Délibération n° 2024‑84 du 17 avril 2024 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion du Wifi au sein du Conseil National » présenté par la Présidence du Conseil National.

Vu la Constitution ;

Vu la Convention de sauvegarde des Droits de l’Homme et des Libertés fondamentales du Conseil de l’Europe du 4 novembre 1950, et notamment son article 10 ;

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 et son protocole additionnel ;

Vu la loi n° 771 du 25 juillet 1964 sur l’organisation et le fonctionnement du Conseil National, modifiée ;

Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives, modifiée ;

Vu la loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu l’arrêté ministériel n° 2017‑579 du 19 juillet 2017 portant application de l’article 10 de la loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale ;

Vu la délibération n° 2011‑82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;

Vu la demande d’avis déposée par la Présidence du Conseil National le 31 janvier 2024 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Gestion du Wifi au sein du Conseil National » ;

Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 28 mars 2024, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 17 avril 2024 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

Le Conseil National est une Institution publique consacrée par la Constitution, ainsi que par la loi n° 771 du 25 juillet 1964, modifiée, susvisée.

Ses Services relèvent de l’autorité hiérarchique du Président du Conseil National, dont le fonctionnement est défini par un Règlement Intérieur soumis au contrôle du Tribunal Suprême.

Ainsi, le Conseil National revêt le statut d’Autorité publique au sens de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives.

Le Conseil National souhaite mettre à disposition de ses invités et visiteurs ainsi que de son personnel un réseau Wifi public.

Ledit traitement, objet de la présente délibération, est soumis à l’avis de la Commission conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée.

I.   Sur la finalité et les fonctionnalités du traitement

Le traitement a pour finalité « Gestion du Wifi au sein du Conseil national ».

Les personnes concernées sont les invités et les visiteurs, y compris les personnes qui travaillent au Conseil National (Élus, fonctionnaires et agents de l’État).

Enfin, les fonctionnalités de ce traitement sont les suivantes :

-    fournir un accès Wifi ;

-    créer un compte attaché à un profil utilisateur ;

-    identifier, authentifier et accéder au compte/profil (y compris la gestion des mots de passe perdus) ;

-    bloquer certaines URL identifiées comme risquées par le système informatique du Conseil National.

Au vu de ce qui précède, la Commission considère donc que le traitement est licite et justifié, conformément aux dispositions des articles 10‑1 et 10‑2 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le traitement est justifié par « la réalisation d’un intérêt légitime poursuivi [par lui et qui] ne méconnait ni l’intérêt, ni les droits et libertés fondamentaux de la personne concernée ».

La Commission relève à cet égard que l’arrêté ministériel n° 2017‑579 du 19 juillet 2017 portant application de l’article 10 de la loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale prévoit les données pouvant être collectées par « les personnes qui offrent un accès à des services de communications électroniques au public en ligne, y compris à titre gratuit ».

Au vu de ce qui précède, la Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10‑1 et 10‑2 de la loi n° 1.165 du 23 décembre 1993.

III.   Sur les informations traitées

Les informations traitées sont les suivantes :

-    identité : nom, prénom ;

-    adresses et coordonnées : e-mail ;

-    données d’identification électronique : login et mot de passe ;

-    données de trafic : adresse MAC du terminal, identifiant de l’utilisateur, OS, type de navigateur, adresse IP de l’équipement utilisé, date, heure, durée de chaque connexion, information permettant d’identifier le destinataire de la communication (sans élément sur le contenu), action de filtrage et catégorie d’URL bloquée (le cas échéant) ;

-    type d’accès : profil (prestataire/usager), type de service (Full Access), zone d’entrée (interne/externe), plage horaire, durée de validité.

Les informations relatives à l’identité, les adresses et coordonnées ainsi que les données d’identification électronique ont pour origine les utilisateurs.

Les données de trafic et les types d’accès ont pour origine le Système informatique.

La Commission rappelle toutefois, comme exposé au point II de la présente délibération que l’arrêté ministériel n° 2017‑579 du 19 juillet 2017 portant application de l’article 10 de la loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale prévoit les données pouvant être collectées.

À cet égard, elle note que celles-ci ne comprennent pas les URLs consultées ni les mots clés tapés par les utilisateurs, ce qui serait une atteinte disproportionnée à leur vie privée, et rappelle que ceux‑ci ne peuvent donc pas être collectés.

La Commission constate par ailleurs une journalisation des accès.

Elle considère ainsi que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.

IV.   Sur les droits des personnes concernées

>   Sur l’information préalable des personnes concernées

Le responsable de traitement indique que l’information préalable des personnes concernées est effectuée par le biais de messages qui s’affichent sur les navigateurs Internet ainsi que par des écriteaux mis à disposition dans les salles de réunion.

À l’analyse de ces documents, la Commission constate que l’information préalable des personnes concernées est conforme aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993.

>   Sur l’exercice du droit d’accès

Le responsable de traitement indique que le droit d’accès s’exerce par courrier électronique auprès du Secrétaire Général du Conseil National.

Il précise que la réponse à ce droit d’accès intervient dans le mois suivant la réception de la demande.

S’agissant de l’exercice du droit d’accès par voie électronique, la Commission constate qu’une procédure a été mise en place afin que le responsable de traitement puisse s’assurer en cas de doute que l’expéditeur du courriel est effectivement la personne concernée par les informations.

Elle prend acte par ailleurs que la transmission et le traitement de la copie de la pièce d’identité se font conformément à sa délibération n° 2015‑116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.

La Commission considère donc que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.

V. Sur les destinataires et les personnes ayant accès au traitement

>   Sur les destinataires

Le responsable de traitement indique que les informations sont susceptibles d’être communiquées à la Direction de la Sûreté Publique dans le cadre de ses missions légalement conférées.

La Commission estime ainsi que la communication à la Direction de la Sûreté Publique peut être effectuée dans le respect de la loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale et de ses textes d’application.

Sous ces conditions, elle considère donc que de telles transmissions sont conformes aux exigences légales.

>   Sur les personnes ayant accès au traitement

Les personnes habilitées à avoir accès au traitement sont :

-    le responsable informatique, son adjoint, le RSSI et le responsable de la maintenance informatique : tous droits ;

-    les prestataires informatiques : tous droits dans le cadre de leurs opérations de maintenance.

Considérant les attributions de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.

En ce qui concerne les prestataires, la Commission rappelle toutefois que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de service. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.

VI.   Sur les rapprochements et les interconnexions

Le responsable de traitement indique que le présent traitement est interconnecté avec le traitement ayant pour finalité « Gestion de la messagerie professionnelle », légalement mise en œuvre.

La Commission en prend acte et considère que cette interconnexion est conforme aux exigences légales.

VII.  Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.

La Commission rappelle toutefois que la copie ou l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception.

Enfin, elle rappelle que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur les durées de conservation

Le responsable de traitement indique que les informations sont conservées 1 an.

La Commission considère que cette durée est conforme aux exigences légales.

Après en avoir délibéré, la Commission :

Rappelle que :

-    ni les URLs consultées ni les mots clés tapés par les utilisateurs ne peuvent être collectés ;

-    la Direction de la Sûreté Publique ne peut avoir accès aux informations objet du traitement que dans le strict cadre de ses missions légalement conférées ;

-    la copie ou l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception.

À la condition de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par la Présidence du Conseil National, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion du Wifi au sein du Conseil National ».

Le Président de la Commission de Contrôle
des Informations Nominatives.