Délibération n° 2023-107 du 19 juillet 2023 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Permettre au personnel de l'Administration la gestion des remontées usagers effectuées depuis l'Application Your Monaco » dénommé « Urban Report » exploité par la Direction des Services Numériques présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 7.013 du 20 juillet 2018 portant création de la Direction du Développement des Usages Numériques ;
Vu l'Ordonnance Souveraine n° 7.995 du 12 mars 2020 portant création de la Direction des Services Numériques ;
Vu l'Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l'Administration et l'administré ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la délibération n° 2019-205 du 18 décembre 2019 de la Commission de Contrôle des Informations Nominatives portant avis favorable sur la demande présentée par le Ministre d'État relative à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Mise à disposition des usagers d'une application permettant le signalement de nuisances urbaines pour transmission aux Directions de l'Administration concernées » de la Direction du Développement des Usages Numériques ;
Vu la demande d'avis déposée par le Ministre d'État, le 20 avril 2023, concernant la mise en œuvre d'un traitement automatisé ayant pour finalité la « permettre au personnel de l'Administration la gestion des remontées usagers effectuées depuis l'Application Your Monaco » exploité par la Direction des Services Numériques ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 16 juin 2023, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 19 juillet 2023 portant examen du traitement automatisé susvisé.
La Commission de Contrôle des Informations Nominatives,
Préambule
Par délibération n° 2019-205 en date du 18 décembre 2019, la Commission a émis un avis favorable à la mise en œuvre d'un traitement automatisé ayant pour finalité la « Mise à disposition des usagers d'une application permettant le signalement de nuisances urbaines pour transmission aux Directions de l'Administration concernées » dénommé « Urban Report ».
Cette application avait pour objectif de faciliter le dialogue avec les usagers et d'améliorer la qualité de vie en Principauté en permettant de recueillir des signalements urbains tels que du mobilier détérioré, signalements de nuisances ou encore de remontées positives.
Le Gouvernement souhaite désormais arrêter l'exploitation de cette application et gérer les remontées d'informations des usagers (observations, idées, sondage) par le biais du module « s'exprimer » de l'application Your Monaco, avec un back office dédié auxdits signalements.
Ainsi, le traitement y relatif est soumis à l'avis de la Commission, conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Permettre au personnel de l'Administration la gestion des remontées usagers effectuées depuis l'application Your Monaco ».
Il concerne les usagers utilisant le module « s'exprimer » de l'application désirant faire un signalement, le personnel habilité de l'Administration ainsi que le personnel habilité du prestataire éditeur.
Les fonctionnalités associées au présent traitement concernant le Back Office de l'application « Urban Report » sont les suivantes :
- recueillir les observations et les idées des usagers ;
- traitement des observations et idées : la DSN affecte les remontées aux Services compétents et ces derniers répondent à l'usager ;
- modérer le contenu déposé par les usagers : bloquer les utilisateurs de l'application Your Monaco ne respectant pas les règles d'usage de l'application lors de la création d'une observation ou idée (pendant une durée de 30 jours) ;
- création des sondages à destination de l'application Your Monaco ;
- collecte des résultats des sondages anonymisés.
Il convient également de relever que l'affectation d'un signalement donné au métier de l'Administration compétent pour son traitement est effectuée par les personnels habilités sur le back office de l'application. Un personnel du métier concerné est alors désigné par la création d'un compte sur l'application.
Par ailleurs, la Commission constate qu'une géolocalisation du terminal (opt-in) est possible à condition que l'usager y consente dès la première utilisation de l'application, le cas échéant en auto-complétion d'une adresse, d'une géolocalisation ou encore par l'indication d'un emplacement sur une carte.
De plus, le responsable de traitement indique que ces informations se retrouvent dans l'outil Urban Report dans les colonnes « address », « city », « location.coordinates.0 », « location.coordinates.1 ».
Enfin, il est indiqué que les informations de localisation d'un signalement sont reliées à l'ID technique, pseudonymisé, qui est purgé au bout de trois mois.
La Commission constate que la finalité du présent traitement est « déterminée, explicite et légitime » conformément aux termes de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par la réalisation d'un intérêt légitime, sans que ne soient méconnus ni l'intérêt, ni les droits et libertés fondamentaux de la personne concernée, et par le consentement de cette dernière.
Il est indiqué que l'application Your Monaco ne permet pas la création de compte usager et donc d'identifier directement les usagers qui l'utilisent. Ainsi, l'identifiant technique généré par le Front Office de l'application Your Monaco permet une collecte des observations et des idées sous forme pseudonymisée.
Il est en outre précisé que « la solution Urban Report permettra aux services métiers d'organiser, de traiter et de piloter le suivi des actions (prise en charge du traitement des signalements effectués par les usagers de l'application mobile, supervision des contrôles chantiers, liés ou pas aux signalements et idées des usagers ».
La Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Le responsable de traitement indique que les informations nominatives traitées sont :
En ce qui concerne l'usager :
- données d'identification électronique : usager ayant utilisé le module « s'exprimer » de l'application Your Monaco, identifiant technique pseudonymisé ;
- données de signalement : description de l'idée, photo ou vidéo de l'idée, localisation de l'observation, type d'observation, photo de l'observation, réponse de l'usager au sondage (anonymisée) ;
- traçabilité de toutes personnes connectées : identifiants, horodatage.
En ce qui concerne les personnels habilités :
- identité : nom, prénom, email professionnel, rôle, Direction.
Les informations relatives aux remontées des usagers proviennent de l'application Your Monaco.
Enfin, les autres données sont générées par le système back office.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
IV. Sur les droits des personnes concernées
ã Sur l'information préalable des personnes concernées
L'information préalable des personnels habilités de l'Administration est effectuée par le biais d'un email délivré préalablement à leur enrôlement dans le back office et à la première connexion, et dont la mention est jointe au dossier.
Après analyse, la Commission constate que cette dernière est conforme aux dispositions de l'article 14 de la loi n° 1.165.
Elle note par ailleurs que les règles d'usage de l'application sont portées à l'attention des usagers par le biais des Conditions Générales d'Utilisation, qui ne sont pas jointes au dossier.
La Commission rappelle donc, comme indiqué dans sa délibération n° 2019-205, susmentionnée, qu'eu égard à la nature particulière du traitement (photos et commentaires), il soit expressément indiqué aux usagers au sein des CGUs de ne pas communiquer d'informations nominatives relatives à des tiers, le traitement dont s'agit ne devant pas se transformer en un outil de délation.
ã Sur l'exercice du droit d'accès, de modification et de mise à jour
Le droit d'accès est exercé par la personne concernée auprès de la Délégation Interministérielle chargée de la Transition Numérique, par courrier électronique ou par le bais d'un formulaire de contact en ligne « Contacter la cellule protection des données de la DITN ».
À cet égard, la Commission rappelle que la réponse à ce droit d'accès doit s'exercer dans le mois suivant la réception de la demande.
S'agissant de l'exercice du droit d'accès par voie électronique, la Commission rappelle qu'une procédure doit être mise en place afin que le responsable de traitement puisse s'assurer, en cas de doute sur l'identité de la personne à l'origine du courriel, qu'il s'agisse effectivement de la personne concernée par les informations.
À ce titre, elle précise que si une copie d'un document d'identité était demandée, la transmission et le traitement de ce document devront faire l'objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d'identité officiels.
Sous cette réserve, elle constate que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n°1.165 du 23 décembre 1993, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
Le responsable de traitement indique qu'aucune communication autre que l'envoi des signalements aux services métiers concernés n'est effectuée.
Les accès sont en outre définis comme suit :
- Direction des Systèmes d'Information : accès à la partie système uniquement ;
- Direction des Services Numériques : tous droits ;
- Département de l'Équipement, de l'Environnement et de l'Urbanisme : Tous les droits selon le rôle attribué : « Responsable » pour la gestion des observations ou « Acteur » pour le traitement des messages par les équipes métier ;
- le personnel du prestataire éditeur : tous droits dans le cadre de l'administration de la solution.
En ce qui concerne le prestataire éditeur, la Commission rappelle toutefois que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, leurs droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de leur contrat de prestation de services. De plus, ces derniers sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission considère que ces accès sont justifiés au regard du traitement.
VI. Sur les rapprochements et les interconnexions avec d'autres traitements
Le responsable de traitement indique que le traitement est rapproché avec le traitement légalement mis en œuvre ayant pour finalité la « Gestion de la messagerie électronique professionnelle », afin de permettre aux fonctionnaires et agents de l'État, utilisateurs de la solution, de communiquer entre eux et, le cas échéant, de demander la création d'un compte utilisateur sur le back-office Urban Report.
En outre, il fait l'objet d'une interconnexion avec le traitement légalement mis en œuvre ayant pour finalité la « Gestion des accès dédiés au Système d'Information du Gouvernement », afin de permettre l'accès au SI de l'Administrateur par le prestataire éditeur en cas de montées de version, maintenance ou correction d'anomalies.
Enfin, le responsable de traitement indique que le présent traitement est interconnecté avec la « Gestion de l'application mobile Your Monaco », en attente de dépôt, seul le site Internet ayant été soumis à formalité légale.
La Commission relève que c'est à partir du module « s'exprimer » de ladite application que le présent traitement est alimenté. Aussi, elle demande à ce que le traitement ayant pour finalité la « Gestion de l'application mobile Your Monaco » lui soit soumis dans les meilleurs délais.
Sous cette réserve, elle considère que ces interconnexions et ce rapprochement sont conformes aux exigences légales.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
La Commission rappelle enfin que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII. Sur la durée de conservation
Le responsable de traitement indique que les informations relatives aux identifiants techniques des usagers sont supprimées après 3 ans d'inactivité de ce dernier.
En outre, le lien entre l'identifiant technique pseudonymisé de l'usager et les remontées effectuées sur l'application Your Monaco sont conservées 60 jours. À cet égard, il est indiqué que les contenus des remontées sont anonymisés 60 jours après la fermeture d'un signalement ou d'une idée. Cette durée de conservation est similaire pour les informations relatives aux remontées signalées par les usagers utilisant le module « s'exprimer » de l'application Your Monaco qui proviennent du système.
Par ailleurs, les logs système sont supprimés à l'issue d'un délai de trois mois, les informations temporelles relatives à la traçabilité des connexions en back-office (données d'horodatage) sont conservées 5 semaines glissantes et celles concernant la traçabilité des modifications de contenus via le back-office (logs) 30 jours.
Les informations relatives aux personnels de l'Administration sont conservées le temps que le compte est actif.
Sous réserve de ce qui précède, la Commission considère que ces délais sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Rappelle que :
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
- une procédure relative au droit d'accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations.
Demande que :
- les mentions d'informations délivrées aux usagers les enjoignent de ne pas communiquer d'informations nominatives relatives à des tiers, le traitement dont s'agit ne devant pas se transformer en un outil de délation ;
- le traitement ayant pour finalité la « Gestion de l'application mobile Your Monaco » lui soit soumis dans les meilleurs délais.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État, du traitement automatisé d'informations nominatives ayant pour finalité « Permettre au personnel de l'Administration la gestion des remontées usagers effectuées depuis l'Application Your Monaco ».
Le Président de la Commission de Contrôle des Informations Nominatives.