icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2024‑166 du 11 septembre 2024 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion du site Internet « Extended Monaco pour les Entreprises » » exploité par la Direction des Services Numériques présenté par le Ministre d'État.

  • No. Journal 8714
  • Date of publication 27/09/2024
  • Quality 100%
  • Page no.

Vu la Constitution ;

Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré ;

Vu l’Ordonnance Souveraine n° 7.995 du 12 mars 2020 portant création de la Direction des Services Numériques ;

Vu la délibération n° 2011‑82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;

Vu la demande d’avis déposée par le Ministre d’État, le 13 mai 2024, concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Gestion du site Internet « Extended Monaco pour les Entreprises » » ;

Vu la prorogation du délai d’examen de la présente demande d’autorisation notifiée au responsable de traitement le 11 juillet 2024, conformément à l’article 11‑1 de la loi n° 1.165, susmentionnée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 11 septembre 2024 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

Le Gouvernement Princier souhaite mettre en place un programme d’accompagnement des TPE/PME dans leur transformation numérique.

Il est précisé que « la plateforme Extended Monaco pour l’Entreprise fait suite à un plan de relance économique initié par le Gouvernement Princier qui permet le lancement » de ce programme d’accompagnement.

L’objectif est « d’acculturer les entreprises et de les sensibiliser au sujet numérique et d’expliquer les multiples avantages et impacts positifs sur leur entreprise ainsi que sur l’économie en leur proposant des formations adaptées à leurs besoins en fonction du résultat d’un « autodiagnostic » qui est accessible sur la plateforme ».

Ainsi, le programme d’accompagnement envisagé par le Gouvernement Princier couvre cinq axes : évaluer la maturité numérique de l’entreprise/ de l’organisme, proposer des formations adaptées aux besoins, proposer un annuaire des professionnels en fonction du besoin, organiser les évènements liés à l’économie numérique et mettre à disposition un soutien financier.

Le traitement, objet de la présente délibération est donc soumis à l’avis de la Commission, conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée.

I.   Sur la finalité et les fonctionnalités du traitement

Le traitement a pour finalité « Gestion du site Internet « Extended Monaco pour les Entreprises » ».

Les personnes concernées sont les usagers/administrés ainsi que les personnels de l’Administration.

Le présent traitement a pour fonctionnalités :

- permettre aux représentants légaux des entreprises monégasques de créer un compte afin d’accéder à toutes les fonctionnalités proposées par le site ;

- diffuser les listes d’entreprises « Professionnels du Numérique » référencées dans le programme Extended Monaco ;

- diffuser les coordonnées et l’identité du dirigeant des entreprises « Professionnels du Numériques » référencées dans le programme Extended Monaco ;

- permettre aux représentants légaux des entreprises monégasques d’évaluer la maturité numérique de leur entreprise via un questionnaire ;

- diffuser les évènements relatifs au numérique en Principauté et permettre aux internautes intéressés de faire une demande d’inscription à ces évènements ;

- diffuser toute information utile à l’usager concernant les démarches administratives (Fonds Bleu) ;

- diffuser des informations, témoignages et opinions de salariés et chefs d’entreprises sur Extended Monaco pour l’Entreprise ;

- envoi d’invitations et de newsletters sur les évènements relatifs au numérique en Principauté aux représentants légaux des entreprises monégasques ;

- permettre aux personnels de l’Administration habilités d’établir des exports de données (statistiques…) ;

- permettre aux internautes de contacter l’Administration via un formulaire de contact ;

- recueillir des avis et opinions des usagers au moyen de sondages anonymes et les traiter.

Il appert à la lecture du dossier que le présent traitement a également pour fonctionnalités :

- consultation de contenu général ;

- accès à du contenu personnalisé ;

- suggestion de partenaires d’aide à la transition numérique ;

- offre de formations ;

-  consultation annuaire des partenaires ;

-  page d’information sur le fonds numérique ;

- consultation de l’agenda des évènements ;

-  référencement en tant que Partenaire (société privée offrant des services d’aide à la transition numérique) ;

-  gestion de la liste des partenaires.

Il résulte du dossier que dans le cadre des évènements coorganisés par Extended Monaco pour l’Entreprise des listes peuvent être transmises avec les noms et prénoms des personnes à des fins de « gestion de l’accueil ». La Commission en prend acte et rappelle que des mesures organisationnelles doivent être mises en place afin d’encadrer l’utilisation de ces listes depuis leur création et jusqu’à leur destruction.

S’agissant de la diffusion des témoignages, la Commission relève l’existence d’une rubrique « Témoignages EME » qui permet leur mise à disposition sous forme de vidéos. À cet égard, la Commission rappelle que la diffusion de photos ou de vidéos ne peut s’effectuer qu’avec l’accord des personnes concernées.

La Commission constate que la finalité du présent traitement est « déterminée, explicite et légitime » conformément aux termes de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le traitement est justifié par un motif d’intérêt public.

À cet égard il précise que « ce traitement s’inscrit dans une perspective de relance économique par le digital et s’inscrit dans le cadre des missions de la Direction des Services Numériques conformément à l’Ordonnance Souveraine n° 7.995 du 12 mars 2020 portant création de la Direction des Services Numériques ».

Ainsi, il indique que cette Direction est notamment chargée « d’assurer la mise en place de services en ligne à destination des usagers ainsi que de structurer et animer un écosystème de partenaires technologiques pour le compte du Gouvernement en matière d’administration électronique, de services en ligne, de smart city, de e-santé et de social, de e-éducation et d’économie numérique et d’assurer la cohérence de l’ensemble du paysage en ligne incluant les sites Internet ».

Le responsable de traitement précise que « le présent traitement répond ainsi aux besoins des services de la Direction des Services Numériques de développer un site Internet permettant aux représentants légaux des entreprises de disposer d’une plateforme en ligne de maturité numérique pour les entreprises monégasques ainsi qu’un écosystème de partenaires technologiques présents en Principauté ».

En outre il indique que le traitement est également justifié par le consentement de la personne concernée.

À cet égard, il précise que celui‑ci est formalisé par le biais d’une case à cocher pour la personne concernée mentionnant « J’accepte que mes coordonnées soient utilisées par le Gouvernement dans le cadre de la plateforme EME ».

Par ailleurs, il est mentionné que « l’utilisateur doit également accepter les Conditions Générales d’Utilisation de la plateforme (avec un lien permettant d’être renvoyé directement vers le texte des CGU) afin de valider la création de son compte ».

Le responsable de traitement précise en outre que de cette manière « la personne concernée exprime un consentement libre, clair et éclairé pour le traitement de ses informations personnelles dans le cadre de l’utilisation de la plateforme Extended Monaco pour l’Entreprise ».

Au regard de ce qui précède, la Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10‑1 et 10‑2 de la loi n° 1.165 du 23 décembre 1993.

III.   Sur les informations traitées

Les informations nominatives traitées sont :

-  identité :

   • formulaire d’inscription/création de compte (Usager) : nom, prénom du responsable légal de l’entreprise, raison sociale, code NIS, numéro RCI (facultatif) ;

     •  formulaire d’adhésion (Usager « Professionnel du Numérique ») : nom et prénom du responsable de l’entreprise, nom de l’entreprise, code NIS et numéro de RCI de l’entreprise, photographie du dirigeant (facultative) ;

     •  formulaire d’inscription à un évènement (Usager) : nom, prénom ;

     •  authentification pour accéder au back‑office (Contributeur - personnel de l’Administration) : nom, prénom ;

-  adresses et coordonnées :

     • formulaire d’inscription/création de compte (Usager) : adresse email ;

     •  formulaire d’inscription à un évènement (Usager) : adresse email ;

   • formulaire d’adhésion (Usager « Professionnel du Numérique ») : adresse du siège de l’entreprise, email du responsable de l’entreprise, téléphone fixe / portable du responsable de l’entreprise, fax de l’entreprise (facultatif) ;

     •  liste des entreprises : coordonnées de l’entreprise et du représentant légal ;

  • authentification pour accéder au back-office (Contributeur - personnel de l’Administration) : adresse email professionnelle ;

- données d’identification électronique :

     •  représentant légal ayant un compte (compte simple ou « Professionnel du Numérique ») : login et mot de passe ;

   •  authentification pour accéder au back‑office - Contributeur au back‑office - (personnel de l’Administration) : ID d’authentification, adresse IP, mot de passe chiffré ;

- informations temporelles :

    •  compte Contributeur en back‑office : date et heure de création d’un compte ;

    •  système : logs systèmes ;

    •  traçabilité des modifications de contenus via le back‑office (contributeur) - Personnel de l’Administration : logs (nom, prénom, données d’horodatage) ;

     •  formulaire d’inscription/création de compte : date et heure d’envoi du formulaire/création d’un compte ;

     •  formulaire d’adhésion (« Professionnel du Numérique ») : diagnodate et heure d’envoi du formulaire ;

     •  formulaire d’inscription à un évènement : date et heure d’envoi du formulaire ;

     •  compte usager : date et heure de modification du compte ;

-  indicateurs (export de données) :

      •  informations sur la société : secteur, fourchette de chiffre d’affaires ;

   •  résultat du questionnaire de maturité numérique : nom, prénom et adresse email de l’usager ayant réalisé l’autodiagnostic et réponses aux questions de l’autodiagnostic ;

- formulaire de contact : nom, prénom, entreprise, adresse email, message, date et heure de l’envoi du formulaire ;

- formulaire d’adhésion : société, description de la société, logo de l’entreprise, adresse, email du responsable de l’entreprise, téléphone fixe / portable, fax (facultatif), site Internet, photo du dirigeant (facultatif), responsable de l’entreprise, forme juridique, année de création, effectif salarié en Principauté en CDI, numéro de RCI (facultatif), code NIS, chiffre d’affaires (non diffusé sur le site), domaines de compétence, attestation sur l’honneur (case à cocher).

À l’analyse du dossier il appert que suite au remplissage du questionnaire, l’entreprise reçoit également un score de maturité numérique.

Par ailleurs, dans le cadre d’un complément d’information, le responsable de traitement indique que les informations collectées dans le cadre de l’inscription à la newsletter sont le nom, le prénom et l’adresse email. Il précise également que les destinataires auront la possibilité de se désinscrire à tout moment de la liste de diffusion grâce à un lien inclus dans l’email d’actualités.

La Commission prend acte que les cookies déposés sur les terminaux des utilisateurs le sont uniquement à des fins techniques et que les informations de mesure d’audience sont anonymes. Elle appelle toutefois l’attention du responsable de traitement sur le nécessaire respect des dispositions de l’article 14‑2 de la loi n° 1.165 qui dispose qu’ « il est interdit de subordonner l’accès à un service disponible sur un réseau de communications électroniques à l’acceptation, par l’abonné ou l’utilisateur concerné, du traitement des informations stockées dans son équipement terminal, sauf si la conservation ou l’accès techniques visent exclusivement à effectuer ou à faciliter la transmission d’une communication par la voie d’un réseau de communications électroniques, ou sont strictement nécessaires à la fourniture d’un service expressément demandé par l’abonné ou l’utilisateur ». Ainsi, si des cookies ne remplissent pas ces conditions, la Commission rappelle qu’ils doivent être soumis au consentement des personnes concernées.

L’origine des informations n’appelle pas d’observation.

La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.

IV.   Sur les droits des personnes concernées

  • Sur l’information préalable des personnes concernées

L’information préalable des personnes concernées est assurée au moyen d’une clause « Protection des données à caractère personnel » au sein des conditions générales d’utilisation de la plateforme.

À la lecture de ladite clause, la Commission constate que l’information préalable des personnes concernées est conforme aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993.

Par ailleurs, le responsable de traitement indique que les personnes concernées sont informées de la présence de cookies par le biais d’un bandeau ainsi que d’une « Charte Cookies ».

La Commission prend acte que le bandeau ne concerne que les cookies déposés par YouTube. Toutefois, elle constate que la mention d’information suggère l’existence d’autres cookies dont la nature n’est pas déterminée ce qui rend le bandeau peu clair pour les utilisateurs. Ainsi, la Commission rappelle que tout cookie non technique doit être soumis, conformément à l’article 14‑2 de la loi n° 1.165, au consentement de l’utilisateur. Le cas échéant elle rappelle, que l’utilisateur doit pouvoir à tout moment être en mesure de retirer son consentement.

Par ailleurs à l’étude de la « Charte Cookies » jointe à la présente demande d’avis la Commission relève qu’il est mentionné que le dépôt des cookies YouTube, pour les utilisateurs ayant donné leur consentement, implique un transfert de données vers les États‑Unis. À cet égard, la Commission demande que soit également précisé que les États‑Unis ne disposent pas d’un niveau de protection adéquat en matière de données personnelles.

  •   Sur l’exercice du droit d’accès des personnes concernées

Le droit d’accès s’exerce par voie postale, par courrier électronique ainsi qu’au moyen d’un formulaire en ligne.

À cet égard, la Commission rappelle que la réponse à un droit d’accès doit intervenir dans le mois suivant la réception de la demande.

Elle rappelle en outre, que dans le cadre de l’exercice du droit d’accès par voie électronique une procédure doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agit effectivement de la personne concernée par les informations.

À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015‑113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.

Sous ces réserves, la Commission constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993, modifiée.

V. Sur les destinataires et les personnes ayant accès au traitement

Le responsable de traitement indique qu’ont accès au présent traitement :

- le personnel de l’Administration (Direction des Services Numériques) : tous droits dans le cadre des missions de maintenance, développement des applicatifs nécessaires au fonctionnement des sites et de sécurité des sites et du système d’information et en consultation, exploitation, validation et traitement des données pour les Webmasters ;

- le personnel de l’Administration (Direction des Systèmes d’Information) : tous droits dans le cadre de ses missions de maintenance, développement des applicatifs nécessaires au fonctionnement du site et de sécurité du site et du système d’information de l’État ;

-  le personnel de l’éditeur de la solution : tous droits pour l’infogérance de la structure et pour la TMA.

Le responsable de traitement précise en outre que « la liste des agents ayant accès à la console d’administration est définie et validée par l’administrateur du Pôle Extended Monaco pour l’Entreprise et l’agent de la DSN du Gouvernement Princier de Monaco. L’ensemble des accès dans le cadre du présent traitement et pour les besoins de support et de maintenance font l’objet d’une traçabilité conformément aux dispositions de la PSSIE ».

Par ailleurs, il indique que « les personnes disposant d’un compte sur le site EME n’ont pas de droits concernant celui‑ci. Ils n’ont que la possibilité de créer leur compte. Afin de modifier les données relatives à leur compte ou de le supprimer, ils doivent effectuer une demande via le formulaire de contact » ou en envoyant un email à une adresse donnée. Cette demande sera ensuite traitée par l’Administrateur du site Internet.

La Commission en prend acte et considère que les accès susvisés sont justifiés au regard du traitement.

En ce qui concerne l’éditeur de la solution, elle rappelle toutefois que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993 modifiée, les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de services. De plus, ce dernier est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.

VI.   Sur les rapprochements et interconnexions avec d’autres traitements

Le responsable de traitement indique que le présent traitement fait l’objet d’interconnexions avec les traitements légalement mis en œuvre ayant pour finalités :

- « Gestion et analyse des évènements du système d’information » afin de veiller à la traçabilité et à la sécurité des actions effectuées sur le réseau ;

- « Gestion de la messagerie électronique » afin de permettre aux acteurs du traitement de pouvoir échanger, d’afficher et de synchroniser les calendriers, de gérer les contacts si l’utilisateur a paramétré ces options ainsi que de recevoir les demandes des usagers (formulaire de contact) sur la boîte email spécifique ;

- « Gestion des accès dédiés au système d’information du Gouvernement » afin d’assurer la sécurité des accès au système d’information par le prestataire habilité, si nécessaire ainsi que les administrateurs systèmes de la DSN situés à distance du réseau d’Administration.

Le présent traitement est rapproché du traitement légalement mis en œuvre ayant pour finalité « Bénéficier d’une aide auprès du Fonds Bleu par une démarche en ligne » afin d’informer les usagers de la possibilité de bénéficier d’une aide auprès du Fonds Bleu et de les rediriger grâce à un lien à la démarche en ligne. En outre, « le présent traitement permet également à l’usager de réaliser l’autodiagnostic et de pouvoir récupérer le résultat demandé dans le cadre de la démarche en ligne ».

Le responsable de traitement indique que le traitement fait également l’objet d’un rapprochement avec le traitement, concomitamment déposé ayant pour finalité « Gestion en ligne des rendez-vous du Pôle Extended Monaco pour l’Entreprise » afin d’envoyer aux usagers, ayant sollicité une demande de renseignement, un lien de prise de rendez-vous pour de répondre aux demandes des usagers.

Enfin, il est également mentionné que le présent traitement est rapproché d’un traitement ayant pour finalité « Gestion de l’envoi de newsletters », en cours d’instruction auprès de la Commission.

La Commission considère que ces interconnexions et rapprochements sont conformes aux exigences légales.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.

La Commission rappelle toutefois que la copie ou l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception.

Elle rappelle par ailleurs que les communications d’information doivent être sécurisées en tenant compte de la nature des informations transmises.

En outre, la Commission rappelle que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

Elle rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui‑ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Le responsable de traitement indique que sont conservées comme suit :

- les informations relatives au formulaire d’inscription/création de compte : « tant que le compte est actif ou jusqu’à modification des informations par la personne concernée » ;

- les informations relatives au formulaire d’adhésion : « tant que le compte est actif, que le Professionnel du Numérique est référencé ou qu’elles demeurent exactes et n’ont pas fait l’objet d’une modification par la personne concernée » ;

-  les informations issues du formulaire d’inscription à un évènement : « suppression au lendemain de l’évènement » ;

-  les informations relatives au personnel de l’Administration : « tant que le compte de l’utilisateur est actif » ;

-  les informations issues du formulaire de contact : « 3 ans à compter de la réception du formulaire ».

En outre les données de traçabilité des connexions du personnel de l’Administration sont conservées 1 an maximum.

Par ailleurs, le responsable de traitement précise que les données de traçabilité des modifications de contenus via le back‑office du Personnel de l’Administration sont conservées 3 ans. À cet égard, il indique que « Toutes les modifications effectuées sur le contenu du site Internet font l’objet d’une notification via un email accessible depuis le back-office. Cette notification permet de savoir quelle est la modification effectuée par l’agent. Les modifications sont effectuées majoritairement après une demande d’un usager, ces emails sont conservés 3 ans. Au-delà des trois ans, un script de suppression automatique fait disparaître les emails dans le back-office de la solution ». À cet égard la Commission prend note des précisions du responsable de traitement selon lesquelles une évolution du présent traitement vers une autre solution est prévue. Dans ce cadre cette durée sera abaissée à 1 an, comme pour les traitements similaires de l’État. La Commission en prend acte et demande que cette migration soit réalisée dans un délai de 18 mois maximum.

Les logs système sont conservés 1 mois.

Enfin, le responsable de traitement précise que les indicateurs (export de données) sont conservés « 5 ans à compter de la réalisation de l’export ». Il justifie cette durée en indiquant qu’« il est nécessaire de pouvoir constater les évolutions des entreprises en matière numérique et ainsi pouvoir réaliser un comparatif de l’impact entre le début de la mise en place du Programme Extended Monaco pour l’Entreprise et l’avancée du Programme au fil du temps ».

À cet égard, la Commission relève que les exports contiennent les données nominatives des personnes ayant réalisé l’autodiagnostic, et dont l’intérêt dans l’exploitation et la production de statistiques n’est pas démontré dans le dossier. Ainsi, elle demande, en l’absence de justification que le responsable de traitement est invité à lui fournir, à ce que ces extractions soient anonymisées dès leur production.

Sous ces conditions, la Commission considère que ces délais sont conformes aux exigences légales.

Après en avoir délibéré, la Commission :

Demande :

- que soit précisé, dans le bandeau d’information ainsi que dans la politique cookies que les États‑Unis ne disposent pas d’un niveau de protection adéquat en matière de protection des données personnelle ;

- en l’absence de justification de la durée de conservation indiquée pour les indicateurs d’export, que ces extractions soient anonymisées dès leur production ;

-  que la migration vers la nouvelle solution soit réalisée dans un délai de 18 mois maximum.

Rappelle que :

-  des mesures organisationnelles doivent être mises en place afin d’encadrer l’utilisation des listes nominatives ;

-  la diffusion de photos ou de vidéos ne peut s’effectuer qu’avec l’accord des personnes concernées ;

-  la réponse à un droit d’accès doit intervenir dans le mois suivant la réception de la demande ;

- une procédure relative au droit d’accès par voie électronique doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agisse effectivement de la personne concernée par les informations ;

-  la copie ou l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception ;

-  les communications d’informations doivent être sécurisées en tenant compte de la nature des informations transmises ;

- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

À la condition de la prise en compte des éléments qui précèdent,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par le Ministre d’État du traitement automatisé d’informations nominatives ayant pour finalité « Gestion du site Internet « Extended Monaco pour les Entreprises » ».

Le Président de la Commission de Contrôle des Informations Nominatives.

Print article
Previous article Return to summary Next article

All rights reserved - Monaco 2016
Version 2018.11.07.14