Délibération n° 2020-81 du 15 avril 2020 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en oeuvre du traitement automatisé d’informations nominatives ayant pour finalité « Suivi de l’abonnement d’auto-partage par la DRSI », exploité par la Direction des Réseaux et des Systèmes d’Information présenté par le Ministre d’État.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés d'informations nominatives ;
Vu la demande d'avis déposée par le Ministre d'État, le 3 janvier 2020, concernant la mise en œuvre d'un traitement automatisé ayant pour finalité le « Suivi de l'abonnement d'auto-partage par la DRSI » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 2 mars 2020, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 15 avril 2020 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Direction des Réseaux et des Systèmes d'Information (DRSI) souhaite permettre à ses personnels de bénéficier du réseau d'une société d'auto-partage disponible en Principauté, ce qui nécessite une collecte spécifique d'informations nominatives.
Ainsi, le traitement y relatif est soumis à l'avis de la Commission, conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Suivi de l'abonnement d'auto-partage par la DRSI ».
Il concerne les fonctionnaires et agents de la DRSI, ainsi que les prestataires intervenant pour son compte.
Les fonctionnalités du traitement sont :
- Enregistrement de la DRSI sur le service en ligne d'auto-partage ;
- Inscription des utilisateurs de la DRSI et suivi (liste interne et inscription en ligne) ;
- Suivi de l'utilisation des badges (établissement d'une liste interne de retrait - dépôt des badges, suivi de l'utilisation des badges sur le site Internet de la société d'auto-partage) ;
- Vérification de la facturation de l'utilisation effective des véhicules ;
- Identification de l'utilisateur d'un véhicule en cas de verbalisation ;
- Gestion des permis de conduire des utilisateurs ;
- Établissement de statistiques.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par la réalisation d'un intérêt légitime, sans que ne soient méconnus ni l'intérêt, ni les droits et libertés fondamentaux de la personne concernée, et le respect d'une obligation légale.
En ce qui concerne l'intérêt légitime, le responsable de traitement indique que le traitement permet « aux agents agissant pour son compte de pouvoir se déplacer en Principauté en utilisant les modalités de transport à leur disposition tout en privilégiant les transports répondant aux politiques de développement durable de la Principauté ».
Par ailleurs, en ce qui concerne le respect d'une obligation légale, il est notamment justifié par le fait de « pouvoir identifier toute personne qui aurait commis une infraction constatée alors qu'un véhicule était sous sa garde (…) afin qu'elle en assume les conséquences ». Toutefois, le Code de la route monégasque n'imposant pas d'obligation de dénonciation des personnes verbalisées, la Commission relève que le traitement ne saurait être justifié par le respect d'une obligation légale, même si la transmission des informations des personnes verbalisées aux Autorités requérantes est licite.
La Commission relève enfin, qu'il appartient aux personnes concernées le désirant de se faire connaître afin de bénéficier du service d'auto-partage.
Sous cette réserve, elle considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Le responsable de traitement indique que les informations nominatives traitées sont :
- identité : Agent en charge du suivi, référents et utilisateurs : nom, prénom ;
- adresses et coordonnées : Agent en charge du suivi et référents : email et adresse professionnelle ;
- consommation de biens et services, habitudes de vie : numéro de badge utilisé, date et heure de retrait et de dépôt du badge, date, heure, lieu de prise et de dépôt de véhicules, durée d'utilisation ;
- données d'identification électronique : login et mot de passe d'accès au site en ligne ;
- inscription et permis de conduire : mention de la communication du permis, indication d'un permis ne pouvant plus être utilisé le cas échéant par l'utilisateur, date de désinscription, copie du permis de conduire ;
- contravention : nom, prénom, numéro de la contravention, date de remise à l'intéressé, signature de l'intéressé, date de présentation d'un justificatif de paiement.
Les informations proviennent de la personne concernée, excepté les informations de consommation de biens et services qui sont produites par le secrétariat de la DRSI en ce qui concerne la vie des badges et le site de la société d'auto-partage en ce qui concerne le temps d'utilisation des véhicules.
Toutefois, la Commission relève qu'un fichier est créé pour garder un historique sur une année glissante, à compter de la signature par la personne concernée de la remise d'un justificatif de paiement à l'Autorité de verbalisation, des contraventions reçues.
À cet égard, la Commission relève que la société d'auto-partage choisie par l'Administration stipule dans ses Conditions Générales que cette dernière a « l'obligation de prendre toutes mesures d'organisation interne lui permettant de révéler à la Société (ou aux autorités publiques requérantes), l'identité de l'utilisateur d'un badge (…) ».
Aussi, elle estime qu'il n'appartient pas à la DRSI de tenir un état des lieux des justificatifs de paiements aux Autorités requérantes, qui relèvent de la seule relation entre ces dernières et la personne concernée, afin que les personnels de la DRSI soient en mesure de contester ou de payer l'amende en question. Ce mécanisme permet à la DRSI de respecter les conditions générales de la société d'auto-partage, le Code de la route monégasque n'imposant pas aux employeurs une obligation de dénonciation des personnes sous leur autorité, tout en limitant la collecte d'informations nominatives et en laissant aux personnes concernées la possibilité d'exercer leurs droits. Ainsi, la DRSI ne peut conserver pour un an qu'une copie de la transmission aux autorités requérantes du nom de la personne concernée ayant conduit le véhicule.
Sous ces réserves, la Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
IV. Sur les droits des personnes concernées
- Sur l'information préalable des personnes concernées
L'information préalable des personnes concernées est effectuée par le biais d'un affichage.
Ce document a été joint au dossier. À la lecture de ce dernier, la Commission demande que les personnes concernées soient informées de manière explicite qu'en cas de verbalisation d'un véhicule conduit par leur soin, les Autorités requérantes seront destinataires des informations nominatives les concernant.
Sous cette réserve, la Commission constate que la mention d'information est conforme à l'article 14 de la loi n° 1.165\.
- Sur l'exercice du droit d'accès, de modification et de mise à jour
Le droit d'accès est exercé par voie postale auprès de la Direction des Réseaux et des Systèmes d'Information.
À cet égard, la Commission rappelle que la réponse à ce droit d'accès doit s'exercer dans le mois suivant la réception de la demande.
V. Sur les destinataires et les personnes ayant accès au traitement
Le responsable de traitement indique que les informations sont susceptibles d'être communiquées aux Autorités administratives et judiciaires dans le cadre de leurs missions légalement conférées, et à la société d'auto-partage.
Les accès sont en outre définis comme suit :
- Secrétariat et Directeur de la DRSI : tout accès dans le cadre de leurs missions de gestion de l'utilisation de la prestation proposée ;
- DRSI : accès dans le cadre de leurs missions d'assistance technique et de maintenance.
La Commission considère que ces accès sont justifiés.
VI. Sur les rapprochements et les interconnexions avec d'autres traitements
Le responsable de traitement indique que le traitement est rapproché avec le traitement ayant pour finalité « Assistance aux utilisateurs par le Centre de Service de la DRSI », non légalement mis en œuvre, aux fins notamment de permettre aux personnes concernées de solliciter une aide en cas de difficulté. Aussi, la Commission demande que ce traitement lui soit soumis dans les meilleurs délais.
Il est également interconnecté avec les traitements suivants :
- Gestion de la messagerie professionnelle, légalement mis en œuvre, afin de permettre les échanges entre les personnes intervenant sur le traitement ;
- Gestion des habilitations et des accès au Système d'information, légalement mis en œuvre, afin de permettre au Secrétariat de se connecter sur son environnement de travail.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
La Commission rappelle enfin que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII. Sur la durée de conservation
Les informations relatives aux agents en charge du suivi ou référents sont conservées tant que ces derniers occupent ces fonctions.
Celles relatives aux utilisateurs sont conservées le temps que ces derniers souhaitent disposer de ce service, plus 12 mois ou pour la durée de la procédure en cas de litige, sauf les informations de consommation de bien et de service qui sont conservées 12 mois ou pour la durée de la procédure en cas de litige, et celles relatives aux contraventions qui sont conservées 12 mois glissants.
En ce qui concerne les informations relatives aux contraventions, la Commission rappelle ses demandes exposées au point III de la présente délibération.
En outre, elle demande que la DRSI supprime la copie des permis de conduire qu'elle détient, une fois celle-ci transmise à la société d'auto-partage, leur conservation n'étant ensuite pas nécessaire au suivi de l'abonnement ou de l'utilisation des véhicules. Elle rappelle que ces informations doivent être durant ce laps de temps accessibles qu'à un nombre de personnes restreint, et que les fichiers soient a minima protégés par mot de passe.
Après en avoir délibéré, la Commission :
Rappelle que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Demande que :
- la DRSI ne tienne pas un état des lieux des infractions commises et des justificatifs de paiements aux Autorités requérantes, qui relèvent de la seule relation entre ces dernières et la personne concernée ;
- les personnes concernées soient informées de manière explicite qu'en cas de verbalisation d'un véhicule conduit par leur soin, les autorités requérantes seront destinataires des informations nominatives les concernant ;
- le traitement ayant pour finalité « Assistance aux utilisateurs par le Centre de Service de la DRSI » lui soit soumis dans les meilleurs délais ;
- les copies des permis de conduire soient supprimées du système d'information de l'État une fois celles-ci communiquées à la société partenaire.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État, du traitement automatisé d'informations nominatives ayant pour finalité « Suivi de l'abonnement d'auto-partage par la DRSI ».
Le Président de la Commission de Contrôle des Informations Nominatives.