icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2021-134 du 23 juin 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion des tournées de collecte des déchets » de la Société Monégasque d'Assainissement.

  • No. Journal 8547
  • Date of publication 16/07/2021
  • Quality 100%
  • Page no.

Vu la Constitution ;

Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993 modifiée, relative à la protection des informations nominatives ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu l’Ordonnance Souveraine n° 6.251 du 20 janvier 2017 relative aux déchets ;

Vu l’arrêté ministériel n° 2017-38 du 20 janvier 2017 réglementant la collecte et le traitement des déchets ;

Vu le Cahier des charges de la concession d’exploitation de service public de collecte des déchets ménagers et assimilés sur le territoire de la Principauté de Monaco et du traitement de ces déchets non valorisés énergétiquement du 11 septembre 2018 ;

Vu la demande d’avis déposée, par la Société Monégasque d’Assainissement, le 26 février 2021, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Gestion des tournées de collecte des déchets » ;

Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 23 avril 2021, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 23 juin 2021 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

La Société Monégasque d’Assainissement (SMA) est une société anonyme immatriculée au Registre du Commerce et de l’Industrie qui a pour mission d’exploiter la concession du service assainissement, notamment par le nettoiement des voies publiques de la Principauté, la collecte des ordures ménagères ainsi que par la réalisation et l’exploitation d’une usine d’incinération des résidus urbains et industriels de Monaco.

La SMA souhaite gérer, de manière automatisée, ses tournées de collecte de déchets.

Ainsi, le traitement automatisé d’informations nominatives y afférent est soumis à l’avis de la Commission, conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.

I. Sur la finalité et les fonctionnalités du traitement

Le présent traitement a pour finalité « Gestion des tournées de collecte des déchets ».

Il concerne les clients de la SMA (syndics, entreprises, administrations et quelques particuliers), ainsi que les conducteurs des véhicules de collecte.

La Commission relève qu’il concerne également d’autres agents de la SMA.

Les fonctionnalités associées au présent traitement sont :

-  La gestion des tournées de collecte avec géolocalisation des véhicules et des points de collecte ;

-  La gestion et la remontée des pesées dynamiques et statiques et des capteurs des véhicules (vitesse, contact, détection des ripeurs, etc.) ;

-  La gestion et la remontée des anomalies de collecte (ex. : les bacs cassés, les dépôts sauvages) ;

   La Commission relève que des rapports d’anomalie sont générés et envoyés, par email, aux utilisateurs concernés.

-  La génération de rapports d’activités.

La Commission rappelle que la remontée des informations concernant la vitesse des véhicules de collecte ne doit pas conduire le responsable de traitement à procéder à la vérification du respect de la réglementation de vitesse par les conducteurs.

Elle constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le traitement est justifié par l’exécution d’un contrat conclu avec la personne concernée ainsi que par la réalisation d’un intérêt légitime qu’il poursuit et qui ne méconnaît, ni l’intérêt, ni les droits et libertés fondamentaux de cette dernière.

À cet égard, la Commission constate que le responsable de traitement assure, de manière historique, à travers une concession de service public, la collecte des déchets en Principauté.

Cette concession a d’ailleurs fait l’objet d’un renouvellement le 1er janvier 2018.

Le responsable de traitement précise qu’il a voulu « se doter d’un panel d’outils digitaux utiles à l’ensemble de la chaine de valeurs pour tendre vers une optimisation et une gestion plus responsable de la collecte des déchets ».

La Commission relève en effet, qu’aux termes de l’article 3 du Cahier des charges du Contrat de concession d’exploitation du service public de collecte des déchets ménagers et assimilés sur le territoire de la Principauté, le responsable de traitement s’est engagé à « recourir et utiliser prioritairement des produits et techniques privilégiant le critère « performance environnementale » ».

Il a ainsi été convenu que l’ensemble des véhicules de collecte soient équipés de dispositifs et de systèmes informatiques, notamment pour procéder à la lecture des puces équipant les bacs roulants, le responsable de traitement précisant que « la remontée des informations au Gouvernement lui permettrait d’orienter sa politique environnementale ».

La Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165, modifiée.

III. Sur les informations traitées

Les informations nominatives exploitées aux fins du présent traitement sont :

-  Identité : nom et prénom des utilisateurs habilités et des conducteurs ;

-  Adresse et coordonnées : adresse des points de collecte, coordonnées GPS des points de collecte et du trajet, adresse d’une anomalie constatée ;

-  Données d’identification électronique : identifiant GID des utilisateurs habilités.

-  Informations temporelles et horodatage : données d’horodatage, logs de connexion de l’utilisateur de l’application ;

-  Informations de collecte : date et heure de début, date et heure de fin, points de collecte, identifiants des bacs, anomalie de collecte (date, type d’anomalie, adresse, description, photo éventuelle) ;

Le responsable de traitement indique prendre des photos, sans détailler cette fonctionnalité. Ces photos sont donc prises par le conducteur et insérées dans le rapport d’anomalies.

-  Informations des véhicules de collecte : immatriculation.

Le responsable de traitement précise que l’identité de l’utilisateur de l’application et les informations temporelles proviennent du système. Concernant l’identité de l’utilisateur, la Commission relève qu’elle est obtenue par le biais de ses identifiants au moment de sa connexion.

Par ailleurs, il indique que l’identité des conducteurs des véhicules de collecte et l’adresse des anomalies constatées au cours des tournées de collecte a pour origine le conducteur. La Commission constate toutefois que le conducteur s’inscrit sur le système (traitement) au départ de sa tournée de collecte et que son identité ainsi que celles des utilisateurs habilités ont pour origine initiale un traitement « Gestion administrative des salariés ».

Aussi elle rappelle que toute mise en relation de traitements ne peut être effectuée que s’ils sont légalement mis en œuvre.

L’adresse des points de collecte provient en outre d’un traitement source, les coordonnées GPS des points de collecte et celles du trajet sont récupérées automatiquement par le biais des capteurs situés sur les véhicules de collecte.

Les données d’identification électroniques de l’utilisateur de l’application sont quant à elles enrôlées par le référent applicatif.

Enfin, les informations relatives à la collecte et aux véhicules de collecte sont saisies par les utilisateurs.

La Commission considère que les informations ainsi collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.

IV.   Sur les droits des personnes concernées

  •   Sur l’information préalable des personnes concernées

Les personnes concernées sont informées par une mention ou clause particulière intégrée dans un document remis à l’intéressé, ainsi que par une procédure accessible en ligne.

De plus, le responsable de traitement indique que l’information des conducteurs des véhicules de collecte est effectuée au moyen d’une formation qui leur est proposée.

Aucun élément n’étant joint à la présente demande d’avis, la Commission rappelle que ces documents doivent contenir toutes les dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.

  • Sur l’exercice du droit d’accès

Les personnes concernées peuvent exercer leur droit d’accès par courrier électronique ou par voie postale.

S’agissant de l’exercice du droit d’accès par voie de courrier électronique, la Commission considère qu’une procédure devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations.

À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.

Sous cette réserve, la Commission constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993, modifiée.

V. Sur les destinataires et les personnes ayant accès au traitement

  •   Sur les destinataires

Le responsable de traitement indique que les informations relatives à la collecte (rapports d’anomalies de leur périmètre) sont susceptibles d’être communiquées à certaines personnes nommément identifiées de la Direction de l’Aménagement Urbain (DAU), ainsi que de VÉOLIA et de la Communauté d’Agglomération de la Riviera Française (CARF) s’agissant des collectes effectuées dans des Communes situées en France.

La Commission considère que ces transmissions sont conformes aux exigences légales.

  •   Sur les personnes ayant accès au traitement

Le responsable de traitement indique qu’ont, par ailleurs, accès au traitement :

-  Le personnel de la SMA dans le cadre de ses missions : le chef d’atelier mécanique : tous droits ; les autres utilisateurs notamment les conducteurs (exploitation, collecte et nettoiement) ont un profil plus limité : consultation, modification, inscription.

-  Le personnel de la Direction des Systèmes d’Information de la SMA/SMEG ou tiers intervenant pour son compte : tout accès dans le cadre des missions d’assistance à maîtrise d’ouvrage, de maintenance, développement des applicatifs nécessaires au fonctionnement, sécurité de l’application : tous droits.

En ce qui concerne les tiers intervenant pour le compte de la SMA, la Commission rappelle que, conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993 modifiée, les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de services.

De plus, ces derniers sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.

La Commission relève, enfin, que les conducteurs disposent d’un accès à leur propre compte.

Elle considère que ces accès sont justifiés.

VI.   Sur les interconnexions

Le responsable de traitement indique que le présent traitement est interconnecté avec les traitements ayant pour finalité la « Gestion du parc des bacs et des dotations », en cours d’étude par la CCIN et la « Géolocalisation des véhicules (bennes, arroseuses et balayeuses) », légalement mis en œuvre.

Ces traitements lui permettent de récupérer les informations relatives aux pesées et de tracer les tournées des collectes.

Le responsable de traitement fait également état d’interconnexions avec des traitements ayant pour finalités la « Gestion de la messagerie professionnelle d’entreprise de la SMEG » et la « Gestion des salariés de la SMA ».

Par ailleurs, il appert à l’analyse du dossier, une autre interconnexion avec le traitement « Gestion des habilitations (base LDAP) », pour l’identification GID qui devra être déclaré à la CCIN.

La Commission rappelle que toute mise en relation ne peut intervenir qu’entre des traitements légalement mis en œuvre.

Aussi elle demande que les traitements non légalement mis en œuvre, en lien avec le présent traitement, lui soient soumis dans les meilleurs délais.

Sous ces réserves, la Commission considère que ces interconnexions sont conformes aux dispositions légales.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.

Cependant, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165 modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement, au regard des risques présentés par ce traitement et de la nature des données à protéger, devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

L’identité de l’utilisateur et du conducteur ainsi que les données d’identification électronique de l’utilisateur sont conservées tant que ces derniers sont habilités.

Les adresses des points de collecte le sont, quant à elle, tant que la personne concernée est cliente de la SMA.

Par ailleurs, les coordonnées GPS des points de collecte et du trajet ainsi que les informations temporelles le sont un an.

Enfin, les informations concernant la collecte le sont 90 jours et celles relatives aux véhicules de collecte tant que ceux-ci sont utilisés.

S’agissant des informations relatives à la collecte et ses anomalies, la Commission demande que les données d’immatriculation des véhicules pouvant gêner le bon déroulement de celle-ci ne soient pas collectées.

Sous cette réserve, la Commission constate que ces délais sont conformes aux exigences légales.

Après en avoir délibéré, la Commission :

Rappelle que :

-  la remontée des informations concernant la vitesse des véhicules de collecte ne doit pas conduire le responsable de traitement à procéder à la vérification du respect de la réglementation de vitesse par les conducteurs ;

-  que toute mise en relation de traitements ne peut être effectuée que s’ils sont légalement mis en œuvre ;

-  l’information des personnes concernées doit être conforme à l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée ;

-  les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switch, routeurs, pares-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

Considère qu’une procédure relative au droit d’accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations ;

Demande que :

-  les traitements non légalement mis en œuvre, en lien avec le présent traitement, lui soient soumis dans les meilleurs délais ;

-  les photos et données relatives à l’immatriculation de véhicules pouvant gêner le bon déroulement des collectes ne soient pas collectées.

Sous le bénéfice de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par la Société Monégasque d’Assainissement du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des tournées de collecte ».

Le Président de la Commission de Contrôle des Informations Nominatives.

Print article
Previous article Return to summary Next article

All rights reserved - Monaco 2016
Version 2018.11.07.14