icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2017-138 du 19 juillet 2017 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion du contrôle d'accès du centre nautique et de l'espace de musculation du Stade Louis II par le biais du système de billetterie » présenté par le Ministre d'État.

  • N° journal 8342
  • Date de publication 11/08/2017
  • Qualité 100%
  • N° de page

Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 11.042 du 14 octobre 1992 concernant le service des sports ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'arrêté ministériel n° 2009-422 du 14 août 2009 relative à la sécurité et l'hygiène des piscines ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la demande d'avis reçue le 26 avril 2017 concernant la mise en œuvre par le Ministre d'État d'un traitement automatisé ayant pour finalité « Gestion de la billetterie et du contrôle d'accès du centre nautique et de l'espace de musculation du Stade Louis II » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 22 juin 2017, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 19 juillet 2017 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Le Ministre d'État soumet le présent traitement dont l'objectif est de gérer le contrôle d'accès du centre nautique et de l'espace musculation du Stade Louis II par le biais du système de billetterie.
Ainsi, le traitement d'informations nominatives objet de la présente délibération est soumis à l'avis de la Commission conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993.

I. Sur la finalité et les fonctionnalités du traitement
Ce traitement a pour finalité « Gestion de la billetterie et du contrôle d'accès du centre nautique et de l'espace de musculation du Stade Louis II ».
Le responsable de traitement indique que les personnes concernées sont l'ensemble des usagers des espaces.
Enfin, les fonctionnalités sont les suivantes :
- « gérer le contrôle des accès aux espaces concernés et services associés, habilitations ;
- assurer le sens des flux de passage des usagers selon le schéma fonctionnel des espaces ;
- assurer le comptage et le dénombrement des personnes présentes dans les espaces à des fins sécuritaires ;
- gérer les droits d'accès des usagers en fonction de leur catégorie (âge) et des services souscrits (entrée unique, abonnements, etc…) et validité du badge ;
- assurer la gestion des plannings des cours de natation ;
- statistiques d'exploitation (anonymes) ;
- gestion du paiement des usagers (CB, chèques) ;
- gestion des abonnés (certificats médicaux et cotisation) ».
La Commission rappelle toutefois que tout traitement d'informations nominatives doit avoir une finalité « déterminée, explicite et légitime » aux termes de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
En l'espèce, la finalité du présent traitement doit être plus explicite c'est-à-dire être plus claire et précise s'agissant de l'objectif du traitement.
Par conséquent, elle modifie la finalité comme suit : « Gestion du contrôle d'accès du centre nautique et de l'espace de musculation du Stade Louis II par le biais du système de billetterie ».
La Commission constate ainsi que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement

  • Sur la licéité

L'article 3 de l'Ordonnance Souveraine n° 11.042 du 14 octobre 1992 concernant le Service des sports, qui est quant à lui rattaché à la Direction de l'Education Nationale, de la Jeunesse et des Sports, indique que « L'administration du Stade Louis II et les personnels qui en font partie (…) sont rattachés au service des sports », qui est chargé en vertu de l'article 1er de la même Ordonnance de « la gestion de l'ensemble des établissements sportifs non concédés de l'État et d'assurer la liaison avec les sociétés sportives utilisant ces établissements ».
La Commission considère donc que le traitement est licite conformément à l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.

  • Sur la justification

Le responsable de traitement indique que le traitement est justifié par le consentement de la ou des personne(s) concernée(s), l'exécution d'un contrat ou de mesures précontractuelles avec la personne concernée et par la réalisation d'un intérêt légitime poursuivi par le responsable du traitement, sans que ne soient méconnus ni l'intérêt, ni les droits et libertés fondamentaux de la personne concernée.
En ce qui concerne les justifications relatives au consentement et à l'exécution d'un contrat ou de mesures précontractuelles, la Commission relève que le système de billetterie implique un engagement contractuel, ainsi que le consentement des usagers qui paient leur entrée afin d'accéder au centre de musculation ou au centre nautique.
S'agissant de la réalisation d'un intérêt légitime, la Commission note que le traitement permet de « gérer la tarification des services liés aux catégories d'usagers (enfant, adulte, séniors), les durées de validité des titres et abonnements des usagers, les certificats médicaux autorisant la pratique des activités sportives proposées, ainsi que l'identification des usagers en lien avec leurs autorisations ».
Enfin, elle constate que l'objectif est également sécuritaire, car le système permet de dénombrer les personnes dans les espaces concernés.
Sous ces conditions, elle considère que le traitement est justifié, conformément aux dispositions de l'article 10-2 de la loi n° 1.165 du 23 décembre 1993\.

III. Sur les informations nominatives traitées
Les informations nominatives traitées sont :
- identité : nom, prénom, date de naissance, sexe, photo, abonnement, numéro de carte ;
- situation de famille : concubin ou époux d'un autre usager si besoin ;
- adresses et coordonnées : adresse postale (optionnel) ;
- caractéristiques financières : compteur de temps, abonnement ;
- loisirs, habitudes de vie et comportement : association sportive dont l'usager est membre  (numéro de carte) ;
- données d'identification électronique : adresse mail (optionnel) ;
- données techniques accès : horodatage du personnel et des usagers selon habilitation ;
- aptitude à la pratique sportive : certificat renouvelé tous les ans, date de validité ;
- horodatage et accès au système : login et mot de passe administrateurs, caissiers et maintenance.
Les informations relatives à l'identité et à la situation de famille, ont pour origine le traitement non légalement mis en œuvre relatif à la gestion des abonnés, le traitement ayant pour finalité « gestion du personnel » légalement mis en œuvre par la Direction de l'Éducation Nationale de la Jeunesse et des Sports, ainsi que les traitement relatifs à la gestion des membres des associations sportives.
La Commission considère que les associations sportives ne peuvent transmettre les informations relatives à leurs membres, qu'après avoir préalablement effectué les formalités nécessaires auprès de la Commission.
Les informations relatives aux adresses et coordonnées et aux données d'identification électronique ont pour origine le fichier des abonnés susmentionné.
À cet égard, la Commission demande que le traitement relatif à la gestion des abonnés lui soit soumis dans les plus brefs délais.
Enfin, les informations relatives à l'horodatage et accès au système ont pour origine le système et le personnel du stade.
Sous ces conditions, la Commission considère donc que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.

IV. Sur les droits des personnes concernées

  • Sur l'information préalable des personnes concernées

Les personnes concernées sont informées par le biais d'un affichage, ainsi que par le biais du Règlement intérieur et des conditions générales de vente du centre nautique et de l'espace de musculation.
Les documents n'ayant pas été joints au dossier, la Commission n'est pas en mesure de vérifier s'ils comportent les dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993.
La Commission rappelle que l'ensemble des personnes concernées doit être informé conformément aux dispositions de l'article 14 de la loi n° 1.1365 du 23 décembre 1993.

  • Sur l'exercice du droit d'accès, de modification et de mise à jour

Le droit d'accès s'exerce sur place ou par courrier électronique.
S'agissant de l'exercice du droit d'accès par voie électronique, la Commission considère qu'une procédure devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d'un document d'identité était demandée, la transmission et le traitement de ce document devront faire l'objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d'identité officiels.
Sous cette condition, la Commission constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.

V. Sur les personnes ayant accès au traitement

  • Sur les personnes ayant accès au traitement

Les personnes habilitées à avoir accès au traitement sont :
- La Direction administrative du Stade Louis II : tous droits ;
- Le personnel d'exploitation (caissiers) du Stade Louis II : création et règlement ;
- Les maîtres-nageurs sauveteurs : gestion du planning de leçons ;
- Deux administrateurs, membres du personnel administratif du Stade Louis II : consultation, inscription ;
- Le prestataire : à la demande : en lecture, écriture, pour assurer sa mission de maintenance du système.
La Commission note que les personnes habilités à avoir accès au traitement accèdent via un login et un mot de passe nominatifs.
Le responsable de traitement précise que ces accès sont justifiés à plusieurs titres, pour assurer la gestion de la grille tarifaire, afin de permettre l'enrôlement et enfin pour la gestion des comptes usagers.
Considérant les attributions de chacune de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.
En ce qui concerne le prestataire, elle rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993, les droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de son contrat de prestation de service. De plus, ledit prestataire est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.

VI. Sur les rapprochements et interconnexions
Le responsable de traitement indique que le présent traitement fait l'objet de rapprochements avec les traitements suivants :
- Gestion des abonnés, non légalement mis en œuvre ;
- Gestion des membres des associations concernées ;
- « Gestion du personnel » légalement mis en œuvre;
- « Gestion des techniques automatisées de communication » légalement mis en œuvre.
La Commission considère que les associations sportives ne peuvent transmettre les informations relatives à leurs membres, qu'après avoir préalablement effectué les formalités nécessaires auprès de la Commission.
Elle demande par ailleurs que le traitement relatif à la gestion des abonnés lui soit soumis dans les plus brefs délais.

VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation particulière.
Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, pare feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
La Commission rappelle que la copie ou l'extraction des données issues du traitement doit être chiffrée sur son support de réception.
Elle rappelle également que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.

VIII. Sur la durée de conservation
Les informations relatives à l'identité, la situation de famille, les adresses et coordonnées et les données d'identification électronique, sont conservées en fonction de la durée de validité des titres et abonnements, ces derniers étant valables une année au maximum.
Les informations relatives aux loisirs, habitudes de vie et comportement sont conservées la durée de l'adhésion à l'association sportive.
Les informations relatives aux techniques d'accès sont conservées de trois mois à un an.
Les informations relatives à l'aptitude à la pratique sportive sont conservées une année.
Les informations relatives à l'horodatage et à l'accès au système sont conservées trois mois.
La Commission considère que ces durées de conservation sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Modifie la finalité du traitement par : « Gestion du contrôle d'accès du centre nautique et de l'espace de musculation du Stade Louis II par le biais du système de billetterie ».
Considère :
- que les associations sportives ne peuvent transmettre les informations relatives à leurs membres, qu'après avoir préalablement effectué les formalités nécessaires auprès de la Commission ;
- qu'une procédure relative au droit d'accès par voie électronique soit mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations.
Rappelle que :
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, pare feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort ;
- la copie ou l'extraction des données issues du traitement doit être chiffrée sur son support de réception.
Demande que le traitement relatif à la gestion des abonnés lui soit soumis dans les plus brefs délais.
À la condition de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à  la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion du contrôle d'accès du centre nautique et de l'espace de musculation du Stade Louis II par le biais du système de billetterie » par le Ministre d'État.

Le Président de la Commission
de Contrôle des Informations Nominatives.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14