icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2021-57 du 17 mars 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion dématérialisée des relations entre les locataires et occupants avec l'Administration des Domaines » exploité par l'Administration des Domaines présenté par le Ministre d'État.

  • N° journal 8533
  • Date de publication 09/04/2021
  • Qualité 100%
  • N° de page

Vu la Constitution ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 6.317 du 20 mars 2017 portant création de l'Administration des Domaines ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l'Administration et l'administré ;
Vu la Délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la demande d'avis déposée par le Ministre d'État, le 24 février 2021, concernant la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité la « Gestion dématérialisée des relations entre les locataires et occupants avec l'Administration des Domaines » ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 17 mars 2021 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
L'Administration des Domaines est chargée, au sein de la Principauté, de la préparation, de la conclusion des baux et de tout autre contrat afférent au domaine de l'État monégasque, ainsi que du recouvrement des loyers, redevances, charges et indemnités qui en résultent.
Dans le cadre du programme de transformation digitale du Gouvernement de Monaco et afin de faciliter les démarches des locataires et occupants des Domaines, l'État souhaite mettre en place un téléservice.
Le traitement automatisé d'informations nominatives susvisé est soumis à l'avis de la Commission, conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.
I.          Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Gestion dématérialisée des relations entre les locataires et occupants avec l'Administration des Domaines ».
Il concerne les locataires et occupants de l'Administration des Domaines (ensemble, les usagers) ainsi que le personnel de l'Administration.
Le responsable de traitement précise que « l'objectif du présent traitement est de proposer aux occupants des Domaines une gestion dématérialisée des échanges avec l'Administration par le biais d'un extranet permettant plusieurs fonctionnalités, telles que la gestion de son compte utilisateur, le paiement en ligne des loyers ou la consultation de documents en ligne (loyers, baux, quittances, etc.).
Le traitement est composé d'un site web et d'une application mobile permettant aux locataires de visualiser les dernières informations de leur compte vis-à-vis de l'Administration des Domaines.
L'application mobile propose un sous-ensemble des fonctions du site Web et s'appuie sur le serveur du site web pour fonctionner. ».
Le présent traitement a pour fonctionnalités :
-           Gestion du compte utilisateur (inscription, connexion et gestion des identifiants/mots de passe) ;
-           Notifications (recevoir des notifications en temps réel) ;
-           Fil d'information (consulter toutes les notifications concernant le locataire) ;
-           Mon compte (consulter la situation de mon compte) ;
-           Nous contacter (envoyer une demande à mon bailleur avec une pièce jointe) ;
-           Mes contacts (consulter mes contacts privilégiés) ;
-           Payer en ligne par CB (payer mon loyer en ligne) ;
-           Liens utiles (liste de liens vers des sites web) ;
-           Gérer mes informations personnelles (consulter et modifier mes coordonnées) ;
-           Gérer mes situations personnelle et professionnelle (consulter et modifier mes situations personnelle et professionnelle) ;
-           Mes réclamations (suivre mes affaires et celles de mon immeuble) ;
-           Mon attestation d'assurance (fournir mon attestation d'assurance dématérialisée) ;
-           Consulter mes documents (télécharger des documents stockés en GED).
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.
II.        Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par le consentement de la personne concernée, ainsi que par la réalisation d'un intérêt légitime qui ne méconnaît ni l'intérêt, ni les droits et libertés fondamentaux de la personne concernée.
S'agissant du consentement, il indique plus particulièrement que « la personne accepte que ses données soient traitées et manifeste son consentement libre et éclairé dans le cadre du formulaire d'adhésion (i) ainsi que par le biais d'une case à cocher lors de son inscription à l'Extranet locataire (ii) », laquelle indique « j'accepte que mes données personnelles soient traitées dans le cadre de la gestion dématérialisée des échanges avec l'Administration des Domaines ».
En outre, « lors de sa première connexion, l'utilisateur doit accepter les Conditions Générales d'Utilisation de l'application, comportant les mentions obligatoires dans une clause relative à la protection des informations nominatives, conformément à l'article 14 de la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives ».
Par ailleurs, le responsable de traitement précise que « le présent traitement répond aux besoins des services de l'Administration des Domaines de disposer d'un outil de gestion dématérialisée des échanges d'informations entre elle et les locataires des Domaines ».
Ce traitement permet légitimement à l'Administration des Domaines de/d' :
-           Améliorer l'efficacité des échanges entre l'Administration des Domaines et ses locataires ;
-           Améliorer le service rendu aux locataires des Domaines de l'État (consultation de sa situation personnelle, suivre les affaires de l'immeuble, fournir des attestations d'assurance) ;
-           Obtenir un gain de temps dans la gestion des dossiers ;
-           Proposer un outil aux locataires leur permettant de payer en ligne leur loyer dans un soucis d'amélioration du service.
La Commission rappelle à cet effet que conformément aux dispositions de l'article 42 de l'Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l'Administration et l'administré « (…) la création d'un téléservice ne saurait toutefois avoir pour effet de supprimer la possibilité pour l'usager, d'accomplir les démarches, formalités ou paiements qui en sont l'objet par des voies autres qu'électroniques. ».
La Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.
III.       Sur les informations traitées
Les informations nominatives traitées sont :
-           Identité, situation de famille : état civil (nom, prénom, date de naissance), situation maritale, copie de la pièce d'identité en noir et blanc (à des fins d'authentification lors de la première connexion de l'usager) ;
-           Adresses et coordonnées : adresse et coordonnées (téléphone / email) ;
-           Données d'identification électronique : login (adresse email) et numéro de locataire ;
-           Informations temporelles : logs du site web ;
-           Documents en ligne : factures, quittances, documents de charges, baux ;
-           Historique sur le compte : mouvements comptables sur le compte (facture sur le compte, etc.).
Les informations relatives à l'identité et à la situation de famille, aux adresses et coordonnées ont pour origine la personne concernée. Il en est de même pour le login (adresse email).
Le numéro de locataire ainsi que les informations temporelles proviennent du système.
Enfin, les documents en ligne et l'historique du compte sont issus du traitement « Gestion locative », légalement mis en œuvre.
La Commission considère que les informations ainsi collectées sont « adéquates, pertinentes et non excessives », au regard de la finalité du traitement, conformément à l'article 10-1 de la loi n° 1.165 du 23 décembre 1993 du 23 décembre 1993, susvisée, modifiée.
IV.       Sur les droits des personnes concernées

  • Sur l'information préalable des personnes concernées

Les personnes concernées sont informées par le biais d'une rubrique propre à la protection des données accessible en ligne.
En l'occurrence, cette information se fait par le biais des conditions générales d'utilisation du téléservice que l'usager peut consulter dès l'accès à la démarche.
À la lecture de celles-ci, la Commission constate que les droits offerts aux personnes concernées sont larges et reprennent certains droits du Règlement Général à la Protection des Données, dont certains, tels que le droit à la portabilité, n'ont pas vocation à s'appliquer en l'espèce.
Elle se demande d'ailleurs si le responsable de traitement a les moyens effectifs pour faire bénéficier les personnes concernées de droits encore inexistants en droit interne.

  • Sur l'exercice du droit d'accès

Le droit d'accès est exercé par la personne concernée en ligne via son compte utilisateur.
La Commission constate que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993 du 23 décembre 1993, modifiée, susvisée.
V.        Sur les destinataires et les personnes ayant accès au traitement
Ont accès à ce traitement outre, l'Administrateur technique de l'Administration (au sein de la DITN, service : DSI) :
-           Les personnels de l'Administration des Domaines (ADOM) : en lecture, en configuration, en traitement ;
-           Les personnels de la Direction des Systèmes d'Information (DSI) ou tiers intervenant pour son compte (dans le cadre des missions de maintenance, développement des applicatifs nécessaires au fonctionnement du site et de sécurité du site et du système d'information de l'État) : en lecture, en paramétrage, en configuration ;
-           Les personnels de l'équipe Hotline du prestataire : en lecture et en configuration uniquement après validation par un membre de l'équipe DSI.
Le responsable de traitement précise que « la liste des agents ayant accès au traitement est définie et validée par le service ».
La Commission relève que de plus en plus de traitements métiers ou de téléservices font l'objet d'interventions de Directions Supports qui administrent ou créent les solutions. Ces Directions supports sont décrites comme disposant d'accès aux traitements concernés. Elle rappelle que ces dernières n'ont pas à avoir accès en continu à l'information métier, dont la sensibilité peut varier en fonction des services concernés.
Elle rappelle donc que les accès doivent être restreints au strict besoin d'en connaître et que les interventions de support doivent être effectuées selon des modalités définies conformes aux règles de l'art.
En ce qui concerne le prestataire de services, la Commission rappelle que, conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée, les droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de son contrat de prestation de services. De plus, ce dernier est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission relève, par ailleurs, que les personnes concernées disposent également d'un accès à leur propre compte.
Elle considère que ces accès sont justifiés.
VI.       Sur les interconnexions
Le présent traitement fait l'objet d'une interconnexion avec le traitement « Gestion Locative », légalement mis en œuvre.
Le responsable de traitement précise que « les données à afficher sur l'extranet sont stockées ou générées dans l'application ADOM ».
La Commission considère que cette interconnexion est conforme aux exigences légales.
VII.     Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation particulière.
Cependant, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
La Commission rappelle néanmoins que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement, au regard des risques présentés par ce traitement et de la nature des données à protéger, devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII.    Sur la durée de conservation
Les données collectées dans le cadre du présent traitement sont conservées 3 ans après la désactivation du compte, à l'exception :
-           des informations temporelles qui sont conservées un an (le responsable de traitement indique que les logs font l'objet d'une purge annuelle) ;
-           des documents en ligne. En effet, les factures et quittances sont conservées 12 mois roulants, les décomptes de charges 3 ans roulants et les baux, le temps de la durée de location + 1 an ;
-           des données relatives à l'historique des comptes qui sont, quant à elles, conservées 100 jours roulants.
Par ailleurs, le responsable de traitement précise que les copies des cartes d'identité ne sont pas conservées dans l'Extranet Locataire, ces dernières étant stockées par le traitement « Gestion Locative » à des fins de vérification pour éviter les usurpations d'identité.
La Commission relève que ces délais sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Rappelle que :
-           le responsable de traitement, s'il intègre de nouveaux droits aux personnes concernées, doit être en mesure de les assurer, et doit vérifier l'adéquation de ceux-ci avec le présent traitement, notamment en ce qui concerne le droit à la portabilité ;
-           les accès doivent être restreints au strict besoin d'en connaitre et que les interventions de supports doivent être effectuées selon des modalités définies conformes aux règles de l'art ;
-           conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée, le prestataire est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement ;
-           les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switch, routeurs, pares-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État, du traitement automatisé d'informations nominatives ayant pour finalité « Gestion dématérialisée des relations entre les locataires et occupants avec l'Administration des Domaines ».


Le Président de la Commission de Contrôle des Informations Nominatives.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14