Délibération n° 2019-115 du 17 juillet 2019 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion informatique des autorisations administratives délivrées par la Direction de l'Aménagement Urbain » exploité par la Direction de l'Aménagement Urbain et présenté par le Ministre d'État dénommé « PROGICIEL LITTERALIS ».
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 2.556 du 11 janvier 2010 portant création d'une Direction de l'Aménagement Urbain ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la demande d'avis déposée par le Ministre d'État le 19 mars 2019 concernant la mise en œuvre d'un traitement automatisé ayant pour finalité la « Gestion informatique des autorisations administratives délivrées par la Direction de l'Aménagement Urbain » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 17 juillet 2019 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Direction de l'Aménagement Urbain (DAU) souhaite rationaliser la gestion des demandes d'autorisations qu'elle traite, à savoir : les demandes d'autorisation d'ouvertures de tranchées sur la voie publique, la coordination des travaux concernant l'entretien, les réparations ou les extensions limitées des réseaux effectuées dans l'emprise du domaine public par les sociétés concessionnaires et par les services administratifs, les demandes d'autorisation gérées par le Centre Intégré de Gestion de la Mobilité.
Pour ce faire, elle a pour objectif de mettre en œuvre un progiciel dénommé LITTERALIS, dans lequel seront exploitées des informations nominatives.
Aussi, le Ministre d'État soumet le traitement y afférent dont la finalité est la « Gestion informatique des autorisations administratives délivrées par la Direction de l'Aménagement Urbain ».
Ainsi, ce dernier est soumis à l'avis de la Commission, conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Gestion informatique des autorisations administratives délivrées par la Direction de l'Aménagement Urbain ».
Il est dénommé PROGICIEL LITTERALIS.
Il concerne les personnels de la DAU, les contacts au sein des entreprises et des sociétés concessionnaires, et les demandeurs d'autorisation.
Les fonctionnalités sont :
- Simplifier et dématérialiser les démarches administratives ;
- Gérer informatiquement les demandes et les autorisations délivrées ;
- Alimenter les perturbations du site internet « infochantier » du Gouvernement ;
- Réaliser des statistiques.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par un motif d'intérêt public et par la réalisation d'un intérêt légitime poursuivi par le responsable de traitement qui ne méconnaît ni l'intérêt, ni les droits et libertés fondamentaux des personnes concernées.
À cet égard le responsable de traitement indique que le traitement est justifié par les textes suivants :
- l'Ordonnance Souveraine n° 2.556 du 11 janvier 2010, modifiée, portant création de la Direction de l'Aménagement Urbain, qui dispose en son article 2 5) que cette Direction est chargée de la délivrance des autorisations d'ouverture de tranchées sur la voie publique et de la coordination des travaux concernant l'entretien, les réparations ou les extensions limitées des réseaux effectués dans l'emprise du domaine public par les sociétés concessionnaires et par les services administratifs ;
- l'Ordonnance Souveraine n° 3.647 du 9 septembre 1966 concernant l'urbanisme, la construction et la voierie, dont l'article 47 notamment dispose que « Chaque immeuble doit être pourvu d'un branchement d'égout particulier régulièrement établi en vertu d'une autorisation de la Direction de l'Aménagement Urbain.
En outre, tous les travaux touchant le réseau d'égouts publics réalisés par l'intérieur ou par l'extérieur, y compris dans le cas d'installations temporaires, doivent être autorisés par la Direction de l'Aménagement Urbain au vu d'une demande (…) » ;
- l'arrêté ministériel n° 63-170 du 10 juillet 1963 relatif à l'exécution de tranchées et à la pose ou l'entretien de canalisations dans le domaine public ; dont l'article 2 dispose que « Les demandes d'autorisation d'ouverture de tranchées doivent satisfaire aux conditions suivantes :
1° Être rédigées en triple exemplaire sur un imprimé conforme au modèle prévu par l'Administration, le premier étant établi sur papier timbré ;
2° Être adressées au directeur du service de l'urbanisme et de la construction et déposées à ce service (…) » ;
- l'arrêté ministériel n° 2018-1116 du 3 décembre 2018 relatif à l'encadrement des chantiers ;
- l'arrêté ministériel n° 2018-1117 du 3 décembre 2018 relatif aux bruits de chantiers, dont l'article 2 dispose notamment que « § 1\. Pour les chantiers d'une durée prévisionnelle supérieure à six mois, le maître d'ouvrage établit et remet à la Direction de la Prospective, de l'Urbanisme et de la Mobilité avant tout démarrage des travaux correspondants, les éléments suivants :
• une étude préalable des bruits de chantier signée par un bureau d'étude acoustique ou un ingénieur acousticien ;
• lors de la demande d'installation de chantier, un plan de prévention et de réduction des bruits de chantier comportant un plan de communication à destination des riverains.
Dans le cas spécifique des chantiers intervenant sur la voie publique, l'étude préalable des bruits de chantier et le plan de prévention et de réduction des bruits de chantier susmentionnés devront être remis à la Direction de l'Aménagement Urbain lors de la demande d'autorisation prévue par l'arrêté ministériel n° 63-170 du 10 juillet 1963 relatif à l'exécution de tranchées et à la pose ou l'entretien de canalisations dans le domaine public.
L'ensemble des éléments remis, selon les cas, à la Direction de la Prospective, de l'Urbanisme et de la Mobilité ou à la Direction de l'Aménagement Urbain, sont transmis à la Direction de l'Environnement pour instruction et sont soumis à la validation de la Direction concernée pour la délivrance de l'autorisation.
§ 2. Pour les chantiers d'une durée prévisionnelle inférieure à six mois, doivent être utilisés, les meilleurs engins, techniques et matériels disponibles au regard du paramètre acoustique, dans le respect, en toutes circonstances, des dispositions des § 2 et § 3 de l'article 11, et doivent être appliquées les dispositions de l'article 17 du présent arrêté.
Le maître d'ouvrage doit fournir, lors de sa demande d'autorisation auprès, selon le cas, de la Direction de la Prospective, de l'Urbanisme et de la Mobilité ou de la Direction de l'Aménagement Urbain, une déclaration concernant la liste des engins, techniques et matériels utilisés et des mesures prises pour réduire les nuisances sonores ainsi qu'une description de la communication minimale prévue (…) » ;
- l'arrêté municipal n° 2007-256 du 27 février 2007 fixant les dispositions relatives à la circulation et au stationnement de véhicules en ville.
La Commission relève ainsi qu'il est de l'intérêt légitime de la Direction de l'Aménagement Urbain de disposer d'un outil permettant un meilleur suivi des autorisations traitées.
La Commission considère donc que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Les informations nominatives traitées sont :
- identité : des tiers (entreprises, sociétés concessionnaires), nom et prénom des contacts des tiers (employés de l'entreprise ou de la société concessionnaire), nom et prénom des demandeurs d'autorisation ;
- adresse et coordonnées : adresse postale, adresse email, coordonnées téléphoniques.
Les informations ont pour origine la personne concernée lorsqu'elle effectue une demande d'autorisation à la DAU.
La Commission relève que sont également traitées les informations relatives aux autorisations délivrées, aux logs utlisateurs issus du système ainsi qu'aux données d'indentification électronique suivantes : identifiant, mot de passe. Elle en prend acte.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
IV. Sur les droits des personnes concernées
- Sur l'information préalable des personnes concernées
L'information préalable des personnes concernées est réalisée par le biais d'une mention sur le document de collecte.
À la lecture de cette dernière, la Commission constate qu'elle est conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.
- Sur l'exercice du droit d'accès, de modification et de mise à jour
Le droit d'accès est exercé par voie postale, auprès de la Direction de l'Aménagement Urbain.
La Commission constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
La Commission constate qu'il n'y a pas de destinataires des informations objets du présent traitement.
Les accès sont définis comme suit :
- Personnels habilités de la DAU : consultation, modification, maintenance et/ou tous droits, en fonction du niveau d'accès délivré à la personne ;
- Les salariés du prestataire en charge du suivi, développement et maintenance du logiciel.
La Commission relève qu'a également tout accès au traitement le personnel de la Direction des Réseaux et Systèmes d'Information (DRSI) ou tiers intervenant pour son compte dans le cadre des missions de maintenance.
Elle constate également que la Direction de la Sûreté Publique peut avoir accès, en consultation uniquement, à certaines informations afin d'en connaitre leur impact sur la voie publique et donc par la même sur ses missions.
La Commission relève que les informations auxquelles cette Direction peut avoir accès sont peu nombreuses et que cet accès peut être utile à des fins de régulation de la circulation sur la voie publique.
En ce qui concerne le prestataire, la Commission rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993 les droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de son contrat de prestation de service. De plus, ledit prestataire est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission considère que ces accès sont justifiés.
VI. Sur les interconnexions
Le présent traitement fait l'objet d'une interconnexion avec le traitement ayant pour finalité « Gestion d'un outil transversal relatif aux chantiers et à la mobilité », légalement mis en œuvre.
Ladite interconnexion a pour objectif d'enrichir le traitement susvisé des informations relatives aux perturbations.
La Commission considère que cette interconnexion est conforme aux exigences légales.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Cependant, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
En ce qui concerne plus spécifiquement les connexions à l'applicatif, il a été porté à la connaissance de la Commission la politique de mot de passe adoptée. À cet égard, elle relève que les latitudes laissées aux utilisateurs dans la constitution de leurs mots de passe peuvent conduire à autoriser des mots de passe ne présentant pas la combinaison robustesse/périodicité de renouvellement minimale autorisée par la Commission.
Elle demande donc que cette politique soit revue pour qu'en tout état de cause seuls des mots de passe réputés forts puissent être constitués.
La Commission rappelle enfin que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII. Sur la durée de conservation
Les données sont anonymisées un an après la dernière demande.
La Commission relève que ce délai est conforme aux exigences légales.
En ce qui concerne les identifiants, la Commission demande qu'ils soient supprimés dès que l'utilisateur n'est plus habilité à accéder au traitement, alors que les logs utilisateurs doivent être conservés minimum 3 mois, maximum un an.
Après en avoir délibéré, la Commission :
Constate que :
- sont également collectées les informations relatives aux autorisations délivrées, aux logs utilisateurs issus du système ainsi qu'aux données d'indentification électronique suivantes : identifiant, mot de passe ;
- le personnel de la Direction des Réseaux et Systèmes d'Information (DRSI) ou tiers intervenant pour son compte a accès au traitement dans le cadre de ses missions de maintenance.
Rappelle que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Demande que la politique de mot de passe soit renforcée afin que les utilisateurs ne puissent choisir que des mots de passe réputés forts.
Fixe la durée de conservation :
- des logs à une durée comprise entre 3 mois et 1 an ;
- des identifiants à la période durant lequel l'utilisateur est habilité à accéder au traitement.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État, du traitement automatisé d'informations nominatives ayant pour finalité « Gestion informatique des autorisations administratives délivrées par la Direction de l'Aménagement Urbain ».
Le Président de la Commission de Contrôle des Informations Nominatives.