Délibération n° 2024‑146 du 26 juillet 2024 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des autorisations d'exercer une pratique non conventionnelle participant au mieux-être » exploité par la Direction de l'Action Sanitaire et présenté par le Ministre d'État.

  • N° journal 8709
  • Date de publication 23/08/2024
  • Qualité 100%
  • N° de page

Vu la Constitution ;

Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu la loi n° 1.516 du 23 décembre 2021 relative aux pratiques non conventionnelles participant au mieux-être ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu l’Ordonnance Souveraine n° 5.640 du 14 décembre 2015 portant création d’une Direction de l’Action Sanitaire ;

Vu l’arrêté ministériel n° 2022‑722 du 14 décembre 2022 fixant la liste des pratiques non conventionnelles participant au mieux-être ;

Vu la délibération n° 2011‑82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;

Vu la demande d’avis déposée par le Ministre d’État le 30 avril 2024 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Gestion des autorisations d’exercer une pratique non conventionnelle participant au mieux-être » ;

Vu la prorogation du délai d’examen de ladite demande d’avis notifiée au responsable de traitement le 27 juin 2024, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 26 juillet 2024 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

Afin de délivrer les autorisations d’exercer les pratiques visant à participer au mieux-être des personnes, le Gouvernement Princier souhaite mettre en place un traitement automatisé d’informations nominatives qui sera exploité par la Direction de l’Action Sanitaire (DASA).

Ledit traitement, objet de la présente délibération, est donc soumis à l’avis de la Commission conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée.

I.   Sur la finalité et les fonctionnalités du traitement

Ce traitement a pour finalité « Gestion des autorisations d’exercer une pratique non conventionnelle participant au mieux-être ».

Les personnes concernées sont les professionnels exerçant une pratique non conventionnelle participant au mieux-être ainsi que les agents de la DASA et du Département des Affaires Sociales et de la Santé (DASS) en charge du suivi des autorisations.

À cet égard, la Commission prend acte des précisions du responsable de traitement selon lesquelles un professionnel exerçant une pratique non conventionnelle participant au mieux-être est « Toute personne souhaitant exercer une pratique visant à participer au mieux-être de la personne sur laquelle elle est mise en œuvre, dont l’effet recherché est son confort physique ou psychique, sans pour autant que la preuve de son efficacité soit admise par la communauté scientifique ».

Enfin, le responsable de traitement indique que les fonctionnalités sont les suivantes :

-    réception de la demande d’autorisation d’exercer une pratique non conventionnelle participant au mieux-être ;

-    correspondance avec les demandeurs d’une autorisation ;

-    examen de la demande d’autorisation d’exercer ;

-    suivi du dossier et des étapes de la procédure de demande d’autorisation d’exercer ;

-    tenue de la liste des personnes ayant formulé une demande d’autorisation, et des décisions associées (autorisation, refus d’autorisation) ;

-    conservation des dossiers de demandes d’exercer ;

-    établissement de statistiques non nominatives.

La Commission constate ainsi que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement

Le traitement est justifié par le respect d’une obligation légale à laquelle est soumis le responsable de traitement, un motif d’intérêt public et la réalisation d’un intérêt légitime poursuivi par le responsable de traitement.

À cet égard, la Commission constate que l’article 2 de l’Ordonnance Souveraine n° 5.640 du 14 décembre 2015 portant création de la Direction de l’Action Sanitaire, détaille les missions relatives à l’action sanitaire dont est chargée ladite Direction.

Elle prend ainsi note que la Direction de l’Action Sanitaire doit « effectuer les vérifications ou enquêtes nécessaires soit préalablement à la délivrance d’agréements ou d’autorisations requis en application de dispositions législatives ou règlementaires, soit à la demande des autorités administratives ou judiciaires compétentes » et que dans ce cadre elle instruit les demandes d’autorisation en faveur de l’exercice d’une pratique non conventionnelle participant au mieux-être.

Enfin, la Commission relève que les pratiques non conventionnelles participant aux mieux-être sont régies en Principauté par la loi n° 1.516 du 23 décembre 2021.

Au vu de ce qui précède, elle considère que le traitement est licite et justifié, conformément aux dispositions des articles 10‑1 et 10‑2 de la loi n° 1.165 du 23 décembre 1993.

III.    Sur les informations nominatives traitées

Le responsable de traitement indique que les informations nominatives traitées sont :

-    identité/situation de famille : nom, nom d’usage, prénoms, sexe (facultatif), date et lieu de naissance, nationalité, photo d’identité, signature, copie de la pièce d’identité ou titre de séjour ou passeport ;

-    adresses et cordonnées : adresse postale actuelle, adresse postale antérieure (facultatif), numéro de téléphone privé (facultatif) et professionnel ;

-    formation/ diplôme et vie professionnelle : diplômes et références, activités professionnelles actuelles, activités professionnelles antérieures (facultatif) ;

-    données d’identification électronique : login et mot de passe ;

-    infractions/condamnations/mesures de sûreté : antécédents judiciaires éventuels, extrait de casier judiciaire daté de moins de trois mois.

À la lecture du dossier, il appert qu’une référence est créée et que chaque pièce justificative est enregistrée sous le numéro ainsi attribué.

La Commission prend acte des précisions du responsable de traitement selon lesquelles les copies de la pièce d’identité, du titre de séjour ou du passeport sont demandées en noir et blanc.

Ces informations ont pour origine le professionnel, à l’exception du login et du mot de passe qui ont respectivement pour origine la DSI et l’utilisateur.

La Commission constate par ailleurs que les logs de connexion des personnes habilitées à avoir accès au traitement sont également collectés et que ceux‑ci ont pour origine le système.

Elle considère ainsi que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.

IV.   Sur les droits des personnes concernées

>   Sur l’information préalable des personnes concernées

L’information préalable des personnes concernées est effectuée par le biais d’une mention sur le document de collecte.

À l’analyse de la notice de renseignements jointe au dossier, la Commission constate que celle‑ci est conforme à l’article 14 de la loi n° 1.165 du 23 décembre 1993.

>   Sur l’exercice du droit d’accès, de modification et de mise à jour

Le droit d’accès s’exerce sur place ou par voie postale auprès de la Direction de l’Action Sanitaire.

À cet égard, la Commission rappelle que la réponse à un droit d’accès doit intervenir dans le mois suivant la réception de la demande.

Elle constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.

V. Sur les destinataires et les personnes ayant accès au traitement

>   Sur les destinataires

Le responsable de traitement indique que la notice de renseignements remplie par le professionnel exerçant une pratique non conventionnelle participant au mieux-être, la pièce d’identité/titre de séjour ou du passeport et l’extrait de casier judiciaire sont communiqués à la Direction de la Sûreté Publique.

Les informations relatives à l’identité, les adresses et coordonnées et les informations relatives aux infractions/condamnations/mesures de sûreté sont communiquées aux agents du DASS et au Ministre d’État dans le process de délivrance de l’autorisation.

Les nom, nom d’usage et prénoms des professionnels exerçant une pratique non conventionnelle participant au mieux-être sont communiqués à la Direction du Développement Économique et à l’Administration des Domaines.

Les nom, nom d’usage, prénoms et adresse postale des professionnels exerçant une pratique non conventionnelle participant au mieux-être sont communiqués aux Caisses Sociales de Monaco.

Enfin, les informations contenues dans la Décision Ministérielle d’autorisation sont communiquées au Journal de Monaco pour publication.

Au vu de ce qui précède, la Commission considère que ces transmissions sont conformes aux exigences légales.

>   Sur les personnes ayant accès au traitement

-    le personnel habilité de la DASA : création et suppression des dossiers des professionnels exerçant une pratique non conventionnelle participant au mieux-être, suivi et mise à jour des dossiers ;

-    les agents habilités de la DSI et toute personne travaillant sous son autorité : accès dans le cadre de leurs missions d’assistance technique et de maintenance.

Considérant les attributions de chacune de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.

VI.   Sur les interconnexions et rapprochements

Le responsable de traitement indique que le présent traitement fait l’objet de trois interconnexions avec les traitements ayant pour finalité :

-    « Gestion des habilitations et des accès au Système d’Information » ;

-    « Gestion de la messagerie professionnelle » ;

-    « Gestion des techniques automatisées de communication ».

Ledit traitement fait l’objet de rapprochements avec les traitements ayant pour finalité :

-    « Assistance aux utilisateurs par le Centre de Service de la DSI » ;

-    « Gestion et analyse des évènements du système d’information » : afin de veiller à la traçabilité et à la sécurité des actions effectuées sur le réseau ;

-    « Gestion du flux de production des archives d’intérêt public et de leur consultation » ;

-    « Traçabilité des évènements d’annuaires et des accès aux ressources associées » : pour journaliser les actions (création, modification, suppression) effectuées sur les serveurs de fichier et les modifications de droits d’accès sur ces serveurs.

La Commission en prend acte et relève que ces traitements ont été légalement mis en œuvre.

VII.  Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient appellent plusieurs observations.

La Commission prend acte que « L’attention du requérant sera appelée concernant la sécurité de la correspondance par e-mail ».

Elle rappelle néanmoins que les communications d’informations doivent être sécurisées en tenant compte de la nature des informations transmises.

Elle rappelle également que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.

Enfin, la Commission rappelle que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui‑ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Le responsable de traitement indique que « Si l’autorisation est accordée, les données seront stockées physiquement et numériquement pendant toute la durée de ladite autorisation » et que « Si l’autorisation d’exercer n’est pas accordée ou après cessation de l’activité du professionnel, les dossiers papier et numérisé sont archivés ».

À cet égard, la Commission demande toutefois que l’extrait du casier judiciaire soit supprimé après le retour de la Direction de la Sûreté Publique.

Elle note en outre que les candidatures non retenues sont également archivées. À cet égard, la Commission demande que celles-ci ne soient pas conservées au-delà d’un délai de 5 ans.

Enfin, elle fixe la durée de conservation des logs de connexion à 1 an.

Sous ces conditions, la Commission considère que ces durées sont conformes aux exigences légales.

Après en avoir délibéré, la Commission :

Rappelle que :

-    la réponse à un droit d’accès doit intervenir dans le mois suivant la réception de la demande ;

-    les communications d’informations doivent être sécurisées en tenant compte de la nature des informations transmises ;

-    les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.

Demande que :

-    l’extrait du casier judiciaire soit supprimé après le retour de la Direction de la Sûreté Publique ;

-    les candidatures non retenues ne soient pas conservées au-delà d’un délai de 5 ans.

Fixe la durée de conservation des logs de connexion à 1 an.

Sous le bénéfice de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des autorisations d’exercer une pratique non conventionnelle participant au mieux-être ».

Le Président de la Commission

de Contrôle des Informations Nominatives.

Visualiser le journal
au format PDF 1,16 MB
Télécharger le journal
au format PDF 1,16 MB
Imprimer l'article
Article précédent Retour au sommaire Article suivant
Powered by eZ Publish™ CMS Open Source Web Content Management. Copyright © 1999-2014 eZ Systems AS (except where otherwise noted). All rights reserved.