Délibération n° 2021-196 du 15 septembre 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion du site internet Coach Carbone du Pacte » exploité par la Direction de l'Équipement, de l'Environnement et de l'Urbanisme présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.308 du 23 décembre 2005 portant approbation de ratification du Protocole de Kyoto à la Convention-cadre sur les changements climatiques, adopté à Kyoto le 11 décembre 1997 ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’Ordonnance Souveraine n° 1.464 du 7 janvier 2008 portant création d’une Direction de l’Environnement ;
Vu l’Ordonnance Souveraine n° 518 du 19 mai 2006 rendant exécutoire le Protocole de Kyoto à la Convention-cadre sur les changements climatiques, adopté à Kyoto le 11 décembre 1997 ;
Vu la délibération n° 2018-173 du 21 novembre 2018 portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Permettre aux usagers d’adhérer en ligne au Pacte National pour la Transition Énergétique » ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la demande d’avis déposée par le Ministre d’État, le 10 juin 2021 concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Gestion du site internet Coach Carbone du Pacte » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 6 août 2021, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 15 septembre 2021, portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Mission pour la Transition Énergétique est une cellule administrative du Département de l’Équipement, de l’Environnement et de l’Urbanisme (DEEU), en charge de planifier et de mettre à jour la stratégie de transition énergétique de la Principauté.
Aux termes d’une délibération n° 2018-173 datée du 21 novembre 2018, le responsable de traitement a obtenu l’avis favorable de la Commission pour ouvrir une démarche permettant aux usagers d’adhérer au Pacte National pour la Transition Énergétique et de s’inscrire aux actions qu’ils souhaitent poursuivre.
Le responsable de traitement entend désormais utiliser le site internet Coach Carbone du Pacte pour continuer d’accompagner les utilisateurs dans la réduction de leurs émissions carbones. Partant, le présent traitement a vocation à annuler et remplacer celui ayant obtenu l’avis favorable de la Commission suivant la délibération n° 2018-173, susvisée.
Le traitement automatisé d’informations nominatives, objet de la présente, est soumis à l’avis de la Commission, conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement qui a pour finalité « Gestion du site internet Coach Carbone du Pacte » succède au traitement ayant pour finalité « Permettre aux usagers d’adhérer en ligne au Pacte National pour la Transition Énergétique », lequel avait obtenu un avis favorable de la Commission.
Il concerne tout internaute qui accède au site, ainsi que le personnel habilité du Gouvernement.
Le traitement a pour fonctionnalités :
- Calculer un bilan carbone ;
- Adhérer au Pacte pour les particuliers et les entités (entreprises, institutions, associations) avec la création d’un compte utilisateur ;
- Apporter aux usagers de l’information générale sur le sujet de la Transition Énergétique ;
- Informer les utilisateurs des évènements et ateliers autour du sujet de la Transition Énergétique ;
- Proposer aux utilisateurs des actions visant à réduire leur émission de gaz à effet de serre ;
- Proposer aux utilisateurs des défis et des sondages ;
- S’inscrire à une newsletter ;
- Permettre la navigation (cookies) ;
- Mesurer les audiences du site de manière anonyme ;
- Suivre l’évolution du nombre d’adhérents au Pacte avec un tableau de bord (back- office de la Mission pour le Transition Énergétique) ;
- Exporter les données des utilisateurs inscrits au Pacte (back-office).
La Commission constate que l’inscription à la newsletter se fait, non par le biais du présent traitement (https://pacte-coachcarbone.mc), mais par celui d’un autre traitement (https://transition-energetique.gouv.mc/newsletter/subscribe) légalement mis en œuvre avec lequel il est rapproché.
Elle relève par ailleurs que l’outil statistiques MATOMO utilisé par le responsable de traitement est conforme aux exigences de la CCIN.
Enfin, la Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par le consentement de la personne concernée, ainsi que par la réalisation d’un intérêt légitime qu’il poursuit et qui ne méconnait ni l’intérêt ni les droits de la personne concernée.
En ce qui concerne le consentement, il précise que « les particuliers et les entités s’engagent sur des actions avant de signer le Pacte et cochent une case permettant de matérialiser leur consentement au traitement de leurs données à caractère personnel dans le cadre de l’adhésion du Pacte ». La Commission rappelle que la case à cocher permettant de consentir au traitement doit permettre d’accéder aux mentions d’information.
En outre, le responsable de traitement indique que ce traitement est légitime en ce qu’il permet à l’État de Monaco d’utiliser des moyens et outils des médias actuels afin de diffuser de l’information.
La Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations nominatives traitées sont :
- Identité/situation de famille : pour les particuliers : nom, prénom, titre, tranche d’âge, situation (je vis, j’étudie, je travaille à Monaco), nom et prénom du parrain, langue de préférence (français ou anglais) ;
Pour les entités : raison sociale (nom de l’entité), type (entreprise, institution, association) ;
Dirigeant de l’entité : nom, prénom et si le référent n’est pas le dirigeant de l’entité nom et prénom de ce dernier.
- Adresses et coordonnées : pour les particuliers : adresse, code postal, ville, téléphone ;
Pour l’entité : adresse ;
Pour le dirigeant de l’entité et/ou référent pour le Pacte : téléphone ;
- Vie professionnelle : fonction au sein de l’entité (dirigeant et/ou référent) ;
- Consommation-habitude de vie : engagements pris sur l’année en cours pour réduire les émissions de gaz à effet de serre en agissant sur la mobilité, les déchets et l’énergie ;
Bilan Carbone (GES) : informations permettant de calculer une estimation des émissions de gaz à effet de serre ;
- Données d’identification électronique : adresse email (particulier/dirigeant de l’entité et/ou du référent pour le Pacte) ;
- Informations temporelles : logs de connexion ;
- Back-office de la Mission pour la Transition Énergétique : login et mot de passe.
À l’analyse du dossier, il appert que le nom et le prénom d’un adhérent peuvent être renseignés en qualité de parrain par un nouvel adhérent au Pacte. La Commission rappelle que les personnes concernées doivent être informées de cette possibilité lors du processus d’adhésion.
Les informations ont pour origine la personne concernée, à l’exception des logs de connexion et des données du back-office qui sont générées par le système.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV. Sur les droits des personnes concernées
- Sur l’information préalable des personnes concernées
L’information préalable des personnes concernées est réalisée à l’aide d’une mention particulière intégrée dans un document d’ordre général accessible en ligne.
À la lecture de l’extrait joint au dossier, la Commission constate que la mention d’information est conforme aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.
- Sur l’exercice du droit d’accès, de modification et de mise à jour
Le droit d’accès est exercé par voie postale ou par courrier électronique.
S’agissant de l’exercice du droit d’accès par voie de courrier électronique, la Commission rappelle qu’une procédure devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations.
Elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.
Sous cette réserve, elle constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
Ont accès au présent traitement :
- La Mission de la Transition Énergétique dépendant de la DEEU : accès à l’environnement back-office pour tous les aspects fonctionnels (tous droits) ;
- La Direction des Services Numériques (DSN) : accès à l’environnement back-office pour tous les aspects fonctionnels (tous droits) ;
- Le prestataire : accès à la partie système (infrastructure) et à l’environnement de back-office (tous droits).
Le responsable de traitement précise que « la liste des agents ayant accès au traitement est définie et validée par le service » et que « l’ensemble des accès dans le cadre du présent traitement et pour les besoins de support ou de maintenance font l’objet d’une traçabilité conformément aux dispositions de la PSSIE ».
La Commission relève toutefois que de plus en plus de traitements métiers ou de téléservices font l’objet d’interventions de la DSN qui administre ou crée les solutions.
Cette Direction support est décrite comme disposant d’accès aux traitements concernés. La Commission rappelle que cette dernière n’a pas à avoir accès en continu à l’information métier, dont la sensibilité peut varier en fonction des services concernés. Elle demande donc que les accès soient restreints au strict besoin d’en connaitre et que les interventions de supports soient effectuées selon des modalités définies conformes aux règles de l’art.
En ce qui concerne le prestataire, la Commission rappelle également que, conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, les droits d’accès de ce dernier doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de services. De plus, ledit prestataire est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission relève enfin que les personnes concernées disposent également d’un accès en consultation à leur propre compte.
Elle considère que ces accès sont justifiés.
VI. Sur les interconnexions
Le présent traitement est rapproché avec le traitement ayant pour finalité « Gestion de la messagerie professionnelle » valablement mis en œuvre et relevant de la Direction des Systèmes d’Information afin de permettre aux acteurs du traitement de pouvoir échanger dans le cadre de leurs fonctions.
Il est également rapproché avec le traitement ayant pour finalité « Assurer la diffusion d’informations institutionnelles sur la Principauté de Monaco », valablement mis en œuvre et relevant de la DSN pour assurer la diffusion d’informations institutionnelles sur la Principauté de Monaco et rediriger l’utilisateur vers le site https://transition-energetique.gouv.mc dans le cadre de la newsletter.
La Commission considère que ces rapprochements sont conformes aux exigences légales.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
La Commission rappelle toutefois que l’intégration d’un Captcha sur un site internet relève de la responsabilité du responsable de traitement et demande donc de s’assurer que ce script (Captcha) soit conforme aux exigences de la CCIN.
De même, elle observe que nonobstant les demandes répétées de la Commission sur le reCAPTCHA et les cookies, le site web (https://transition-energetique.gouv.mc/newsletter/subscribe) vers lequel est automatiquement redirigée la personne concernée pour l’inscription à la newsletter a été modifié (implémentation d’un reCAPTCHA Google & des cookies Twitter), sans qu’une demande d’avis modificative n’ait été soumise à la CCIN.
Aussi elle demande que cette demande d’avis lui soit soumise dans les plus brefs délais.
Par ailleurs, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Enfin, la Commission rappelle que, conformément à l’article 17 de la loi n° 1.165 modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement, au regard des risques présentés par ce traitement et de la nature des données à protéger, devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Les informations nominatives seront conservées tout au long de la durée d’adhésion au Pacte par l’adhérent. Le responsable de traitement précise que les données sont en effet supprimées, après une relance par email, en cas d’inactivité de 3 ans.
En outre, les logs de connexion sont conservés 1 an et les login et mot de passe du back-office le sont, tant que la personne travaille au sein de la Direction sur le sujet des remontées des usagers.
La Commission considère que ces durées de conservation sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Rappelle que :
- les adhérents pouvant être renseignés en qualité de parrain, ils doivent être informés de cette possibilité ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switch, routeurs, pares-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
- les accès doivent être restreints au strict besoin d’en connaitre et que les interventions de supports, notamment ceux de la DSN, doivent être effectuées selon des modalités définies conformes aux règles de l’art.
Considère qu’une procédure relative au droit d’accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations.
Demande qu’une demande d’avis modificative du site (https://transition-energetique.gouv.mc/newsletter/subscribe) lui soit déposée dans les meilleurs délais et que le responsable de traitement s’assure que le Captcha du traitement objet de la présente délibération est conforme aux exigences de la CCIN.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion du site internet Coach Carbone du Pacte ».
Le Président de la Commission de Contrôle des Informations Nominatives.