Délibération n° 2023-77 du 17 mai 2023 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Demander une restitution de droits acquittés auprès du Service des Titres de Circulation par voie dématérialisée » exploité par le Service des Titres de Circulation présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’Ordonnance Souveraine n° 13.637 du 25 septembre 1998 portant création du Service des Titres de Circulation, modifiée ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la demande d’avis déposée par le Ministre d’État, le 16 février 2023, concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Demander une restitution de droits acquittés auprès du Service des Titres de Circulation par voie dématérialisée » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 14 avril 2023, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 17 mai 2023 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Le Service des Titres de Circulation (STC) est un Service exécutif de l’État, au sens de l’article 44 de la Constitution, placé sous l’autorité du Ministre d’État.
Le responsable de traitement souhaite mettre en place un téléservice permettant aux usagers d’adresser au STC leurs demandes de restitution de droits acquittés, suite à une démarche effectuée auprès de ce service, de manière dématérialisée.
Ainsi, le traitement automatisé d’informations nominatives, objet de la présente demande, est soumis à l’avis de la Commission conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Demander une restitution de droits acquittés auprès du Service des Titres de Circulation par voie dématérialisée ».
Il concerne les agents traitants, les particuliers et les responsables légaux de particuliers, les sociétés ou les mandataires de sociétés.
Le présent traitement a pour fonctionnalités :
- saisie des informations sur le particulier ou la société ;
- saisie des informations sur la facture concernée par la demande de remboursement ;
- saisie des informations sur le compte bancaire du bénéficiaire du remboursement ;
- import des pièces justificatives ;
- annulation d’une déclaration par un usager ou un agent ;
- envoi d’un courriel de confirmation d’enregistrement de la déclaration ;
- envoi d’un courriel de confirmation d’annulation de la déclaration ;
- envoi d’un courriel de confirmation de désinscription à la démarche en ligne ;
- export d’un fichier Excel qui comprend toutes les déclarations et leurs informations anonymisées par les Agents ayant les droits nécessaires pour effectuer ces actions.
Il appert, à l’étude du dossier, que le présent traitement permet également aux usagers d’initier une demande de restitution de droits et de la compléter ultérieurement. La Commission en prend acte.
Le responsable de traitement précise enfin que « la création d’un compte se fait via MonGuichet » et qu’ « un lien vers un questionnaire de satisfaction anonyme est mis à disposition des usagers. Les réponses sont traitées anonymement par la Direction des Services Numériques afin de remplir sa mission conformément à l’Ordonnance Souveraine n° 7.995 du 12 mars 2020 portant création de la Direction des Services Numériques ».
La Commission considère que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par le consentement de la personne concernée ainsi que par un motif d’intérêt public.
Il précise que le consentement de la personne concernée est formalisé par un acte positif clair, matérialisé par le biais d’une case à cocher laquelle mentionne « j’accepte que mes informations soient utilisées exclusivement dans le cadre du téléservice « Demander une restitution de droits acquittés auprès du STC » » ainsi que par l’obligation d’accepter les conditions générales d’utilisation, indispensable pour la création du compte sécurisé et pour l’accès à la démarche en ligne.
En outre, il indique que le présent traitement s’inscrit dans le cadre des missions dévolues au STC en application de l’Ordonnance Souveraine n° 13.637 du 25 septembre 1998 portant création dudit service ainsi que des attributions qui lui sont reconnues au titre de l’Ordonnance Souveraine n° 1.691 du 17 décembre 1957 portant réglementation de la circulation routière.
En toute fin, le responsable de traitement précise que le présent traitement trouve son fondement dans la volonté de l’Administration de simplifier les démarches administratives des administrés en leur permettant de déposer leur déclaration sans se déplacer et sans autre démarche, ce qui s’inscrit dans le cadre de l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré.
La Commission rappelle en ce sens que conformément aux dispositions de l’article 43 alinéa 2 de l’Ordonnance Souveraine susvisée « (…) la création d’un téléservice ne saurait toutefois avoir pour effet de supprimer la possibilité pour l’usager, d’accomplir les démarches, formalités ou paiements qui en sont l’objet par des voies autres qu’électroniques ».
Aussi, elle prend acte de ce qu’ « il est précisé dans les Conditions Générales d’Utilisation du Téléservice que « conformément aux dispositions de l’article 43 de l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré, la création de ce téléservice n’a pas pour effet de supprimer la possibilité pour l’usager d’accomplir la démarche par voie postale ou en se déplaçant au Service des Titres de Circulation » ».
Au regard de ce qui précède, la Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations nominatives traitées sont :
- identité : usager particulier : titre, prénom, nom de naissance, nom d’usage, sexe, téléphone (facultatif) ; usager société : raison sociale, téléphone (facultatif) ; responsable légal ou mandataire de la société : prénom, nom de naissance, nom d’usage, sexe, téléphone (facultatif) ;
- adresses et coordonnées : usager particulier : adresse postale (adresse, code postal, ville, pays) ; usager société : adresse postale (adresse, code postal, ville, pays) ;
- données d’identification électronique : identifiant technique de l’usager ;
- informations temporelles : données d’horodatage ;
- données de connexion : logs de connexion de l’usager, données de messagerie de l’usager ;
- identification de la facture concernée par la demande : numéro et montant de la facture, titulaire de la facture acquittée, statut de la personne qui agit pour le titulaire de la facture acquittée (mandataire, représentant légal, société mandataire), représentant légal de la société (oui/non), statut de la personne qui agit pour la société titulaire de la facture acquittée (mandataire, société mandataire, délégataire de signature) ;
- objet de la demande : motif de la demande de restitution des droits concernés, visite technique/sous-motif, précisions quant à la demande effectuée, numéro d’immatriculation du véhicule, numéro de permis de conduire, numéro de titre professionnel, numéro de registre de l’immatriculation (facultatif) ;
- informations concernant le bénéficiaire du remboursement : statut du bénéficiaire du remboursement, déclaration sur l’honneur, nom de l’établissement bancaire, titulaire du compte, BIC, IBAN ;
- pièces justificatives : RIB du bénéficiaire du remboursement, pièce d’identité du titulaire de la facture acquittée, pièce d’identité du représentant légal de la société titulaire de la facture acquittée, RCI de la société titulaire de la facture acquittée ; pièce d’identité du bénéficiaire du remboursement ; RCI de la société bénéficiaire du remboursement, pièce d’identité du mandataire, RCI de la société mandataire, pièce d’identité du représentant légal de la société mandataire, mandat complété par le titulaire de la facture acquittée, pièce d’identité du représentant légal du titulaire de la facture acquittée, jugement désignant le représentant légal du titulaire de la facture acquittée, autorisation du titulaire de la facture acquittée, pièce d’identité du délégataire de signature ; délégation de signature de la société mandataire, facture acquittée faisant l’objet cette demande de restitution de droits (facultatif).
S’agissant de la collecte de la pièce d’identité la Commission considère, en l’absence de dispositions légales la prévoyant, qu’elle peut être tolérée lors d’opérations à distance, dans les cas où il est nécessaire de s’assurer de l’identité de la personne concernée et qu’il existe un doute raisonnable sur celle-ci. Tel ne devrait notamment pas être le cas lorsqu’une personne s’authentifie par le biais de son identité numérique. En outre cette collecte n’est justifiée que le temps du traitement de la demande de restitution de droits.
La Commission constate que les logs de connexion et les données de messagerie des agents traitant les dossiers sont également collectés par le responsable de traitement et en prend acte.
En outre, il ressort des captures d’écran communiquées par le responsable de traitement l’existence d’une zone de texte libre permettant aux usagers de compléter, le cas échéant, leur demande de restitution.
Les informations collectées ont pour origine la personne concernée ou le tiers agissant pour son compte à l’exception des données d’identification électronique générées par le système et des informations temporelles et données de connexion qui sont issues du système.
Sous réserve de ce qui précède la Commission considère que les informations ainsi collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément à l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.
IV. Sur les droits des personnes concernées
- Sur l’information préalable des personnes concernées
Les personnes concernées sont informées par le biais d’une mention particulière intégrée dans un document d’ordre général accessible en ligne, à savoir les Conditions Générales d’Utilisation du téléservice.
À l’analyse de ce document, la Commission considère que celui-ci est conforme à l’article 14 de la loi n° 1.165 du 23 décembre 1993.
- Sur l’exercice du droit d’accès, de modification et de mise à jour
Le droit d’accès est exercé par la personne concernée auprès du Service des Titres de Circulation par courrier électronique ou par voie postale.
S’agissant de l’exercice du droit d’accès par voie électronique, la Commission rappelle qu’une procédure doit être mise en place afin que le responsable de traitement puisse s’assurer en cas de doute que l’expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.
Sous cette réserve, la Commission constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993, modifiée.
V. Sur les personnes ayant accès au traitement
Le responsable de traitement indique qu’ont accès au traitement :
- Le Service des Titres de Circulation : tous droits ;
- Les personnels administratifs de la Direction des Systèmes d’Information (DSI) ou tiers intervenant pour son compte : dans le cadre des missions de maintenance, développement des applicatifs nécessaires au fonctionnement du site et de sécurité du site et du système d’information de l’État après création d’un ticket pour ouverture des droits ;
- Le personnel de la Direction des Services Numériques (DSN) : dans le cadre d’un rôle d’assistance à maîtrise d’ouvrage, des missions de maintenance, de développement des applicatifs nécessaires au fonctionnement du site et de sécurité du site et du système d’information de l’État.
Le responsable de traitement précise à cet égard que le « rôle de configuration ne donne pas accès aux données des demandes et traitements des demandes ».
En ce qui concerne les tiers intervenant pour le compte de la DSI, la Commission rappelle par ailleurs que, conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, leurs droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de services.
De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission rappelle par ailleurs que les règles d’accès des administrateurs doivent être conformes à celles décrites dans la délibération n° 2021-171 relative à la « Gestion des accès dédiés au Système d’information » afin de permettre la traçabilité et l’imputabilité des actions que ledit traitement assure.
Elle relève enfin que les usagers disposent d’un accès en consultation à leur propre compte et d’une zone de texte libre pour compléter leur demande de restitution.
Sous réserve de ce qui précède, la Commission considère que ces accès sont justifiés.
VI. Sur les interconnexions et rapprochements
Le présent traitement fait l’objet d’interconnexions avec les traitements légalement mis en œuvre ayant pour finalité respective « Gestion du compte permettant aux usagers d’entreprendre et suivre des démarches par téléservices », « Gérer les habilitations des agents et fonctionnaires de l’État aux téléservices », « Gestion des habilitations et des accès au Système d’information », « Gestion et analyse des évènements du Système d’information ».
Le présent traitement est en outre rapproché avec les traitements légalement mis en œuvre ayant pour finalité respective « Assistance aux utilisateurs par le Centre de Services de la DSI », « Gestion de la messagerie professionnelle », « Gestion des permis de conduire valables sur le territoire monégasque » et « Gestion des accès à distance au Système d’information du Gouvernement ».
La Commission considère que ces interconnexions et rapprochements sont conformes aux exigences légales.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
Cependant, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Par ailleurs, la copie ou l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception.
La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement, au regard des risques présentés par ce traitement et de la nature des données à protéger, devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Les données collectées dans le cadre du présent traitement sont conservées 2 ans à compter de la soumission de la demande, à l’exception toutefois des données d’identification électronique et des données de connexion qui sont effacées au bout d’un an et des informations temporelles qui le sont au bout de trois mois.
S’agissant de la pièce d’identité la Commission fixe sa durée de conservation au traitement de la demande de restitution de droits.
Après en avoir délibéré, la Commission :
Rappelle que :
- une procédure relative au droit d’accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s’assurer en cas de doute que l’expéditeur du courriel est effectivement la personne concernée par les informations ;
- la copie ou l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switch, routeurs, pares-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
- les règles d’accès des administrateurs doivent être conformes à celles décrites dans la délibération n° 2021‑171 relative à la « Gestion des accès dédiés au Système d’information » afin de permettre la traçabilité et l’imputabilité des actions que ledit traitement assure.
Considère qu’en l’absence de base légale la prévoyant, la collecte d’une pièce d’identité ne peut être effectuée lors d’opérations à distance que dans les cas où il est nécessaire de s’assurer de l’identité de la personne et qu’il existe un doute raisonnable sur celle-ci.
Fixe la durée de conservation de la pièce d’identité au traitement de la demande de restitution de droits.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, du traitement automatisé d’informations nominatives ayant pour finalité « Demander une restitution de droits acquittés auprès du Service des Titres de Circulation par voie dématérialisée ».
Le Président de la Commission de Contrôle des Informations Nominatives.