icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2020-83 du 15 avril 2020 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Site Internet de l'annuaire des artistes et des entités culturelles de la Principauté de Monaco », exploité par la Direction des Affaires Culturelles présenté par le Ministre d'État.

  • No. Journal 8484
  • Date of publication 01/05/2020
  • Quality 100%
  • Page no.

Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 6.707 du 11 décembre 2017 portant création d'une Direction des Affaires Culturelles ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés d'informations nominatives ;
Vu la demande d'avis déposée par le Ministre d'État, le 10 janvier 2020, concernant la mise en œuvre d'un traitement automatisé ayant pour finalité le « Site Internet de l'annuaire des artistes et des entités culturelles de la Principauté de Monaco » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 6 mars 2020, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 15 avril 2020 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Direction des Affaires Culturelles (DAC) souhaite mettre en œuvre un site Internet présentant notamment les artistes et entités culturelles en Principauté.
Aussi, conformément aux dispositions de l'article 7 de la loi n° 1.165 du 23 décembre 1993, le Ministre d'État soumet le traitement y afférent à l'avis de la Commission.

I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Site Internet de l'annuaire des artistes et des entités culturelles de la Principauté de Monaco ».
Le responsable de traitement indique que sont concernés les artistes monégasques, les entités culturelles monégasques et les Administrateurs fonctionnels de la DAC. La Commission constate que sont également concernés les visiteurs du site.
Les fonctionnalités du traitement sont, outre le fait d'offrir un site vitrine pour les artistes et entités culturelles de la Place, les suivantes :
En ce qui concerne les artistes/entités :
- Candidature depuis le formulaire d'inscription pour figurer dans l'annuaire ;
- Lorsque la candidature a été validée, l'artiste ou l'entité accède à un outil d'administration lui permettant de gérer les informations de son profil (nom, prénom, adresse email, adresse de son site Internet, biographie), ainsi que la diffusion d'actualités simples (titre de l'actualité, date de l'actualité, contenu de l'actualité).
En ce qui concerne la Direction des Affaires Culturelles :
- Administration des pages internes du site (message de la page d'accueil, formulaire d'inscription, conditions générales, page de contact) ;
- Gestion et validation des candidatures envoyées depuis le site ;
- Gestion et administration des fiches hommages (artistes décédés) ;
- Consultation du journal d'activités sur le site (historique d'actions effectué par les artistes/entités sur leurs pages).
En ce qui concerne les visiteurs du site :
- Mise à disposition d'un formulaire de contact pour adresser un message à la Direction des Affaires Culturelles ;
- Établissement de statistiques anonymes de consultation et d'utilisation du site par les visiteurs.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par un motif d'intérêt public et par le consentement des personnes concernées.
À cet égard, le responsable de traitement indique que « le consentement est formalisé par l'obligation préalable d'accepter le règlement d'utilisation lors de l'inscription sur le site ».
Par ailleurs, il précise que l'article 2 de l'Ordonnance Souveraine n° 6.707 du 11 décembre 2017 dispose que la DAC est chargée « d'accomplir toute autre mission dans le domaine de la Culture qui lui serait confiée en application de dispositions législatives ou règlementaires » mais également « de contrôler, de coordonner et, le cas échéant, d'encourager les activités des associations culturelles ».
La Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.

III. Sur les informations traitées
Le responsable de traitement indique que les informations nominatives traitées sont :
- Identité : Artiste : nom, prénom, photos ; Entité : nom ;
- Adresse et coordonnées : artiste/entité : adresse postale, numéro de téléphone, adresse email ;
- Formation, diplôme, vie professionnelle : biographie, vie de l'artiste et œuvres diffusées (photos, vidéo) ;
- Données d'identification électronique : adresse email et mot de passe ;
- Informations temporelles : données d'horodatage (actions réalisées, nom/prénom de l'artiste/entités, adresse IP).
La Commission relève que le formulaire de contact permet de collecter pour tout visiteur renseignant les informations suivantes : nom, prénom, téléphone, email, sujet, message. Elle en prend acte.
La Commission a relevé à la lecture du dossier que la création de comptes nécessitait de passer par une étape de validation du recaptcha de Google, dont l'utilisation crée un transfert d'informations nominatives des personnes concernées vers les États-Unis. Suite aux échanges avec le responsable de traitement, et eu égard à Monaco de l'absence de mécanisme protégeant les droits des personnes concernées, tels que le Privacy Shield de l'Union Européenne ou de la Suisse, et dans l'impossibilité d'obtenir un consentement libre de ces dernières, le recaptcha étant obligatoire pour accéder au site et le consentement ne pouvant être retiré, ce dernier a décidé de remplacer le recaptcha par « un système « captcha » classique (…) sans récolter aucune donnée ». Elle en prend acte.
Par ailleurs, la Commission constate qu'en ce qui concerne le traitement disponible depuis Internet, il n'est indiqué qu'aucune collecte effectuée par le biais de cookies déposés sur les terminaux utilisateurs. Elle considère donc que le traitement dont s'agit et la page de profil n'utilisent que des cookies techniques nécessairement utiles au fonctionnement desdits services et pour lesquels le recueil du consentement des personnes concernées n'est pas exigé.
Les informations proviennent des personnes concernées elles-mêmes, excepté celles relatives aux informations temporelles qui sont générées par le système.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.

IV. Sur les droits des personnes concernées

  • Sur l'information préalable des personnes concernées

L'information préalable des personnes concernées est effectuée par le biais d'une mention dans les conditions générales d'utilisation pour les visiteurs et dans les conditions d'inscriptions pour les artistes/entités.
Après analyse, la Commission constate que les mentions portées sur lesdits documents sont conformes aux dispositions de l'article 14 de la loi n° 1.165.
Par ailleurs, elle rappelle que les personnels de l'Administration concernés par le présent traitement doivent également être informés de leurs droits.

  • Sur l'exercice du droit d'accès, de modification et de mise à jour

Le droit d'accès est exercé par voie postale, par courrier électronique ou par un accès en ligne à son dossier (par le biais du compte personnel) auprès de la Direction des Affaires Culturelles.
À cet égard, la Commission rappelle que la réponse à ce droit d'accès doit s'exercer dans le mois suivant la réception de la demande.
S'agissant de l'exercice du droit d'accès par courrier électronique, la Commission considère qu'une procédure devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d'un document d'identité était demandée, la transmission et le traitement de ce document devront faire l'objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d'identité officiels.
Sous cette réserve, elle constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.

V. Sur les destinataires et les personnes ayant accès au traitement
Le responsable de traitement indique qu'il n'y a pas de destinataire des informations objet du traitement, qui sont pour la plupart rendues publiques sur le site dont s'agit.
Les accès sont en outre définis comme suit :
- Personnels de la Direction des Affaires Culturelles (tous droits) ;
- Personnels de la Direction des Réseaux et Systèmes d'Information (D.R.S.I.) ou tiers intervenant pour son compte : tout accès dans le cadre des missions de maintenance, développement des applicatifs nécessaires au fonctionnement du site et de sécurité du site et du système d'information de l'État ;
- Personnels de la Direction de l'Administration Numérique (DAN) ou tiers intervenant pour son compte ayant un rôle d'assistance à maîtrise d'ouvrage sur la procédure (tous droits) ;
- Personnel de l'Institut Monégasque de la Statistique et des Études Économiques (I.M.S.E.E.) dans le cadre de la collecte de données à des fins statistiques, conformément aux dispositions de l'Ordonnance Souveraine n° 3.095 du 24 janvier 2011 portant création de l'Institut Monégasque de la Statistique et des Études Économiques et du Conseil Scientifique et des Études Économiques, modifiée (envoi et consultation d'un fichier anonymisé).
En outre, la Commission relève que les artistes et entités culturelles disposent d'un accès à leur propre compte à des fins de gestion de celui-ci. Elle en prend acte.
La Commission considère que ces accès sont justifiés.

VI. Sur les rapprochements et les interconnexions avec d'autres traitements
Le responsable de traitement indique que le traitement est interconnecté avec les traitements de messageries professionnelles de l'État, légalement mis en œuvre.
La Commission considère que ces interconnexions sont conformes aux exigences légales.

VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
La Commission rappelle enfin que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.

VIII. Sur la durée de conservation
Les informations sont conservées la durée de l'inscription, excepté les informations temporelles qui sont conservées 1 an.
La Commission recommande toutefois que les informations soient supprimées, si la personne concernée ne supprime pas son compte, après trois ans d'inactivité de ce dernier, après une relance préalable par email.
Par ailleurs, la Commission relève que les conditions générales informent les personnes concernées que les cookies statistiques sont conservés trois ans. Or, il appert des pièces complémentaires que lesdits cookies sont anonymes et conservés 13 mois. Elle rappelle qu'il convient de modifier les conditions générales en ce sens.
Après en avoir délibéré, la Commission :

Constate que :
- les seuls cookies utilisés lors de l'exploitation du présent traitement sont techniques et strictement nécessaires à son fonctionnement ;
-le système de recaptcha de Google a été remplacé par un système de captcha ne collectant aucune information nominative.
Rappelle que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Recommande que les informations soient supprimées, si la personne concernée ne supprime pas son compte, après trois ans d'inactivité de ce dernier, après une relance préalable par email.

Demande que :
- les personnels de l'Administration soient également informés de leurs droits ;
- les conditions générales soient modifiées pour que l'information relative aux cookies soit conforme.
Considère qu'une procédure relative au droit d'accès par courrier électronique devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État, du traitement automatisé d'informations nominatives ayant pour finalité « Site Internet de l'annuaire des artistes et des entités culturelles de la Principauté de Monaco ».

Le Président de la Commission de Contrôle des Informations Nominatives.

Print article
Previous article Return to summary Next article

All rights reserved - Monaco 2016
Version 2018.11.07.14