icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails
Voir le site en Anglais
MENU
Français | Anglais
  • Avis et Communiqués
  • Déliberations-Décisions CCIN

Délibération n° 2024‑163 du 11 septembre 2024 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion du site Internet du Corps des Sapeurs-Pompiers de Monaco » exploité par le Corps des Sapeurs-Pompiers de Monaco, présenté par le Ministre d'État.

  • N° journal 8714
  • Date de publication 27/09/2024
  • Qualité 100%
  • N° de page

Vu la Constitution ;

Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu l’Ordonnance Souveraine n° 8.017 du 1er juin 1984 portant statuts des militaires de la force publique, d’assurer le service de lutte contre l’incendie, de secours et de sauvetage dans la Principauté et de prêter son concours pour le maintien de l’ordre public ;

Vu l’Ordonnance Souveraine du 19 juin 1909 portant création du Corps des Sapeurs-Pompiers ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré ;

Vu l’Ordonnance Souveraine n° 7.995 du 12 mars 2020 portant création de la Direction des Services Numériques ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu la délibération n° 2011‑82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;

Vu la délibération n° 2023‑62 du 19 avril 2023 de la Commission de Contrôle des Informations Nominatives portant avis favorable sur la demande présentée par le Ministre d’État relative à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des sites Internet du Gouvernement Princier de Monaco » de la Direction des Services Numériques ;

Vu la demande d’avis déposée par le Ministre d’État le 21 mai 2024 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Gestion du site Internet du Corps des Sapeurs-Pompiers de Monaco » ;

Vu la prorogation du délai d’examen de la présente demande d’autorisation notifiée au responsable de traitement le 18 juillet 2024, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 susmentionnée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 11 septembre 2024 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

Afin de faciliter l’accès à l’information des usagers sur ses missions, la communication de son actualité et le processus de recrutement, le Corps des Sapeurs-Pompiers de Monaco a décidé de mettre en œuvre un traitement concernant la gestion de son site Internet.

Le présent traitement s’inscrit dans la continuité du traitement ayant pour finalité la « Gestion des sites Internet du Gouvernement Princier » ayant obtenu l’avis favorable de la Commission par délibération n° 2023‑62 en date du 19 avril 2023, mais fait l’objet d’un traitement distinct en raison du formulaire spécifique de candidature mis en ligne sur le site Internet du Corps des Sapeurs-Pompiers de Monaco.

Le traitement automatisé d’informations nominatives objet de la présente délibération est soumis à l’avis de la Commission conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.

I.   Sur la finalité et les fonctionnalités du traitement

Le responsable de traitement indique que le traitement dont s’agit a pour finalité « Gestion du site Internet du Corps des Sapeurs-Pompiers de Monaco ».

Il indique que les personnes concernées sont les candidats à la fonction de Sapeur-Pompier, les personnels de l’Administration (Pompiers, DSN, DSI), le personnel des prestataires (intégration et infogérance) et enfin toute personne ayant accès au site Internet.

Les fonctionnalités sont les suivantes :

- afficher des informations détaillées sur les rôles, missions, l’organisation et les coordonnées du Corps des Sapeurs-Pompiers de Monaco ;

- diffuser toute information relative aux actions du Corps des Sapeurs-Pompiers de Monaco ;

- diffuser les coordonnées et points de contact du Corps des Sapeurs-Pompiers de Monaco ;

- permettre aux usagers d’entrer en contact électroniquement avec le Corps du Corps des Sapeurs-Pompiers de Monaco au moyen d’un formulaire de contact ;

- permettre aux candidats de déposer leurs candidatures en ligne via un formulaire dédié ;

- diffuser toute information utile au candidat concernant les conditions d’admission au Corps des Sapeurs-Pompiers de Monaco ;

- établir des statistiques de mesures d’audience du site de manière anonymisée.

Il appert, à l’étude du dossier, que le présent traitement a également pour fonctionnalité de permettre l’accès vers d’autres sites Internet tiers, tel que YouTube.

À cet égard, la Commission constate que le site Internet du Corps des Sapeurs-Pompiers diffuse une série de reportages, accessibles via le site Web d’hébergement YouTube, dont les serveurs sont localisés aux États‑Unis.

La Commission précise à cet effet, que YouTube est un site Internet qui génère des cookies pour des finalités propres, et conformément à sa politique de confidentialité.

Elle rappelle qu’il appartient au responsable de traitement de s’assurer que l’ensemble des personnes concernées par le présent traitement sont informées du transfert de leurs données vers les États‑Unis, pays ne disposant pas d’un niveau de protection adéquat.

Sous cette réserve, la Commission considère que le traitement est justifié, conformément aux dispositions de l’article 10‑2 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le présent traitement est justifié par le consentement des personnes concernées ainsi que par la réalisation d’un intérêt légitime.

Ainsi, il précise que les formulaires de contact et de candidature « sont accessibles par les internautes afin de leur permettre de prendre contact ou de candidater auprès du Corps des Sapeurs-Pompiers de Monaco ».

Il indique également que « la démarche de compléter ce formulaire est donc à la discrétion de l’internaute qui saisit lui‑même les informations nécessaires au bon traitement de sa demande ».

De surcroît, le responsable de traitement précise que « l’internaute souhaitant prendre contact avec le Corps des Sapeurs-Pompiers de Monaco ou le candidat qui postule consent à ce que les Services de l’Administration traitent ses informations nominatives en cochant une case dédiée lui indiquant le traitement qui en est fait ».

Le responsable de traitement explique à ce sujet que « les droits et libertés sont protégés en ne leur demandant que les données nécessaires à la connaissance de leur profil et compétences ».

Par ailleurs, le traitement est également justifié par la réalisation d’un intérêt légitime poursuivi par le responsable de traitement, sans que ne soient méconnus ni l’intérêt, ni les droits et libertés fondamentaux de la personne concernée.

À cet effet, le responsable de traitement indique qu’« afin de développer, accompagner et aider les différents bureaux, le Corps des Sapeurs-Pompiers est également doté d’une « Cellule Communication », placée sous l’autorité de l’Adjoint au Chef de Corps » et qui a pour mission de développer en interne et en externe l’information et la communication à l’aide de différents supports (Site Internet, réseau social interne Workplace, écran de diffusion, ...) :

- la communication interne va permettre aux personnels du Corps d’être renseignés sur les différentes informations dont ils vont avoir besoin au quotidien ;

- la communication externe assure les relations avec les homologues institutionnels (Direction du Gouvernement, Monaco Matin, Soldat du feu...).

Parmi ses actions, la cellule communication développe son site Web, gère les couvertures médias lors de divers évènements (Cérémonies, défilés...) ».

En outre, le responsable de traitement explique que « le Corps des Sapeurs-Pompiers de Monaco diffuse, au travers du site Internet, un certain nombre d’information sur leurs missions, leurs actualités etc. Conformément à l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et les administrés, le Corps des Sapeurs-Pompiers met également à disposition de l’internaute un formulaire de contact afin de permettre à toute personne souhaitant entrer en contact avec le Corps des Sapeurs-Pompiers de Monaco de pourvoir le faire en toute facilité ».

Il précise par ailleurs qu’« afin de répondre aux besoins de son activité, le Corps des Sapeurs-Pompiers recherche des candidats et est à l’écoute de toute personne souhaitant proposer ses compétences et qualités pour briguer la fonction de Sapeur-Pompier. Aussi, la mise à disposition et le développement du formulaire de candidature en ligne dans le cadre de ce traitement permet au Corps des Sapeurs-Pompiers de réceptionner et gérer les candidatures des personnes intéressées par la fonction de Sapeur-Pompier afin d’en évaluer les qualités et les compétences ».

Enfin, la Commission prend acte que « la Direction des Services Numériques a accompagné le Corps des Sapeurs-Pompiers dans la réalisation et la mise en ligne du site Internet [...] chargées de mettre à disposition des usagers sur Internet une documentation administrative complète et les informer sur les démarches à accomplir ou d’assurer la cohérence d’ensemble du paysage en ligne de l’administration, incluant les services en ligne et les sites Internet ».

Au vu de ce qui précède, elle considère ainsi que le traitement est licite et justifié, conformément aux dispositions des articles 10‑1 et 10‑2 de la loi n° 1.165 du 23 décembre 1993.

III.   Sur les informations nominatives traitées

Les informations nominatives traitées sont :

- identité :

     •  informations publiques diffusées sur les sites Internet (personnel de l’Administration) : nom, prénom, civilité ;

     •  formulaire de candidature (internaute) : nom, prénom, civilité, âge ;

     •  formulaire de contact (internaute) : civilité, nom, prénom ;

   • authentification pour accéder au back-office, contributeur au back-office (personnel de l’Administration) : nom, prénom ;

-  adresses et coordonnées :

 •  formulaire de candidature (internaute) : numéro de téléphone (facultatif), adresse email, ville de résidence, département de résidence ;

  •  formulaire de contact (internaute) : adresse email ;

- formation-diplômes, vie professionnelle :

 • formulaire de candidature (internaute) : diplômes obtenus, précédentes expériences professionnelles (sapeurs-pompiers/militaire et autres expériences utiles) ;

- données d’identification électronique :

  •  authentification pour accéder au back-office, contributeur back-office : adresse email, ID d’authentification, adresse IP, mot de passe chiffré ;

- informations temporelles :

 •  compte contributeur en back-office : date et heure de création d’un compte, date et heure de modification d’un compte ;

  •  système : logs système ;

  •  Dans le cadre de la traçabilité des connexions en back-office (contributeur), personnel de l’administration : données d’horodatage ;

 • Dans le cadre de la traçabilité des modifications de contenus via le back-office (contributeur), personnel de l’administration : logs (nom, prénom, données d’horodatage) ;

   •  Dans le cadre du formulaire de candidature : date et heure d’envoi du formulaire ;

- formulaire de contact (autres données) : objet de la demande de contact, message de l’usager ;

- données issues du widget Friendly Captcha : données relatives à l’en-tête de la requête HTTP notamment sur le navigateur de l’utilisateur, origine et le site Internet référent, date et heure de la requête, version du widget utilisé, ID du compte administration du site Web de l’Administration, valeur de hachage (cryptage à sens unique) de l’adresse IP entrante (l’adresse IP n’est pas prise en compte, seule la valeur de hachage est enregistrée), nombre de demandes provenant de l’adresse IP (hachée) par période, réponse au problème arithmétique résolu sur l’ordinateur du visiteur ;

- back-office Friendly Captcha : logs du personnel de l’Administration, adresse IP et adresse email du personnel de l’Administration.

Il appert, à l’étude du dossier, que le site Internet du Corps des Sapeurs-Pompiers de Monaco diffuse les photos du personnel ou des personnes intervenant lors d’évènements. La Commission en prend acte.

À cet égard, la Commission rappelle néanmoins qu’il convient au responsable de traitement d’obtenir l’autorisation de toute personne dont l’image aurait vocation à être diffusée sur le site Internet du Corps des Sapeurs-Pompiers de Monaco.

Par ailleurs, l’origine des informations n’appelle pas d’observation.

La Commission considère que les informations ainsi collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément à l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993, modifiée.

IV.   Sur les droits des personnes concernées

  •    Sur l’information préalable des personnes concernées

Le responsable de traitement indique que l’information préalable des personnes concernées est assurée au moyen d’une mention particulière intégrée dans un document d’ordre général accessible en ligne à savoir les mentions légales, les conditions générales d’utilisation et une politique cookie.

À cet effet, le responsable de traitement précise que « l’ensemble de ces rubriques permettent à chaque utilisateur d’obtenir une information claire et détaillée sur l’aspect juridique du site ».

Par ailleurs, le responsable de traitement indique que l’information préalable du personnel de l’Administration est assurée par le biais d’une procédure interne accessible en Intranet du Gouvernement Princier, à savoir une « Notice d’information dédiée aux traitements de la Direction des Services Numériques ».

À l’étude des extraits des documents joints par le responsable de traitement, la Commission constate que les mentions d’information précitées sont conformes aux exigences légales.

  • Sur l’exercice du droit d’accès

Le droit d’accès s’exerce sur place ou par courrier électronique auprès de la Délégation Interministérielle à la Transition du Numérique (DITN) s’agissant des personnels de l’Administration (Pompiers, DSN, DSI) et auprès du Corps des Sapeurs-Pompiers en ce qui concerne les candidats à la fonction de Sapeur-Pompier et les utilisateurs du site.

À cet égard, la Commission prend acte que la communication des informations dans le cadre du droit d’accès est réalisée dans le mois suivant la demande.

S’agissant de l’exercice du droit d’accès par courrier électronique, elle constate par qu’une procédure a été mise en place par le responsable de traitement afin de s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations, et que la collecte de documents d’identité est effectuée conformément à la délibération n° 2015‑113 du 18 novembre 2015 de la Commission portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.

Ainsi, la Commission considère ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.

V. Sur les destinataires et les personnes ayant accès au traitement

  • Sur les personnes ayant accès au traitement

Le responsable de traitement indique qu’ont accès au présent traitement :

- le personnel de l’Administration (Corps des Sapeurs-pompiers) : création, modification, suppression ;

- le personnel de la Direction des Services Numériques : droits inhérents à leur mission de maintenance, développement des applicatifs nécessaires au fonctionnement et à la sécurité du site ;

- le personnel de la Direction des Systèmes d’Information : tous droits et accès aux données techniques nécessaires à l’exécution de leurs missions liées à la maintenance de l’infrastructure ;

- le personnel de l’éditeur : tous droits pour la TMA ;

- le personnel de l’infogérant : tous droits pour l’infogérance de l’infrastructure.

Considérant les attributions de chacune de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.

VI.   Sur les rapprochements et interconnexions

Le responsable de traitement indique que le traitement est interconnecté avec les traitements suivants ayant respectivement pour finalité :

- « Gestion des habilitations et des accès au Système d’Information », exploité par la Direction des Systèmes d’Information (DSI) ;

- « Gestion et analyse des évènements du SI », exploité par la Direction des Systèmes d’Information (DSI) ;

- « Gestion centralisée des accès aux applications du SI », exploité par la Direction des Systèmes d’Information (DSI) ;

- « Gestion des accès distants au Système d’Information » afin de sécuriser les accès prestataires à la solution en cas de montées de version, maintenance ou correction d’anomalies ;

- « Gestion des sites Internet du Gouvernement Princier de Monaco », exploité par la Direction des Systèmes d’Information (DSI).

Il est également rapproché des traitements suivants :

- « Gestion de la messagerie professionnelle », exploité par la Direction des Systèmes d’Information (DSI) ;

- « Assistance aux utilisateurs par le Centre de Service de la DSI », exploité par la Direction des Systèmes d’Information (DSI) ;

-  « Gestion interne du personnel de la Compagnie », exploité par le Corps des Sapeurs-Pompiers.

La Commission constate que ces traitements ont été légalement mis en œuvre.

Elle considère donc que ces interconnexions et rapprochements sont conformes aux exigences légales.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.

Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

Elle rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui‑ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Le responsable de traitement indique que les informations collectées par le biais du formulaire de contact (identité de l’internaute, adresse et coordonnées, ID de la demande enregistrée en back-office, objet de la demande de contact et message de l’usager) sont conservées 2 ans à compter de la soumission de la demande.

Par ailleurs, il indique que les informations collectées par le biais du formulaire de candidature (identité de l’internaute, adresse et coordonnées, formations-diplômes, type de requête et message de l’usager) sont conservées 2 ans à compter du dépôt de la candidature.

En outre, les informations publiques diffusées sur les sites Internet concernant les personnels de l’Administration (identité) le sont, tant que l’information est valide.

Les informations relatives au contributeur au back-office (identité et données d’identification électronique dans le cadre de l’authentification pour accéder au back-office) sont conservées tant que le compte de l’utilisateur est activé sur le back-office concerné. La date et l’heure de création d’un compte contributeur en back-office ainsi que la date et l’heure de modification d’un compte sont conservées tant que le compte du contributeur en back-office est actif.

De plus, les logs système sont supprimés à l’issue d’un délai d’un mois de rétention et les informations temporelles sont conservées 12 mois glissants.

Enfin, il est précisé s’agissant des données issues du widget Friendly Captcha, que « les adresses IP ne sont stockées que sous forme hachée. Les données d’utilisation personnelles sont supprimées dans un délai de 30 jours. Le widget n’installe pas de cookies sur l’ordinateur du visiteur ». De même, concernant le back-office Friendly Catcha « les données des utilisateurs de l’Administration sont stockées dans la base de données sous forme chiffrée. Les adresses IP entrantes des utilisateurs de l’Administration sont uniquement sauvegardées par Friendly Captcha sous forme hachée en utilisant un chiffrage à sens unique ».

La Commission considère que ces délais sont conformes aux exigences légales.

Après en avoir délibéré, la Commission :

Rappelle que :

- les personnes concernées doivent être informées du transfert de leurs données vers les États‑Unis, pays ne disposant pas d’un niveau de protection adéquat ;

- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switch, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;

- le responsable de traitement du Corps des Sapeurs-Pompiers de Monaco, doit obtenir l’autorisation de toute personne dont l’image aurait vocation à être diffusée sur le site Internet du Corps des Sapeurs-Pompiers.

À la condition de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion du site Internet du Corps des Sapeurs-Pompiers de Monaco ».

Le Président de la Commission de Contrôle des Informations Nominatives.

Visualiser le journal
au format PDF 1,35 MB
Télécharger le journal
au format PDF 1,35 MB
Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14