Délibération n° 2011-50 du 6 juin 2011 de la Commission des Informations Nominatives portant avis favorable sur la demande présentée par le Ministre d’Etat relative à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité «Gestion du site Internet www.i-cars.mc»
Vu la Constitution ;
Vu la convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’ordonnance souveraine n° 13.636 du 25 septembre 1998 portant création d’un Service des Parkings Publics ;
Vu l’ordonnance souveraine n° 16.605 du 10 janvier 2005 portant organisation des Départements ministériels ;
Vu la demande d’avis déposée par le Ministre d’Etat le 24 mars 2011 concernant la mise en œuvre d’un traitement automatisé ayant pour finalité «Gestion du site Internet www.i-cars.mc» ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 6 juin 2011 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
Conformément à l’ordonnance souveraine n° 13.636 du 25 septembre 1998 portant création d’un Service des Parkings Publics, ledit service est placé «sous l’autorité du Conseiller de Gouvernement pour les Travaux Publics et les Affaires Sociales».
En application de l’ordonnance souveraine n° 16.605 du 10 janvier 2005 portant organisation des Départements ministériels, ces mêmes attributions relèvent désormais du Département de l’Équipement, de l’Environnement et de l’Urbanisme.
Ainsi, conformément aux dispositions de l’article 7 de la loi n° 1.165, modifiée, du 23 décembre 1993, le Ministre d’Etat, responsable de traitement concernant les traitements exploités par les services de l’Etat, soumet la présente demande d’avis relative au traitement ayant pour finalité «Gestion du site Internet www.i-cars.mc».
I - Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité «Gestion du site Internet www.i-cars.mc».
Les personnes concernées sont les abonnés du système i-cars, ainsi que les hôteliers / restaurateurs dont les établissements sont appelés à être fréquentés par les groupes d’individus arrivant par autocar.
Par ailleurs, la Commission constate que sont également collectées des données relatives aux guides qui accompagnent, le cas échéant, certains groupes de touristes arrivant par autocars. Elle prend donc acte de cette catégorie additionnelle de personnes concernées par le traitement.
Enfin, les fonctionnalités du traitement sont les suivantes :
- régulation des autocars ;
- modification des coordonnées administratives ;
- visualisation des factures ainsi que de leur détail ;
- visualisation des passages non facturés à H-1 heure ;
- validation d’une régulation mettant en jeu un hôtel ou un restaurant.
D’une manière générale, la Commission observe que ce traitement permet la régulation des parkings pour les autocars, ainsi que la gestion par les abonnés de leurs réservations et de leur compte en ligne.
Au vu de ces éléments, la Commission considère que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II - Sur la licéité du traitement
Tout d’abord, la Commission constate que le Service des Parkings Publics dispose d’une existence légale grâce à l’ordonnance souveraine n° 13.636 du 25 septembre 1998 portant création d’un Service des Parkings Publics.
Aux termes de cette même ordonnance souveraine, le Service des Parkings Publics est chargé de la gestion et de l’exploitation des parkings publics de la Principauté.
En l’espèce, le responsable de traitement indique qu’«afin de faire face aux difficultés rencontrées, le service des Parkings Publics a (…) mis en œuvre un système de régulation global et automatisé pour contenir la gêne occasionnée par la circulation des [autocars] en ville, et contrôler ainsi leur stationnement en fonction de leur destination».
Par conséquent, la Commission constate que ce service en ligne entre bien dans le cadre des missions du Service des Parkings Publics, telles que définies par l’ordonnance souveraine n° 13.636 précitée.
Au vu de ces éléments, la Commission considère que le traitement est licite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
III - Sur la justification du traitement
Le responsable de traitement indique que le traitement est justifié par :
- le respect d’une obligation légale à laquelle est soumis le responsable de traitement ;
- un motif d’intérêt public ;
- l’exécution d’un contrat avec la personne concernée.
A ce titre, la Commission constate que le traitement correspond à l’automatisation d’un service de gestion des parkings publics à destination des autocars circulant sur le territoire de la Principauté, ce qui entre dans le cadre des missions du Service des Parkings Publics telles que définies par l’ordonnance souveraine n° 13.636, précitée.
Toutefois, la Commission estime que la mise en œuvre du traitement objet de la présente délibération ne constitue pas pour autant une obligation légale imposée au Service des Parkings Publics, mais plutôt un choix de gestion dudit service.
En revanche, la Commission considère que les services susmentionnés participent effectivement à un motif d’intérêt public, à savoir assurer la bonne gestion des parkings et la régulation des autocars sur le territoire de la Principauté.
Enfin, la Commission observe que le traitement est justifié par l’exécution d’un contrat avec les personnes concernées, puisqu’il permet la gestion par les abonnés de leurs réservations ainsi que de leur compte en ligne.
Au vu de ces éléments, la Commission considère que le traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
IV - Sur les informations traitées
Les informations nominatives objets du traitement sont :
- identité : nom, prénom, raison sociale ;
- adresses et coordonnées : adresse, code postal, ville, pays, téléphone, fax, gsm ;
- caractéristiques financières : mode de règlement ;
- données d’identification électronique : email, n° de facture, n° de client, n° de régulation ;
- passages aux entrées/ sorties : horodatage de chaque passage ainsi que le parking ;
- factures ainsi que le détail : montant de l’abonnement et éventuels dépassements, répartis par parking fréquenté ;
- annuaire du service : nom, prénom, fonction, email ;
- photos des passages : photo couleur de la calandre avant du véhicule avec l’horodatage incrusté ; photo infrarouge (noir et blanc) de la partie inférieure de la calandre avant ; photo (noir et blanc) uniquement de la plaque d’immatriculation extraite à partir de la précédente image ;
- données de régulation : date de début et de fin de régulation, nom du groupe (nom par lequel le client sera appelé par le système d’affichage situé dans les parkings), nombre de personnes, type de groupe (association caritative, étudiants groupe sportif, comité d’entreprises, VIP, etc.), langue du chauffeur, nationalité du groupe, accompagnant (soit le véhicule - marque, modèle, immatriculation ; soit le guide : coordonnées), trajet effectué (liste des parkings dans lequel(s) il est censé se rendre), restaurants, hôtels et lieux touristiques fréquentés.
- gestion des guides : nom, adresse, code postal, ville, pays, téléphone, fax, gsm, email ;
- gestion des bus : marque, modèle, immatriculation, n° de flotte (n° de gestion interne au client qui lui permet de spécifier son véhicule).
La Commission relève que les sept premières catégories d’informations ont pour origine le traitement ayant pour finalité «Gestion des abonnés bus», lequel a fait l’objet d’un avis favorable de la Commission dans le cadre de la délibération n° 2001-45 du 15 octobre 2001.
A ce titre, elle prend acte que ce dernier traitement fait concomitamment l’objet d’une demande d’avis modificative, aux fins, notamment, de prendre en compte l’interconnexion entre les deux traitements.
Les 4 dernières catégories de données ont pour origine le client lui-même.
Par ailleurs, la Commission relève que certaines catégories d’informations collectées sont optionnelles.
Enfin, en ce qui concerne les photos des passages, la Commission constate que trois catégories de photographies sont prises, à savoir une photo de la calandre avant du véhicule en couleur avec l’horodatage incrusté, une photo en infrarouge, et une photo concernant uniquement la plaque d’immatriculation du véhicule, laquelle est extraite de la photo en infrarouge.
A ce titre, elle prend acte des explications du responsable de traitement, selon lesquelles la première photo sert de preuve du passage de l’autocar au sein des parkings publics de la Principauté, en cas de contestations.
Toutefois, la Commission constate que cette photographie est susceptible de laisser apparaitre les visages et silhouettes de certains individus installés dans l’autocar, tels que le chauffeur et les passagers des sièges avant.
Or aux termes de l’article 10-1 de la loi n° 1.165, modifiée, la Commission rappelle que les informations nominatives collectées doivent être «adéquates, pertinentes et non excessives» au regard de la finalité pour laquelle elles sont collectées.
Ainsi, en l’espèce, elle estime que la finalité du traitement ne justifie pas que soient collectées les images des individus situés dans les autocars.
Par conséquent, la Commission demande un «floutage» automatique et systématique de la moitié supérieure de la photographie de la calandre avant du véhicule, un tel «floutage» permettant en effet de capter la plaque d’immatriculation à des fins d’identification du véhicule, tout en préservant la vie privée des individus qui s’y trouvent.
En outre, elle précise qu’un «défloutage» des images pourrait éventuellement être envisagé en cas de nécessité impérieuse, comme par exemple en cas de vol de véhicule, ou toute autre infraction. Dans cette hypothèse, elle rappelle que les images ne pourront être transmises aux autorités de police que sur commission rogatoire.
En ce qui concerne l’ensemble des autres informations collectées dans le cadre du traitement, la Commission les considère conformes aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
V - Sur les droits des personnes concernées
• Sur l’exercice du droit d’accès, de rectification et de suppression
La Commission constate que le droit d’accès peut être exercé de plusieurs manières : par un accès en ligne de l’abonné à son compte client ; par courrier électronique ou voie postale ; ou enfin, sur place en se rendant dans les bureaux du Service des Parkings Publics. Le délai de réponse est de trente jours.
Les droits de rectification ou mise à jour, et de suppression des données sont exercés selon les mêmes modalités.
La Commission constate ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions de la loi n° 1.165, modifiée.
• Sur l’information des personnes concernées
La Commission relève que l’information préalable des personnes concernées est effectuée via une rubrique propre à la protection des données accessibles en ligne. Elle considère que cette modalité d’information est suffisante en ce qu’elle permet d’atteindre l’ensemble des personnes concernées par le traitement.
De plus, la rubrique d’information comprend l’ensemble des mentions obligatoires imposées par l’article 14 de la loi n° 1.165, modifiée.
Au vu de ces éléments, la Commission constate que les personnes concernées sont dûment informées, conformément aux dispositions dudit article 14.
VI - Sur les personnes habilitées à avoir accès au traitement
La Commission observe que les personnes habilitées à avoir accès au traitement sont les administrateurs du site.
Considérant les attributions de ces individus, et eu égard à la finalité du traitement, elle estime que lesdits accès sont justifiés.
Par ailleurs, la Commission relève qu’une partie du site Internet est accessible au public.
Enfin, il ressort des fonctionnalités du traitement que les abonnés du système i-cars ont nécessairement accès audit traitement pour effectuer des réservations et gérer leur compte en ligne.
Par conséquent, la Commission prend acte de ces accès, qu’elle considère justifiés, conformément aux dispositions de l’article 17 de la loi n° 1.165, modifiée.
VII - Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations n’appellent pas d’observation.
La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII - Sur la durée de conservation
La Commission constate que les informations nominatives collectées sont conservées jusqu’à six mois après la date de résiliation de l’abonnement du client, à l’exception des factures, qui sont conservées en ligne durant trois ans.
Tout d’abord, la Commission relève que la durée de conservation prévue est particulièrement étendue en ce qui concerne les données relatives aux passages ainsi que les photos y associées.
A cet égard, elle demande donc une durée de conservation de trois mois à compter de la date du passage.
Une telle durée de conservation va dans le sens des positions déjà adoptées par la Commission en matière d’enregistrement des passages, dans le cadre de sa délibération n° 2010-43 du 15 novembre 2010 portant recommandation sur les dispositifs de contrôle d’accès.
De plus, la facturation des clients abonnés étant mensuelle, elle considère qu’une telle durée de conservation n’est pas susceptible de porter entrave à l’établissement desdites factures.
Par ailleurs, en ce qui concerne l’annuaire de service, le responsable de traitement indique que les informations sont conservées «tout le temps» au motif qu’il s’agit d’«informations statiques disponibles en permanence».
Or ces informations de contact, présentes sur le site Internet, sont nécessairement mises à jour en fonction des mouvements de personnel au sein du Service des Parkings Publics.
C’est pourquoi la Commission considère que le délai de conservation applicable à cette catégorie d’informations est en fait limité à la durée durant laquelle les individus concernés sont en fonction aux postes listés dans le cadre de ladite rubrique.
Au vu de ces éléments, la Commission estime donc que les durées de conservation sont conformes aux exigences légales.
Toutefois, elle requiert que pour le cas particulier des données relatives aux passages et les photos y associées, la durée de conservation soit de trois mois à compter de la date du passage.
Après en avoir délibéré :
Demande :
- le «floutage» automatique et systématique de la moitié supérieure de la photographie de la calandre avant du véhicule, un «défloutage» des images ne pouvant intervenir qu’a postériori, dans le cadre de la recherche ou de la poursuites d’infractions ;
- une durée de conservation limitée à trois mois à compter de la date du passage, pour les données relatives aux passages ainsi que les photographies y associées.
A la condition de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par le Ministre d’Etat du traitement automatisé d’informations nominatives ayant pour finalité «Gestion du site Internet www.i-cars.mc».
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu la convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’ordonnance souveraine n° 13.636 du 25 septembre 1998 portant création d’un Service des Parkings Publics ;
Vu l’ordonnance souveraine n° 16.605 du 10 janvier 2005 portant organisation des Départements ministériels ;
Vu la demande d’avis déposée par le Ministre d’Etat le 24 mars 2011 concernant la mise en œuvre d’un traitement automatisé ayant pour finalité «Gestion du site Internet www.i-cars.mc» ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 6 juin 2011 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
Conformément à l’ordonnance souveraine n° 13.636 du 25 septembre 1998 portant création d’un Service des Parkings Publics, ledit service est placé «sous l’autorité du Conseiller de Gouvernement pour les Travaux Publics et les Affaires Sociales».
En application de l’ordonnance souveraine n° 16.605 du 10 janvier 2005 portant organisation des Départements ministériels, ces mêmes attributions relèvent désormais du Département de l’Équipement, de l’Environnement et de l’Urbanisme.
Ainsi, conformément aux dispositions de l’article 7 de la loi n° 1.165, modifiée, du 23 décembre 1993, le Ministre d’Etat, responsable de traitement concernant les traitements exploités par les services de l’Etat, soumet la présente demande d’avis relative au traitement ayant pour finalité «Gestion du site Internet www.i-cars.mc».
I - Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité «Gestion du site Internet www.i-cars.mc».
Les personnes concernées sont les abonnés du système i-cars, ainsi que les hôteliers / restaurateurs dont les établissements sont appelés à être fréquentés par les groupes d’individus arrivant par autocar.
Par ailleurs, la Commission constate que sont également collectées des données relatives aux guides qui accompagnent, le cas échéant, certains groupes de touristes arrivant par autocars. Elle prend donc acte de cette catégorie additionnelle de personnes concernées par le traitement.
Enfin, les fonctionnalités du traitement sont les suivantes :
- régulation des autocars ;
- modification des coordonnées administratives ;
- visualisation des factures ainsi que de leur détail ;
- visualisation des passages non facturés à H-1 heure ;
- validation d’une régulation mettant en jeu un hôtel ou un restaurant.
D’une manière générale, la Commission observe que ce traitement permet la régulation des parkings pour les autocars, ainsi que la gestion par les abonnés de leurs réservations et de leur compte en ligne.
Au vu de ces éléments, la Commission considère que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II - Sur la licéité du traitement
Tout d’abord, la Commission constate que le Service des Parkings Publics dispose d’une existence légale grâce à l’ordonnance souveraine n° 13.636 du 25 septembre 1998 portant création d’un Service des Parkings Publics.
Aux termes de cette même ordonnance souveraine, le Service des Parkings Publics est chargé de la gestion et de l’exploitation des parkings publics de la Principauté.
En l’espèce, le responsable de traitement indique qu’«afin de faire face aux difficultés rencontrées, le service des Parkings Publics a (…) mis en œuvre un système de régulation global et automatisé pour contenir la gêne occasionnée par la circulation des [autocars] en ville, et contrôler ainsi leur stationnement en fonction de leur destination».
Par conséquent, la Commission constate que ce service en ligne entre bien dans le cadre des missions du Service des Parkings Publics, telles que définies par l’ordonnance souveraine n° 13.636 précitée.
Au vu de ces éléments, la Commission considère que le traitement est licite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
III - Sur la justification du traitement
Le responsable de traitement indique que le traitement est justifié par :
- le respect d’une obligation légale à laquelle est soumis le responsable de traitement ;
- un motif d’intérêt public ;
- l’exécution d’un contrat avec la personne concernée.
A ce titre, la Commission constate que le traitement correspond à l’automatisation d’un service de gestion des parkings publics à destination des autocars circulant sur le territoire de la Principauté, ce qui entre dans le cadre des missions du Service des Parkings Publics telles que définies par l’ordonnance souveraine n° 13.636, précitée.
Toutefois, la Commission estime que la mise en œuvre du traitement objet de la présente délibération ne constitue pas pour autant une obligation légale imposée au Service des Parkings Publics, mais plutôt un choix de gestion dudit service.
En revanche, la Commission considère que les services susmentionnés participent effectivement à un motif d’intérêt public, à savoir assurer la bonne gestion des parkings et la régulation des autocars sur le territoire de la Principauté.
Enfin, la Commission observe que le traitement est justifié par l’exécution d’un contrat avec les personnes concernées, puisqu’il permet la gestion par les abonnés de leurs réservations ainsi que de leur compte en ligne.
Au vu de ces éléments, la Commission considère que le traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
IV - Sur les informations traitées
Les informations nominatives objets du traitement sont :
- identité : nom, prénom, raison sociale ;
- adresses et coordonnées : adresse, code postal, ville, pays, téléphone, fax, gsm ;
- caractéristiques financières : mode de règlement ;
- données d’identification électronique : email, n° de facture, n° de client, n° de régulation ;
- passages aux entrées/ sorties : horodatage de chaque passage ainsi que le parking ;
- factures ainsi que le détail : montant de l’abonnement et éventuels dépassements, répartis par parking fréquenté ;
- annuaire du service : nom, prénom, fonction, email ;
- photos des passages : photo couleur de la calandre avant du véhicule avec l’horodatage incrusté ; photo infrarouge (noir et blanc) de la partie inférieure de la calandre avant ; photo (noir et blanc) uniquement de la plaque d’immatriculation extraite à partir de la précédente image ;
- données de régulation : date de début et de fin de régulation, nom du groupe (nom par lequel le client sera appelé par le système d’affichage situé dans les parkings), nombre de personnes, type de groupe (association caritative, étudiants groupe sportif, comité d’entreprises, VIP, etc.), langue du chauffeur, nationalité du groupe, accompagnant (soit le véhicule - marque, modèle, immatriculation ; soit le guide : coordonnées), trajet effectué (liste des parkings dans lequel(s) il est censé se rendre), restaurants, hôtels et lieux touristiques fréquentés.
- gestion des guides : nom, adresse, code postal, ville, pays, téléphone, fax, gsm, email ;
- gestion des bus : marque, modèle, immatriculation, n° de flotte (n° de gestion interne au client qui lui permet de spécifier son véhicule).
La Commission relève que les sept premières catégories d’informations ont pour origine le traitement ayant pour finalité «Gestion des abonnés bus», lequel a fait l’objet d’un avis favorable de la Commission dans le cadre de la délibération n° 2001-45 du 15 octobre 2001.
A ce titre, elle prend acte que ce dernier traitement fait concomitamment l’objet d’une demande d’avis modificative, aux fins, notamment, de prendre en compte l’interconnexion entre les deux traitements.
Les 4 dernières catégories de données ont pour origine le client lui-même.
Par ailleurs, la Commission relève que certaines catégories d’informations collectées sont optionnelles.
Enfin, en ce qui concerne les photos des passages, la Commission constate que trois catégories de photographies sont prises, à savoir une photo de la calandre avant du véhicule en couleur avec l’horodatage incrusté, une photo en infrarouge, et une photo concernant uniquement la plaque d’immatriculation du véhicule, laquelle est extraite de la photo en infrarouge.
A ce titre, elle prend acte des explications du responsable de traitement, selon lesquelles la première photo sert de preuve du passage de l’autocar au sein des parkings publics de la Principauté, en cas de contestations.
Toutefois, la Commission constate que cette photographie est susceptible de laisser apparaitre les visages et silhouettes de certains individus installés dans l’autocar, tels que le chauffeur et les passagers des sièges avant.
Or aux termes de l’article 10-1 de la loi n° 1.165, modifiée, la Commission rappelle que les informations nominatives collectées doivent être «adéquates, pertinentes et non excessives» au regard de la finalité pour laquelle elles sont collectées.
Ainsi, en l’espèce, elle estime que la finalité du traitement ne justifie pas que soient collectées les images des individus situés dans les autocars.
Par conséquent, la Commission demande un «floutage» automatique et systématique de la moitié supérieure de la photographie de la calandre avant du véhicule, un tel «floutage» permettant en effet de capter la plaque d’immatriculation à des fins d’identification du véhicule, tout en préservant la vie privée des individus qui s’y trouvent.
En outre, elle précise qu’un «défloutage» des images pourrait éventuellement être envisagé en cas de nécessité impérieuse, comme par exemple en cas de vol de véhicule, ou toute autre infraction. Dans cette hypothèse, elle rappelle que les images ne pourront être transmises aux autorités de police que sur commission rogatoire.
En ce qui concerne l’ensemble des autres informations collectées dans le cadre du traitement, la Commission les considère conformes aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
V - Sur les droits des personnes concernées
• Sur l’exercice du droit d’accès, de rectification et de suppression
La Commission constate que le droit d’accès peut être exercé de plusieurs manières : par un accès en ligne de l’abonné à son compte client ; par courrier électronique ou voie postale ; ou enfin, sur place en se rendant dans les bureaux du Service des Parkings Publics. Le délai de réponse est de trente jours.
Les droits de rectification ou mise à jour, et de suppression des données sont exercés selon les mêmes modalités.
La Commission constate ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions de la loi n° 1.165, modifiée.
• Sur l’information des personnes concernées
La Commission relève que l’information préalable des personnes concernées est effectuée via une rubrique propre à la protection des données accessibles en ligne. Elle considère que cette modalité d’information est suffisante en ce qu’elle permet d’atteindre l’ensemble des personnes concernées par le traitement.
De plus, la rubrique d’information comprend l’ensemble des mentions obligatoires imposées par l’article 14 de la loi n° 1.165, modifiée.
Au vu de ces éléments, la Commission constate que les personnes concernées sont dûment informées, conformément aux dispositions dudit article 14.
VI - Sur les personnes habilitées à avoir accès au traitement
La Commission observe que les personnes habilitées à avoir accès au traitement sont les administrateurs du site.
Considérant les attributions de ces individus, et eu égard à la finalité du traitement, elle estime que lesdits accès sont justifiés.
Par ailleurs, la Commission relève qu’une partie du site Internet est accessible au public.
Enfin, il ressort des fonctionnalités du traitement que les abonnés du système i-cars ont nécessairement accès audit traitement pour effectuer des réservations et gérer leur compte en ligne.
Par conséquent, la Commission prend acte de ces accès, qu’elle considère justifiés, conformément aux dispositions de l’article 17 de la loi n° 1.165, modifiée.
VII - Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations n’appellent pas d’observation.
La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII - Sur la durée de conservation
La Commission constate que les informations nominatives collectées sont conservées jusqu’à six mois après la date de résiliation de l’abonnement du client, à l’exception des factures, qui sont conservées en ligne durant trois ans.
Tout d’abord, la Commission relève que la durée de conservation prévue est particulièrement étendue en ce qui concerne les données relatives aux passages ainsi que les photos y associées.
A cet égard, elle demande donc une durée de conservation de trois mois à compter de la date du passage.
Une telle durée de conservation va dans le sens des positions déjà adoptées par la Commission en matière d’enregistrement des passages, dans le cadre de sa délibération n° 2010-43 du 15 novembre 2010 portant recommandation sur les dispositifs de contrôle d’accès.
De plus, la facturation des clients abonnés étant mensuelle, elle considère qu’une telle durée de conservation n’est pas susceptible de porter entrave à l’établissement desdites factures.
Par ailleurs, en ce qui concerne l’annuaire de service, le responsable de traitement indique que les informations sont conservées «tout le temps» au motif qu’il s’agit d’«informations statiques disponibles en permanence».
Or ces informations de contact, présentes sur le site Internet, sont nécessairement mises à jour en fonction des mouvements de personnel au sein du Service des Parkings Publics.
C’est pourquoi la Commission considère que le délai de conservation applicable à cette catégorie d’informations est en fait limité à la durée durant laquelle les individus concernés sont en fonction aux postes listés dans le cadre de ladite rubrique.
Au vu de ces éléments, la Commission estime donc que les durées de conservation sont conformes aux exigences légales.
Toutefois, elle requiert que pour le cas particulier des données relatives aux passages et les photos y associées, la durée de conservation soit de trois mois à compter de la date du passage.
Après en avoir délibéré :
Demande :
- le «floutage» automatique et systématique de la moitié supérieure de la photographie de la calandre avant du véhicule, un «défloutage» des images ne pouvant intervenir qu’a postériori, dans le cadre de la recherche ou de la poursuites d’infractions ;
- une durée de conservation limitée à trois mois à compter de la date du passage, pour les données relatives aux passages ainsi que les photographies y associées.
A la condition de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par le Ministre d’Etat du traitement automatisé d’informations nominatives ayant pour finalité «Gestion du site Internet www.i-cars.mc».
Le Président de la Commission
de Contrôle des Informations Nominatives.