icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2020-187 du 16 décembre 2020 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Fonds Rouge et Blanc : gestion de bons cadeaux » présenté par le Ministre d'État.

  • No. Journal 8520
  • Date of publication 08/01/2021
  • Quality 100%
  • Page no.

Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 16.610 du 10 janvier 2015 portant création de la Direction du Budget et du Trésor ;
Vu l'Ordonnance Souveraine n° 5.840 du 13 mai 2016 portant création du Secrétariat Général du Gouvernement ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la déclaration ordinaire déposée par Carlo le 14 octobre 2020, concernant la mise en œuvre d'un traitement automatisé ayant pour finalité « Mettre à disposition aux commerçants et aux consommateurs un programme de fidélité monégasque basé sur le gain et l'utilisation de « cashback » », et dont il a été délivré récépissé le 9 novembre 2020 ;
Vu la demande d'avis déposée par le Ministre d'État, le 17 novembre 2020, concernant la mise en œuvre d'un traitement automatisé ayant pour finalité « Fonds Rouge et Blanc : gestion de bons cadeaux » ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 16 décembre 2020 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,

Préambule
Dans le cadre du plan de relance de l'activité économique de la Principauté mis en œuvre par le Ministre d'État suite à la crise sanitaire liée à la Covid-19, seront distribués dans le cadre du Fonds Rouge et Blanc aux personnes éligibles des bons cadeaux utilisables uniquement dans les commerces de la Principauté.
Ainsi, le traitement y afférent est soumis à l'avis de la Commission, conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Fonds Rouge et Blanc : gestion de bons cadeaux ».
Il concerne les fonctionnaires et agents de l'État ou relevant de statuts particuliers (Direction des Services Judiciaires, Conseil National, Palais Princier, corps constitués, …), les retraités fonctionnaires de l'État ou relevant de statuts particuliers, les retraités monégasques titulaires des services urbains, ainsi que les bénéficiaires des bons d'établissements publics (Nouveau Musée National de Monaco, l'Office de Protection Sociale, Centre Scientifique de Monaco). Parmi ces personnes, ne sont pas concernées par le présent traitement celles qui n'ont pas bénéficié dans le second semestre de 2020 d'un mois de salaire ou de retraite.
Les fonctionnalités du traitement sont :
- Adresser une information aux bénéficiaires sur l'organisation de l'action ;
- Collecter les données des bénéficiaires des bons cadeaux du « fonds rouge et blanc » ;
- Vérifier leur adéquation tenant compte des conditions d'attribution des bons cadeaux ;
- Pseudonymiser les informations avant communication à la plateforme de gestion des bons cadeaux ;
- Reprendre les informations pseudonymisées en fin d'opération ;
- Disposer des montants utilisés par les bénéficiaires généraux et indirectement nominatifs ;
- Prendre en charge le cash back et les frais pendant l'opération nationale ;
- Établissement de statistiques (non nominatives) sur l'utilisation des bons cadeaux.
Il convient de relever que le Gouvernement dispose d'un accès à l'application Carlo sur des états de dépenses généraux non nominatifs nécessaires au suivi des engagements financiers de l'État.
En outre, il est précisé que si le bénéficiaire ne souhaite pas créer un compte dans Carlo et activer les bons par ce biais, un QR code lui permettant d'utiliser ces derniers sera mis à disposition au Cercle A.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par la réalisation d'un intérêt légitime, sans que ne soient méconnus les droits et libertés fondamentaux des personnes concernées.
Le responsable de traitement indique que le traitement « s'inscrit dans le cadre du Fonds Rouge et Blanc » qui permet la distribution de bons cadeaux dans le cadre du plan de relance de l'activité économique en Principauté.
Il est exploité par la Direction du Budget et du Trésor (DBT) qui dans le cadre de ses missions définies par l'Ordonnance Souveraine n° 16.610 du 10 janvier 2015, susvisée, contient en son sein une division paye et retraites et assure la responsabilité des opérations de trésorerie et de comptabilité.
Il est en outre précisé « que les droits et libertés des personnes concernées sont pris en considération par la pseudonymisation des données communiquées à la plate-forme de gestion des bons cadeaux. En outre seules des statistiques globales seront réalisées (…) ».
La Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

III. Sur les informations traitées
Les informations nominatives traitées sont :
- identité : nom, prénom, matricule, code Carlo ;
- adresses et coordonnées : adresse ;
- vie professionnelle : employeur (État, Établissement public), statut (actif, retraité), rang ;
- caractéristiques financières : code service budgétaire, code nationalité, date d'effet dans la paie, date de paie, échelle de classement, indice, mode de rémunération, montant salaire, montant des bons, montant du cash back, montant dépensé, montant restant ;
- catégories de commerçants : non nominatif : secteur d'activité, nom de l'enseigne, type de commerce, montant total dépensé.
Les données proviennent du traitement « Établir la paie des fonctionnaires et agents de l'État de Monaco » de la DBT ou de l'Office de Protection Sociale, tandis que les codes Carlo sont générés par la Direction des Systèmes d'Information.
Par ailleurs, la Commission constate qu'à l'issue de l'opération, le Gouvernement connaîtra le montant de la somme allouée dépensé de manière effective par la personne concernée, sans connaître la qualité des achats effectués par celle-ci.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

IV. Sur les droits des personnes concernées

  • Sur l'information préalable des personnes concernées

L'information préalable des personnes concernées est réalisée par le biais d'une mention insérée dans un courrier qui leur est adressé.
Celle-ci étant jointe au dossier, la Commission constate que l'information des personnes concernées est conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

  • Sur l'exercice du droit d'accès, de modification et de mise à jour

Le droit d'accès est exercé par les personnes concernées par voie postale auprès du Secrétariat Général du Ministère d'État.
À cet égard, la Commission rappelle que la réponse à ce droit d'accès doit s'exercer dans le mois suivant la réception de la demande.

V. Sur les destinataires et les personnes ayant accès au traitement
La Commission constate que le responsable de traitement ne communique aucune information à des destinataires autres que les codes Carlo et les montants associés à la plateforme Carlo qui gère les bons cadeaux.

Par ailleurs, ont accès au traitement :
- Les agents habilités de la Direction du Budget et du Trésor dans le cadre de leurs missions en inscription, modification, mise à jour ;
- Les agents habilités de la DSI et toute personne travaillant sous son autorité : accès dans le cadre de leurs missions en extraction et génération des codes.
La Commission constate qu'il est fait recours à des prestataires. Elle rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée, les droits d'accès de ces derniers doivent être limités à ce qui est strictement nécessaire à l'exécution de leurs contrats de prestation de service. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission considère que ces accès sont justifiés.

VI. Sur les rapprochements et les interconnexions avec d'autres traitements
Le responsable de traitement indique que le traitement est rapproché avec les traitements suivants :
- « Gestion de la messagerie professionnelle », légalement mis en œuvre, pour permettre l'échange de mails ;
- « Établir la paie des fonctionnaires et agents de l'État de Monaco », pour connaître les éléments de rémunération permettant de déterminer le montant de la prime auquel chaque personne concernée est éligible.
En outre, le traitement est interconnecté avec le système d'habilitation et d'accès au système d'information de l'État, légalement mis en œuvre, pour permettre l'accès au traitement.
Enfin, les codes Carlo seront communiqués par l'État aux personnes concernées qui les renseigneront dans le traitement relatif au programme de fidélité monégasque de cash-back de Carlo APP, légalement mis en œuvre.
À l'analyse des éléments du dossier, ces rapprochements et interconnexions sont conformes aux finalités initiales.

VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
En outre, les communications d'informations doivent être sécurisées en tenant compte de la nature des informations transmises.
De plus, la communication des données pseudonymisées chiffrées et des clés de déchiffrement doit être effectuée par deux canaux distincts.
La Commission rappelle que les accès effectués à l'application métier par la DSI (ainsi qu'aux sauvegardes) doivent être journalisés et qu'un message/une alerte doit être envoyé au responsable métier l'informant de cet accès qui aura été préalablement justifié ou devra l'être.
La Commission rappelle enfin que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.

VIII. Sur la durée de conservation
Les données sont conservées « 40 ans après l'âge légal de la retraite », excepté les informations relatives aux catégories de commerçant qui sont conservées « selon le référentiel des archives de la DBT ».
La Commission relève que cette durée de conservation de 40 ans après l'âge légal de la retraite permet la conservation et la justification des éléments permettant d'établir les droits à la retraite, et ceux des ayants-droit. Or, la Commission relève que cette prime, qui n'est pas incluse dans la fiche de paie et n'ouvre aucun droit sur la retraite des personnes concernées, n'a pas à être conservée sur une période aussi longue. Elle fixe donc la durée de conservation de l'ensemble des informations objets du présent traitement à 5 ans après son versement, délai qui permet à la fois d'être conforme aux prescriptions légales si un litige venait à naître avec l'Administration monégasque, et couvre les prescriptions fiscales du pays voisin si un litige venait à naître relativement à la véracité des déclarations fiscales des personnes soumises à impôt.
Après en avoir délibéré, la Commission :

Rappelle que :
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
- les communications d'informations doivent être sécurisées en tenant compte de la nature des informations transmises ;
- la communication des données pseudonymisées chiffrées et des clés de déchiffrement doit être effectuée par deux canaux distincts ;
- les accès effectués à l'application métier par la DSI (ainsi qu'aux sauvegardes) doivent être journalisés et qu'un message/une alerte doit être envoyé au responsable métier l'informant de cet accès qui aura été préalablement justifié ou devra l'être.
Fixe la durée de conservation de l'ensemble des informations objets du présent traitement à 5 ans après le versement effectif de la prime.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État, du traitement automatisé d'informations nominatives ayant pour finalité « Fonds Rouge et Blanc : gestion de bons cadeaux ».

Le Président de la Commission de Contrôle des Informations Nominatives.

Print article
Previous article Return to summary Next article

All rights reserved - Monaco 2016
Version 2018.11.07.14