icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails
Switch to French
MENU
French | English
  • Avis et Communiqués
  • Déliberations-Décisions CCIN

Délibération n° 2024‑212 du 13 novembre 2024 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre de la modification du traitement automatisé d'informations nominatives ayant pour finalité « Bénéficier d'une aide auprès du Fonds Bleu par une démarche en ligne » exploité par la Direction des Services Numériques présentée par le Ministre d'État.

  • No. Journal 8723
  • Date of publication 29/11/2024
  • Quality 100%
  • Page no.

Vu la Constitution ;

Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 1.144 du 26 juillet 1991 concernant l’exercice de certaines activités économiques et juridiques ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu l’Ordonnance Souveraine n° 3.413 du 29 aout 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré ;

Vu l’Ordonnance Souveraine n° 5.840 du 13 mai 2016 portant création du Secrétariat Général du Gouvernement ;

Vu l’Ordonnance Souveraine n° 7.995 du 12 mars 2020 portant création de la Direction des Services Numériques ;

Vu l’Ordonnance Souveraine n° 9.827 du 15 mars 2023 portant création de la Direction du Développement Économique ;

Vu la délibération n° 2011‑82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés d’informations nominatives ;

Vu la délibération n° 2021‑83 du 21 avril 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Bénéficier d’une aide auprès du Fonds Bleu par une démarche en ligne » ;

Vu la demande d’avis déposée par le Ministre d’État, le 22 juillet 2024, concernant la mise en œuvre de la modification d’un traitement automatisé ayant pour finalité le « Bénéficier d’une aide auprès du Fonds Bleu par une démarche en ligne » ;

Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 19 septembre 2024, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 susvisée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 13 novembre 2024 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

Le Gouvernement Princier a mis en place un fonds de soutien, appelé « Fonds Bleu », visant à favoriser la relance économique via le numérique.

Par délibération n° 2021‑83 du 21 avril 2021 la Commission a émis un avis favorable à la mise en œuvre du téléservice permettant aux entreprises de la Place de solliciter une aide pour financer une partie d’un projet de transition numérique.

Le responsable de traitement souhaite désormais modifier le traitement dont s’agit, en application de l’article 9 de la loi n° 1.165 du 23 décembre 1993 notamment s’agissant des fonctionnalités, des informations traitées, de la durée de conservation, des accès ainsi que des rapprochements et interconnexions.

I.   Sur la finalité et les fonctionnalités du traitement

La finalité ainsi que les personnes concernées par le traitement demeurent inchangées.

Désormais, les fonctionnalités de la démarche en ligne sont :

-    saisie des informations concernant la société ;

-    saisie des informations concernant le projet de transition numérique ;

-    saisie des informations concernant le(s) entreprise(s) partenaire(s) ;

-    import de pièces justificatives ;

-    mettre sa demande en brouillon pour finaliser sa complétion plus tard ;

-    compléter les informations complémentaires requises par l’Administration ;

-    annulation d’une demande par un usager ou par un agent ;

-    envoi d’un courriel de confirmation d’enregistrement de la demande ;

-    envoi d’un courriel de confirmation d’annulation de la demande ;

-    envoi d’un courriel de confirmation de désinscription à la démarche en ligne ;

-    export d’un fichier Excel qui comprend toutes les demandes et leurs informations anonymisées par les agents ayant les droits nécessaires pour effectuer cette action ;

-    permettre la validation ou le refus de la subvention ;

-    permettre le paiement de la subvention à l’entreprise concernée.

Il est également précisé que le téléservice propose un lien vers un questionnaire de satisfaction anonyme dont les résultats sont traités par la Direction des Services Numériques.

Le responsable de traitement indique en outre que « la création du compte usager se fait via MonGuichet.mc. Le téléservice récupère certaines informations du profil grâce à ce compte, notamment la civilité, le nom, le prénom et l’email ».

La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le présent traitement est justifié par le consentement des personnes concernées, par un motif d’intérêt public ainsi que par la réalisation d’un intérêt légitime qu’il poursuit et qui ne méconnaît ni l’intérêt, ni les droits et libertés fondamentaux des personnes concernées.

À cet égard, il précise que le consentement des personnes concernées est formalisé par un acte positif clair matérialisé par le biais d’une case à cocher mentionnant « J’accepte que mes données personnelles soient traitées dans le cadre du téléservice « Bénéficier d’une aide auprès du Fonds Bleu par une démarche en ligne » », ainsi que par l’acceptation préalable des conditions générales d’utilisation du téléservice, indispensable pour la création du compte sécurisé et pour l’accès à la démarche en ligne.

Le téléservice s’inscrit également dans les missions prévues par l’Ordonnance Souveraine n° 7995 du 12 mars 2020 portant création de la Direction des Services Numériques (mise en place de services en ligne), Direction intégrée à la DITN, dans l’Ordonnance Souveraine n° 5.840 du 13 mai 2016 portant création du Secrétariat Général du Gouvernement (concevoir et suivre les procédures et les méthodes administratives dans le but d’améliorer la qualité du service public) ainsi que dans l’Ordonnance Souveraine n° 9.827 du 15 mars 2023 instituant une Direction du Développement Économique (instruction, mise en place et suivi de dispositifs de financement et de soutien des entreprises).

En outre, l’intérêt légitime trouve son fondement dans la volonté de l’Administration de simplifier les démarches administratives des administrés en leur permettant de déposer leur déclaration sans se déplacer et sans autre démarche, ce qui s’inscrit dans le cadre de l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré.

Dans sa délibération n° 2021‑83 susmentionnée la Commission avait rappelé au responsable de traitement que conformément aux dispositions de l’article 43 de l’Ordonnance Souveraine susvisée « (…) la création d’un téléservice ne saurait toutefois avoir pour effet de supprimer la possibilité pour l’usager, d’accomplir les démarches, formalités ou paiements qui en sont l’objet par des voies autres qu’électroniques ».

Dans la présente demande d’avis modificative le responsable de traitement indique que « la présente démarche a pour objectif de cofinancer des projets numériques des entreprises monégasques. En outre, la démarche a été créée et mise à disposition des usagers sous un format électronique dès son origine, il n’a jamais été possible de l’accomplir par une autre voie, ainsi sa création n’a pas eu pour effet de supprimer l’accomplissement de la démarche par une voie autre qu’électronique ».

À cet égard, la Commission estime que le terme « supprimer » employé à l’article 43 de l’Ordonnance Souveraine n° 3.413 peut être interprété à la fois comme impliquant la suppression d’un service déjà existant mais également comme le fait de ne pas proposer d’alternative au téléservice nouveau. À titre d’exemple, la création d’une prestation nouvelle (conduisant à l’obtention d’un droit ou associé à une modalité de paiement) pourrait n’être accessible aux administrés que sur la seule base d’un téléservice, introduisant de facto une fracture numérique pour certaines populations.

En l’absence d’exposé des motifs s’agissant d’une Ordonnance Souveraine pouvant éclairer sur la portée de la disposition, la Commission relève qu’il s’agit de proposer en l’espèce une démarche en lien avec le numérique qui nécessite donc de la part des personnes concernées d’en maîtriser les usages. Aussi elle considère en l’état que le téléservice peut fonctionner sans moyen de substitution mais appelle toutefois l’attention du responsable de traitement sur les conséquences d’une application indifférenciée de la logique juridique soutenue.

Sous cette réserve, la Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10‑1 et 10‑2 de la loi n° 1.165, modifiée.

III.   Sur les informations traitées

Le responsable de traitement indique que désormais les informations nominatives traitées sont :

-    identité : demandeur : nom, prénom ; dirigeant de société : nom, prénom ; chargé de projet : nom, prénom ; société requérante de l’aide : raison sociale, numéro RCI, code NIS ; entreprises partenaires : raison sociale, numéro RCI, code NIS ;

-    adresses et coordonnées : société requérante de l’aide : adresse, téléphone, pays de domiciliation ; entreprises partenaires : pays de domiciliation, numéro de téléphone, courriel ; dirigeant de la société : numéro de téléphone ; chargé de projet : numéro de téléphone ;

-    caractéristiques financières : société requérante de l’aide : montant et année du dernier chiffre d’affaires, déclarations de TVA, coordonnées bancaires, montant du projet alloué par partenaire, états financiers ; nom de l’établissement bancaire ; titulaire du compte ; numéro BIC ; numéro IBAN ;

-    données d’identification électronique : identifiant technique de l’usager ;

-    informations temporelles : horodatages, etc. : données d’horodatage ;

-    données de connexion : pour les usagers : log de connexion de l’usager, identifiant de l’usager ; pour les agents traitant : logs du personnel habilité stockés dans le téléservice : matricule, nom, email ;

-    informations liées à la demande :

     •  société requérante de l’aide : secteur d’activité, nombre d’employés en Principauté, année de création ;

     •  projet : nom, nature du projet, finalité, date de début, date de fin, présentation, emplois créés, impact sur le chiffre d’affaires, coût du projet, effectif dédié ;

     •  entreprises partenaires : secteur d’activité, motif de dérogation (si l’entreprise partenaire n’est pas monégasque) ;

     •  déclarations sur l’honneur ;

     •  pièces justificatives : devis ou factures du projet, argumentaire du projet, autodiagnostic de maturité numérique, cahier des charges, RIB, déclaration de TVA, états financiers publiés par la société requérante.

Il appert, en outre à l’étude du dossier que sont également traitées les données d’identification électronique des agents traitants.

Par ailleurs, le responsable de traitement indique que « si l’Administration, lors du traitement de la demande, estime que la demande est incomplète, l’informations sera transmise au demandeur par notification mail et il pourra alors compléter sa demande en saisissant dans une zone de texte libre l’information manquante ou en déposant éventuellement des pièces jointes manquantes ». La Commission en prend acte et rappelle que peuvent être traitées dans le cadre du présent traitement uniquement les informations pertinentes au regard de la demande. S’agissant ensuite de la « zone de texte libre » la Commission rappelle que les informations inscrites dans cette zone doivent être objectives et la responsabilité de la qualité de ces dernières, notamment en ce qui concerne l’absence de données interdites au sens de l’article 12 de la loi n° 1.165 ou de propos injurieux, pèse sur le responsable de traitement.

Les informations relatives à l’identité, aux adresses et coordonnées, aux caractéristiques financières ainsi que les informations liées à la demande sont renseignées par l’usager.

Enfin, les autres données sont générées par le système.

La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.

IV.   Sur les droits des personnes concernées

>   Sur l’information préalable des personnes concernées

L’information préalable des personnes concernées est réalisée par le biais d’une mention particulière intégrée dans un document d’ordre général accessible en ligne, à savoir les conditions générales d’utilisation de la démarche en ligne que l’usager doit accepter et peut consulter dès l’accès à la démarche. Il est également indiqué que l’usager doit cocher une deuxième case indiquant « j’accepte que mes données personnelles soient traitées dans le cadre du téléservice ».

À la lecture de la mention d’information susmentionnée, la Commission constate qu’elle est conforme aux exigences légales.

Par ailleurs, dans sa délibération n° 2021‑83 susmentionnée, la Commission avait rappelé au responsable de traitement que les personnels de l’Administration doivent également être informés de leurs droits.

Dans la présente demande d’avis modificative, le responsable de traitement précise à cet égard qu’une « notice d’information dédiée aux traitements de la DSN est disponible sur l’intranet du Gouvernement Princier ».

À l’analyse de ladite notice d’information, la Commission constate que l’ensemble des mentions listées à l’article 14 de la loi n° 1.165 ne sont pas présentes notamment la finalité du traitement dont s’agit. Ainsi elle demande que la notice d’information soit modifiée en conséquence.

Elle constate en outre la mise à disposition d’une politique cookie.

>   Sur l’exercice du droit d’accès, de modification et de mise à jour

Le droit d’accès est exercé par voie postale, par courrier électronique ainsi que par le biais d’un formulaire en ligne auprès de la Délégation Interministérielle chargée de la Transition Numérique (DITN) - Protection des données personnelles et non plus auprès de la Direction de l’Expansion Économique - Welcome Office.

La Commission rappelle que la réponse à un droit d’accès doit intervenir dans le mois suivant la réception de la demande.

Elle rappelle en outre, que dans le cadre de l’exercice du droit d’accès par voie électronique une procédure doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agit effectivement de la personne concernée par les informations.

À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015‑113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.

Sous ces réserves, la Commission constate ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.

V. Sur les destinataires et les personnes ayant accès au traitement

>   Sur les accès

Les accès sont désormais définis comme suit :

-    les personnels administratifs de la Direction des Systèmes d’Information (DSI) ou tiers intervenant pour son compte : dans le cadre des missions de maintenance, développement des applicatifs nécessaires au fonctionnement du site et de sécurité du site et du système d’information de l’État après création d’un ticket pour ouverture des droits ;

-    les personnels de la Direction des Services Numériques (DSN - équipe « MonGuichet ») ou tiers intervenant pour son compte : accès en configuration dans le cadre d’un rôle d’assistance à maîtrise d’ouvrage, des missions de maintenance, développement des applicatifs nécessaires au fonctionnement du site et de sécurité du site et du système d’information de l’État ;

-    les personnels de la Direction des Services Numériques (équipe « DITN-Fonds Bleu ») : accès en lecture, en export, en paramétrage, en traitement, en validation, en saisie.

En ce qui concerne les tiers intervenant pour le compte de la DSI et de la DSN (Équipe « MonGuichet »), la Commission rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993 les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leurs contrats de prestation de service. De plus, lesdits tiers sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.

Le responsable de traitement indique en outre que « la liste des agents ayant accès au traitement est définie et validée par le service. L’ensemble des accès dans le cadre du présent traitement et pour les besoins de support ou de maintenance font l’objet d’une traçabilité conformément aux dispositions de la PSSIE ».

La Commission en prend acte et considère que ces accès sont justifiés.

>   Sur les destinataires

Le responsable de traitement indique que sont destinataires « les seuls personnels habilités » :

-    de la Direction du Développement Économique à des fins de paiement de la subvention ;

-    du Département des Finances et de l’Économie à des fins de vérification de la complétion des obligations administratives et légales par la société souhaitant obtenir la subvention.

S’agissant de cette dernière communication, la Commission relève que « lorsque le Département des Finances termine sa vérification sur la situation administrative de la société, il en informe les équipes DSN « DITN Fonds Bleu » en renvoyant le fichier Excel communiqué avec la complétion de la colonne « DFE » et son analyse sur la santé de l’entreprise pour le financement et observation, le cas échéant (par exemple : bénéficiaires effectifs non déclarés, TVA non payée, etc.) ».

La Commission en prend acte et considère que les usagers doivent être informés dans les conditions générales du téléservice de l’existence de cette analyse sur la situation de l’entreprise menée par le Département des Finances et de l’Économie.

Sous cette réserve, la Commission considère que ces communications d’informations sont justifiées.

VI.   Sur les rapprochements et les interconnexions avec d’autres traitements

Le présent traitement fait l’objet d’interconnexions avec les traitements suivants, légalement mis en œuvre :

-    « Gestion du compte permettant aux usagers d’entreprendre des démarches par téléservices », afin de se connecter au téléservice et réaliser la démarche ;

-    « Gérer les habilitations des agents et fonctionnaires de l’État aux téléservices contenus dans le « Guichet Virtuel » », afin de permettre le suivi des demandes des usagers par les personnes autorisées ;

-    « Gestion des accès dédiés au système d’information du Gouvernement » afin d’assurer la sécurité des accès au système d’information ;

-    « Gestion et analyse des évènements du système d’information » pour veiller à la traçabilité et à la sécurité des actions effectuées sur le réseau ;

-    « Gestion des habilitations et des accès au système d’information » afin de disposer des éléments permettant de créer un compte aux utilisateurs.

Par ailleurs, le présent traitement est rapproché avec les traitements, légalement mis en œuvre suivants :

-    « Assistance aux utilisateurs par le Centre de Service de la DSI » afin de permettre à la DITN Fonds Bleu de gérer les accès aux traitements, soit de demander la création d’un compte utilisateur ou de demander sa suspension ou sa suppression, de faire remonter un incident ou une difficulté afin que celui‑ci soit remonté aux personnes habilitées à répondre ou à traiter le sujet et de suivre la prise en compte de leur(s) demande(s) ;

-    « Gestion en ligne des rendez-vous avec Extended Monaco pour l’Entreprise » afin de permettre aux agents traitants de pouvoir reprendre les éléments du dossier en cas de rendez-vous de suivi, avec l’usager, de l’avancée du projet financé par le Fonds Bleu ainsi que de l’accompagner dans son projet si le besoin se présente ;

-    « Gestion du site Internet « Extended Monaco pour les Entreprises » » pour permettre aux usagers de pouvoir effectuer l’autodiagnostic de maturité numérique, télécharger le résultat et le joindre au dossier dans le cadre de la présente démarche ;

-    « Permettre l’exécution des dépenses et des recettes budgétaires de l’État et des entités concernées » afin de permettre aux agents de la DSN « DITN - Fonds Bleu » de rentrer les informations relatives au paiement de la subvention pour un paiement lié au Cloud Souverain dans l’outil dédié aux dépenses budgétaires de l’État.

Le responsable de traitement indique également que le traitement est rapproché avec la messagerie professionnelle légalement mise en œuvre par l’État.

La Commission considère que ces interconnexions et rapprochements sont conformes aux exigences légales.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.

Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui‑ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Les informations sont conservées 3 ans à compter de la date de clôture de la demande à l’exception des données de connexion (logs de connexion) qui sont conservées 30 jours et des données d’identification électronique des usagers qui sont conservées 1 an.

S’agissant des logs de connexion, la Commission rappelle que ces informations doivent être conservées pour une durée comprise entre 3 mois minimum et 1 an maximum.

Enfin, la Commission relève qu’aucune durée de conservation n’est prévue pour les données d’identification électronique des agents traitants. Elle considère que ces informations sont susceptibles d’être conservées tant que la personne est habilitée à avoir accès au traitement. Elle fixe en conséquence la durée de conservation.

Après en avoir délibéré, la Commission :

Estime que le terme « supprimer » employé à l’article 43 de l’Ordonnance Souveraine n° 3.413 peut être interprété à la fois comme impliquant la suppression d’un service déjà existant mais également comme le fait de ne pas proposer d’alternative à un nouveau téléservice.

Demande que la liste des traitements mis en œuvre par la DSN mentionnée dans la notice d’information des agents traitants de l’Administration soit modifiée pour y intégrer la finalité du présent traitement.

Rappelle que :

-    le responsable de traitement doit s’assurer du caractère proportionné des informations inscrites dans la zone de commentaires libres ;

-    la réponse à ce droit d’accès doit s’exercer dans le mois suivant la réception de la demande ;

-    une procédure relative au droit d’accès par voie électronique doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agisse effectivement de la personne concernée par les informations ;

-    les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

Considère que le téléservice peut fonctionner sans moyen de substitution mais appelle toutefois l’attention du responsable de traitement sur les conséquences d’une application indifférenciée de la logique juridique soutenue.

Fixe la durée de conservation :

-    des logs de connexion à une durée comprise entre 3 mois minimum et 1 an maximum ;

-    des données d’identification électronique des agents traitant à la période pendant laquelle la personne est habilitée à avoir accès au traitement.

Sous le bénéfice de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, de la modification du traitement automatisé d’informations nominatives ayant pour finalité « Bénéficier d’une aide auprès du Fonds Bleu par une démarche en ligne ».

Le Président de la Commission

de Contrôle des Informations Nominatives.

View journal
in PDF format 3.63 MB
Download journal
in PDF format 3.63 MB
Print article
Previous article Return to summary Next article

All rights reserved - Monaco 2016
Version 2018.11.07.14