icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2021-255 du 17 novembre 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Permettre la prise de rendez-vous aux usagers afin de se présenter au Service des Titres de Circulation » exploité par le Service des Titres de Circulation présenté par le Ministre d'État.

  • No. Journal 8567
  • Date of publication 03/12/2021
  • Quality 100%
  • Page no.

Vu la Constitution ;

Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu l’Ordonnance Souveraine n° 13.637 du 25 septembre 1998 portant création du Service des Titres de Circulation, modifiée ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré ;

Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;

Vu la demande d’avis déposée par le Ministre d’État, le 30 juillet 2021, concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Permettre la prise de rendez-vous aux usagers afin de se présenter au Service des Titres de Circulation » ;

Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 29 septembre 2021, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 17 novembre 2021 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

Le Service des Titres de Circulation (STC) est un Service exécutif, au sens de l’article 44 de la Constitution, placé sous l’autorité du Ministre d’État.

Ce dernier souhaite mettre en place une démarche en ligne pour permettre aux usagers de prendre rendez-vous afin de se rendre au STC et y effectuer les démarches réalisées au guichet.

Ainsi, le traitement automatisé d’informations nominatives, objet de la présente demande, est soumis à l’avis de la Commission, conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée.

I.  Sur la finalité et les fonctionnalités du traitement

Le présent traitement a pour finalité « Permettre la prise de rendez-vous aux usagers afin de se présenter au Services des Titres de Circulation ».

Il concerne les usagers (ce terme pouvant désigner des particuliers, mandataires, représentants et entreprises) ainsi que les agents traitants (le personnel de l’Administration).

Le responsable de traitement indique que « l’objectif du présent traitement est de proposer aux usagers la prise de rendez-vous en ligne pour toutes demandes nécessitant un passage au Service des Titres de Circulation », étant précisé qu’il reste possible de contacter le STC pour prendre rendez-vous par email ou par téléphone.

Ainsi, « en cas de présentation spontanée de l’usager, le Service des Titres de Circulation peut accepter de le recevoir immédiatement si les disponibilités le permettent ».

Dans ce cas, les données personnelles de l’usager et le motif de sa visite sont renseignés par les agents du STC depuis le module de réception.

La démarche en ligne mise en place à cette fin a pour fonctionnalités :

-  La prise de rendez-vous en ligne par un usager pour lui-même, une entreprise ou un usager pour lequel il est mandataire ;

-  La prise de rendez-vous pour un usager par un agent de l’administration (si l’usager contacte le service par téléphone ou par email ou en cas de présentation spontanée) ;

-  La modification ou l’annulation d’un rendez-vous par l’usager et l’agent de l’administration ;

-  L’envoi à l’usager d’une confirmation/modification/annulation par email et/par SMS selon son choix ;

-  Le rappel de rendez-vous par email et/ou par SMS ;

-  La consultation de la base « usagers » à des fins statistiques anonymisées ;

-  L’anonymisation automatique des données après un mois ;

-  La purge automatique des données après 24 mois.

La Commission constate qu’un SMS ou un email, contenant un lien hypertexte redirigeant l’usager vers un formulaire de satisfaction anonyme, peut également lui être envoyé à l’issue du rendez-vous.

Elle considère que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.

II.  Sur la licéité et la justification du traitement

Le responsable de traitement indique que le présent traitement est justifié par le consentement de la personne concernée et par la réalisation d’un intérêt légitime qui ne méconnaît ni l’intérêt, ni les droits et libertés fondamentaux de la personne concernée.

À cet égard, il indique que le consentement de la personne concernée est formalisé par un acte positif clair, matérialisé par le biais d’une case à cocher indiquant qu’« en soumettant ce formulaire j’accepte que mes informations soient utilisées exclusivement dans le cadre de ma demande » ainsi que par l’obligation d’accepter les conditions générales d’utilisation.

L’intérêt légitime trouve, en outre, son fondement dans la volonté de l’Administration de simplifier les démarches administratives des administrés en leur permettant de prendre rendez-vous en ligne, ce qui s’inscrit dans le champ de l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré. Il contribue par ailleurs à limiter les risques sanitaires, liés aux files d’attente, en période de crise COVID-19.

La Commission relève que l’usager peut également contacter le STC, par email ou par téléphone, pour solliciter un rendez-vous ou se présenter spontanément et être reçu si les disponibilités le permettent.

Enfin, le présent traitement permet au responsable de traitement de réaliser les missions qui lui sont dévolues par l’Ordonnance Souveraine n° 13.637 du 25 septembre 1998.

La Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165, modifiée.

III.   Sur les informations traitées

Les informations nominatives traitées sont :

-  Identité, situation de famille : civilité, nom et prénom de l’usager et nom de la société si applicable ; nom et prénom des agents de l’administration et du prestataire ;

-  Adresses et coordonnées : numéros de téléphone fixe et/ou mobile de l’usager (facultatif) ;

-  Données d’identification électronique : adresse email de l’usager ; adresse email (identifiant de connexion) et mot de passe des agents de l’administration et du prestataire ;

-  Informations temporelles, horodatage : logs de connexion des personnels de l’administration et du prestataire ;

-  Informations relatives au rendez-vous en ligne : motif du rendez-vous, durée du rendez-vous, date et heure du rendez-vous, code du rendez-vous et informations complémentaires par l’usager (texte libre et facultatif).

La Commission relève, qu’en cas de prise de rendez-vous par l’intermédiaire d’un agent du STC, le champ relatif aux messages internes n’est pas activé.

Les informations ont pour origine l’usager, étant précisé qu’elles sont renseignées dans le système, par l’agent du STC, en cas de prise de rendez-vous par téléphone, par email ou à la suite d’une présentation spontanée de la personne au STC.

En outre, celles relatives à l’agent et au prestataire (identité et données d’identification électronique) et aux informations temporelles proviennent du système.

La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives », au regard de la finalité du traitement, conformément à l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.

IV.  Sur les droits des personnes concernées

  • Sur l’information préalable des personnes concernées

L’information préalable des personnes concernées est réalisée par le biais d’une mention particulière intégrée dans un document d’ordre général accessible en ligne, à savoir les conditions générales d’utilisation de la démarche en ligne, que l’usager doit accepter et peut consulter, dès l’accès à la démarche.

Ces dernières étant jointes au dossier, la Commission constate que les personnes concernées sont informées de manière conforme aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.

  • Sur l’exercice du droit d’accès, de modification et de mise à jour

Le droit d’accès est exercé par courrier électronique ou par voie postale auprès du Service des Titres de Circulation.

S’agissant de l’exercice du droit d’accès par voie électronique, la Commission considère qu’une procédure devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.

Sous cette réserve, elle constate ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.

V.   Sur les personnes ayant accès au traitement

Le responsable de traitement indique que les accès sont définis comme suit :

-  Le personnel du Service des Titres de Circulation (STC) : tous droits selon le rôle des agents (Administrateur/Utilisateur avancé/Utilisateur) ;

-  Le personnel de la Direction des Systèmes d’Information (DSI) : tous droits en support pour le STC (pas d’accès au paramétrage technique) ;

-  Le prestataire de la solution : tous droits, dont paramétrage technique.

Le responsable de traitement précise que « la liste des agents ayant accès au traitement est définie et validée par le service » et que « l’ensemble des accès (…) font l’objet d’une traçabilité conformément aux dispositions de la PSSIE ».

En ce qui concerne le prestataire, la Commission rappelle que, conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de services. De plus, celui-ci est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement.

Enfin, comme évoqué plus avant, les usagers peuvent également effectuer une prise de rendez-vous par téléphone ou par email.

Elle considère que ces accès sont justifiés.

VI.  Sur les interconnexions et rapprochements

Le responsable de traitement indique que le présent traitement fait l’objet d’un rapprochement avec le traitement ayant pour finalité « Gestion de la messagerie électronique professionnelle » légalement mis en œuvre par l’État.

La Commission considère que ce rapprochement est conforme aux exigences légales.

VII.   Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.

Cependant, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement, au regard des risques présentés par ce traitement et de la nature des données à protéger, devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII.    Sur la durée de conservation

Les données sont anonymisées de manière automatique au bout d’un mois et purgées après vingt-quatre mois, à l’exception des informations relatives aux agents de l’administration et au prestataire qui sont conservées tant que le compte est actif.

Le responsable de traitement indique, par ailleurs, que les informations temporelles sont conservées trente jours. À cet égard, la Commission fixe de trois mois minimum à un an maximum leur durée de conservation.

La Commission relève que ces délais sont conformes aux exigences légales.

Après en avoir délibéré, la Commission :

Rappelle que :

-  les accès doivent être restreints au strict besoin d’en connaitre et que les interventions de supports doivent être effectuées selon des modalités définies conformes aux règles de l’art ;

-  les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switch, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

Considère qu’une procédure relative au droit d’accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations.

Fixe de 3 mois minimum à un an maximum la durée de conservation des informations temporelles.

Sous le bénéfice de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, du traitement automatisé d’informations nominatives ayant pour finalité « Permettre la prise de rendez-vous aux usagers afin de se présenter au Service des Titres de Circulation ».

Le Président de la Commission de Contrôle des Informations Nominatives.

Print article
Previous article Return to summary Next article

All rights reserved - Monaco 2016
Version 2018.11.07.14