Délibération n° 2023-110 du 19 juillet 2023 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion de l'attribution des locaux professionnels domaniaux » exploité par l'Administration des Domaines présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 6.317 du 20 mars 2017 portant création de l'Administration des Domaines ;
Vu l'arrêté ministériel n° 2009-638 du 17 décembre 2009 relatif aux conditions d'attribution des locaux domaniaux à usage commercial, de bureau ou d'activité libérale ;
Vu la délibération n° 2023-64 du 19 avril 2023 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre de la modification d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion locative » exploité par l'Administration des Domaines présenté par le Ministre d'État ;
Vu la demande d'avis déposée par le Ministre d'État, le 20 avril 2023, concernant la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité la « Gestion de l'attribution des locaux professionnels domaniaux » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement, le 16 juin 2023, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 19 juillet 2023 portant examen du traitement automatisé susvisé.
La Commission de Contrôle des Informations Nominatives,
Préambule
L'article 1er de l'Ordonnance Souveraine n° 6.317 du 20 mars 2017 portant création de l'Administration des Domaines dispose que « L'Administration des Domaines, instituée au sein du Département des Finances et de l'Économie, est placée sous l'autorité du Conseiller de Gouvernement-Ministre des Finances et de l'Économie ». Cette dernière est chargée, au sein de la Principauté, de la préparation, de la conclusion des baux et de tout autre contrat afférent au domaine de l'État monégasque, ainsi que du recouvrement des loyers, redevances, charges et indemnités qui en résultent.
Au sein de sa délibération n° 2023-64 du 19 avril 2023 portant avis favorable à la mise en œuvre de la modification d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion locative », la Commission avait relevé que « les informations sont susceptibles d'être rapprochées avec le traitement ayant pour finalité « Gestion de l'attribution des locaux commerciaux », afin de disposer des informations des attributaires des locaux pour établir les documents contractuels ad hoc, comme un contrat d'occupation du domaine public ou un bail », celui-ci devant être soumis à formalité légale à brève échéance.
La Commission est ainsi saisie d'une demande d'avis relative audit traitement automatisé d'informations nominatives, conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993, et dont la finalité retenue est désormais la « Gestion de l'attribution des locaux professionnels domaniaux ».
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Gestion de l'attribution des locaux professionnels domaniaux ».
Il concerne « les personnes physiques « rattachées » à la personne morale candidate à l'attribution d'un local ».
Le présent traitement a pour fonctionnalités :
- « L'information aux personnes intéressées à la suite d'un appel à candidature ;
- L'établissement et le suivi des correspondances (papier et dématérialisées) avec les demandeurs : accusé de réception des dossiers, demandes d'informations complémentaires, informations du demandeur sur la réponse à ses demandes ;
- Établissement du dossier (papier) du demandeur ;
- L'analyse des dossiers de demande ;
- L'établissement d'un tableau général reprenant les données nominatives des demandeurs destinés à la Commission d'attribution des locaux ;
- La communication des documents au Département des Finances et de l'Économie pour organisation de la Commission d'attribution des locaux professionnels ;
- L'archivage des dossiers des demandeurs ;
- L'établissement de données anonymes à des fins de statistiques. ».
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par un motif d'intérêt public, ainsi que par la réalisation d'un intérêt légitime qui ne méconnaît ni l'intérêt, ni les droits et libertés fondamentaux de la personne concernée.
À cet égard, la Commission relève que l'article 2 de l'Ordonnance Souveraine n° 6.317 du 20 mars 2017 dispose que « L'Administration des Domaines est chargée : (…)
1°) De la Gestion du patrimoine immobilier de l'État ;
2°) De la préparation et de la conclusion des baux, contrats « habitation-capitalisation », conventions d'occupation et autres contrats afférents au domaine de l'État ; (…)
7°) de la procédure d'attribution des locaux domaniaux à usage commercial, industriel, de bureau et professionnel ; (…) ».
Il est ainsi indiqué qu'il relève ainsi de l'intérêt légitime du responsable de traitement de « mettre en place les actions nécessaires à la gestion du patrimoine immobilier de l'État participant au développement des activités sur le territoire de la Principauté ».
En outre, l'article 2 de l'arrêté ministériel n° 2009-638 du 17 décembre 2009 relatif aux conditions d'attribution des locaux domaniaux à usage commercial, de bureau ou d'activité libérale, dispose qu'« Une candidature peut être présentée par toute personne intéressée au moyen d'un dossier de candidature à retirer auprès de l'Administration des Domaines.
L'appel à candidatures visé à l'article premier du présent arrêté indique :
- la description du local concerné,
- le type d'activité assignée au local,
- la composition du dossier et la liste des éléments que les candidats doivent présenter,
- les modalités d'organisation des visites pour les personnes ayant retiré un dossier,
- la date impérative de remise des dossiers,
- la prise en compte des dossiers sous réserve qu'ils comportent de manière exhaustive l'ensemble des pièces demandées,
- les critères de sélection déterminants. ».
Eu égard à l'ensemble des éléments précités, la Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n°1.165, modifiée.
III. Sur les informations traitées
Les informations nominatives traitées relatives aux demandeurs sont :
- identité : civilité, nom patronymique, prénom, nom usuel, date de naissance, nationalité ;
- situation de famille : marié, veuf, célibataire, vie maritale (concubinage, contrat de vie commune ou PACS) ;
- adresses et coordonnées : adresse, coordonnées téléphoniques, email ;
- vie professionnelle : curriculum vitae, formation/diplômes, expériences professionnelles ;
- activité économique existante ou envisagée : description de l'activité, forme juridique, type de structure, numéro RCI ou mention de non-inscription au RCI, capital social, pour activité existante chiffre d'affaires des 4 dernières années, chiffre d'affaires et TVA prévisionnels sur 3 années à venir ;
- éléments relatifs au transfert d'activité (le cas échéant) ou à l'extension de l'activité : adresse du local de l'activité, superficie, loyer mensuel, effectif employé (actuel/à venir) ;
- suivi des demandes : dates et locaux des demandes antérieures, échanges entre le demandeur et l'ADOM.
Les informations nominatives traitées relatives aux associés, actionnaires, membres du Conseil d'administration sont :
- identité : nom, prénom, nationalité ;
- fonction dans la structure : fonction ;
- caractéristiques financières : répartition du capital social.
Il est indiqué que « les informations sont communiquées à l'Administration des domaines par le demandeur par le biais :
a. Du formulaire de candidature signé par le demandeur, et, le cas échéant par l'ensemble des associés, et des justificatifs papiers intégrés au dossier, justificatifs listés en annexe des dossiers de candidature lettre de candidature, copie de la carte d'identité, des curriculums vitae, extraits du casier judiciaire de moins de 3 mois, de l'exploitant en nom propre ou de l'ensemble des gérants ou administrateur de la société, bilan prévisionnel sur 3 ans ;
b. En cas d'exploitation de l'activité en nom personnel, attestation sur l'honneur des revenus obtenus au cours des quatre dernières années d'une éventuelle activité similaire exercée en nom personnel ; Extrait du Registre du Commerce et de l'industrie de la Principauté de Monaco datant de moins d'un mois à la date du dépôt de la présente candidature ;
c. En cas d'exploitation de l'activité envisagée par une personne morale existante : Extrait du Registre du Commerce et de l'Industrie de la Principauté de Monaco datant de moins d'un mois à la date du dépôt de la présente candidature ; Copie des statuts et de tout éventuel avenant ; Quatre derniers bilans comptables ;
d. En cas de création d'une société : Projet des statuts de la personne morale. ».
La Commission relève des pièces du dossier que sont également collectés les CVs, carte d'identité et extraits de casiers judiciaires « de l'exploitant en nom propre ou de l'ensemble des gérants ou administrateurs de la société ».
Elle rappelle qu'en application de l'article 10-1 de la loi n° 1.165, les informations nominatives doivent être « adéquates, pertinentes et non excessives au regard de la finalité pour laquelle elles sont collectées » et s'est ainsi interrogée sur la pertinence des informations nominatives susvisées.
Par complément d'information, le responsable de traitement indique :
- En ce qui concerne le CV et cursus professionnel : « ces éléments sont essentiels pour l'Administration des Domaines dans la mesure où ils permettent de justifier des compétences du ou des candidat(s) dans le domaine d'activité sollicité en vue de l'attribution d'un local domanial, permettant en principe d'assurer la pérennité de l'activité, la garantie du paiement des loyers et charges par le futur attributaire du local mis à disposition, sa bonne exploitation et gestion. Il est à noter qu'il s'agit d'un des critères retenus dans l'appel à candidatures dans le choix de sélection du candidat. ».
- En ce qui concerne la situation de famille, qu'« il est d'usage dans les formulaires administratifs de solliciter cette précision. ».
- En ce qui concerne le casier judiciaire, que « la présentation de ce document est nécessaire notamment lorsque l'entité juridique au travers de laquelle le candidat souhaite exercer une activité au sein du local domanial mis en location n'est pas encore constituée et n'a pas reçu les autorisations administratives d'exercer en Principauté, dès lors que le choix du candidat est majoritairement fait en amont de la demande d'autorisation d'exercer », tout en précisant que « Concernant la conservation de ce document, il peut effectivement être numérisé si le dossier de candidature est remis dans un format qui le permet, et de manière générale, il est conservé dans le dossier physique, lequel est archivé à l'issue de la procédure de sélection. ».
Aussi, la Commission entend la justification de l'ADOM relativement à la collecte des CVs. Toutefois, elle estime que les précisions relatives à la situation de famille ne sont pas de nature à justifier la collecte des données concernées. La Commission demande donc à ce qu'il ne soit plus procédé à leur collecte.
Par ailleurs, la conservation des casiers judiciaires ne saurait être étendue au-delà du temps de leur vérification, étant précisé que leur collecte ne peut concerner que les dirigeants qui ont la capacité de représenter la société. La Commission demande donc à ce que la collecte se limite à ces seules personnes.
Enfin, concernant la carte d'identité, la Commission demande à ce que la copie soit supprimée dès les vérifications effectuées et les informations pertinentes qu'elle contient collectées.
Sous réserve de la prise en compte de ce qui précède la Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives », au regard de la finalité du traitement, conformément à l'article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.
IV. Sur les droits des personnes concernées
ã Sur l'information préalable des personnes concernées
Les personnes concernées sont informées par le biais d'une mention sur le document de collecte que doit remplir le pétitionnaire. Ce dernier est invité à informer les personnes qu'il renseigne dans ses communications d'informations avec l'Administration des domaines de l'existence du présent traitement et de leurs droits.
À cet égard, il est précisé que les usagers sont également informés par la rubrique « protection des droits et médiation » du site Internet du Gouvernement et l'adjonction du présent traitement dans ceux exploités par l'Administration des domaines.
La mention d'information portée de manière individuelle et directe aux pétitionnaires Commission étant jointe au dossier, la Commission constate qu'elle est conforme aux dispositions de l'article 14 de la loi n° 1.165, précitée, à l'exception de la communication de leurs informations au Ministre d'État et aux membres de la Commission consultative, composée de l'Administrateur des Domaines, du Directeur du Développement Économique, du Directeur des Services Fiscaux, du Président du Conseil National, du Président de la Commission des Finances et de l'Économie Nationale du Conseil National, et du Président de l'Union des Commerçants et Artisans de Monaco.
Enfin, concernant les Agents il est précisé que l'Administration des domaines « informera ses agents par une notice interne qui sera diffusée une fois l'avis de la CCIN émis sur le traitement en objet », note interne qui est jointe au dossier dans la version en vigueur pour les autres traitements de l'ADOM. La Commission rappelle que l'intégration du présent traitement au sein de la note interne devra également comprendre toutes les mentions de l'article 14 de la loi n° 1.165 et que les agents devront être informés de la mise à jour du document.
ã Sur l'exercice du droit d'accès
Le droit d'accès est exercé auprès de l'Administration des domaines par voie postale ou par courrier électronique.
S'agissant de l'exercice du droit d'accès par voie électronique, la Commission rappelle qu'une procédure doit être mise en place afin que le responsable de traitement puisse s'assurer, en cas de doute sur l'identité de la personne à l'origine du courriel, qu'il s'agisse effectivement de la personne concernée par les informations.
Sous cette réserve, la Commission constate que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
ã Sur les destinataires
Le responsable de traitement indique que les informations sont communiquées au Département des Finances et de l'Économie qui adresse les documents aux membres de la Commission Consultative prévue à l'article 3 de l'arrêté ministériel n° 2009-638 du 17 décembre 2009 relatif aux conditions d'attribution des locaux domaniaux à usage commercial, de bureau ou d'activité libérale.
ã Sur les personnes ayant accès
Il est indiqué que peuvent avoir accès au traitement :
- les personnels de l'Administration des Domaines (ADOM) : tous droits ;
- les personnels de la Direction de systèmes d'information : accès techniques considérant les missions MCS et MCO et les attributions de la DSI ;
En ce qui concerne le prestataire de services, la Commission rappelle que, conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, les droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de son contrat de prestation de services. De plus, ce dernier est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission considère que ces accès sont justifiés.
VI. Sur les interconnexions
Le responsable de traitement indique que le présent traitement fait l'objet d'une interconnexion avec le traitement légalement mis en œuvre ayant pour finalité la « Gestion des habilitations et des accès au système d'information », afin de permettre aux utilisateurs de disposer des accès à leur environnement de travail.
Il est également rapproché avec les traitements légalement mis en œuvre suivants :
- « Gestion de la messagerie professionnelle », afin de permettre aux acteurs du traitement de pouvoir échanger, d'afficher et de synchroniser les calendriers, de gérer les contacts si l'utilisateur a paramétré ces options ;
- « Assistance aux utilisateurs par le Centre de Service de la DSI », afin de permettre à l'ADOM de gérer les accès au traitement, de demander la création d'un accès au répertoire où sont stockés les documents dans le cadre des procédures de gestion des compte ou toute assistance dans le quotidien des agents ;
- « Gestion locative », afin de disposer des données permettant d'élaborer le bail et documents associés dans le prolongement de l'attribution du local.
Il est outre précisé « Pour l'heure, les dossiers sont papier. L'ADOM a en projet de mettre en place une procédure pour des dossiers numérisés. Alors les outils de partage sécurisé de document et les outils collaboratifs mis à disposition de l'Administration seront utilisés par l'ADOM conformément aux règles fixées par l'Administration ».
Ainsi, le présent traitement a vocation à être rapproché avec les traitements suivants, légalement mis en œuvre :
- « Gestion des outils de communication collaborative » de la Direction des Systèmes d'Information ;
- « Gestion d'un outil de partage de documents sécurisés avec des partenaires internes et externes à l'administration monégasque » du Secrétariat Général du Gouvernement.
La Commission considère que ces interconnexions et ces rapprochements sont conformes aux exigences légales.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation particulière.
Cependant, il convient de préciser que les communications d'informations doivent être sécurisées en tenant compte de la nature des informations transmises.
En outre, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
La Commission rappelle néanmoins que, conformément à l'article 17 de la loi n°1.165 modifiée, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement, au regard des risques présentés par ce traitement et de la nature des données à protéger, devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII. Sur la durée de conservation
Il est indiqué que les informations sont conservées :
- Si la demande est satisfaite, en conformité avec le traitement ayant pour finalité la « Gestion locative » pour les données d'état civil et de profession, étant précisé que le « dossier est conservé tant que le pétitionnaire est locataire du local » ;
- Si la demande n'est pas satisfaite, 5 ans « dans le cadre du délai de prescription civil, permettant à l'ADOM de répondre, le cas échéant, à des demandes en cas de recours contre la décision ou toutes demandes des autorités compétentes dans le cadre missions qui leurs sont légalement conférées ».
La Commission relève que ces délais sont conformes aux exigences légales sous réserve des éléments mentionnés au point III de la présente délibération. Elle relève de plus que les informations collectées concernent potentiellement de nombreuses personnes physiques (tous gérants, membres du conseil d'administration) qui peuvent au fil des années ne plus faire partie des sociétés ayant formulées une demande de bail. La Commission demande donc à ce que l'ADOM veille à ne maintenir que des informations pertinentes dans ses dossiers.
Après en avoir délibéré, la Commission :
Lève la demande formulée au sein de sa délibération n° 2023‑64 du 19 avril 2023, le traitement relatif à l'attribution des locaux à usages commerciaux et professionnels ayant été soumis à la présente formalité légale.
Rappelle que :
- une procédure relative au droit d'accès par voie électronique doit être mise en place afin que le responsable de traitement puisse s'assurer , en cas de doute sur l'identité de la personne à l'origine du courriel, qu'il s'agisse effectivement de la personne concernée par les informations ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switch, routeurs, pares-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
- les communications d'informations doivent être sécurisées en tenant compte de la nature des informations transmises.
Demande :
- qu'il ne soit plus procédé à la collecte des informations relatives à la situation de famille ainsi qu'aux casiers judiciaires des personnes qui n'ont pas la capacité de représenter la société ;
- que la copie du casier judiciaire soit supprimée dès les vérifications effectuées ;
- que la copie de la carte d'identité soit supprimée dès les vérifications effectuées et les informations pertinentes collectées ;
- que ne soient conservées que des informations nominatives pertinentes eu égard au professionnel ayant souscrit un bail, notamment en ce qui concerne les personnes physiques ayant perdu leur qualité de gérant ou membre du Conseil d'administration ;
- que les personnes concernées soient informées de la communication de leurs informations au Ministre d'État et aux membres de la Commission consultative ;
- que l'intégration de la mention d'information relative au présent traitement au sein de la note interne soit conforme à l'article 14 de la loi n° 1.165 et que les agents soient informés de la mise à jour du document.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État, du traitement automatisé d'informations nominatives ayant pour finalité « Gestion de l'attribution des locaux professionnels domaniaux ».
Le Président de la Commission de Contrôle des Informations Nominatives.