consultation dans le cadre de leurs missions de maintenance et d'évolutivité sur le site et du système de newsletter ;
- Personnels habilités du prestataire d'hébergement : tout accès limité dans le cadre de leurs missions d'hébergement et de sécurisation des infrastructures (serveurs) ;
- Personnels habilités du prestataire d'emailing : droit d'accès dans le cadre de l'envoi de la newsletter.
La Commission considère que ces accès sont justifiés.

VI. Sur les interconnexions
Le présent traitement fait l'objet d'interconnexions avec les traitements de Gestion de la messagerie professionnelle, afin de permettre aux personnes concernées d'échanger avec les Services du programme Extended Monaco.
La Commission estime que ces interconnexions sont conformes aux exigences légales.

VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Cependant, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
La Commission rappelle enfin que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.

VIII. Sur la durée de conservation
Les données sont conservées :
- 12 mois sur la messagerie professionnelle en ce qui concerne les informations collectées par les formulaires de feedback ;
- jusqu'à désinscription pour les adresses emails utiles à la newsletter ;
- 13 mois en ce qui concerne les cookies.
La Commission considère que ces délais sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :

Rappelle que :
- tout cookie remontant des informations directement ou indirectement nominatives, qui n'est pas strictement nécessaire au fonctionnement d'un site, doit faire l'objet d'une demande de consentement d'installation sur son navigateur à la personne concernée, et que cette dernière doit pouvoir revenir sur celui-ci ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Demande qu'une revue des cookies effectivement déposés soit effectuée et que le responsable de traitement revienne vers elle sur ce point pour complément d'information.

Considère :
- en l'état qu'aucun cookie directement ou indirectement nominatif non strictement nécessaire au fonctionnement du site autre que celui indiqué de Google Analytics n'est déposé sur les terminaux des utilisateurs ;
- qu'une procédure devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État, du traitement automatisé d'informations nominatives ayant pour finalité « Gestion du site Internet Extended Monaco » du Secrétariat Général du Gouvernement.

Le Président de la Commission de Contrôle des Informations Nominatives.

Print article
Previous article Return to summary Next article

All rights reserved - Monaco 2016
Version 2018.11.07.14