icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2024‑158 du 11 septembre 2024 de la Commission de Contrôle des Informations Nominatives avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion du site Internet de la Division de la Propriété Industrielle » exploité par la Direction du Développement Économique (DDE) présenté par le Ministre d'État.

  • N° journal 8714
  • Date de publication 27/09/2024
  • Qualité 100%
  • N° de page

Vu la Constitution ;

Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 606 du 20 juin 1955 sur les brevets d’invention, modifiée ;

Vu la loi n° 607 du 20 juin 1955 sur les dessins et modèles, modifiée ;

Vu la loi n° 1.058 du 10 juin 1983 sur les marques de fabrique, de commerce ou de service ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu l’Ordonnance Souveraine n° 1.476 du 30 janvier 1957 relative aux modalités d’application des dispositions de la loi n° 606 du 20 juin 1955 modifiée par la loi n° 625 du 5 novembre 1956 sur les brevets d’invention ;

Vu l’Ordonnance Souveraine n° 1.477 du 30 janvier 1957 relative aux modalités d’application des dispositions de la loi n° 607 du 20 juin 1955 modifiée par la loi n° 623 du 5 novembre 1956 sur les dessins et modèles ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré, modifiée ;

Vu l’Ordonnance Souveraine n° 7.801 du 21 septembre 1983 fixant les conditions d’application de la loi n° 1.058 du 10 juin 1983 sur les marques de fabrique, de commerce ou de service ;

Vu l’Ordonnance Souveraine n° 9.827 du 15 mars 2023 instituant une Direction du Développement Économique ;

Vu l’Ordonnance Souveraine n° 10.427 du 9 janvier 1992 concernant le brevet européen, modifiée ;

Vu la délibération n° 2011‑82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés d’informations nominatives ;

Vu la demande d’avis déposée par le Ministre d’État, le 13 mai 2024, concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Gestion du site Internet de la Division de la Propriété Industrielle » ;

Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 11 juillet 2024, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 11 septembre 2024 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

La Division de la Propriété Industrielle (DPI) est une division du pôle de compétence « Pôle Propriété Industrielle » (PPI) de la Direction du Développement Économique comme décrit à l’Ordonnance Souveraine n° 9.827 du 15 mars 2023 instituant une Direction du Développement Économique.

Dans le prolongement du traitement ayant pour finalité « Gestion des Titres de Propriété Industrielle », la DPI souhaite mettre en place un site Internet, « MCIPO » afin de permettre la consultation des registres des titres de Propriété Industrielle (PI) ainsi que la gestion de ces titres.

Le présent traitement est soumis à l’avis de la Commission, conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.

I.   Sur la finalité et les fonctionnalités du traitement

Le présent traitement a pour finalité « Gestion du site Internet de la Division de la Propriété Industrielle ».

Il concerne :

- les visiteurs ;

- les utilisateurs du site authentifiés grâce à un compte MonGuichet.mc ;

- les déposants d’une demande de titre de Propriété Industrielle (personne morale ou physique) :

- les titulaires de titres de Propriété Industrielle (personne morale ou physique) ;

- les inventeurs pour le domaine des brevets d’invention ;

- les créateurs pour le domaine des dessins et modèles ;

- les licenciés ;

- les créanciers, payeurs ;

- les mandataires.

Enfin, les fonctionnalités sont les suivantes :

  • consultation publique des données relatives aux titres de propriété industrielle (PI) existants ;
  • demande d’enregistrement des titres PI ;
  • demande de modification des informations du titulaire ou de son mandataire ou de la portée des titres PI ;
  • demande de certificat des titres PI (identité de marque, état des inscriptions portées au registre) ;
  • demande d’enveloppe Soleau ;
  • paiement lié aux demandes d’enregistrement, de modification ou de renouvellement d’un titre PI ;
  • correspondance avec les usagers ;
  • établissement de statistiques d’utilisation du site non nominatives.

La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le présent traitement est tout d’abord justifié par un motif d’intérêt public et par la réalisation d’un intérêt légitime qu’il poursuit et qui ne méconnaît ni l’intérêt, ni les droits et libertés fondamentaux des personnes concernées.

Il précise à cet égard que « La DPI traite les données à caractère personnel dans le cadre de l’exercice de ses fonctions qui consistent, notamment :

  • À délivrer des titres de propriété industrielle (brevets d’invention, marques de fabrique, de commerce ou de service, dessins et modèles) ;
  • À inscrire sur les registres spéciaux tous les actes affectant l’existence, la portée, la propriété ou la jouissance desdits titres de propriété ;
  • À maintenir les services en vue de cette protection ;
  • À rassembler et à diffuser des informations en matière de propriété industrielle. ».

Le traitement dont s’agit permet ainsi à la DPI de répondre à un motif d’intérêt public en lui permettant de « répondre à ses missions telles que décrites dans l’Ordonnance Souveraine n° 9.827 du 15 mars 2023 précitée en utilisant des outils numériques » et de « rapprocher les usagers de services administratifs en tenant compte de l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré dans ses dispositions concernant les téléservices ».

Il lui permet également de répondre à un intérêt légitime, à savoir « faciliter l’accès aux informations par les usagers », « faciliter le dépôt des demandes/formulaires en permettant aux usagers de les préparer en ligne », « gérer les accès des agents de la DPI au back‑office du site Internet » et « gérer le paiement des services proposés par le site Internet ».

La Commission prend acte par ailleurs que ce traitement « s’inscrit dans le prolongement de l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré encadrant la mise en place de téléservices permettant aux usagers de procéder par voie électronique à des démarches ou formalités administratives ainsi qu’à des paiements ».

Enfin, le responsable de traitement indique que le traitement est également justifié par le consentement des personnes concernées lorsque les actions qu’elles effectuent nécessitent la création d’un compte personnel sous MonGuichet.

Il précise à cet effet que « Ce consentement est demandé à la création du compte par le biais de MonGuichet, comme décrit dans le traitement ayant pour finalité « Gestion du compte permettant aux usagers d’entreprendre et suivre des démarches par téléservices » ».

La Commission constate que l’information des personnes concernées est alors réalisée dans les Conditions Générales d’Utilisation (CGU) en ligne et que s’agissant des actions pouvant être réalisées par le site Internet, « l’usager conserve la possibilité d’effectuer les actions directement auprès de la DPI s’il ne souhaite pas recourir au site Internet ».

Au vu de ce qui précède, la Commission considère que le présent traitement est licite et justifié, conformément aux dispositions des articles 10‑1 et 10‑2 de la loi n° 1.165 du 23 décembre 1993.

III. Sur les informations traitées

Le responsable de traitement indique que les informations nominatives traitées sont :

  • Concernant les brevets :

- données administratives : date de mise à jour, statut légal (ex. : brevet déchu), origine (ex. : européen), numéro et date de la demande, numéro de publication, date délivrance, priorité revendiquée, annuités, historique ;

- détails de l’invention : titre, classification ;

- identité et coordonnées du titulaire, de l’inventeur et du mandataire : noms, prénoms ou raison sociale de la société si personne morale et adresse postale.

Ces informations ont pour origine l’Office Européen des Brevets (OEB) et la DPI via le traitement ayant pour finalité « Gestion des titres de Propriété Industrielle ».

  • Concernant les usagers demandeurs d’un extrait des Registres :

- identité et coordonnées : civilité, nom, prénoms, adresse postale, e-mail ;

- données financières : numéro de la transaction, référence de la commande, référence de l’acheteur, date et heure de la transaction, moyen de paiement, numéro de la carte anonymisée, montant de la commande, numéro d’autorisation ;

- éléments administratifs : identifiant de la DPI, numéro de SIRET de la DPI.

La Commission prend acte que la DDE ne conserve pas le numéro de carte bancaire de l’usager.

Les informations relatives à l’identité et aux coordonnées ont pour origine le traitement ayant pour finalité « Gestion du compte permettant aux usagers d’entreprendre et suivre des démarches par téléservices ».

Les données financières et les éléments administratifs ont pour origine le prestataire de paiement.

  •   Concernant les informations identifiant un brevet, une marque ou un dessin ou modèle pour la commande d’un extrait de l’état des inscriptions portées au registre associé :

- identification du brevet, de la marque, du dessin ou modèle : numéro de la demande (de brevet, de marque, de dessin ou de modèle), numéro de publication, date de délivrance.

Ces informations ont pour origine le traitement ayant pour finalité « Gestion des titres de Propriété Industrielle ».

  • Concernant les usagers souhaitant effectuer ou préparer leur demande d’enregistrement ou de renouvellement de brevet, de marque ou de dessin ou modèle :

- données d’identification électronique : adresse e-mail et ID MonGucihet ;

- identité/situation de famille : nom, prénoms du déposant, titulaire, inventeur, créateur, licencié, créancier, payeur, et éventuellement du mandataire, le cas échéant le statut et la dénomination sociale ;

- adresses et coordonnées : adresse et email du déposant, titulaire, inventeur, créateur, licencié, créancier, payeur et éventuellement du mandataire ;

- éléments complémentaires concernant les marques et les dessins ou modèles pour les personnes établies en Principauté : numéro de dépôt de marque ou de dessin ou modèle, numéro d’enregistrement de marque ou de dessin ou modèle, date d’expiration.

Les données d’identification électronique ont pour origine le traitement ayant pour finalité « Gestion du compte permettant aux usagers d’entreprendre et suivre des démarches par téléservices ».

Les autres informations sont renseignées par l’usager.

La Commission prend acte que les informations relatives aux extraits ou états des inscriptions portées au registre (pour les marques, les brevets et les dessins et modèles) ne sont pas visibles sur le site MCIPO mais sont communiquées au demandeur par e-mail, par voie postale ou sur place à la DPI.

Elle relève en outre à la lecture du dossier que les logs de connexion des personnes habilitées à avoir accès au traitement sont également collectés par le système.

La Commission constate également qu’un panier est constitué.

Au vu de ce qui précède, elle considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.

IV.   Sur les droits des personnes concernées

  • Sur l’information préalable des personnes concernées

L’information préalable des personnes concernées est réalisée par le biais des CGU du site MCIPO, d’une mention sur les formulaires en ligne et par une rubrique « cookies ».

À la lecture des documents joints à la demande, la Commission considère que l’information préalable des personnes concernées est conforme aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993.

  • Sur l’exercice du droit d’accès, de modification et de mise à jour

Le droit d’accès est exercé par voie postale, par courrier électronique ou sur place.

À cet égard, la Commission rappelle que la réponse à une demande de droit d’accès doit s’effectuer dans le mois suivant la réception de la demande.

S’agissant de l’exercice du droit d’accès par voie électronique, la Commission considère qu’une procédure doit être mise en place afin que le responsable de traitement puisse s’assurer en cas de doute que l’expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015‑113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.

Sous ces réserves, elle constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.

V. Sur les destinataires et les personnes ayant accès au traitement

  • Sur les destinataires

Les données financières des usagers demandeurs d’un extrait des Registres sont communiquées au prestataire de paiement, sis en France.

La Commission considère que ces transmissions sont conformes aux exigences légales.

  • Sur les personnes ayant accès au traitement

Le responsable de traitement indique qu’ont accès au présent traitement :

- les personnels de la Direction des Systèmes d’Information : dans le cadre de leurs fonctions ;

- le personnel habilité de la DPI : en inscription, modification, maintenance.

Considérant les attributions de chacune de ces personnes et eu égard à la finalité du traitement, les accès susvisés sont justifiés.

VI.   Sur les rapprochements et les interconnexions avec d’autres traitements

Le responsable de traitement indique que le présent traitement fait l’objet des trois interconnexions suivantes :

- « Gestion centralisée des accès aux applications du SI » ;

-  « Gestion du compte permettant aux usagers d’entreprendre et suivre des démarches par téléservices » ;

-  « Gestion des titres de Propriété Industrielle ».

Il appert toutefois à l’étude du dossier un rapprochement avec la messagerie professionnelle.

La Commission constate que ces traitements ont été légalement mis en œuvre et considère que ces interconnexions et ce rapprochement sont conformes aux exigences légales.

Elle prend acte en outre que le traitement est également interconnecté avec un traitement mis en œuvre avec le prestataire de paiement selon la réglementation française en matière de protection des données.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.

Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

De plus la copie ou l’extraction d’informations issues de ce traitement devra être chiffrée sur son support de réception.

La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui‑ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur les durées de conservation

Le responsable de traitement indique que les informations concernant les brevets, les marques et les dessins ou modèles sont conservées sans limitation de durée afin de permettre l’exercice des droits des détenteurs des brevets, à savoir déterminer si le brevet est tombé dans le domaine public ou s’il est toujours en vigueur.

À cet égard, il précise que « le PPI conserve les données à caractère personnel dont l’inscription au registre est obligatoire pendant une durée indéterminée. Pour les brevets d’invention et les dessins et modèles, la loi exige la désignation de l’inventeur et du créateur (paternité). Une fois publiées, ces inventions et créations constituent une antériorité composant l’état de l’art et opposable aux tiers, et ce, non limitée dans le temps. Pour les marques de fabrique, de commerce ou de service, celles-ci appartiennent à une personne physique ou morale qui aura marqué l’activité commerciale dans un secteur donné. Conséquemment, la conservation de manière illimitée du titulaire présente inévitablement un intérêt statistique, ou à tout le moins historique. En revanche, concernant les autres données à caractère personnel non obligatoires stockées dans la base de données, à savoir le courriel et le numéro de téléphone, elles seront supprimées de cette base à partir de la déchéance du titre de PI ou du rejet de la demande d’enregistrement ».

Concernant les données des préparations des formalités, le responsable de traitement indique que « Le site Internet permet aux usagers de préparer les formulaires afin de simplifier leurs démarches auprès de la DPI. Les données saisies lors de la complétion du formulaire en ligne (…) sont conservées 3 mois (M+3) dans les bases de données du site Internet MCIPO ».

La commission prend acte que « Pour achever la démarche, l’usager doit se rendre à la DDE/DPI » et les données sont alors enregistrées dans le traitement ayant pour finalité « Gestion des titres de Propriété Industrielle ».

Enfin, le responsable de traitement indique que « L’historique des commandes est conservé 11 ans, selon les règles suivantes :

- 11 ans pour les commandes de renouvellement ou dépôt de marque, car cette action se fait tous les 10 ans ;

- 11 ans pour les commandes mixtes comportant au moins un renouvellement ou un dépôt de marque. En effet, il est techniquement impossible de pouvoir « trier » les commandes mixtes. Les commandes étant liées aux factures, il n’est pas possible de supprimer les lignes d’une commande ;

- 11 ans pour toutes les commandes, afin que l’usager puisse disposer de la facture et de la commande dont il pourrait avoir besoin au titre de ses obligations de conservation des documents comptables et financiers (ex. article 13 du Code du commerce) ».

En toute fin, les données d’identification électroniques le sont, tant que l’usager dispose d’un compte et les logs de connexion des personnes habilitées à avoir accès au traitement sont conservés 12 mois glissants.

Par ailleurs, le contenu du panier est conservé 5 jours.

La Commission considère que ces délais sont conformes aux exigences légales.

Après en avoir délibéré, la Commission :

Considère qu’une procédure relative au droit d’accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s’assurer en cas de doute que l’expéditeur du courriel est effectivement la personne concernée par les informations.

Rappelle que :

- la réponse à une demande de droit d’accès doit s’effectuer dans le mois suivant la réception de la demande ;

- la copie ou l’extraction d’informations issues de ce traitement devra être chiffrée sur son support de réception ;

- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

Sous le bénéfice de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion du site Internet de la Division de la Propriété Industrielle ».

Le Président de la Commission

de Contrôle des Informations Nominatives.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14