icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2023-62 du 19 avril 2023 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion des sites internet du Gouvernement Princier de Monaco », exploité par la Direction des Services Numériques (DSN), présenté par le Ministre d'État.

  • No. Journal 8641
  • Date of publication 05/05/2023
  • Quality 100%
  • Page no.

Vu la Constitution ;

Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 1.383 du 2 août 2011 pour une Principauté Numérique, modifiée ;

Vu la loi n° 1.299 du 15 juillet 2005 sur la liberté d’expression publique ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu l’Ordonnance Souveraine n° 7.995 du 12 mars 2020 portant création de la Direction des Services Numériques ;

Vu l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu la délibération n° 2011-108 du 28 novembre 2011 de la Commission de Contrôle des Informations Nominatives portant avis favorable sur la demande présentée par le Ministre d’État relative à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Assurer la diffusion d’informations institutionnelles sur la Principauté de Monaco » de la Direction de l’Administration Électronique et de l’Information aux Usagers ;

Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;

Vu la demande d’avis déposée, par le Ministre d’État, le 3 janvier 2023, concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Gestion des sites Internet du Gouvernement Princier de Monaco » ;

Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement, le 2 mars 2023, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 19 avril 2023 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

Le Gouvernement Princier souhaite procéder à la refonte des sites d’informations au public notamment afin de garantir aux utilisateurs une meilleure qualité de navigation et d’accès à l’information sur tous types de supports.

À cet égard, le présent traitement a, à terme, vocation à remplacer « de manière totale et définitive le traitement ayant pour finalité « Assurer la diffusion d’informations institutionnelles sur la Principauté de Monaco » », lequel a obtenu un avis favorable de la Commission à l’effet d’une délibération n° 2011‑108 en date du 28 novembre 2011.

Le traitement automatisé d’informations nominatives, objet de la présente délibération, est donc soumis à l’avis de la Commission, conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée.

I. Sur la finalité et les fonctionnalités du traitement

Le présent traitement a pour finalité « Gestion des sites Internet du Gouvernement Princier de Monaco ».

Il est dénommé Sites internet d’entités publiques, sites de Service public.

Le responsable de traitement indique que les personnes concernées sont tout internaute accédant aux sites, les personnels de l’Administration, le personnel des prestataires en charge de l’intégration et de l’infogérance des sites Internet.

Les fonctionnalités associées au présent traitement sont :

-  diffuser, au travers d’un ensemble de sites internet, toute information relative à l’action du Gouvernement ou de ses services, aux représentations diplomatiques, à l’organisation administrative, aux institutions, aux démarches administratives ou à des opérations de communication du Gouvernement Princier ;

-  diffuser toute information utile à l’usager concernant des démarches administratives ;

-  diffuser les communiqués de presse, les communiqués administratifs et des actualités publiées par la Direction de la Communication ;

-  diffuser les organigrammes, coordonnées et points de contact ;

-  diffuser des annuaires de services administratifs, d’organisations publiques et privées ;

-  permettre aux administrés d’entrer en contact électroniquement avec des entités de l’Administration du Gouvernement, au moyen de formulaires de contact et d’effectuer des demandes d’informations auprès des services concernés, des demandes d’inscription à des activités proposées par le Gouvernement Princier ou des demandes de rappel par des services de l’État ;

-  permettre aux usagers de s’inscrire via un lien externe aux lettres d’informations de l’Administration et après souscription volontaire de l’usager (pas de collecte directe des données sur les sites) ;

-  recueillir des avis et opinions des usagers au moyen de sondages anonymes et les traiter ;

-  afficher des informations détaillées sur les rôles, missions, coordonnées et identité des personnels du Gouvernement Princier ;

-  rediriger les usagers vers des démarches et services en lignes indépendants des sites objets de la présente déclaration.

La Commission prend par ailleurs acte que « certains sites proposent, à la demande du Service Métier, une utilisation spécifique des formulaires. Aujourd’hui deux plateformes utilisent des formulaires spécifiques s’intégrant à la présente déclaration. Les deux formulaires spécifiques ci-après feront l’objet d’une demande d’avis distincte ».

En outre, « chaque site traitant des données sensibles fera nécessairement l’objet d’une demande d’avis distincte du présent traitement ». 

La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement

Le présent traitement est justifié par le consentement des personnes concernées ainsi que par un motif d’intérêt public.

À l’étude du dossier, il appert que celui-ci est également justifié par la réalisation d’un intérêt légitime.

Le responsable de traitement précise à cet égard que les formulaires de contact et de participation à une activité ou de demande de rappel « sont accessibles uniquement après le consentement de l’intéressé ».

En outre, le responsable de traitement indique que « le traitement permet à l’Administration d’assurer la cohérence d’ensemble du paysage en ligne de l’Administration, incluant les services en ligne et les sites internet, de mettre à disposition des usagers sur internet une documentation administrative complète et de les informer sur les démarches à accomplir ». De plus, « la mise à disposition et le développement de sites Internet d’information au public permet aux services exécutifs du Gouvernement concernés, d’exercer, de manière pertinente et appropriée, la mission dont ils sont investis ».

Il est également précisé que les sondages et statistiques de consultation seront traités, par la Direction des Services Numériques, « afin de remplir sa mission d’identifier et d’analyser les attentes des usagers en matière de procédures, d’informations administratives », conformément aux dispositions de l’Ordonnance Souveraine n° 7.995, susvisée.

Enfin, « la communication au travers de sites internet permet la réalisation d’un intérêt légitime pour l’Administration puisque le présent traitement a pour objectif une meilleure information du public ».

Au regard de ce qui précède, la Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165, modifiée.

III. Sur les informations nominatives traitées

Les informations nominatives traitées sont :

-  identité :

   Informations publiques diffusées sur les sites internet (personnel de l’Administration) : nom, prénom, civilité nom d’usage ;

   Formulaire de contact (internaute) : nom, prénom, civilité ;

   Authentification pour accéder au back-office, contributeur au back-office (personnel de l’Administration) : nom, prénom ;

-  adresses et coordonnées : Formulaire de contact (internaute) numéro de téléphone (facultatif), adresse email ;

-  formation-diplômes, vie professionnelle : informations publiques diffusées sur les sites internet (personnel de l’Administration) : parcours des hauts fonctionnaires et personnalités du Gouvernement, portraits de personnalités ;

-  données d’identification électronique : formulaire de contact (internaute) : ID de la demande enregistrée en back-office ;

   Authentification pour accéder au back-office, contributeur back-office : adresse email, ID d’authentification, adresse IP, mot de passe crypté ;

-  informations temporelles : compte contributeur en back-office : date et heure de création d’un compte, date et heure de modification d’un compte ;

   Système : logs système ;

   Dans le cadre de la traçabilité des connexions en back-office (contributeur), personnel de l’administration : données d’horodatage ;

   Dans le cadre de la traçabilité des modifications de contenus via le back-office (contributeur), personnel de l’administration : logs (nom, prénom, données d’horodatage) ;

-  formulaire de contact (autres données) : type de requête, message de l’usager ;

-  données issues du widget Friendly Captcha : données relatives à l’entête de la requête HTTP notamment sur le navigateur de l’utilisateur, origine et site internet référent, date et heure de la requête, version du widget utilisé, ID du compte administration du site web de l’Administration, valeur de hachage (cryptage à sens unique) de l’adresse IP entrante (l’adresse IP n’est pas prise en compte, seule la valeur de hachage est enregistrée), nombre de demandes provenant de l’adresse IP (hachée) par période, réponse au problème arithmétique résolu sur l’ordinateur du visiteur ;

-  back-office Friendly Captcha : logs du personnel de l’Administration, adresse IP et adresse email du personnel de l’Administration.

Les informations relatives à l’internaute collectées par le biais du formulaire de contact (identité, adresse et coordonnées, message de l’usager) ont pour origine la personne concernée.

En outre, les informations publiques diffusées sur les sites Internet relatives au personnel de l’Administration (identité, formation-vie professionnelle) sont saisies par le référent de l’entité concernée ou la Direction des Systèmes Numériques sur demande écrite de l’entité au travers du back-office de contribution pour un affichage en FrontOffice du site (ex. organigrammes).

Par ailleurs, les informations concernant l’authentification pour accéder au back-office, contributeur au back-office (identité et données d’identification électronique) sont issues d’une interconnexion avec le traitement légalement mis en œuvre « Gestion centralisée des accès aux applications du SI ».

Enfin, l’ID de la demande enregistrée dans le back-office pour les formulaires de contact, les informations temporelles, les données issues du widget Friendly Captcha ainsi que celles relatives au back-office Friendly Captcha proviennent du système.

La Commission considère que les informations ainsi collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément à l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.

IV.   Sur les droits des personnes concernées

*   Sur l’information préalable des personnes concernées

L’information préalable des personnes concernées est réalisée par le biais d’une mention particulière intégrée dans un document d’ordre général accessible en ligne, à savoir les mentions légales et les conditions générales d’utilisation.

À la lecture du document joint au dossier de la présente demande d’avis, la Commission considère que l’information est conforme à l’article 14 de la loi n° 1.165.

Elle rappelle toutefois que rappelle que l’ensemble des personnes ayant accès au présent traitement doit également bénéficier d’une information préalable.

*  Sur l’exercice du droit d’accès

Le droit d’accès est exercé par la personne concernée, auprès de la Délégation Interministérielle chargée de la Transition Numérique, par voie postale ou par le biais d’un formulaire de contact en ligne adressé à « mesdonnees@gouv.mc ».

La Commission rappelle que la réponse à ce droit d’accès doit intervenir dans le mois suivant la réception de la demande.

Sous cette réserve, elle constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993, modifiée.

V. Sur les destinataires et les personnes ayant accès au traitement

*  Sur les destinataires

Le responsable de traitement précise que certaines informations liées aux formulaires de contact sont susceptibles d’être communiquées aux Services habilités du Gouvernement.

La Commission constate que de telles transmissions sont conformes aux exigences légales.

*   Sur les personnes ayant accès au traitement

Le responsable de traitement indique qu’ont accès au présent traitement :

-  le personnel de l’Administration (Directions de l’Administration ayant un site internet) : création de nouveaux contenus, modification de contenus existants, suppression et validation de contenus avant publication, traitement des données de sondages anonymes/formulaires ;

-  le personnel de la Direction des Services Numériques : Administration fonctionnelle et technique de tous les sites du Gouvernement Princier : contribution de contenus, création / modification / suppression de contenus, gestion des rôles, paramétrage de la plateforme, test et recette, gestion des formulaires et sondages et exploitation des soumissions ;

-  le personnel de la Direction des Systèmes d’Information et tiers intervenant pour son compte (interventions dans le cadre des missions de maintenance, développement des applicatifs nécessaires au fonctionnement et à la sécurité des sites et du système d’information de l’État) : tous droits et accès aux données techniques nécessaires à l’exécution de leurs missions liées à la maintenance de l’infrastructure ;

-  le personnel de l’éditeur : tous droits pour la TMA ;

-  le personnel de l’infogérant : tous droits pour l’infogérance de l’infrastructure.

Considérant les attributions de chacune de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.

En ce qui concerne l’éditeur et l’infogérant, la Commission rappelle toutefois que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, leurs droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de services. De plus, ces derniers sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.

VI.   Sur les rapprochements et interconnexions

Le responsable de traitement indique que le présent traitement fait l’objet d’interconnexions avec les traitements, légalement mis en œuvre, ayant pour finalité respective « Gestion des habilitations et des accès au Système d’information », « Gestion et analyse des évènements du Système d’information », « Gestion centralisée des accès aux applications du Système d’information » et « Gestion des accès à distance au Système d’information ».

Il fait également l’objet de rapprochements avec les traitements « Gestion de la messagerie professionnelle » et « Assistance aux utilisateurs par le Centre de services de la DSI », légalement mis en œuvre.

En outre, le responsable de traitement précise, s’agissant de la lettre d’informations, que « L’usager clique sur le lien d’inscription à la newsletter et sera renvoyé directement vers la plateforme d’emailing du Gouvernement (dossier en cours d’élaboration) ».

À cet égard, la Commission rappelle que toute interconnexion ou rapprochement ne peut avoir lieu qu’entre des traitements légalement mis en œuvre et demande que ce dernier lui soit soumis dans les plus brefs délais.

Sous cette réserve, elle estime que ces interconnexions sont conformes aux exigences légales.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.

Cependant, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement, au regard des risques présentés par ce traitement et de la nature des données à protéger, devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Le responsable de traitement indique que les informations collectées par le biais du formulaire de contact (identité de l’internaute, adresse et coordonnées, ID de la demande enregistrée en back-office, type de requête et message de l’usager) sont conservées 5 ans à compter de la demande.

À cet égard, la Commission considère que les données collectées via ledit formulaire devraient être conservées, le temps du traitement de la demande par le personnel de l’Administration du Service métier concerné ou en lien avec la finalité du formulaire contact dont s’agit, par exemple, 3 ans pour l’exercice d’un droit d’accès. Elle fixe donc en conséquence la durée de conservation des informations collectées.

En outre, les informations publiques diffusées sur les sites internet concernant les personnels de l’Administration (identité, formation-vie professionnelle) le sont, tant que l’information est valide.

Les informations relatives au contributeur au back-office (identité et données d’identification électronique dans le cadre de l’authentification pour accéder au back-office) sont conservées tant que le compte de l’utilisateur est activé sur le back-office concerné. La date et l’heure de création d’un compte contributeur en back-office ainsi que la date et l’heure de modification d’un compte sont conservées tant que le compte du contributeur en back-office est actif.

Par ailleurs, les logs système sont supprimés à l’issue d’un délai d’un mois, les informations temporelles relatives à la traçabilité des connexions en back-office (données d’horodatage) sont conservées 3 mois glissants et celles concernant la traçabilité des modifications de contenus via le back-office (logs) 12 mois glissants.

Enfin, il est précisé s’agissant des données issues du widget Friendly Captcha, que « les adresses IP ne sont stockées que sous forme hachées. Les données d’utilisation personnelles sont supprimées dans un délai de 30 jours. Le widget n’installe pas de cookies sur l’ordinateur du visiteur ». De même, concernant le back-office Friendly Captcha « les données des utilisateurs de l’Administration sont stockées dans la base de données sous forme chiffrée. Les adresses IP entrantes des utilisateurs de l’Administration sont uniquement sauvegardées par Friendly Captcha sous forme hachée en utilisant un chiffrage à sens unique ».

Sous réserve de ce qui précède, la Commission relève que ces délais sont conformes aux exigences légales.

Après en avoir délibéré, la Commission :

Rappelle que :

-  l’ensemble des personnes ayant accès au présent traitement doit bénéficier d’une information préalable ;

-  la réponse à un droit d’accès doit intervenir dans le mois suivant la réception de la demande ;

-  les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switch, routeurs, pares-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

Fixe la durée de conservation des informations collectées par le biais du formulaire contact le temps du traitement de la demande par le personnel de l’Administration du Service métier concerné, ou en lien avec la finalité du formulaire contact dont s’agit, par exemple 3 ans pour l’exercice d’un droit d’accès.

Demande que le traitement relatif à la plateforme d’emailing du Gouvernement lui soit soumis dans les plus brefs délais.

À la condition de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des sites internet du Gouvernement Princier de Monaco ».

Le Président de la Commission de
Contrôle des Informations Nominatives.

Print article
Previous article Return to summary Next article

All rights reserved - Monaco 2016
Version 2018.11.07.14