icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2024-6 du 17 janvier 2024 de la Commission de Contrôle des Informations Nominatives portant avis favorable mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion de la restauration collective du Corps des Sapeurs-Pompiers » exploité par le Corps des Sapeurs-Pompiers de Monaco, présenté par le Ministre d'État.

  • No. Journal 8680
  • Date of publication 02/02/2024
  • Quality 100%
  • Page no.

Vu la Constitution ;

Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu l’Ordonnance Souveraine n° 8.017 du 1er juin 1984 portant statuts des militaires de la force publique, d’assurer le service de lutte contre l’incendie, de secours et de sauvetage dans la Principauté et de prêter son concours pour le maintien de l’ordre public ;

Vu l’Ordonnance Souveraine du 19 juin 1909 portant création du Corps des Sapeurs-Pompiers ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;

Vu la demande d’avis déposée par le Ministre d’État le 9 octobre 2023 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Gestion de la restauration collective du Corps des Sapeurs-Pompiers » ;

Vu la prorogation du délai d’examen de la présente demande d’autorisation notifiée au responsable de traitement le 7 décembre 2023, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 susmentionnée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 17 janvier 2024 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

Afin de faciliter la gestion de la restauration collective au sein de son restaurant, le Corps des Sapeurs-Pompiers a décidé de mettre en œuvre un traitement par le biais de deux applications.

L’une étant une application web permettant la gestion d’espaces de réservation et l’autre un portail de réservations et de rechargement des cartes utilisées par le Corps des Sapeurs-Pompiers de Monaco (CSPM) ou tout autre personne extérieure autorisée à utiliser le service.

Le traitement automatisé d’informations nominatives objet de la présente délibération est soumis à l’avis de la Commission conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.

I.   Sur la finalité et les fonctionnalités du traitement.

Le responsable de traitement indique que le traitement dont s’agit a pour finalité « Gestion de la restauration collective du Corps des Sapeurs-Pompiers ».

Il indique que les personnes concernées sont le personnel du Corps des Sapeurs-Pompiers et les personnes autorisées à utiliser le service de restauration.

Enfin, les fonctionnalités sont les suivantes :

-    gestion des comptes des usagers (création, désactivation et suppression de compte, blocage du compte en cas d’impayés, remboursement de crédit) ;

-    gestion des réservations création, modification, annulation et suivi des réservations ;

-    gestion de la grille tarifaire ;

-    gestion de la facturation ;

-    permettre aux usagers du service de restauration de consulter leur solde, d’être alerté en cas de dépassement de solde ;

-    permettre aux usagers du service de restauration de recharger leur compte par carte bancaire ;

-    permettre aux usagers du service de restauration de consulter l’historique de leurs réservations et prestations ;

-    établissement de statistiques anonymes, reporting anonymisé et tableaux de bord sur la gestion du MESS.

Concernant le « Portail Utilisateur », la Commission constate toutefois que le responsable de traitement ne donne aucune information sur les cookies éventuels.

Aussi elle rappelle qu’il appartient au responsable de traitement de s’assurer qu’aucun cookie dit de « ciblage marketing » n’est installé sans le consentement de l’utilisateur.

Sous cette réserve, la Commission considère que le traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le traitement est justifié tout d’abord par « un motif d’intérêt public ».

À cet égard, il précise que « le Corps des Sapeurs-Pompiers créé en vertu de l’Ordonnance Souveraine du 19 juin 1909, est notamment chargé, conformément à l’Ordonnance Souveraine n° 8.017 du 1er juin 1984 portant statut des militaires de la force publique, d’assurer le service de lutte contre l’incendie, de secours et de sauvetage dans la Principauté et de prêter son concours pour le maintien de l’ordre public ».

De plus, il ajoute qu’afin « d’assurer la bonne réalisation des missions qui sont les leurs et d’accorder à ces derniers « des garanties corrélatives aux obligations particulières à cet état », notamment les impératifs d’astreintes des militaires, il est mis à leur disposition une restauration collective ».

En outre, ce dernier précise que « la mise à disposition d’une restauration collective répondant aux besoins du personnel et à leurs impératifs permet au Corps des Sapeurs-Pompiers de répondre de façon adéquate aux missions qui lui incombent ».

Le présent traitement est également justifié par « la réalisation d’un intérêt légitime poursuivi par le responsable de traitement qui ne méconnait ni l’intérêt, ni les droits et libertés fondamentaux de la personne concernée » dans le but de faciliter l’usage du service de restauration collective du Corps des Sapeurs-Pompiers.

À cet effet, le responsable de traitement indique que « dans le cadre de la gestion du service de restauration a été prise en compte l’évolution du numérique et de son usage quotidien par tous, dont le personnel du Corps des Sapeurs-Pompiers et les personnes autorisées à utiliser le service de restauration ».

De plus, il précise que l’usage du service de restauration est facilité par « la mise à disposition et le développement d’un portail sécurisé permettant la gestion des réservations, des dépenses et de rechargement de leurs cartes permettant la réalisation d’un intérêt légitime pour l’Administration ».

Au vu de ce qui précède, la Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.

III. Sur les informations nominatives traitées

Les informations nominatives traitées sont :

-    identité : identifiant, nom, prénom, numéro de badge ;

-    adresses et coordonnées :

     • personnel du Corps des Sapeurs-Pompiers : adresse mail ;

     • personnes autorisées à utiliser le service de restauration : adresse mail, numéro de téléphone ;

-    caractéristiques financières :

     • personnel du Corps des Sapeurs-Pompiers : montants crédités, dépensés, restants à payer ;

     • personnes autorisées à utiliser le service de restauration : profil tarifaire, montants crédités, dépensés restants à payer ;

-    consommation de biens et de services, habitudes de vie : réservation (jours, heure, nombre de repas), prestations, débit maximum autorisé, débit maximum autorisé de réservation ;

-    données d’identification électronique : identifiant et mot de passe ;

-    informations temporelles et horodatage : données d’horodatage, log de connexion au portail de l’utilisateur, date des opérations (compte crédité, débité...) ;

-    statistiques anonymisées : nombre de réservations par jours par profil tarifaire, montant total des facturations ;

-    interface portail client : dernier passage, dernier versement, nombre de réservations en cours, solde, historique des tickets (horodatage, activité, ancien solde, total, financier, nouveau solde), historique des versements (date de création, date de réponse, montant, statut), notifications (moyens de notifications, seuil d’alerte, nouveau ticket, nouveau rechargement), rechargement automatique (activé/désactivé, seuil de déclenchement, montant du rechargement, notifications) ;

-    réservation de repas : numéro, lieu de retrait, date et heure de retrait, détail de la réservation, montant, service, type, état.

Le responsable de traitement indique que les informations relatives à l’identité ont pour origine le Chef du Corps des Sapeurs-Pompiers.

À cet égard, la Commission considère que ces informations ont pour origine le traitement ayant pour finalité « Gestion du personnel de la Compagnie », légalement mis en œuvre.

Le responsable du traitement indique que les informations relatives aux adresses et coordonnées sont issues des personnes concernées.

Par ailleurs, les informations relatives aux caractéristiques financières, à la consommation de biens et de services, aux données d’identification électronique, aux informations temporelles, à l’Interface Portail Client et les informations concernant la réservation des repas ont pour origine le système.

Enfin, les informations relatives aux statistiques anonymisées proviennent du système de caisse.

La Commission considère ainsi que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.

IV. Sur les droits des personnes concernées

  • Sur l’information préalable des personnes concernées

Le responsable de traitement indique que l’information préalable des personnes concernées est effectuée par le biais d’une mention particulière intégrée dans un document d’ordre général à savoir un Règlement Intérieur affiché à l’entrée du service de restauration pour que chaque usager y ait accès.

À l’étude du Règlement Intérieur joint au dossier, la Commission considère que l’information des personnes concernées est conforme aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993.

  •   Sur l’exercice du droit d’accès, de modification et de mise à jour

Le droit d’accès s’exerce par voie postale, sur place ou par courrier électronique auprès de du Corps des Sapeurs-Pompiers de Monaco.

À cet égard, la Commission rappelle que la réponse à un droit d’accès doit intervenir dans le mois suivant la réception de la demande.

Considérant l’exercice du droit d’accès par courrier électronique, elle constate par ailleurs qu’une procédure a été mise en place par le responsable de traitement afin de s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations, conformément à la délibération n° 2015-113 du 18 novembre 2015 de la Commission portant recommandation.

La Commission considère ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.

V. Sur les destinataires et les personnes ayant accès au traitement

  •   Sur les destinataires

Le responsable de traitement indique que les informations sont susceptibles d’être communiquées au Gestionnaire du service de restauration.

La Commission considère donc que ces transmissions sont conformes aux exigences légales.

  •   Sur les personnes ayant accès au traitement

Les personnes habilitées à avoir accès au traitement sont :

-    le gestionnaire du Service de restauration qui gère le mess : tous droits ;

-    le Chef du Corps des Sapeurs-Pompiers de Monaco : tous droits ;

-    la Direction des Systèmes d’Information : tous droits ;

-    les personnels habilités du prestataire en charge de la fourniture de la solution : tout accès nécessaire à la réalisation des prestations encadrées dans le contrat de prestation associé par le biais de la procédure des accès dédiés ;

-    les personnels habilités du prestataire en charge de la gestion du mess : tous droits ;

-    chaque usager : lecture, création, modification.

Considérant les attributions de chacune de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.

La Commission prend acte par ailleurs que toutes les personnes ayant accès au traitement sont liées par une obligation de secret professionnel en application de l’article 13 du statut du Corps des Sapeurs-Pompiers.

Concernant l’usager, il convient toutefois d’attirer l’attention du responsable de traitement sur le fait que les habilitations ne doivent pas permettre à l’usager d’opérer des modifications autre que celles liées à ses réservations.

Sous réserve de ce qui précède, la Commission considère que ces accès sont conformes aux exigences légales et sont justifiés au regard de la finalité du traitement.

VI. Sur les interconnexions et rapprochements

Le responsable de traitement indique que le traitement est interconnecté avec les traitements suivants ayant respectivement pour finalité :

-    « Gestion du personnel de la Compagnie », exploité par le Corps des Sapeurs-Pompiers ;

-    « Contrôle par badge de l’accès aux locaux de la caserne du Corps des Sapeurs-Pompiers sise la Condamine », exploité par le Corps des Sapeurs-Pompiers ;

-    « Sécurisation des accès à distance au SI pour les flottes nomades BYOD et professionnelles (dénommé « Mobile Iron », exploité par la Direction des Systèmes d’Information (DSI) ;

-    « Gestion et analyse des événements du système d’information », exploité par la Direction des Systèmes d’Information (DSI) ;

Il est également rapproché des traitements suivants :

-    « Gestion de la messagerie professionnelle Exchange », exploité par la Direction des Systèmes d’Information (DSI) ;

-    « Gestion de la messagerie professionnelle O365 », exploité par la Direction des Systèmes d’Information (DSI) ;

-    « Gestion des accès dédiés au système d’information du Gouvernement », exploité par la Direction des Systèmes d’Information (DSI).

La Commission constate que ces traitements ont été légalement mis en œuvre.

Elle considère donc que ces interconnexions et rapprochements sont conformes aux exigences légales.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.

Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

De plus, la copie ou extraction d’informations issues de ce traitement devra être chiffrée sur son support de réception.

Elle rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui‑ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Le responsable de traitement indique que les informations relatives à l’identité, aux adresses et coordonnées, à la consommation de biens et de services et aux données d’identification électronique sont conservées « tant que l’agent est en activité + 1 an ».

De plus, les informations relatives aux caractéristiques financières, à l’Interface Portail Client et à la réservation des repas sont conservées pendant une durée de « 60 mois + l’année en cours ».

À cet égard, le responsable de traitement précise que « les données relatives aux caractéristiques financières sont conservées 5 ans + l’année en cours afin de pouvoir conserver les données de facturation en conformité avec la législation sur la conservation des documents de facturation ».

Par ailleurs, les informations temporelles et les statistiques anonymisées sont conservées 1 an.

La Commission considère que ces durées sont conformes aux exigences légales.

Après en avoir délibéré, la Commission :

Rappelle :

-    qu’il appartient au responsable de traitement de s’assurer qu’aucun cookie dit de « ciblage marketing » n’est installé sur le « Portail Utilisateur » sans le consentement de celui‑ci ;

-    que les habilitations ne doivent pas permettre à l’usager d’opérer de modifications autre celles liées à ses réservations ;

-    que la réponse à un droit d’accès doit intervenir dans le mois suivant la réception de la demande ;

-    que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs routeurs, pares-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;

-    que toute copie ou extraction d’informations issues de ce traitement devra être chiffrée sur son support de réception.

Sous réserve de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion de la restauration collective du Corps des Sapeurs-Pompiers ».

Le Président de la Commission de
Contrôle des Informations
Nominatives.

Print article
Previous article Return to summary Next article

All rights reserved - Monaco 2016
Version 2018.11.07.14