icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2021-113 du 2 juin 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Plateforme d'activation et de gestion de l'identité numérique après délivrance du titre » dénommé « kiosque » exploité par la Direction des Services Numériques présenté par le Ministre d'État.

  • No. Journal 8543
  • Date of publication 18/06/2021
  • Quality 100%
  • Page no.

Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.483 du 17 décembre 2019 relative à l'identité numérique ;
Vu la loi n° 1.383 du 2 août 2011 pour une Principauté Numérique, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés d'informations nominatives ;
Vu la saisine du Ministre d'État en date du 8 avril 2021 concernant le projet d'Ordonnance Souveraine relative à la carte d'identité monégasque ;
Vu la saisine du Ministre d'État en date du 15 avril 2021 concernant le projet d'Ordonnance Souveraine portant modification de l'Ordonnance Souveraine n° 3.153 du 19 mars 1964 relative aux conditions d'entrée et de séjour des étrangers dans la Principauté, et son arrêté ministériel portant application de l'article 4 ;
Vu la saisine du Ministre d'État en date du 8 avril 2021 concernant 3 projets d'ordonnances souveraines portant application des articles 4, 5, 6, 8, 13, 17 et 18 de la loi relative à l'identité numérique ;
Vu la demande d'avis présentée le 12 avril 2021 par de Ministre d'État concernant, la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Plateforme d'activation et de gestion de l'identité numérique après délivrance du titre » ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 2 juin 2021 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Le 17 décembre 2019 a été votée la loi n° 1.483 du 17 décembre 2019 relative à l'identité numérique qui dispose en son article 4 qu' « Une identité numérique apportant un niveau de garantie élevé tel que défini à l'article précédent est créée et est attribuée :
1)         à toute personne physique inscrite sur le sommier de la nationalité monégasque ;
2)         à toute personne physique titulaire d'un titre de séjour dans les conditions fixées par l'Ordonnance Souveraine n° 3.153 du 19 mars 1964 relative aux conditions d'entrée et de séjour des étrangers dans la Principauté, modifiée ».
Les projets d'Ordonnance Souveraine relative à la carte d'identité monégasque et portant sur la modification de l'Ordonnance Souveraine n° 3.153 du 19 mars 1964 relative aux conditions d'entrée et de séjour des étrangers dans la Principauté, prévoient que la carte d'identité monégasque et la carte de séjour soient des supports de l'identité numérique monégasque.
L'identité numérique permet notamment aux titulaires desdits documents de se connecter à des téléservices nécessitant une authentification d'un niveau de garantie élevée. Cette authentification en ligne s'effectue par le biais de certificats dont la durée de validité est de 3 ans, c'est-à-dire inférieure à la durée de validité des supports.
Pour pouvoir continuer à s'authentifier par le biais de leurs cartes passé ce délai triennal, les personnes concernées devront renouveler leurs certificats d'authentification.
Le Gouvernement a prévu que ce renouvellement s'effectue par le biais d'un kiosque. Celui-ci sert aussi pour l'activation des certificats des titulaires de cartes n'ayant pas choisi d'activer leur identité numérique lors de leur délivrance.
Conformément aux dispositions de l'article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée, le Ministre d'État soumet le traitement ayant pour finalité « Plateforme d'activation et de gestion de l'identité numérique après délivrance du titre » à l'avis de la Commission.


I.          Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité la « Plateforme d'activation et de gestion de l'identité numérique après délivrance du titre » et est dénommé « Kiosque ».
Le responsable de traitement précise qu'il concerne les monégasques titulaires de la future carte d'identité, les résidents titulaires de la future carte de séjour, et les administrateurs de base de données du prestataire.
Il indique également que « le sous-système « kiosque » » comprend la prise en charge et l'orchestration de toutes les phases nécessaires à la gestion de la post-délivrance des titres d'identité monégasques.
Les fonctionnalités sont :
-           L'activation de l'identité numérique et choix du code PIN d'un usager suite à la remise de son titre ;
-           L'activation de l'identité numérique sur smartphone afin de créer le titre numérique dans l'application MConnect Mobile ;
-           La consultation du titre : affichage du contenu de la puce ;
-           La gestion du code PIN : déblocage code PIN, renouvellement code PIN ;
-           Le renouvellement des certificats pour les cartes dont la durée de validité est supérieure à celle des certificats (la durée de vie des certificats étant de 3 ans).
En ce qui concerne MConnect Mobile, la Commission renvoie à sa demande de suspension du service introduite dans sa délibération relative à la fourniture des services de confiance pour l'identité numérique.
Sous cette réserve, elle constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.


II.        Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par le consentement de la personne concernée ainsi que par la réalisation d'un intérêt légitime qui ne méconnait ni l'intérêt, ni les droits et libertés fondamentaux de la personne concernée.
À cet égard, le responsable de traitement indique que le présent traitement permet au Gouvernement d'exercer la mission dont il est investi en application de la loi relative à l'identité numérique, et notamment de maintenir la possibilité pour les titulaires de cartes de maintenir actif leur moyen d'identification en ligne à l'expiration du certificat d'authentification.
En ce qui concerne le consentement, la Commission constate que la mention d'information accessible depuis le kiosque renvoie les explications quant au droit des personnes à un url ou un QR code. Aussi, les personnes concernées ne sont valablement informées que si elles ont un téléphone et effectuent une manipulation avec celui-ci pour accéder au site du Gouvernement. Elle estime que cette solution n'est pas satisfaisante.
En outre, si les personnes concernées font le nécessaire pour accéder à ladite mention, rien ne les informe du recours à la biométrie via reconnaissance faciale embarquée dans le kiosque.
Elle relève à cet égard que les personnes qui ne désirent pas, ou ne peuvent plus, recourir à un tel dispositif n'ont pas d'alternative pour renouveler/activer leur certificat. Dès lors, si elles souhaitent utiliser leur identité numérique, elles sont dans l'obligation d'utiliser le kiosque.
Ce recours « forcé » à la biométrie, s'il n'est pas strictement contraire aux dispositions de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée, (qui n'est pas au niveau des nouveaux standards internationaux en la matière), devrait l'être avec les dispositions de la future loi monégasque de protection des données personnelles.
Cet état de fait n'est pas non plus en adéquation avec la Convention 108+ (article 6), qui bien qu'en attente d'entrée en vigueur, a été signée par la Principauté. Cela est en outre contraire aux dispositions du RGPD.
Aussi, elle demande qu'afin de laisser un libre choix aux personnes concernées quant au recours à la biométrie, une solution alternative soit mise en place, en Mairie ou à la Direction de la Sûreté Publique, permettant une identification humaine des titulaires de titre pour le renouvellement de leurs certificats.
Sous cette réserve, la Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.


III.       Sur les informations traitées
Les informations nominatives traitées sont :
-           identité / situation de famille : les 5 champs de l'identité numérique : nom, prénoms, date de naissance, heure de naissance, lieu de naissance, ainsi que les champs supplémentaires suivants : nom d'usage, sexe à la naissance ;
-           données d'identification électronique : données lues par le kiosque à partir de la mémoire électronique de la carte du titulaire ;
-           données biométriques : photographie du titulaire au format biométrique, image des empreintes digitales, signature du titulaire ;
-           informations temporelles : logs de connexion des administrateurs de bases de données du prestataire ;
-           état de l'identité numérique : active, inactive, suspendue ;
-           autorité d'enregistrement : Direction de la Sûreté Publique ou Mairie ;
-           clé primaire : obtenue par le hachage de la concaténation des 5 champs de l'identité numérique.
Les informations sont lues sur la mémoire électronique de la carte du titulaire. L'état de l'identité numérique, l'autorité d'enregistrement et la clé primaire sont mis en relation avec le traitement « Gestion des moyens d'utilisation de l'identité numérique ». Enfin, les informations temporelles sont produites par le système.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.


IV.       Sur les droits des personnes concernées

  • Sur l'information préalable des personnes concernées

L'information des personnes concernées est réalisée par le biais d'une mention d'information accessible depuis le portail du Gouvernement dans un sous-onglet intitulé « Traitements mis en œuvre par la Direction des Services Numériques ».
Cette dernière étant jointe au dossier, la Commission relève que le contenu de cette mention d'information est conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.
Le responsable de traitement indique néanmoins que cette information ne peut être préalable car il s'agit d'une collecte indirecte d'information au sens de l'article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.
Toutefois, la Commission constate que l'ensemble des traitements découlant de la délivrance de l'identité numérique doit être porté à la connaissance des personnes concernées lors de la remise de leur carte d'identité ou de leur carte de séjour.
En effet, comme indiqué en justification du motif d'intérêt public par le Gouvernement, ce dernier a la charge du dispositif de l'identité numérique. Si la Commune (dont la délivrance des cartes d'identité est effectuée « sous la surveillance du Ministre d'État » en application de l'article 39 de la loi n° 859) et la Direction de la Sûreté Publique (qui dépend du Ministre d'État) délivrent les documents qui les concernent, l'identité numérique est octroyée par le système dont l'État a la charge.
Concernant plus précisément le kiosque et comme évoqué au point II de la présente délibération, la mention accessible depuis celui-ci doit être étoffée pour a minima informer les personnes concernées de leurs droits, en lieu et place de la simple information d'une url et d'un QR code nécessitant une manipulation sur smartphone pour être accessible.
Enfin, la Commission s'interroge sur le rattachement du traitement à la Direction des Services Numériques.

  • Sur l'exercice du droit d'accès, de modification et de mise à jour

Le droit d'accès est exercé par voie postale. Il est précisé qu'un formulaire de contact est disponible depuis la page relative à la Direction des Services Numériques, accessible depuis le site du Gouvernement.
Il peut être également exercé directement depuis le kiosque.
La Commission constate que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.


V.        Sur les personnes ayant accès au traitement
Le responsable de traitement indique qu'ont accès au traitement les seuls administrateurs de base de données du prestataire dans le cadre de ses missions de maintenance et d'administration.
La Commission rappelle qu'en ce qui concerne les prestataires, leurs accès doivent être limités à ce qui est strictement nécessaire à l'exécution de leur contrat de prestation de service, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée. De plus, ils sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement.
La Commission considère que ces accès sont justifiés.


VI.       Sur les interconnexions avec d'autres traitements
Le responsable de traitement indique que le présent traitement fait l'objet d'interconnexions avec les traitements ayant pour finalité respective :
-           « Gestion des moyens d'utilisation de l'identité numérique », concomitamment soumis ;
-           « Fourniture des services de confiance pour l'identité numérique », concomitamment soumis.
La Commission constate que toutes ces interconnexions sont conformes aux finalités des différents traitements qui sont tous en lien avec la délivrance de l'identité numérique. Elle rappelle néanmoins que ces interconnexions ne peuvent être effectives qu'entre traitements ayant légalement été mis en œuvre.


VII.     Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Enfin, la Commission rappelle que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.


VIII.    Sur la durée de conservation
Le responsable de traitement indique que les informations sont :
-           Conservées un an pour les informations temporelles ;
-           Uniquement lues sur le kiosque la durée pendant laquelle la carte d'identité ou de séjour est dans le lecteur.
Il est également précisé qu'aucune information biométrique en lien avec la reconnaissance faciale n'est conservée.
La Commission constate que ces durées de conservation sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :


Demande que :
-           les personnes concernées soient informées a minima sur le kiosque de leurs droits, conformément aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée, et du recours à un dispositif biométrique de reconnaissance faciale ;
-           qu'une alternative au recours au dispositif biométrique soit mise en place dans les meilleurs délais ;
-           les fonctionnalités en lien avec MConnect Mobile soient suspendues dans l'attente de leur régularisation.


Rappelle que :
-           les personnes concernées doivent être informées de l'ensemble des traitements nécessaires à la délivrance des certificats liés à l'identité numérique dès la remise de leur carte d'identité ou de séjour ;
-           les ordonnances souveraines projetées, qui servent de base légale aux différents traitements en lien avec l'identité numérique, devront être publiées au plus tard concomitamment à la mise en œuvre des traitements y associés ;
-           les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
-           les traitements en lien avec l'identité numérique ne pourront être interconnectés qu'une fois légalement mis en œuvre.
À la condition de la prise en compte des éléments qui précèdent,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État du traitement automatisé d'informations nominatives ayant pour finalité « Plateforme d'activation et de gestion de l'identité numérique après délivrance du titre ».


Le Président de la Commission de Contrôle des Informations Nominatives.

Print article
Previous article Return to summary Next article

All rights reserved - Monaco 2016
Version 2018.11.07.14