Délibération n° 2023-109 du 19 juillet 2023 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Enregistrement des équipements de surveillance vidéo et audio liés à la mise en sécurité des tunnels et de la voie publique » exploité par le Centre Intégré de Gestion de la Mobilité (CIGM) présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 2.556 du 11 janvier 2010 portant création d'une Direction de l'Aménagement Urbain ;
Vu l'arrêté ministériel n° 2023-242 du 28 avril 2023 relatif aux missions du Centre Intégré de Gestion de la Mobilité ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la demande d'avis déposée par le Ministre d'État, le 26 avril 2023, concernant la mise en œuvre d'un traitement automatisé ayant pour finalité la « Gestion du trafic routier et de la sécurité des usagers » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 23 juin 2023, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 19 juillet 2023 portant examen du traitement automatisé susvisé.
La Commission de Contrôle des Informations Nominatives,
Préambule
Le Centre Intégré de Gestion de la Mobilité, rattaché à la Direction de l'Aménagement Urbain (DAU), souhaite suivre et enregistrer les évènements et incidents intervenants sur le trafic routier et en analyser a posteriori la gestion qui a été faite pour améliorer éventuellement les réponses à apporter dans de tels cas.
Aussi, le Ministre d'État adresse à la Commission le traitement y afférent dont la finalité est la « Gestion du trafic routier et de la sécurité des usagers ».
Ainsi, ce dernier est soumis à l'avis de la Commission, conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Gestion du trafic routier et de la sécurité des usagers ».
Il concerne les usagers de la voie publique, les collaborateurs des services de secours et les agents et fonctionnaires de la DAU.
Les fonctionnalités sont :
- enregistrement des images d'incident dans les tunnels ou aux bornes d'urgence des voies publiques de la Principauté à des fins de gestion de la mise en sécurité des usagers et des personnes travaillant sur la voie publique ;
- enregistrement des échanges vocaux aux bornes de sécurité et d'alerte des tunnels et de la voie publique à des fins de gestion de la mise en sécurité des usagers et des personnes travaillant sur la voie publique ;
- analyse des enregistrements à des fins de compréhension des évènements ayant entrainé un incident/accident ;
- vérification de la qualité des échanges téléphoniques avec les usagers/correspondants du CIGM ;
- début de preuve en cas de différends et/ou de contentieux sur la gestion d'une situation par le CIGM ;
- formation et sensibilisation des opérateurs et des services de l'État ou concessionnaires ;
- établissement de statistiques non nominatives.
La Commission rappelle toutefois que tout traitement d'informations nominatives doit avoir une finalité « déterminée, explicite et légitime » aux termes de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
En l'espèce, la finalité du présent traitement doit être plus explicite en indiquant qu'il s'agit d'enregistrer des vidéos et des appels d'urgence.
Par conséquent, elle modifie la finalité comme suit : « Enregistrement des équipements de surveillance vidéo et audio liés à la mise en sécurité des tunnels et de la voie publique »
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié un motif d'intérêt public et par la réalisation d'un intérêt légitime poursuivi par le responsable de traitement qui ne méconnaît ni l'intérêt, ni les droits et libertés fondamentaux des personnes concernées.
À cet égard le responsable de traitement indique que l'Ordonnance Souveraine n° 2.556 du 11 janvier 2010, modifiée, portant création de la Direction de l'Aménagement Urbain, dispose en son article 2 13) que cette Direction est chargée « d'assurer la surveillance de la circulation et la gestion du trafic grâce à l'exploitation du Centre Intégré de Gestion de la Mobilité dont les missions sont définies par arrêté ministériel ».
Ledit arrêté précise qu'« Aux fins d'assurer la surveillance de la circulation et la gestion du trafic, le Centre Intégré de Gestion de la Mobilité est chargé des missions suivantes :
1) la surveillance 24h/24 de la sécurité et du déclenchement des scénarios de secours dans les tunnels routiers ;
2) l'exploitation et la maintenance 7j/7 des équipements liés à la mobilité et notamment des feux tricolores, des chaînes d'accès, des panneaux à messages variables et des barrières de fermeture des équipements de sécurité dans les tunnels ;
3) l'exploitation des équipements de surveillance liés à la mise en sécurité des tunnels et de la voie publique, tels que notamment la vidéoprotection, l'enregistrement des sources phoniques issues des Bornes d'Appel d'Urgence des tunnels, des contrôles d'accès et des téléphones de secours. ».
De plus, il est indiqué que « les postes du CIGM, hors salle d'exploitation, ne sont pas enregistrés ».
Il est en outre précisé que les images de vidéoprotection urbaine auxquelles a accès le CIGM (tunnels, galeries piétonnes non rattachées au service des parkings publics ou à l'administration des domaines et les locaux techniques des tunnels) sont analysées par un logiciel de Détection Automatique d'Incident (DAI) afin de détecter les situations anormales.
Si le DAI détecte un incident, une alerte est générée et un enregistrement se déclenche 30 secondes avant l'incident et se poursuit 30 secondes après, « soit 1 minute au total ». Il est précisé que « Selon les situations, le CIGM peut également enregistrer les images sur un système complémentaire jusqu'au départ des secours. Ces images serviront notamment au retour d'expérience et à la formation des opérations du CIGM. Elles pourront être le support des captures d'écran permettant d'établir les rapports d'incidents ».
Les images des autres caméras ne sont pas enregistrées, sauf à ce qu'une étude de circulation soit effectuée, le temps de la réaliser. Sont également enregistrées les images des contrôles d'accès des voies semi-piétonnes lorsqu'un usager fait un appel sur les bornes.
La Commission constate que les enregistrements sont ainsi limités aux seules situations nécessitant l'intervention du CIGM et considère donc que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Les informations nominatives traitées sont :
- identité : téléphonie : voix, nom, prénom, société (si mentionnés par l'usager dans l'échange téléphonique), prénom de l'opérateur ; vidéo : visage, démarche, silhouette, plaque d'immatriculation ;
- adresse et coordonnées : numéro des appelants ;
- données d'identification électronique : login, mot de passe ;
- informations temporelles : log de connexion des opérateurs ;
- données techniques sur l'appel : date et durée de l'appel, type de communication, type de réseaux.
Les informations ont pour origine les systèmes d'enregistrement vidéo ou audio, excepté les données d'identification électronique qui relèvent de la DSI.
Il est également précisé que les opérateurs renseignent des fiches de main courante qui ne contiennent pas d'informations nominatives. Elles contiennent un numéro de fiche fixé par incrémentation automatique, lieu, adresse, la date et l'heure de l'incident, les actions réalisées ainsi que des commentaires liés à l'incident.
Si la Commission relève que les fiches ne sont pas sensées revêtir de caractère nominatif, elle rappelle au responsable de traitement qu'il convient dès lors de s'en assurer, notamment en ce que l'adjonction de la rubrique commentaire pourrait permettre d'introduire des données personnelles.
Elle appelle également l'attention quant à la qualité des images annexées auxdits rapports, qui selon les précisions apportées « [les captures d'écran contenues dans les fiches incidents] garantissent l'anonymat des personnes et ne présentent aucune information permettant une reconnaissance (visages non visibles) ».
La Commission demande à ce que cela soit effectivement le cas, numéro de plaques d'immatriculation compris, notamment eu égard aux nombreux destinataires desdites fiches (Conseillers-Ministres des Finances et de l'Économie, de l'Intérieur, du DEEU, des Affaires Sociales et de la Santé, le Directeur, le Directeur Adjoint, un commandant et le Centre de Supervision et de Commandement Opérationnel de la DSP, le Chef de Corps des pompiers, le Chargé de mission et le Conseiller technique du Département des Affaires Sociales et de la Santé).
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
IV. Sur les droits des personnes concernées
â Sur l'information préalable des personnes concernées
L'information préalable des personnes concernées est réalisée à partir d'un affichage et d'une rubrique propre à la protection des données accessible en ligne.
Il est précisé que « l'information des personnes concernées au sens de l'article 14 de la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives est réalisée de manière générale par une notice d'information diffusée sur la rubrique « service public » du site Internet du Gouvernement princier qui reprend les traitements automatisés d'informations nominatives pouvant comporter des informations relatives aux usagers ».
En outre, s'il n'est pas prévu, pour gagner du temps lors des prises en charge d'urgence, d'information par automate téléphonique sur les appels d'urgence, des mentions d'informations sont apposées sur les bornées dédiées à cet effet.
Il est de plus prévu d'insérer ladite mention sur le site du CIGM.
À la lecture de cette dernière, la Commission constate qu'elle est conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.
Elle relève toutefois des informations portées au dossier que les personnes concernées ne sont pas informées que le CIGM procède à des enregistrements audios et vidéo.
Elle demande donc à ce que la mention d'information soit adaptée en ce sens, notamment par l'insertion de la finalité telle que modifiée par la présente délibération, et à ce que le responsable de traitement s'assure que les écriteaux soient déployés dans l'ensemble des zones d'enregistrement concernées.
â Sur l'exercice du droit d'accès, de modification et de mise à jour
Le droit d'accès est exercé par voie postale, auprès de la Direction de l'Aménagement Urbain.
La Commission constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
â Sur les destinataires
La Commission constate que les informations d'identité peuvent être transmises aux autorités impliquées dans la prise en charge de l'incident.
Les éléments de la fiche de main courante sont envoyés aux destinataires mentionnées au point III de la présente délibération.
La Commission relève par ailleurs que les informations peuvent être communiquées aux personnes impliquées dans la gestion d'un éventuel contentieux.
â Sur les personnes ayant accès
Les accès sont définis comme suit :
- Administrateur de la solution (Administration fonctionnelle / support) : gestion des profils, réponse à questions utilisateurs / incidents ;
- les Opérateurs du Centre Intégré de Gestion de la Mobilité : Visualisation des images en temps réel. Extraction des images en cas d'incident. Établissement des rapports (pas d'accès aux enregistrements vocaux) ;
- Responsable du Centre Intégré de Gestion de la Mobilité : Visualisation des images en temps réel. Extraction des images en cas d'incident. Accès aux enregistrements vocaux ;
- Auditeurs : Contrôle la qualité des actions dans le cadre des démarches d'audit, d'homologation et / ou de sécurité ;
- les Opérateurs du Centre Intégré de Gestion de la Mobilité : consultation, modification, maintenance et/ou tous droits, en fonction du niveau d'accès délivré à la personne.
La Commission relève qu'a également tous accès au traitement le personnel de la Direction des Réseaux et Systèmes d'Information (DRSI) ou tiers intervenant pour son compte dans le cadre des missions de maintenance.
En ce qui concerne le prestataire, la Commission rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993 les droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de son contrat de prestation de service. De plus, ledit prestataire est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission considère que ces accès sont justifiés.
VI. Sur les interconnexions
Le présent traitement fait l'objet d'interconnexions avec les traitements légalement mis en œuvre ayant pour finalités respectives :
- « Gestion des habilitations et des accès au Système d'information » ;
- « Mise en œuvre et exploitation du système de vidéoprotection urbaine » mis en œuvre par la Direction de la Sûreté Publique ;
- « Gestion des accès dédiés au système d'information du Gouvernement » ;
- « Gestion et analyse des évènements du système d'information ».
Le traitement est également rapproché du traitement légalement mis en œuvre ayant pour finalité la « Gestion de la messagerie professionnelle ».
La Commission constate que ces interconnexions et ce rapprochement sont conformes aux exigences légales et aux finalités initiales pour lesquelles les informations nominatives ont été collectées.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Cependant, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
En outre, il convient de préciser que la copie ou l'extraction d'informations issues de ce traitement doit être chiffrée sur son support de réception.
La Commission rappelle enfin que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII. Sur la durée de conservation
Les informations relatives à l'identité sont conservées 30 jours, et celles relatives aux adresses et coordonnées et aux données techniques sur l'appel sont conservées 1 mois glissant.
Les données d'identification électronique demeurent tant que l'opérateur est habilité à avoir accès à la solution, et les informations temporelles sont supprimées après 12 mois.
Enfin, les éléments de la fiche de main courante sont conservés 5 ans.
La Commission relève que ce délai est conforme aux exigences légales.
Après en avoir délibéré, la Commission :
Modifie la finalité du traitement par « Enregistrement des équipements de surveillance vidéo et audio liés à la mise en sécurité des tunnels et de la voie publique » ;
Rappelle que :
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
- la copie ou l'extraction d'informations issues de ce traitement doit être chiffrée sur son support de réception.
Demande que :
- les captures d'écran portées dans les fiches de main courante ne contiennent pas de données permettant d'identifier directement ou indirectement des personnes physiques (visages, plaques d'immatriculation, signes distinctifs) ;
- la mention d'information soit adaptée, notamment par l'insertion de la finalité telle que modifiée par la présente délibération, afin que les personnes concernées soient informées des enregistrements audios et vidéo ;
- le responsable de traitement s'assure que les écriteaux soient déployés dans l'ensemble des zones d'enregistrement concernées.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État, du traitement automatisé d'informations nominatives ayant pour finalité « Enregistrement des équipements de surveillance vidéo et audio liés à la mise en sécurité des tunnels et de la voie publique ».
Le Président de la Commission de Contrôle des Informations Nominatives.