Délibération n° 2017-143 du 19 juillet 2017 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Favoriser le tri des déchets d'emballages recyclables » exploité par la Direction de l'Aménagement Urbain et présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 2.556 du 11 janvier 2010 portant création d'une Direction de l'Aménagement Urbain ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la demande d'avis déposée par le Ministre d'État, le 21 avril 2017, concernant la mise en œuvre d'un traitement automatisé ayant pour finalité « Favoriser le tri des déchets d'emballages recyclables » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 19 juin 2017, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 19 juillet 2017 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Direction de l'Aménagement Urbain souhaite « inciter les usagers à trier leurs déchets recyclables », en mettant en place un système de points permettant « d'obtenir des bons d'achats auprès des commerces de proximité ayant souhaité participer à cette démarche écologique ».
Pour ce faire, les personnes concernées par ce système doivent s'enregistrer sur un site dédié ouvert sur le réseau en ligne ainsi que sur une application mobile. L'application permet aux usagers de se connecter au conteneur de verre. Lorsqu'ils utilisent le tri sélectif, les utilisateurs se voient attribuer des points qu'ils peuvent échanger contre des offres proposées par les commerces participant à l'opération.
Aussi, le Ministre d'État soumet le traitement y afférent dont la finalité est de « Favoriser le tri des déchets d'emballages recyclables », dont le déploiement sera effectif à la fin de l'année 2017.
Ainsi, ce dernier est soumis à l'avis de la Commission, conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Favoriser le tri des déchets d'emballages recyclables ».
Il concerne les riverains, les syndics, les commerçants et les plaisanciers.
L'information du grand public s'effectue par le biais du site https://www.cliiiink.com. Ce site permettra également aux usagers de se connecter de manière sécurisée au service proposé. Le service est également accessible via une application mobile, qui permet notamment de s'identifier sur les box cliiink.
Les fonctionnalités offertes aux utilisateurs inscrits sont :
- créer, modifier, administrer leur compte et suivre l'état de leurs points cliiink et des souscriptions effectuées ainsi que leur historique ;
- accéder à l'ensemble des offres récompenses ;
- accéder à la hotline en ligne du prestataire au travers du formulaire contact disponible ;
- visualiser sur une carte l'ensemble des colonnes équipées de box cliiink géopositionnées et leur statut (normal, en maintenance, pleines) ;
- obtenir des informations sur son rang cliiink dans la communauté ou de demander une carte sans contact ;
- accéder à des rubriques conseils ou tutoriels.
La Commission relève que le traitement permet également d'effectuer des statistiques réalisées à partir des connexions aux conteneurs et agrégées de façon à rendre l'information anonyme, sans possibilité de remonter à l'identité de la personne concernée.
Elle constate ainsi que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par un motif d'intérêt public et par la réalisation d'un intérêt légitime poursuivi par le responsable de traitement qui ne méconnaît ni l'intérêt, ni les droits et libertés fondamentaux des personnes concernées.
À cet égard le responsable de traitement indique que « dans un souci d'améliorer le recyclage des déchets d'emballage », le traitement « a pour objet d'acquérir la fourniture, de réaliser son installation, d'assurer son entretien et sa maintenance et de suivre la gestion d'un système de gestion et d'information intégrée sur les points d'apport volontaire (PAV) destinés à la collecte des déchets ».
La Commission relève ainsi qu'il est de l'intérêt légitime de l'État d'inciter les usagers à mieux trier leurs déchets afin d'améliorer l'impact écologique de la Principauté.
Elle constate en outre qu'a été passé à cet effet un marché public.
La Commission considère donc que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Les informations nominatives traitées sont :
- identité : nom, prénom ;
- adresse et coordonnées : adresse postale et coordonnées téléphoniques ;
- consommation de biens et services, habitudes de vie : centre d'intérêt (optionnel), historique de l'activité sur cliiink (offres souscrites, points cumulés, modifications des informations de son compte personnel ;
- données d'identification électronique : identification des personnes participant à l'opération (ID utilisateur) ;
- informations temporelles : horodatages, etc. : date, heure d'entrée et de sortie, horodatage de création de compte, horodatage de la dernière connexion sur le site.
La Commission relève que sont également traités la date de naissance, l'adresse mail, le mot de passe de l'utilisateur, ainsi que le nom, prénom, mail et mot de passe du Chef de Section Concessions de la Direction de l'Aménagement Urbain.
Les informations ont pour origine la personne concernée lors de son inscription en ce qui concerne l'identité, l'adresse et coordonnées et la consommation de biens et services.
Elles sont générées directement par le logiciel informatique en ce qui concerne les données d'identification électronique et les informations temporelles.
Par ailleurs, la Commission relève que les utilisateurs de la solution sont renvoyés sur le site français du prestataire dont déclaration a été faite auprès de la CNIL, et qui exploite Google Analytics. Elle constate à cet égard que le prestataire dont s'agit s'engage à ce que l'exploitation de ce module statistique soit conforme aux exigences de la CNIL et de la Commission d'ici à ce que la solution cliiink soit déployée à Monaco. Aussi, ce dernier pourra désactiver la collecte de données par Google avant que celle-ci ne s'opère via un bouton accessible sur le site.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
IV. Sur les droits des personnes concernées
- Sur l'information préalable des personnes concernées
L'information préalable des personnes concernées est réalisée à partir d'une rubrique propre à la protection des données accessibles en ligne et une mention particulière intégrée dans un document d'ordre général accessible en ligne.
Après analyse du dossier, la Commission relève que les conditions générales du site ne prévoient pas une information propre à Monaco mais reprend les mentions obligatoires eu égard à la loi Informatique et Libertés française. Toutefois, elle relève que le responsable de traitement et son prestataire, par communication de pièces complémentaires, ont indiqué intégrer auxdites conditions, avant le déploiement de la solution cliiink à Monaco, une mention dont la teneur est conforme à l'article 14 de la loi n° 1.165 du 23 décembre 1993\.
- Sur l'exercice du droit d'accès, de modification et de mise à jour
Le droit d'accès est exercé par voie postale, auprès de la Direction de l'Aménagement Urbain.
La Commission constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 la loi n° 1.165 du 23 décembre 1993.
V. Sur les destinataires et les personnes ayant accès au traitement
La Commission constate qu'il n'y a pas de destinataires des informations objets du présent traitement.
Les accès sont définis comme suit :
- Chef de Section Concessions de la Direction de l'Aménagement Urbain : accès fourni par Terradona (prestataire) en modification, mise à jour et consultation ;
- la personne en Charge chez Terradona du suivi du logiciel.
Ces deux personnes disposent donc d'un accès administrateur.
La Commission relève également que les usagers disposent d'un accès aux comptes qu'ils ont créés afin d'en permettre la gestion.
En ce qui concerne le prestataire, la Commission rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993 les droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de son contrat de prestation de service. De plus, ledit prestataire est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission considère que ces accès sont justifiés.
VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Cependant, la Commission rappelle que lors de la création de son compte, l'usager doit être invité à saisir un mot de passe réputé fort. À cet égard, la Commission relève que le prestataire indique procéder à la mise à niveau de l'application et au renforcement du mécanisme de modification de mot de passe afin qu'en toutes circonstances l'utilisateur utilise un mot de passe réputé fort.
De plus, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
La Commission rappelle enfin que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VII. Sur la durée de conservation
Les données sont conservées le temps de la durée de l'abonnement.
Le responsable de traitement et son prestataire précisent également que sera mis en œuvre, avant le déploiement de la solution cliiink à Monaco, un effacement des comptes utilisateurs inactifs depuis 3 ans, après avoir prévenu ces derniers par le biais d'un email un mois avant l'échéance.
La Commission relève que ces délais sont conformes aux exigences légales.
Elle rappelle néanmoins que la traçabilité des actions des administrateurs doit être conservée pour une durée de trois mois minimum et un an maximum.
Après en avoir délibéré, la Commission :
Constate que sont également collectés la date de naissance, l'adresse mail, le mot de passe de l'utilisateur, ainsi que le nom, prénom, mail et mot de passe du Chef de Section Concessions de la Direction de l'Aménagement Urbain.
Rappelle que :
- les personnes concernées doivent être informées de manière conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993 ;
- lors de la création de son compte, l'usager doit être invité à saisir un mot de passe réputé fort ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
Demande à être informée de la mise en œuvre des modifications attendues relativement à l'information des personnes concernées, aux mesures d'audience, à la gestion des comptes inactifs et à la gestion des mots de passe, préalablement au déploiement effectif du traitement à Monaco fin 2017.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État, du traitement automatisé d'informations nominatives ayant pour finalité « Favoriser le tri des déchets d'emballages recyclables ».
Le Ministre d'État,
S. TELLE.