Délibération n° 2021-108 du 2 juin 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des opérations nécessaires à l'établissement et à la délivrance de la Carte d'Identité Monégasque » présenté par la Commune de Monaco.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 959 du 24 juillet 1974 sur l’organisation communale ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.383 du 2 août 2011 pour une Principauté Numérique, modifiée ;
Vu la loi n° 1.483 du 17 décembre 2019 relative à l’identité numérique ;
Vu l’Ordonnance Souveraine n° 2.194 du 12 mai 2009 relative au sommier de la nationalité monégasque ;
Vu l’Ordonnance Souveraine n° 2.108 du 19 mars 2009 relative à la carte d’identité monégasque électronique ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés d’informations nominatives ;
Vu la délibération n° 2009-2 du 2 mars 2009 de la Commission de Contrôle des Informations nominatives portant avis favorable à la mise en œuvre du traitement automatisé ayant pour finalité « Carte d’Identité Monégasque Électronique » ;
Vu la saisine du Ministre d’État en date du 8 avril 2021 concernant le projet d’Ordonnance Souveraine relative à la carte d’identité monégasque ;
Vu la saisine du Ministre d’État en date du 8 avril 2021 concernant 3 projets d’Ordonnances Souveraines portant application des articles 4, 5, 6, 8, 13, 17 et 18 de la loi n° 1.483 relative à l’identité numérique ;
Vu la demande d’avis déposée par la Commune de Monaco, le 3 mai 2021, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité la « Gestion des opérations nécessaires à l’établissement et à la délivrance de la Carte d’Identité Monégasque » ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 2 juin 2021 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Commission, par Délibération n° 2009-2 du 2 mars 2009, rendait un avis favorable à la mise en œuvre par la Commune du traitement ayant pour finalité « Gestion des opérations nécessaires à l’établissement et à la délivrance de la Carte d’Identité Monégasque Électronique », qui concernait les cartes d’Identité Monégasques émises à compter du 30 mars 2009.
À compter du mois de juin 2021, la Mairie va commencer à distribuer de nouvelles cartes d’identité qui répondent à deux besoins, à savoir d’une part renforcer les dispositifs de sécurité de la carte et se conformer aux nouvelles recommandations européennes et internationales propres aux documents de voyage, d’autre part de devenir le support de l’identité numérique des nationaux, telle que définie par la loi n° 1.483 relative à l’identité numérique.
Concernant l’identité numérique, il est précisé que « La Mairie, œuvrant depuis plusieurs années à la modernisation de son administration, a souhaité contribuer à ce projet national, en délivrant une carte d’identité monégasque électronique de dernière génération dans laquelle figureront les éléments cryptographiques de l’identité numérique monégasque ».
Ainsi, la carte d’identité monégasque « sera à la fois un document d’identité, un document de voyage et un support d’authentification numérique ».
La présente délibération, qui vient donc se substituer à la délibération n° 2009-2 précitée, constitue ainsi le nouveau socle du traitement relatif à la carte d’identité monégasque, qui est soumis à l’avis de la Commission, conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Gestion des opérations nécessaires à l’établissement et à la délivrance de la Carte d’Identité Monégasque ».
Il concerne les personnes de nationalité monégasque et les agents du Service de l’État Civil - Nationalité.
Les fonctionnalités du traitement sont :
- Émission et délivrance des cartes d’identité monégasques ;
- Gestion des documents et opérations induites ;
- Numérisation des documents ;
- Vérification de l’existence d’une identité numérique avant enrôlement ;
- Gestion des moyens d’utilisation de l’identité numérique ;
- Activation du certificat de l’identité numérique ;
- Notification de la fin de validité du certificat électronique associé à l’identité numérique de la carte d’identité (pas de système automatisé mis en place pour le moment) ;
- Établissement de statistiques.
Le responsable de traitement indique que la puce de la carte d’identité est « dual sans contact comportant d’un côté les données nécessaires à l’identification du porteur de la carte et d’un autre côté les données nécessaires à l’authentification numérique du titulaire de la carte ».
En outre, la carte d’identité demeure un document facultatif et les monégasques n’auront aucune obligation de changer leurs documents d’identité en cours de validité.
Il est enfin précisé que la délivrance de la carte d’identité ne peut s’effectuer qu’en Mairie ou en Principauté via le dispositif mobile d’enrôlement des personnes, mais pas depuis les Ambassades pour les monégasques vivant à l’étranger.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par le respect d’une obligation légale à laquelle il est soumis.
À cet égard, la Commission relève que l’article 39 de la loi n° 959 du 24 juillet 1974 sur l’organisation communale dispose que « Le Maire, agent de l’Administration, est chargé sous la surveillance du Ministre d’État :
(…)
* 4°) de délivrer les cartes d’identité et documents administratifs relatifs à la nationalité monégasque conformément aux lois et règlements ».
En outre, la Commission a été concomitamment saisie du projet d’Ordonnance Souveraine relative à la carte d’identité monégasque, qui a pour vocation de remplacer l’Ordonnance Souveraine n° 2.108 du 19 mars 2009 relative à la carte d’identité monégasque électronique, et qui devra entrer en vigueur préalablement à la mise en œuvre du présent traitement.
Ce projet de texte expose quelles données personnelles sont visibles à l’œil nu sur la carte d’identité monégasque et quelles données sont inscrites dans sa mémoire électronique.
La Mairie précise en outre que « l’accès aux e-services, grâce aux moyens d’utilisation de l’identité numérique implémentés dans la carte d’identité, s’inscrit dans la démarche que poursuit le Conseil Communal, à savoir la modernisation de l’administration communale, et plus généralement dans la politique publique du Gouvernement Princier du développement de l’administration numérique : ce nouveau moyen d’accès aux e-services est plus pratique et sécurisé pour les usagers et l’administration ».
La Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
Toutefois, elle s’inquiète de l’incertitude qui pèse sur la définition exacte du rôle de la Mairie, et qui résulte des différents textes auxquels il est fait référence.
En effet, la Commission doit-elle considérer la Mairie comme une autorité d’enregistrement de l’identité légalement définie par l’Ordonnance Souveraine projetée relative à la carte d’identité monégasque ? Ou doit-elle être qualifiée de Fournisseur d’Identité au sens des articles premier, 17 et 18 de la loi n° 1.483 relative à l’identité numérique, comme cela a pu être présenté au Secrétariat de la Commission ?
Le cas échéant, cette qualification de Fournisseur d’Identité emporte la qualité de service de confiance au sens de la loi n° 1.383 pour une Principauté Numérique. Et cette qualité de service de confiance emporte des obligations légales exposées au Titre VI « De la sécurité, des services de confiance et de leurs prestataires » de ladite loi.
Il y est notamment indiqué que :
- dernier alinéa de l’article 38-1 : « L’Agence Monégasque de Sécurité Numérique établit et tient à jour une liste des prestataires de services de confiance qualifiés et des services de confiance qualifiés qu’ils fournissent » ;
- article 40-1 : « Les prestataires de services de confiance sans statut qualifié qui ont l’intention d’offrir des services de confiance qualifiés doivent obtenir auprès de l’Agence Monégasque de Sécurité Numérique une qualification attestant de leur conformité à un niveau de sécurité défini par ordonnance souveraine » ;
- article 40-5 : « Un prestataire de services de confiance qualifié qui fournit des services de confiance qualifiés est évalué conformément aux exigences et selon une périodicité fixées par arrêté ministériel ».
Dès lors, si la Mairie devait être qualifiée, comme rapporté, de Service de confiance, rien n’indique au dossier que les obligations susvisées ont été remplies et le seront préalablement à la mise en production des cartes d’identité.
III. Sur les informations traitées
Le responsable de traitement indique que les informations nominatives traitées sont :
- identité : titre, nom, nom d’usage, trois premiers prénoms, nationalité, date et lieu de naissance, sexe ;
- adresse et coordonnées : adresse complète : numéro et nom de la rue, complément, code postal, ville, pays (trigramme) ; email et téléphone ;
- données d’identification électronique : certificats de l’identité numérique, certificats de l’ICAO ;
- données biométriques : photographie, deux empreintes digitales (hors exception légale), signature manuscrite numérisée (hors exception légale) ;
- informations temporelles - horodatage : logs de connexion des agents du Service de l’État Civil - Nationalité, logs de connexion des administrateurs du prestataire ;
- identification de la carte : numéro de la carte, date de début et de fin de validité de la carte, numéro de support de la carte, zone de lecture automatique, date de fin de validité des certificats numériques liés à l’identité numérique, signature manuscrite numérisée de l’autorité de délivrance.
Les informations relatives à l’identité et aux adresses proviennent du traitement légalement mis en œuvre de la Mairie « Fichier des Nationaux et de leur famille ». Les informations d’adresses et coordonnées peuvent également être recueillies par le biais du formulaire de demande de carte d’identité.
En ce qui concerne les données biométriques, elles sont prélevées lors de l’enrôlement de la personne concernée.
En outre, les informations de données d’identification électronique sont fournies par le traitement concomitamment soumis ayant pour finalité « Gestion des moyens d’utilisation de l’identité numérique », ou sont créées par le système d’émission des cartes d’identité.
De plus, les autres données sont générées par le système.
Enfin, il est précisé qu’email et numéro de téléphone ne sont collectés qu’aux fins de prévenir les personnes notamment à l’arrivée de l’échéance de leurs certificats liés à l’identité numérique.
La Commission relève toutefois que sont collectés divers formulaires (de demande de cartes d’identité, d’autorisations parentales pour les mineurs de plus de 13 ans non accompagnés, lié à la demande d’un majeur placé sous curatelle), ainsi que les certificats médicaux ouvrant droit à un enrôlement au domicile de la personne concernée ou attestant d’une incapacité à signer. Les procurations pour retirer une carte d’identité au nom des personnes concernées sont également collectées, ainsi que les reçus de carte d’identité.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
→ Sur l’information préalable des personnes concernées
L’information préalable des personnes concernées est effectuée par le biais d’une mention intégrée dans un document remis à l’intéressé (flyer), une mention sur le document de collecte (flyer et kiosque) et un courrier adressé à l’intéressé.
À la lecture des mentions portées à la connaissance des personnes concernées, la Commission constate que l’information est effectuée de manière conforme aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.
Toutefois, eu égard aux observations faites dans les traitements concomitamment soumis en lien avec l’identité numérique, il est nécessaire d’informer à ce stade les personnes concernées des traitements que l’Administration met en œuvre et qui sont nécessaires à la délivrance des certificats liés à cette identité numérique.
→ Sur l’exercice du droit d’accès, de modification et de mise à jour
Le droit d’accès est exercé par voie postale ou par courrier électronique auprès du Data Protection Officer.
À cet égard, la Commission rappelle que la réponse à ce droit d’accès doit s’exercer dans le mois suivant la réception de la demande.
Par ailleurs, s’agissant de l’exercice du droit d’accès par voie électronique, la Commission considère qu’une procédure devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.
V. Sur les destinataires et les personnes ayant accès au traitement
La Commission relève que les informations sont communiquées aux traitements concomitamment soumis par l’État en lien avec l’identité numérique afin de délivrer les certificats relatifs à l’identité numérique des titulaires de cartes d’identité monégasque.
Les accès sont en outre définis comme suit :
- Service de l’État Civil - Nationalité : le Chef de Service, le Chef de Service Adjoint, deux attachés Principaux ;
- Société prestataire du logiciel en application du marché ;
- Le Maire et l’Adjoint au Maire au Service de l’État Civil - Nationalité.
En ce qui concerne le recours à des prestataires, la Commission rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993 les droits d’accès de ces derniers doivent être limités à ce qui est strictement nécessaire à l’exécution de leurs contrats de prestation de service. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission considère que ces accès sont justifiés.
VI. Sur les rapprochements et les interconnexions avec d’autres traitements
Le responsable de traitement indique que le traitement est interconnecté avec les traitements suivants :
- « Gestion des identités numériques au travers du Registre National Monégasque de l’Identité Numérique », concomitamment soumis ;
- « Fichier des Nationaux et de leur famille », légalement mis en œuvre, et dont une demande de modification a été concomitamment soumise ;
- « Gestion des moyens d’utilisation de l’identité numérique », concomitamment soumis.
La Commission constate que toutes ces interconnexions sont conformes aux finalités des différents traitements qui sont tous en lien avec la délivrance de l’identité numérique. Elle rappelle néanmoins que ces interconnexions ne peuvent être effectives qu’entre traitements ayant légalement été mis en œuvre.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.
Il importe cependant de veiller régulièrement à la sécurité du poste mobile.
De plus la copie ou l’extraction d’informations issues du présent traitement doit être chiffrée sur son support de réception.
Les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
La Mairie indique que « les données relatives à l’identité, l’adresse, la photographie, la signature, au numéro de la carte d’identité et aux dates de validité de la carte sont enregistrées dans le système de gestion des cartes d’identité et sont conservées à titre d’archives historiques. Cette volonté de la Mairie de les conserver à titre d’archives historiques se justifie par plusieurs raisons pour le Service de l’État Civil - Nationalité :
- Afin de permettre la confrontation de l’authenticité d’une carte d’identité (comparaison de la photo), par exemple au moment du renouvellement car la carte expirée doit être ramenée pour destruction ;
- Pour vérifier l’identité d’une personne dans le cadre d’une enquête judiciaire (aucune information n’est communiquée ni téléphoniquement ni par écrit sauf commission rogatoire) ;
- Pour s’assurer qu’une carte n’a pas été falsifiée, par exemple à la demande d’un établissement bancaire (aucune information n’est communiquée ni téléphoniquement ni par écrit) ;
- Pour vérifier une adresse à une période donnée à la demande du titulaire de la carte ».
La Commission constate que cette durée de conservation est définie ainsi dans le projet d’Ordonnance Souveraine relative à la Carte d’Identité Monégasque. Toutefois, elle relève que les justifications apportées, susvisées, ne relèvent pas d’un intérêt archivistique ou historique.
La Commission relève en outre des compléments d’informations qu’elle a reçus que les formulaires visés au point III de la présente délibération, qui peuvent contenir des certificats médicaux, sont conservés 5 ans en format papier, et archivés à des fins historiques pour la version numérisée. La Commission considère cette durée disproportionnée et la fixe à la durée de la validité de la carte.
En outre, il semble qu’il y ait dans l’Ordonnance précitée et les traitements soumis par l’État en lien avec l’identité numérique, une volonté d’assimiler la photographie à une donnée biométrique. Aussi, en application de la loi n° 1.483, cette dernière ne devrait pas pouvoir être conservée par la Mairie, comme tel est le cas jusqu’à présent pour les photos de la carte d’identité.
La Commission demande donc que la photo d’identité ne soit pas conservée.
Il est en outre précisé que les certificats de l’identité numérique ne sont pas conservés par la Mairie, tandis que les certificats ICAO sont conservés durant la validité de la carte.
De plus, les données d’horodatage sont conservées un an.
Enfin, les empreintes digitales ne sont pas conservées dans le traitement de la Mairie.
Sous ces réserves, la Commission considère que ces durées de conservation sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Considère, s’agissant de l’exercice du droit d’accès par voie électronique, qu’une procédure devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations.
Demande que la photographie d’identité ne soit pas conservée par la Mairie.
Rappelle que :
- les personnes concernées doivent être informées des traitements mis en œuvre par l’État et qui sont nécessaires à la délivrance des certificats liés à l’identité numérique ;
- les interconnexions ne peuvent être effectuées qu’entre des traitements légalement mis en œuvre ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
- toute copie ou extraction de données en vue de communication aux Autorités judiciaires ou administratives compétentes devra être chiffrée sur son support de réception ;
- la sécurité du poste mobile doit être vérifiée régulièrement ;
- l’éventuelle qualification de la Mairie en Fournisseur d’Identité emporte des conséquences juridiques qui ne sont pas mentionnées au dossier.
Fixe la durée de conservation des formulaires, qui peuvent contenir des certificats médicaux, à la durée de validité de la carte et demande que la photographie soit supprimée dès l’enrôlement sur la mémoire électronique de la carte d’identité monégasque, comme tel est actuellement le cas.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par la Commune de Monaco, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des opérations nécessaires à l’établissement et à la délivrance de la Carte d’Identité Monégasque ».
Le Président de la Commission de Contrôle des Informations Nominatives.