icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2022-132 du 21 septembre 2022 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre de la modification du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des activités du Groupement des Personnels de l'Administration Monégasque, communication aux bénéficiaires et partenaires » exploité par le Secrétariat Général du Gouvernement présentée par le Ministre d'État.

  • N° journal 8611
  • Date de publication 07/10/2022
  • Qualité 100%
  • N° de page

Vu la Constitution ;

Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;

Vu la délibération n° 2017-200 du 15 novembre 2017 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des activités du Groupement des Personnels de l’Administration Monégasque, communication aux bénéficiaires et partenaires » du Secrétariat Général du Gouvernement présenté par le Ministre d’État ;

Vu la demande d’avis déposée par le Ministre d’État, le 18 juillet 2022, concernant la mise en œuvre de la modification du traitement automatisé ayant pour finalité « Gestion des activités du Groupement des Personnels de l’Administration Monégasque, communication aux bénéficiaires et partenaires » ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 21 septembre 2022 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

Le Gouvernement Princier a créé le « Groupement des personnels de l’Administration Monégasque », pour faire bénéficier ces derniers de tarifs préférentiels mis à disposition par les partenaires de l’Administration qui participent à l’opération.

Le 15 novembre 2017, le site Internet dédié à ladite opération a reçu avis favorable à sa mise en œuvre, sous réserve du respect de certaines préconisations.

Le responsable de traitement souhaite aujourd’hui faire évoluer ce traitement, exploité par le Secrétariat Général du Gouvernement.

Ainsi, la modification du traitement automatisé d’informations nominatives objet de la présente est soumis à l’avis de la Commission, conformément aux dispositions de l’article 9 de la loi n° 1.165 du 23 décembre 1993, modifiée.

I. Sur la finalité et les fonctionnalités du traitement

La finalité et les personnes concernées par le traitement demeurent inchangées.

Le responsable de traitement souhaite faire évoluer les fonctionnalités comme suit :

-  « gestion des inscriptions ;

-  gestion des comptes des bénéficiaires et des partenaires ;

-  mailings à tout ou partie des bénéficiaires afin de leur donner leurs codes d’accès, de les informer sur les offres, ou de les informer qu’ils sont bénéficiaires d’une mesure ;

-  gestion d’évènements (ex. invitations de fin d’année à des spectacles et manifestations sportives, arbre de Noël) ;

-  gestion des offres déposées par les partenaires aux fins de consultation par les bénéficiaires ;

-  gestion de pages de communication valorisant ces offres et les commerces ou entités concernés ;

-  gestion de petites annonces ;

-  gestion de la commande, vente et distribution de tickets de foire à demi-tarif ;

-  création d’une application mobile permettant de bénéficier de toutes les fonctions du site www.cerclea.mc ;

-  gestion de la distribution des invitations aux spectacles de fin d’année par le site www.cerclea.mc ;

-  statistiques d’utilisation et de fréquentation du site et des évènements ;

-  affichage téléchargement et impression de la carte de membre ;

-  gestion d’une newsletter ».

La Commission constate qu’il existe sur l’application une fonctionnalité de géolocalisation qui est désactivée par défaut. Elle peut être activée par l’utilisateur qui souhaite savoir les offres disponibles à proximité de sa position. La Commission constate donc qu’en cas d’activation, la donnée de position peut être collectée. En l’absence de précision et eu égard à l’objectif de cette fonctionnalité, la Commission estime que la donnée dont s’agit ne peut être collectée que le temps de la session.

Sous cette réserve, la Commission considère que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement

La licéité et la justification du traitement demeurent inchangées.

III. Sur les informations traitées

Les informations nominatives traitées sont désormais :

-  identité :

   • en ce qui concerne le bénéficiaire : nom, prénoms, date de naissance des bénéficiaires ;

   • en ce qui concerne le partenaire proposant une offre : nom, prénoms, raison sociale, NIS, adresse commerciale, téléphone des partenaires ;

   • en ce qui concerne les enfants ou conjoints des bénéficiaires : nom, prénom, date de naissance ;

-  situation de famille :

   • situation de famille des bénéficiaires ;

-  formation, diplôme, vie professionnelle : date de départ de la Fonction Publique, actif/retraité/partenaire, type de contrat ;

-  caractéristiques financières : indice ;

-  consommation de biens et services : historique des achats ;

-  tickets de foire achetés, montant de la commande, mode de paiement : pour chaque commande du bénéficiaire : nom du manège, nombre de places achetées, montant de la commande, mode de paiement (chèque, espèces sur place, CB par le site, sans collecte du numéro de carte) ;

-  places de spectacle : avant la date des spectacles : places délivrées, liste d’attente ; après les spectacles : places délivrées, places supplémentaires délivrées ;

-  données d’identification électronique : adresse email des bénéficiaires et des partenaires (il est demandé aux bénéficiaires d’indiquer une adresse non professionnelle) ;

-  adresse IP et logs techniques : adresse IP de navigation et logs techniques de navigation à des fins statistiques ;

-  petites annonces : petites annonces passées par les bénéficiaires ;

-  offres : offres, remises, avantages proposés par les partenaires ;

-  log système : log de connexion des utilisateurs.

L’origine des informations est inchangée.

La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.

IV.   Sur les droits des personnes concernées

  •   Sur l’information préalable des personnes concernées

L’information préalable des personnes concernées est désormais effectuée :

-  en ce qui concerne les agents des entités adhérentes, par email et communications interne et par les conditions générales du site internet du cercle A, ainsi que la politique cookie ;

-  pour les partenaires, par un formulaire de proposition de remises ou d’avantages aux bénéficiaires du cercle A, qui contient une mention d’information.

À la lecture de ces documents, la Commission constate que les mentions sont conformes aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993 et lève ainsi les réserves qu’elle avait formulé sur ce point dans sa délibération n° 2017‑200, susvisée.

Toutefois, elle relève que le bandeau d’information mis en avant lorsque la personne concernée bascule de l’environnement dédié Monaco à l’environnement général de Meyclub ne contient aucune information sur le dépôt de cookies Google Analytics et le transfert de données y afférent, ou de tout autre cookie soumis à consentement ou transfert de données. La Commission rappelle que si le site Meyclub déposait de tels cookies - qui ont été déclarés illégaux par la CNIL en ce qui concerne Google Analytics - les personnes concernées doivent en être averties sur ledit bandeau d’information avant toute redirection sur Meyclub, comme cela a été demandé dans la délibération n° 2017-200, susvisée.

  •    Sur l’exercice du droit d’accès, de modification et de mise à jour

Le droit d’accès est exercé par courrier électronique, par voie postale, sur place ou par un accès en ligne au dossier.

Les droits de modification et de mise à jour des données sont effectués par courrier électronique, par voie postale, sur place ou par un message de validation du dossier accessible en ligne.

S’agissant de l’exercice du droit d’accès par voie électronique, la Commission constate qu’une procédure est mise en place afin que le responsable de traitement s’assure que l’expéditeur du courriel est effectivement la personne concernée par les informations et lève la réserve formulée sur ce point dans sa délibération n° 2017-200, susvisée.

La Commission relève ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.

V. Sur les destinataires et les personnes ayant accès au traitement

Les accès sont désormais définis comme suit :

-  les personnels du Secrétariat Général du Gouvernement habilités à traiter les actions du Cercle A : création, consultation, mise à jour, suppression, administration ;

-  le personnel de la DRH des entités adhérentes : toutes informations de création, modification, suppression de comptes, informations relatives aux opérations auxquelles l’entité adhérente participe ;

-  les personnels de la Direction Informatique ou tiers intervenant pour son compte : accès dans le cadre des missions de MCO et MCS du système d’information de l’État ;

-  les personnels du fournisseur opérant le traitement et tiers agissants pour son compte : maintenance.

En ce qui concerne les prestataires, la Commission rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993 les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de service. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.

La Commission considère que ces accès sont justifiés.

VI.   Sur les interconnexions

Il est indiqué qu’aux interconnexions précédentes, s’effectuent désormais deux nouveaux rapprochements entre le présent traitement et les deux traitements légalement mis en œuvre suivants :

-  « Gestion d’un outil de partage de documents sécurisés avec des partenaires internes et externes à l’Administration monégasque », afin « de permettre aux entités adhérentes de communiquer de manière sécurisée les fichiers bénéficiaires » ;

-  « Assistance aux utilisateurs par le Centre de Service de la DSI » afin « de permettre aux agents du Cercle A de solliciter le centre de service ou CDS en cas de difficulté sur leurs ressources informatiques ».

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.

Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.

La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Pour rappel, les informations nominatives collectées étaient conservées :

-  3 mois après l’annulation de l’inscription ou le départ, ou 15 mois après la dernière connexion au site, en ce qui concerne les informations relatives à l’identité, à la vie professionnelle et aux données d’identification électronique des bénéficiaires ;

-  3 mois après l’annulation de l’offre en ce qui concerne les informations relatives à l’identité, aux données d’identification électronique, et aux offres des partenaires ;

-  1 mois après la fin de l’évènement en ce qui concerne les informations relatives à l’identité des enfants ou des conjoints, à la situation de famille, aux caractéristiques financières ;

-  1 an à compter de la collecte en ce qui concerne les informations relatives à la consommation des biens et services, aux loisirs, aux adresses IP et logs techniques ;

-  3 mois après dé-publication en ce qui concerne les petites annonces ;

-  15 mois pour les logs permettant d’établir la date de la dernière connexion aux fins d’effacement des comptes ;

-  maximum 6 mois en fonction des cookies déposés.

La Commission constate que le responsable de traitement souhaite désormais conserver :

-  2 mois après la fin d’un évènement ponctuel, ou 2 mois à la fin du dernier évènement s’il est récurrent, les informations relatives à l’identité des enfants ou des conjoints et à la situation de famille ;

-  1 an les informations relatives à l’achat des tickets de foire, « durée légale d’annulation des paiements par carte bancaire sur le site » ;

-  3 ans les places de spectacles « afin de permettre de gérer une priorité sur les places de spectacles très sollicitées lors des distributions des 2 années suivantes.

Elle en prend acte.

Après en avoir délibéré, la Commission :

Constate que les utilisateurs peuvent activer une fonctionnalité de géolocalisation et fixe la durée de conservation de cette donnée à la durée de la session ouverte sur l’application mobile.

Lève les réserves formulées dans sa délibération n° 2017-200 relativement à l’information des personnes concernées et les modalités d’exercice du droit d’accès par voie électronique.

Demande que les personnes concernées soient informées, si des cookies Google Analytics sont utilisés dans l’environnement Meyclub, ou tout autre cookie soumis à consentement ou transfert de données, du dépôt desdits cookies, et qu’ainsi, dès leur connexion à la boutique Meyclub, leurs données de navigation peuvent se retrouver aux États-Unis, pays ne disposant pas d’un niveau de protection adéquat.

Rappelle que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.

Sous le bénéfice de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, de la modification du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des activités du Groupement des Personnels de l’Administration Monégasque, communication aux bénéficiaires et partenaires » du Secrétariat Général du Gouvernement.

Le Président de la Commission de
Contrôle des Informations
Nominatives.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14