icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2020-167 du 18 novembre 2020 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion du site Internet du jumeau numérique de la Principauté » du Secrétariat Général du Gouvernement présenté par le Ministre d'État.

  • No. Journal 8516
  • Date of publication 11/12/2020
  • Quality 100%
  • Page no.

Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 7.797 du 12 mars 2020 portant création de la Direction des Plateformes et des Ressources Numériques ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la demande d'avis déposée par le Ministre d'État, le 7 août 2020, concernant la mise en œuvre d'un traitement automatisé ayant pour finalité « Gestion du site Internet du jumeau numérique de la Principauté » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 6 octobre 2020, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 18 novembre 2020 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,

Préambule
Le Gouvernement souhaite mettre en œuvre un site Internet permettant à ses visiteurs de bénéficier d'informations 3D visibles sur la reproduction numérique de la Principauté, créées par des utilisateurs enregistrés. L'outil permet également de mettre à disposition de ces derniers des données métier destinées au travail collaboratif (plan de réseaux, maquettes numériques de nouveaux projets urbains ou architecturaux, etc.).
Ainsi, le traitement automatisé d'informations nominatives y afférent est soumis à l'avis de la Commission, conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Gestion du site Internet du jumeau numérique de la Principauté ».
Il concerne les visiteurs du site, les personnels du Gouvernement, les personnels des concessions de l'État, les prestataires du Gouvernement sous contrat, les prestataires des concessionnaires sous contrat, les utilisateurs enregistrés de l'éditeur.
Le traitement a pour fonctionnalités :
- Administration des profils utilisateurs enregistrés (création/suppression de comptes, attribution de rôles, réinitialisation des mots de passe) ;
- Création et édition de couches de données et de vues par les utilisateurs enregistrés (identification du propriétaire et du dernier modificateur) ;
- Gestion des droits des utilisateurs enregistrés sur les données et les vues : visualisation, édition, autorisation de repartage ;
- Supervision du site par le biais de logs.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

II.  Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par le respect d'une obligation légale à laquelle il est soumis.
À cet égard, le responsable de traitement indique que le traitement permet de répondre aux missions de la Direction des Plateformes et des Ressources Numériques (DPRN) telles que prévues à l'article 2 de l'Ordonnance Souveraine n° 7.997 du 12 mars 2020, susvisée, qui dispose que la DPRN est chargée « (…) de fédérer et mettre en œuvre des projets à forte composante technologique (cloud, données, Internet des objets jumeau numérique) ».
La Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

III. Sur les informations traitées
Les informations nominatives traitées sont :
- identité : nom, prénom de l'utilisateur ; nom, prénom du référent ;
- coordonnées : adresse email ;
- données d'identification électronique : identifiant, mot de passe, adresse IP de l'internaute ;
- informations temporelles : état et horodatage de la dernière connexion, dernière action sur l'application.
Il est précisé que le site ne collecte pas d'informations par le biais de cookies.
Les informations sont renseignées dans l'outil par le responsable de Service, ou le référent identifié du Concessionnaire ou de l'éditeur.
Les identifiants sont fournis par les administrateurs, les mots de passe choisis par les utilisateurs.
Les informations temporelles sont générées par le système, l'adresse IP est collectée par le système.
En outre, la Commission constate que des informations de connexion sont collectées par le biais de l'application mobile (smartphone). Elle en prend acte.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

IV. Sur les droits des personnes concernées

  • Sur l'information préalable des personnes concernées

L'information préalable des personnes concernées est réalisée par le biais d'une mention particulière intégrée dans un document d'ordre général accessible en ligne.
À la lecture des mentions qu'il contient, jointes au dossier, la Commission constate que les personnes concernées sont informées de manière conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

  • Sur l'exercice du droit d'accès, de modification et de mise à jour

Le droit d'accès est exercé par voie postale, par courrier électronique ou sur place auprès de la DPRN.
S'agissant de l'exercice du droit d'accès par voie électronique, la Commission considère qu'une procédure devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d'un document d'identité était demandée, la transmission et le traitement de ce document devront faire l'objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d'identité officiels.
Sous cette réserve, elle constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

V. Sur les destinataires et les personnes ayant accès au traitement
La Commission constate qu'il n'y a pas de destinataire des informations objets du présent traitement. En outre, seules sont accessibles sur le site Internet les informations nominatives du Directeur de la Publication, conformément aux dispositions de la loi n° 1.383 du 2 août 2011 pour une Principauté numérique.
Par ailleurs, les accès ont été définis comme suit :
- Administrateurs du Gouvernement habilités, tous droits ;
-  Utilisateurs enregistrés de la solution (Gouvernement et concessionnaires), en création, modification suppression de contenu ;
- Éditeur de la solution, tous droits ;
- Utilisateurs non enregistrés, en consultation des éléments partagés par les utilisateurs enregistrés.
La Commission considère que ces accès sont justifiés.

VI. Sur les interconnexions
Le présent traitement fait l'objet d'interconnexions avec les traitements suivants, légalement mis en œuvre :
- « Gestion centralisée des accès », à des fins de sécurisation des accès au traitement ;
- « Gestion et analyse des évènements du système d'information », à des fins d'analyse de sécurité.
En outre, il est également rapproché de la messagerie professionnelle du Gouvernement, légalement mise en œuvre et nécessaire notamment dans le processus de création de compte, et de l' « Assistance aux utilisateurs par le Centre de Service de la DRSI », actuellement en cours d'analyse, pour que les personnes puissent demander à être enrôlées sur le traitement.
La Commission estime que ces interconnexions et rapprochements sont conformes aux exigences légales, sous réserve de la mise en œuvre du traitement d'assistance aux utilisateurs.

VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Cependant, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
La Commission rappelle enfin que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.

VIII. Sur la durée de conservation
Les informations sont conservées tant que les utilisateurs sont habilités à avoir un compte, exceptées celles temporelles qui sont conservées jusqu'à la prochaine connexion et action de l'utilisateur.
La Commission relève que ces délais sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :

Rappelle que :
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Considère qu'une procédure relative au droit d'accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations ;
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État, du traitement automatisé d'informations nominatives ayant pour finalité « Gestion du site Internet du jumeau numérique de la Principauté » du Secrétariat Général du Gouvernement.

Le Président de la Commission de Contrôle des Informations Nominatives.

Print article
Previous article Return to summary Next article

All rights reserved - Monaco 2016
Version 2018.11.07.14