Délibération n° 2019-182 du 20 novembre 2019 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Promotion et valorisation de la destination Monaco », dénommé « CRM (Customer Relationship Management) », exploité par la Direction du Tourisme et des Congrès et présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 3.880 du 12 octobre 1967 instituant un Service du Tourisme ;
Vu l'Ordonnance Souveraine n° 4.809 du 9 novembre 1971 portant création d'une Direction du Tourisme et des Congrès ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la délibération n° 2012-54 du 16 avril 2012 portant avis favorable sur la demande présentée par le Ministre d'État relative à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Promotion et valorisation de la destination Monaco », dénommé « CRM (Customer Relationship Management) » de la Direction du Tourisme et des Congrès ;
Vu la demande d'autorisation de communication d'informations vers une personne ou entité située dans un pays ne disposant pas d'un niveau de protection adéquat, déposée par le Ministre d'État le 14 août 2019, ayant pour finalité « Communication des informations de la Direction du Tourisme et des Congrès aux bureaux situés dans des pays hors protection adéquate » ;
Vu la demande d'avis déposée par le Ministre d'État, le 14 août 2019, concernant la mise en œuvre d'un traitement automatisé ayant pour finalité « Promotion et valorisation de la destination Monaco » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 11 octobre 2019, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 20 novembre 2019 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Direction du Tourisme et des Congrès créée par l'Ordonnance Souveraine n° 4.809 du 9 novembre 1971 a reçu avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Promotion et valorisation de la destination Monaco » par délibération n° 2012‑54 du 16 avril 2012.
Elle souhaite désormais faire évoluer ledit traitement, principalement eu égard à la solution informatique choisie comme support à son exploitation ; et dans la définition des accès dévolus à ses bureaux de représentation sis à l'étranger, parfois dans des pays ne disposant pas d'une législation de protection des données personnelles d'un niveau de protection adéquat.
Aussi, le Ministre d'État soumet à l'avis de la Commission le traitement y afférent intégrant lesdites évolutions, conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Promotion et valorisation de la destination Monaco ».
Il concerne les « prospects » et « clients » du tourisme en Principauté (agences, tours opérateurs, journalistes, etc.), les partenaires (hôtels, Centre de Congrès, etc.), et les Agents et fonctionnaires de l'État.
Les fonctionnalités sont :
• Gestion des contacts :
- Historique des demandes Lead MICE ;
- Envoi de cadeaux, cartes de vœux ;
- Participation à des opérations de promotion ;
• Gestion des opérations de tourisme :
- Eductour, press trip sur Monaco ;
- Opération de promotion à l'étranger (workshop, roadshow, …) ;
• Autres :
- Gestion des nuitées hôtelières par période et secteur d'activité ;
- Stockage des escales de croisière ;
- Gestion des frais de déplacement et d'accueil gérés par la DTC.
La Commission considère que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
- Sur la licéité du traitement
Aux termes de l'Ordonnance Souveraine n° 3.880 du 12 octobre 1967, la Direction du Tourisme et des Congrès a pour missions, notamment :
- de recueillir toutes informations propres à orienter le développement du tourisme ;
- d'établir et de tenir à jour l'inventaire des moyens dont la Principauté dispose en matière de tourisme ;
- d'organiser la propagande touristique à l'étranger et notamment arrêter, le cas échéant, par l'entremise d'organismes spécialisés, toutes mesures propres à assurer cette publicité ;
- de veiller à l'accueil des touristes et des personnalités étrangères ;
- de mettre à disposition du public tous renseignements concernant le tourisme, et plus particulièrement ceux relatifs à la Principauté ;
- d'étudier et proposer toutes mesures tendant à faciliter la venue des touristes dans la Principauté et améliorer les conditions de leur séjour.
La Commission considère donc que le traitement est licite conformément à l'article 10-1 de la loi n° 1.165, modifiée.
- Sur la justification du traitement
Le responsable de traitement précise que le traitement est justifié par le respect d'une obligation légale à laquelle il est soumis.
La Commission observe que le traitement s'inscrit dans le cadre des missions réglementairement conférées à la Direction du Tourisme et des Congrès.
Elle relève, par ailleurs, qu'il a pour objet de « promouvoir la destination Monaco », et de « faciliter la mise en place d'évènements en Principauté ». Le CRM est ainsi présenté comme un outil qui permet de répondre « aux attentes des organismes souhaitant organiser en Principauté des évènements de type congrès, séminaires, manifestations… accueillant de nombreux participants qui nécessitent une préparation très en amont. La Direction du Tourisme et des Congrès apparaît comme un relai d'informations entre les organisateurs et les prestataires de la Principauté (hôtels, restaurants, centre de congrès, lieux de visite, de loisirs, de sorties et de détente) ».
Enfin, la Commission constate que les informations nominatives sont des données de type professionnel limitées aux seules informations permettant de contacter une personne en charge de l'organisation d'un événement ou d'une manifestation, ainsi que des données se rapportant à ceux-ci.
Au vu des éléments qui précèdent, la Commission considère que le traitement est justifié, conformément aux dispositions de l'article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations nominatives traitées sont :
- identité : nom, prénom ;
- adresse et coordonnées : adresses postales, coordonnées téléphoniques ;
- vie professionnelle : fonction du contact, langue ;
- adresses électroniques : email ;
- historique sur Monaco : historiques des demandes et interactions ;
- identité agent/fonctionnaire de l'État : nom, prénom, adresse électronique, évènements associés aux déplacements (frais).
La Commission constate par ailleurs que sont générés par le système des identifiants individuels de connexion.
Les informations ont pour origine la personne concernée, un partenaire de la Direction du Tourisme et des Congrès (hôtels, agences de tourisme ou organisateur de congrès professionnels, etc.) ou ses bureaux de représentation à l'étranger.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
IV. Sur les droits des personnes concernées
- Sur l'information préalable des personnes concernées
L'information préalable des personnes concernées est réalisée par le biais d'un ajout dans la signature d'email, qui renvoie directement à une politique d'utilisation de données personnelles hébergée sur le site visitmonaco de la DTC.
La Commission relève que l'information communiquée aux personnes concernées est conforme aux dispositions de l'article 14 de la loi n° 1.165, modifiée. Toutefois, elle demande que la finalité du traitement y soit clairement mentionnée.
Par ailleurs, elle note que des collectes peuvent être effectuées par le biais de formulaires.
Aussi elle demande que la mention d'information y soit reportée.
La Commission rappelle également que les Agents et fonctionnaires doivent également faire l'objet d'une information conforme aux dispositions de l'article 14, susvisé.
Enfin, en ce qui concerne le site visitmonaco, la Commission constate que celui-ci n'a pas été légalement mis en œuvre, et que la mention d'information relative à la politique cookie n'est pas conforme aux standards attendus.
Elle demande donc que ce dernier lui soit soumis dans les meilleurs délais.
- Sur l'exercice du droit d'accès, de modification et de mise à jour
Le droit d'accès est exercé par voie postale, par courrier électronique, ou sur place auprès de la Direction du Tourisme et des Congrès.
S'agissant de l'exercice du droit d'accès par voie électronique, la Commission considère qu'une procédure devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d'un document d'identité était demandée, la transmission et le traitement de ce document devront faire l'objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d'identité officiels.
V. Sur les destinataires et les personnes ayant accès au traitement
La Commission constate qu'il n'y a pas de destinataire des informations objets du présent traitement.
Les accès sont définis comme suit :
- personnels de la Direction du Tourisme et des Congrès, selon les rôles déterminés sur la plateforme par ladite Direction ;
- personnels des bureaux de représentation : consultation, modification, création des seuls dossiers leur appartenant, sauf définition de droits d'accès ponctuels plus étendus par la Direction du Tourisme et des Congrès ;
- personnels de la Direction des Réseaux et Systèmes d'Information ou tiers intervenant pour son compte : maintenance informatique.
En ce qui concerne les prestataires, elle rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993 les droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de son contrat de prestation de service. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
Enfin, la Commission relève que certains des bureaux de représentation sont situés dans des pays n'assurant pas, au sens de la loi n° 1.165, modifiée, un niveau de protection adéquat.
L'accès opéré depuis ces pays s'analyse en un transfert d'informations nominatives faisant l'objet d'une demande d'autorisation concomitamment soumise.
Sous cette réserve de l'obtention d'une autorisation de transfert, la Commission considère que ces accès sont justifiés.
VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
De plus, la Commission relève que la clause relative aux informations nominatives présente dans les contrats conclus avec les bureaux de représentation, si elle permet de déterminer que les données appartiennent à l'Administration et que la chaîne de sous-traitance est déterminée, fait également référence aux clauses contractuelles types de la Commission Européenne. La Commission précise que ces clauses ont pour vocation de couvrir des transferts d'informations nominatives de l'Union Européenne vers des pays que la Commission européenne estime ne pas disposer d'un niveau de protection adéquat.
Elle demande par ailleurs qu'une journalisation automatisée des accès au traitement soit mise en place.
La Commission rappelle de plus que, conformément à l'article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VII. Sur la durée de conservation
Les informations sont supprimées après 5 ans d'inactivité de la fiche client. Cette durée de conservation est justifiée eu égard aux spécificités du secteur, les entreprises pouvant avoir un cycle de réservation relativement long eu égard à leurs règles internes.
Concernant les identifiants constatés au point III de la présente délibération, la Commission rappelle qu'ils doivent être supprimés au départ des personnes disposant d'un accès au traitement et que la journalisation automatisée visée au point VI doit être conservée pour une durée comprise entre 3 et 12 mois.
La Commission relève que ces délais sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Rappelle que :
- toutes les catégories de personnes concernées doivent être informées de manière conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993, dont les agents et fonctionnaires de l'État ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort ;
- le présent traitement se substitue au traitement ayant reçu avis favorable de sa part par délibération n° 2012-54 du 16 avril 2012.
Demande :
- que la mention d'information disponible sur le site visitmonaco fasse mention de la finalité du traitement ;
- que si des collectes sont effectuées par le biais de formulaire, ladite mention y soit portée ;
- que le site visitmonaco soit soumis à son avis dans les meilleurs délais et que sa politique cookie soit révisée ;
- qu'une journalisation automatisée des accès au traitement soit mise en place ;
- que les identifiants soient supprimés au départ des personnes disposant d'un accès au traitement et que la journalisation automatisée visée soit conservée pour une durée comprise entre 3 et 12 mois.
Considère qu'une procédure relative au droit d'accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations, et alerte le responsable de traitement relativement aux risques inhérents à un droit d'accès effectué par voie téléphonique.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État, du traitement automatisé d'informations nominatives ayant pour finalité « Promotion et valorisation de la destination Monaco ».
Le Président de la Commission de Contrôle des Informations Nominatives.