Délibération n° 2021-109 du 2 juin 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la modification du traitement automatisé d'informations nominatives ayant pour finalité « Gestion d'une plateforme permettant la délivrance et la gestion des cartes de séjour » exploité par la Direction de la Sûreté Publique présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.383 du 2 août 2011 pour une Principauté Numérique, modifiée ;
Vu la loi n° 1.483 du 17 décembre 2019 relative à l'Identité Numérique ;
Vu l'Ordonnance du 23 juin 1902 établissant une Direction de la Sûreté Publique, modifiée ;
Vu l'Ordonnance Souveraine n° 3.153 du 19 mars 1964 relative aux conditions d'entrée et de séjour des étrangers dans la Principauté, modifiée ;
Vu l'Ordonnance Souveraine n° 765 du 13 novembre 2006 relative à l'organisation et au fonctionnement de la Direction de la Sûreté Publique, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la délibération n° 2012-69 du 14 mai 2012 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la demande présentée par le Ministre d'État relative au traitement automatisé ayant pour finalité « Gestion des conditions de séjours des résidents de la Principauté » ;
Vu la saisine du Ministre d'État en date du 8 avril 2021 concernant le projet d'Ordonnance Souveraine relative à la carte d'identité monégasque ;
Vu la saisine du Ministre d'État en date du 8 avril 2021 concernant 3 projets d'Ordonnances Souveraines portant application des articles 4, 5, 6, 8, 13, 17 et 18 de la loi relative à l'identité numérique ;
Vu la demande d'avis modificative déposée par le Ministre d'État, le 10 mai 2021, concernant la mise en œuvre d'un traitement automatisé ayant pour finalité « Gestion d'une plateforme permettant la délivrance et la gestion des cartes de séjour » ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 2 juin 2021 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Direction de la Sûreté Publique (DSP) souhaite délivrer de nouvelles cartes de séjour, qui seront notamment le support de l'identité numérique des personnes résidant à Monaco.
En effet, en application de l'article 4 de la loi n° 1.483 relative à l'identité numérique, « Une identité numérique apportant un niveau de garantie élevé tel que défini à l'article précédent est créée et est attribuée : 2) à toute personne physique titulaire d'un titre de séjour dans les conditions fixées par l'Ordonnance Souveraine n° 3.153 du 19 mars 1964 relative aux conditions d'entrée et de séjour des étrangers dans la Principauté, modifiée ».
Aussi, le Ministre d'État soumet le traitement y afférent à l'avis de la Commission, conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « Gestion d'une plateforme permettant la délivrance et la gestion des cartes de séjour » et est dénommé « système d'émission des cartes de séjour ».
Il concerne les résidents, ainsi que de manière incidente les Agents de la DSP -section des résidents et les administrateurs de bases de données du prestataire.
Les fonctionnalités du traitement sont :
- Enrôlement du demandeur et remise de son titre d'identité ;
- Gestion du cycle de vie des demandes et des titres ;
- Personnalisation des titres sur la chaîne de production ;
- Contrôle de la qualité des titres personnalisés sur la chaine de production ;
- Suivi et consultation des demandes et des titres.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par le respect d'une obligation légale à laquelle il est soumis et un motif d'intérêt public.
À cet égard, la Commission relève que les conditions de demandes de cartes de séjour sont prévues par les dispositions de l'Ordonnance Souveraine n° 3.513 du 1er mars 1964 relative aux conditions d'entrée et de séjour des étrangers dans la Principauté.
En outre, la Commission a été concomitamment saisie du projet d'Ordonnance Souveraine relative à la modification de l'Ordonnance Souveraine n° 3.513, précitée. L'article 4 projeté dispose que « La carte de séjour est délivrée par le directeur de la Sûreté Publique.
Elle est constitutive, pour son titulaire, d'un titre de séjour qui lui assure la reconnaissance par l'autorité publique du droit à séjourner sur le territoire national, sous réserve de l'application des dispositions de l'article 14.
La carte de séjour constitue également le support physique de l'identité numérique attribuée à son titulaire en application des dispositions de l'article 4 de la loi n° 1.483 du 17 décembre 2019 relative à l'identité numérique. Les caractéristiques techniques de l'émission des cartes de séjour sont déterminées par arrêté ministériel ».
Le projet d'arrêté ministériel d'application susvisé, expose quelles données personnelles sont visibles à l'œil nu sur la carte de séjour et quelles données sont inscrites dans sa mémoire électronique.
La DSP précise en outre que « la gestion d'une plateforme permettant la délivrance et la gestion des cartes de séjours dans le cadre de l'Identité Numérique par le Gouvernement Princier de Monaco permet à la Direction de la Sûreté Publique, d'exercer, de manière pertinente et appropriée, la mission dont elle est investie en vertu du cadre règlementaire prévu par l'Ordonnance Souveraine n° 3.513 du 19 mars 1964 relative aux conditions d'entrée et de séjour des étrangers dans la Principauté ainsi que la loi n° 1.483 du 17 décembre 2019 relative à l'identité numérique ».
La Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
Toutefois, elle s'inquiète de l'incertitude qui pèse sur la définition exacte du rôle de la DSP. Cette incertitude est due au trop grand nombre de textes auxquels il est fait référence.
En effet, la Commission doit-elle considérer la DSP comme une autorité d'enregistrement de l'identité légalement définie par l'Ordonnance Souveraine projetée relative à la carte de séjour, et son arrêté ministériel d'application ? Ou doit-elle être qualifiée de Fournisseur d'Identité au sens des articles premier, 17 et 18 de la loi n° 1.483 relative à l'identité numérique, comme cela a pu être présenté au Secrétariat de la Commission ?
Le cas échéant, cette qualification de Fournisseur d'identité emporte la qualité de service de confiance au sens de la loi n° 1.383 pour une Principauté Numérique. Et cette qualité de service de confiance emporte des obligations légales exposées au Titre VI « De la sécurité, des services de confiance et de leurs prestataires » de ladite loi.
Il est y est notamment indiqué que :
- Dernier alinéa de l'article 38-1 : « L'Agence Monégasque de Sécurité Numérique établit et tient à jour une liste des prestataires de services de confiance qualifiés et des services de confiance qualifiés qu'ils fournissent » ;
- article 40-1 : « Les prestataires de services de confiance sans statut qualifié qui ont l'intention d'offrir des services de confiance qualifiés doivent obtenir auprès de l'Agence Monégasque de Sécurité Numérique une qualification attestant de leur conformité à un niveau de sécurité défini par ordonnance souveraine » ;
- article 40-5 : « Un prestataire de services de confiance qualifié qui fournit des services de confiance qualifiés est évalué conformément aux exigences et selon une périodicité fixées par arrêté ministériel ».
Dès lors, si la DSP devait être qualifiée, comme rapporté, de Service de confiance, rien n'indique au dossier que les obligations susvisées ont été remplies et le seront préalablement à la mise en production des cartes de résidents.
III. Sur les informations traitées
Les informations nominatives traitées sont :
- identité : nom, prénoms, nom d'usage, trois premiers prénoms, , date et heure de naissance, lieu de naissance, sexe à la naissance, initiales ;
- adresse et coordonnées : adresse postale ;
- données d'identification électronique : données du conteneur ICAO : ZLA (MRZ) ;
- données biométriques : photographie, deux empreintes digitales (hors exception légale) ;
- informations temporelles - horodatage : logs de connexion des agents de la DSP, logs de connexion des administrateurs base de données du prestataire ;
- signature : signature manuscrite (réalisée sur un pad) ;
- données propres à la demande et à la carte : numéro de demande, numéro de carte, date de début/fin de validité, autorité de délivrance, CAN (card access number pour récupérer le PUK).
Les informations relatives à l'identité et aux adresses proviennent du traitement légalement mis en œuvre de la DSP « Gestion des conditions de séjour des résidents de la Principauté ».
En ce qui concerne les données biométriques et de signature, elles sont prélevées lors de l'enrôlement de la personne concernée.
De plus, les autres données sont générées par le système.
Par ailleurs, il a été indiqué qu'il est demandé de présenter les certificats médicaux attestant d'une incapacité à se rendre dans les locaux de la DSP ou à signer, sans que ces documents ne fassent l'objet d'une quelconque collecte.
La Commission relève toutefois que les certificats relatifs à l'identité numérique sont inscrits sur la carte et proviennent du traitement ayant pour finalité « Gestion des moyens d'utilisation de l'identité numérique », concomitamment soumis à son avis.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
- Sur l'information préalable des personnes concernées
L'information des personnes concernées est réalisée par le biais d'une mention d'information accessible depuis le portail du Gouvernement dans un sous-onglet intitulé « Protection des Droits et Médiation ».
Cette dernière étant jointe au dossier, la Commission relève que le contenu de cette mention d'information est conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.
Le responsable de traitement indique néanmoins que cette information ne peut être préalable car il s'agit d'une collecte indirecte d'information au sens de l'article 14 de la loi n° 1.165.
Toutefois, la Commission constate que le présent traitement est en relation directe avec les personnes concernées, qui doivent d'ailleurs se déplacer pour enrôler leurs empreintes et leur photo. En outre, la carte de séjour est délivrée suite à une demande des personnes concernées par le biais d'un document dédié à même de contenir les mentions d'information.
De plus, la Commission estime que c'est l'ensemble des traitements découlant de la délivrance de l'identité numérique qui doit être porté à la connaissance des personnes concernées lors de la remise de leur carte d'identité ou de leur carte de séjour.
Aussi, elle considère que les personnes concernées doivent être informées directement du traitement et des destinataires des informations et des traitements y associés, voire du lien vers la page du site d'information du site du Gouvernement, lors de la délivrance des documents précédemment évoqués.
- Sur l'exercice du droit d'accès, de modification et de mise à jour
Le droit d'accès est exercé par voie postale auprès de la Section des Résidents de la DSP.
À cet égard, la Commission rappelle que la réponse à ce droit d'accès doit s'exercer dans le mois suivant la réception de la demande.
Sous cette réserve, elle constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
- Sur les destinataires
La Commission relève que les informations sont communiquées aux traitements concomitamment soumis par l'État en lien avec l'identité numérique afin de délivrer les certificats en lien avec l'identité numérique des titulaires de cartes de séjour.
- Sur les personnes ayant accès au traitement
Les accès sont définis comme suit :
- Les Agents de la Section des Résidents : tous droits ;
- Les administrateurs de bases de données du prestataire : dans le cadre des missions de maintenance et d'administration (paramétrage).
En ce qui concerne les prestataires, la Commission rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993 les droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de leur contrat de prestation de service. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission considère que ces accès sont justifiés.
VI. Sur les interconnexions
Le responsable de traitement indique que le traitement est interconnecté avec les traitements suivants :
- « Gestion des identités numériques au travers du Registre National Monégasque de l'Identité Numérique », concomitamment soumis ;
- « Gestion et suivi des conditions d'entrée et de séjour des résidents étrangers de la Principauté », légalement mis en œuvre, et dont une demande de modification a été concomitamment soumise ;
- « Gestion des moyens d'utilisation de l'identité numérique », concomitamment soumis.
Cependant, il appert à la lecture du dossier un rapprochement avec le traitement de la « Gestion de la messagerie Exchange ».
Aussi, il convient de rappeler que les communications d'informations doivent être sécurisées en tenant compte de la nature des informations transmises.
La Commission constate que toutes ces interconnexions sont conformes aux finalités des différents traitements qui sont tous en lien avec la délivrance de l'identité numérique. Elle rappelle néanmoins que ces interconnexions ne peuvent être effectives qu'entre traitements ayant légalement été mis en œuvre.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Il importe cependant de veiller régulièrement à la sécurité du poste mobile.
Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
La Commission rappelle enfin que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII. Sur la durée de conservation
Les informations sont conservées « uniquement pendant le temps de l'instruction du dossier puis supprimées dès la remise du titre », exceptées les données d'horodatage qui ne sont conservées qu'un an.
La Commission constate que ces durées de conservation sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
- Demande que les personnes concernées soient directement informées de leurs droits, en application de l'article 14 de la loi n° 1.165, ainsi que de la transmission des informations aux différents traitements permettant la délivrance de l'identité numérique (CLCM, RNMIN, services de confiance).
Rappelle que :
- les personnes concernées doivent être informées des traitements mis en œuvre par l'État et qui sont nécessaires à la délivrance des certificats liés à l'identité numérique ;
- les interconnexions ne peuvent être effectuées qu'entre des traitements légalement mis en œuvre ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
- les communications d'informations doivent être sécurisées en tenant compte de la nature des informations transmises ;
- la sécurité du poste mobile doit être vérifiée régulièrement ;
- l'éventuelle qualification de la DSP en Fournisseur d'Identité emporte des conséquences juridiques qui ne sont pas mentionnées au dossier.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la modification, par le Ministre d'État, du traitement automatisé d'informations nominatives ayant pour finalité « Gestion d'une plateforme permettant la délivrance et la gestion des cartes de séjour ».
Le Président de la Commission de Contrôle des Informations Nominatives.