Délibération n° 2021-133 du 23 juin 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion du parc des bacs et des dotations » de la Société Monégasque d'Assainissement.
Vu la Constitution ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’Ordonnance Souveraine n° 6.251 du 20 janvier 2017 relative aux déchets ;
Vu le Cahier des clauses techniques particulières du Marché de gré à gré n° 25-18-378 du 13 février 2019 pour la fourniture, la livraison et la maintenance des bacs roulants dédiés au tri des déchets ;
Vu le Cahier des charges de la concession d’exploitation du service public de collecte des déchets ménagers et assimilés sur le territoire de la Principauté de Monaco et du traitement de ces déchets non valorisés énergétiquement du 11 septembre 2018 ;
Vu la demande d’avis déposée par la Société Monégasque d’Assainissement le 26 février 2021, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Gestion du parc des bacs et des dotations » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 23 avril 2021, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 23 juin 2021 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Société Monégasque d’Assainissement (SMA) est une société anonyme immatriculée au Registre du Commerce et de l’Industrie qui a pour mission d’exploiter la concession du service assainissement, notamment par le nettoiement des voies publiques de la Principauté, la collecte des ordures ménagères, la réalisation et l’exploitation d’une usine d’incinération des résidus urbains et industriels de Monaco.
La SMA souhaite désormais gérer de manière automatisée le parc des bacs et des dotations en recourant plus particulièrement à une application numérique pour améliorer et optimiser la gestion de ce dernier.
Ainsi, le traitement automatisé d’informations nominatives y afférent est soumis à l’avis de la Commission, conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Gestion du parc des bacs et des dotations », le responsable de traitement précisant que ce dernier lui permettrait notamment de réaliser un suivi du parc des bacs en place (nombre de bacs par volume, type de déchets, liste des emplacements, dotations par emplacement, suivi des identifiants etc.).
Il concerne les clients de la SMA (syndics, entreprises, administrations et quelques particuliers propriétaires d’habitations individuelles). La Commission constate que certains salariés de la SMA sont également concernés par le traitement.
Les fonctionnalités associées au présent traitement sont :
- La gestion des clients et des points de consommation ;
- La gestion des stocks ;
- La gestion du parc des bacs ;
- La gestion des tournées de lavage des bacs ;
- La gestion des ordres de service (maintenance, réparation à réaliser, …) ;
- L’impression des étiquettes comportant le point de consommation collées sur les bacs pour faciliter leur identification lors des tournées de collecte.
Le traitement comprend également l’établissement de tableaux de bord à des fins de reporting. La Commission prend acte que ces tableaux ne contiennent aucune donnée nominative.
S’agissant de la fonctionnalité « Gestion du parc des bacs », le responsable de traitement précise que « tous les bacs disposent d’un identifiant et sont répertoriés dans l’application ».
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le traitement est justifié par l’exécution d’un contrat conclu avec la personne concernée ainsi que par la réalisation d’un intérêt légitime qu’il poursuit et qui ne méconnaît ni l’intérêt ni les droits et libertés fondamentaux de cette dernière.
À cet égard, la Commission constate qu’il assure de manière historique la collecte des déchets en Principauté à travers un contrat de concession de service public et qu’il a, par ailleurs, étendu ce service au secteur privé en développant des prestations commerciales complémentaires.
Le responsable de traitement précise par ailleurs qu’aux termes d’un contrat de gré à gré conclu avec le Gouvernement Princier, le 13 février 2019, il met à disposition des usagers de la Principauté des bacs roulants de tri des déchets recyclables, étant précisé que ces bacs demeurent la propriété du Gouvernement Princier (Direction de l’Aménagement Urbain - DAU).
De même, il indique « qu’aux termes de l’article 1er du Cahier des Clauses Techniques Particulières dudit contrat, le système d’identification des bacs roulants est le même pour les bacs roulants dédiés au tri des déchets recyclables dans le cadre du marché de gré à gré et pour les bacs roulants dédiés à la collecte des ordures ménagères dans le cadre de la concession d’exploitation du service public des déchets ménagers, les deux étant conclus entre la SMA et l’État de Monaco ».
La Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations nominatives traitées sont :
- Identité : pour les utilisateurs (entendus comme le personnel de la SMA) : titre, nom et prénom ;
Pour les clients : référence externe, titre, nom/raison sociale, prénom ;
- Adresse et coordonnées : point de consommation, numéro de téléphone et adresse email du client ;
- Vie professionnelle : type de client (hôtel, restaurant, particulier, syndic, administration, etc.) ;
- Données d’identification électronique : identifiant GID des utilisateurs SMA ;
- Informations temporelles et horodatage : données d’horodatage, log de connexion de l’utilisateur ;
- Bac : numéro de cuve, numéro de puce, code-barre.
La Commission relève que les données d’identification électronique des administrateurs de la solution font également l’objet d’une collecte et en prend acte.
L’identité de l’utilisateur et les informations temporelles ont pour origine le système.
La Commission relève que l’identité de l’utilisateur provient davantage d’un traitement gestion administrative des salariés.
Par ailleurs, l’identité du client ainsi que ses adresses et coordonnées sont communiquées par ce dernier, lors de sa demande de bac.
En outre, le type de client est sélectionné par l’utilisateur, lequel saisit également les informations relatives aux bacs.
À cet égard, la Commission relève que les informations concernant les bacs proviennent du système.
Enfin, les données d’identification électronique sont définies par le référent applicatif.
La Commission considère que les informations ainsi collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.
IV. Sur les droits des personnes concernées
→ Sur l’information préalable des personnes concernées
Les personnes concernées sont informées par le biais d’un document spécifique ainsi que par une mention ou clause particulière intégrée dans un document remis à l’intéressé.
Ces éléments n’étant pas joints à la présente demande d’avis, la Commission rappelle qu’ils doivent contenir toutes les dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.
→ Sur l’exercice du droit d’accès
Les personnes concernées peuvent exercer leur droit d’accès par courrier électronique ou par voie postale.
S’agissant de l’exercice du droit d’accès par voie de courrier électronique, la Commission considère qu’une procédure devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations.
À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.
Sous cette réserve, la Commission constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
→ Sur les destinataires
Le responsable de traitement indique que les informations relatives aux tableaux de bord effectués à des fins de reporting sont susceptibles d’être communiquées à la DAU.
La Commission considère que cette transmission est conforme aux exigences légales.
→ Sur les personnes ayant accès au traitement
Le responsable de traitement indique qu’ont par ailleurs accès au traitement :
- Le personnel de la SMA dans le cadre de ses missions : tous droits pour les personnes habilitées.
- Le personnel de la Direction des Systèmes d’Information de la SMA/SMEG ou tiers intervenant pour son compte : tout accès dans le cadre des missions d’assistance à maîtrise d’ouvrage, de maintenance, développement des applicatifs nécessaires au fonctionnement, sécurité de l’application : tous droits.
En ce qui concerne les tiers intervenant pour le compte de la SMA, la Commission rappelle que, conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993 modifiée, les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de services. De plus, ces derniers sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
Elle considère que ces accès sont justifiés.
VI. Sur les interconnexions
Le responsable de traitement indique que le présent traitement est rapproché avec le traitement « Gestion des tournées de collecte des déchets » en cours d’étude par la CCIN.
Ledit traitement lui permet, à partir d’un identifiant de bac, de récupérer les informations sur les pesées.
Le responsable de traitement mentionne également deux rapprochements avec des traitements ayant pour finalité la « Gestion des salariés SMA » et la « Gestion commerciale et facturation des clients SMA ».
Il appert également, à l’analyse du dossier, une interconnexion et un autre rapprochement avec les traitements relatifs à la :
- « Gestion de la messagerie » pour la communication d’informations à la DAU ;
- « Gestion des habilitations (base LDAP) », pour l’identification GID.
La Commission rappelle que les rapprochements et interconnexions ne peuvent être effectués qu’entre des traitements légalement mis en œuvre.
Aussi elle demande au responsable de traitement de lui soumettre dans les meilleurs délais les traitements non légalement mis en œuvre, en lien avec le présent traitement.
Sous ces réserves, la Commission considère que ces interconnexions sont conformes aux dispositions légales.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
Cependant, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement, au regard des risques présentés par ce traitement et de la nature des données à protéger, devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Les informations relatives à l’identité de l’utilisateur et à ses données d’identification électronique sont conservées tant que ce dernier est en activité.
En outre, celles concernant l’identité du client, ses adresses et coordonnées, sa vie professionnelle et concernant les bacs le sont par ailleurs tant que le client est propriétaire ou locataire du/des bacs.
Enfin, les informations temporelles sont conservées 1 an.
La Commission constate que ces durées de conservation sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Rappelle que :
- les personnes concernées doivent être informées de manière conforme aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993 ;
- les rapprochements et interconnexions ne peuvent être effectués qu’entre des traitements légalement mis en œuvre ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switch, routeurs, pares-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Considère qu’une procédure relative au droit d’accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations.
Demande que les traitements non légalement mis en œuvre, en lien avec le présent traitement, lui soient soumis dans les meilleurs délais.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par la Société Monégasque d’Assainissement du traitement automatisé d’informations nominatives ayant pour finalité « Gestion du parc des bacs et des dotations ».
Le Président de la Commission de Contrôle des Informations Nominatives.