Délibération n° 2021-111 du 2 juin 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des moyens d'utilisation de l'identité numérique inscrits sur les cartes d'identité monégasque et les cartes de séjour (certificats, code CAN et PUK) » dénommé « CLCM » exploité par la Direction des Services Numériques et présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.483 du 17 décembre 2019 relative à l'identité numérique ;
Vu la loi n° 1.383 du 2 août 2011 pour une Principauté Numérique, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés d'informations nominatives ;
Vu la saisine du Ministre d'État en date du 8 avril 2021 concernant le projet d'Ordonnance Souveraine relative à la carte d'identité monégasque ;
Vu la saisine du Ministre d'État en date du 15 avril 2021 concernant le projet d'Ordonnance Souveraine portant modification de l'Ordonnance Souveraine n° 3.153 du 19 mars 1964 relative aux conditions d'entrée et de séjour des étrangers dans la Principauté, et son arrêté ministériel portant application de l'article 4 ;
Vu la saisine du Ministre d'État en date du 8 avril 2021 concernant 3 projets d'Ordonnances Souveraines portant application des articles 4, 5, 6, 8, 13, 17 et 18 de la loi relative à l'identité numérique ;
Vu la demande d'avis présentée le 12 avril 2021 par de Ministre d'État concernant, la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des moyens d'utilisation de l'identité numérique » ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 2 juin 2021 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Le 17 décembre 2019 a été votée la loi n° 1.483 relative à l'identité numérique qui est dotée en application de son article 3 de moyens d'identification numérique dont le niveau de garantie peut être faible, substantiel ou élevé.
L'identité numérique délivrée en Principauté s'articule notamment autour du Registre National de l'Identité Numérique (RNMIN) lui-même interconnecté à un service de confiance d'authentification.
Le Gouvernement a choisi de scinder le Registre entre d'un côté les informations « métier » dont le contenu est fixé par le projet d'Ordonnance Souveraine portant application des articles 6, 8 et 13 de la loi n° 1.483 relative à l'identité numérique, et le présent traitement défini comme son « extension technique ».
Si la Commission comprend les raisons qui ont conduit à cette distinction, elle estime que rendre autonome le présent traitement crée des difficultés techniques et juridiques qui ne sont pas justifiées.
En effet, le projet d'Ordonnance Souveraine précité prévoit que le RNMIN est interconnecté uniquement avec les traitements des « fichiers sources » à l'identité numérique et à un service de confiance d'authentification.
Or, en ayant coupé en deux traitements le RNMIN, les interconnexions légalement prévues avec ce dernier n'existent plus, puisqu'elles passent au préalable par l'« antichambre » du CLCM qui n'a aucune reconnaissance légale. En outre, cela multiplie les traitements et les mentions d'informations dues aux personnes concernées, rendant l'édifice peu clair pour ces dernières.
À cet égard, l'adjonction de données techniques au RNMIN n'est pas un problème en soit, le rapport de la Commission du Conseil National pour le Développement du Numérique indiquant dans son explication de l'article 9 de la loi n° 1.483 que : « La Commission a repris en substance, au sein d'un article nouveau, les dispositions de l'avant-dernier alinéa de l'article 5 du projet de loi », afin de souligner que « l'exactitude des données enregistrées sur la base de pièces justificatives dans le Registre National Monégasque de l'Identité Numérique est garantie » et que, à l'inverse, « toute autre donnée », c'est-à-dire toute donnée, notamment technique, qui ne serait ni une donnée à caractère personnel, ni une donnée d'identification personnelle, « serait traitée comme purement informative. ».
La Commission prend toutefois acte du choix opéré dans les modalités de dépôt des dossiers.
Aussi, conformément aux dispositions de l'article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, le Ministre d'État soumet le traitement ayant pour finalité « Gestion des moyens d'utilisation de l'identité numérique » à l'avis de la Commission.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité la « Gestion des moyens d'utilisation de l'identité numérique » et est dénommé « CLCM ».
Il est précisé que « Le CLCM prend en charge les fonctions de gestion des moyens d'utilisation de l'identité numérique. Il s'agit de l'extension technique du RNMIN [Registre National Monégasque de l'Identité Numérique]. Ainsi, la possibilité d'accéder et de bénéficier des plateformes de services et d'administration électronique est donc réalisée grâce à l'attribution, par un fournisseur d'identité, qu'il soit étatique ou non, d'identifiants permanents ou temporaires à une personne physique. ».
Le responsable de traitement précise qu'il concerne les monégasques, résidents, et les administrateurs de base de données du prestataire.
Les fonctionnalités sont :
- Demander la création de certificats d'authentification et de signature auprès d'un système de gestion de clefs privées lors de la production des cartes, et de les associer à un numéro de carte ainsi qu'à l'identité numérique du détenteur. Ces certificats sont fournis au système d'Émission ;
- Gérer le cycle de vie des moyens d'utilisation d'une identité numérique (activation/désactivation) ;
- Gérer les certificats auprès de l'IGC national (demande de création/révocation/renouvellement) ;
- Fournir les codes CAN et PUK ;
- Répondre aux besoins des services de confiance en termes d'identification d'une association entre des cartes, des certificats et une identité numérique.
La Commission rappelle toutefois que tout traitement d'informations nominatives doit avoir une finalité « déterminée, explicite et légitime » aux termes de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.
En l'espèce, la finalité du présent traitement doit être plus explicite c'est-à-dire être claire et précise sur le périmètre des personnes effectivement concernées par le présent traitement.
En effet, la Commission estime qu'il résulte de la loi sur l'identité numérique et de ses projets Ordonnances Souveraines d'application dont elle a été saisie concomitamment à la présente demande d'avis, une certaine difficulté d'appréhension des futures modalités de délivrance de l'identité des personnes autres que les nationaux et résidents, et des interactions possibles avec le RNMIN et donc, in fine, avec le présent traitement qui en est « l'extension technique ».
Toutefois, elle relève avec certitude l'applicabilité en l'état du CLCM aux seuls résidents et nationaux pour que soit déposée leur identité numérique sur la carte de séjour ou la carte d'identité monégasque, en application de l'article 4 du projet d'Ordonnance Souveraine relative à la carte d'identité monégasque et à l'article 2 du projet d'arrêté ministériel portant application de l'article 4 de l'Ordonnance Souveraine n° 3.153 du 19 mars 1964 sur les conditions d'entrée et de séjour des étrangers dans la Principauté. C'est ainsi les seules personnes renseignées comme étant concernées par le présent traitement.
Par conséquent, la Commission modifie la finalité comme suit : « Gestion des moyens d'utilisation de l'identité numérique inscrits sur les cartes d'identité monégasque et les cartes de séjour (certificats, code CAN et PUK) ».
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par une mission d'intérêt public.
À cet égard, il indique que le présent traitement permet au Gouvernement d'exercer la mission dont il est investi en application de la loi relative à l'identité numérique, et notamment l'article 4 de la loi n° 1.483 relative à l'identité numérique, qui dispose que :
« Une identité numérique apportant un niveau de garantie élevé tel que défini à l'article précédent est créée et est attribuée :
1) à toute personne physique inscrite sur le sommier de la nationalité monégasque ;
2) à toute personne physique titulaire d'un titre de séjour dans les conditions fixées par l'Ordonnance Souveraine n° 3.153 du 19 mars 1964 relative aux conditions d'entrée et de séjour des étrangers dans la Principauté, modifiée. (…) ».
La Commission relève que le traitement dont s'agit est présenté comme une extension technique du RNMIN, qui fait le lien entre ledit Registre prévu à l'article 6 de la loi n° 1.483, le kiosque, les certificats délivrés par les services de confiance et les traitements de délivrance des cartes d'identité monégasque et des cartes de séjour. Elle en prend acte.
La Commission tient toutefois à rappeler que le terme « moyen d'utilisation » n'est visé, dans les textes relatifs à l'identité numérique, que dans le projet d'Ordonnance Souveraine relatif à la Carte d'identité et dans le projet d'arrêté ministériel portant application de l'article 4 de l'Ordonnance n° 3.153 du 19 mars 1964 relative aux conditions d'entrée et de séjour des étrangers dans la Principauté, qui disposent qu'il est inscrit dans la mémoire électronique des cartes d'identité et de séjour « les moyens d'utilisation de l'identité numérique ». Ces moyens d'utilisation ne sont pas définis. Aussi, il est indispensable, à des fins de prévisibilité et d'intelligibilité de la norme, que les justiciables sachent ce que contiendra la mémoire électronique de leur carte.
Concernant les moyens d'utilisation exposés par le responsable de traitement dans la présente délibération, la Commission constate qu'il s'agit notamment des certificats d'authentification et de signature électronique. Comme indiqué dans la délibération portant sur la « Fourniture des services de confiance pour l'identité numérique », la délivrance par l'État de la signature électronique n'est prévue par aucune disposition. En outre, son insertion sur l'extension technique du RNMIN, qui ne concerne pas que les nationaux et résidents mais, in fine, toute personne inscrite par un fournisseur d'identité public ou privé, n'apparait pas cohérent. En outre, s'il faut considérer le présent traitement comme partie intégrante du RNMIN, la prise en compte de la signature électronique n'apparait pas en lien avec les finalités du RNMIN légalement prévues.
Sous cette réserve, la Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993, modifiée.
III. Sur les informations traitées
Les informations nominatives traitées sont :
- identité / situation de famille : les 5 champs de l'identité numérique : nom, prénoms, date de naissance, heure de naissance, lieu de naissance ;
- informations temporelles : logs de connexion administrateurs ;
- état de l'identité numérique : active, inactive, suspendue ;
- autorité d'enregistrement : Direction de la Sûreté Publique ou Mairie ;
- clé primaire : obtenue par le hachage de la concaténation des 5 champs de l'identité numérique ;
- données relatives à la carte : numéro de carte, date d'expiration de la carte ;
- informations relatives aux moyens d'utilisation d'une identité numérique (MOI) : état du MOI (initialisé, actif, …), type d'utilisation de l'identité numérique (carte ou mobile) ;
- informations relatives aux certificats : « common name », numéro de série du certificat, usage du certificat (authentification, signature), date d'expiration du certificat, état du certificat (actif ou inactif).
Les informations ont pour origine, en ce qui concerne les monégasques, le Fichier des nationaux et de leur famille, et pour les résidents la plateforme permettant la délivrance et la gestion des cartes de séjour. Celles relatives à l'état de l'identité numérique sont fournies par le traitement ayant pour finalité les moyens d'utilisation de l'identité numérique, tandis que la clé primaire provient du système lui-même.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.
IV. Sur les droits des personnes concernées
- Sur l'information préalable des personnes concernées
L'information des personnes concernées est réalisée par le biais d'une mention d'information accessible depuis le portail du Gouvernement dans un sous-onglet intitulé « Traitements mis en œuvre par la Direction des Services Numériques ».
Cette dernière étant jointe au dossier, la Commission relève que le contenu de cette mention d'information est conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.
Le responsable de traitement indique néanmoins que cette information ne peut être préalable car il s'agit d'une collecte indirecte d'information au sens de l'article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.
Toutefois, la Commission constate que l'ensemble des traitements découlant de la délivrance de l'identité numérique doit être porté à la connaissance des personnes concernées lors de la remise de leur carte d'identité ou de leur carte de séjour.
En effet, comme indiqué en justification du motif d'intérêt public par le Gouvernement, ce dernier a la charge du dispositif de l'identité numérique. Si la Commune (dont la délivrance des cartes d'identité est effectuée « sous la surveillance du Ministre d'État » en application de l'article 39 de la loi n° 859) et la Direction de la Sûreté Publique (qui dépend du Ministre d'État) délivrent les documents qui les concernent, l'identité numérique est octroyée par le système dont l'État a la charge.
Aussi, elle considère que les personnes concernées doivent être informées des destinataires des informations et des traitements y associés, voire du lien vers la page du site d'information du site du Gouvernement, lors de la délivrance des documents précédemment évoqués.
- Sur l'exercice du droit d'accès, de modification et de mise à jour
Le droit d'accès est exercé par voie postale. Il est précisé qu'un formulaire de contact est disponible depuis la page relative à la Direction des Services Numériques, accessible depuis le site du Gouvernement.
La Commission constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993, modifiée.
V. Sur les personnes ayant accès au traitement
- Sur les accès au traitement
Le responsable de traitement indique qu'ont accès au traitement : les seuls administrateurs de bases de données du prestataire dans le cadre de ses missions de maintenance et d'administration (paramétrage).
La Commission rappelle qu'en ce qui concerne les prestataires, leurs accès doivent être limités à ce qui est strictement nécessaire à l'exécution de leur contrat de prestation de service, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée. De plus, ils sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement.
La Commission considère que ces accès sont justifiés.
VI. Sur les interconnexions avec d'autres traitements
Le responsable de traitement indique que le présent traitement fait l'objet d'interconnexions avec les traitements ayant pour finalités respectives :
- « Gestion des opérations nécessaires à l'établissement et à la délivrance de la Carte d'Identité Monégasque », concomitamment soumis ;
- « Gestion d'une plateforme permettant la délivrance et la Gestion des cartes de séjour », concomitamment soumis ;
- « Gestion des identités numériques au travers du Registre National Monégasque de l'Identité Numérique », concomitamment soumis ;
- « Plateforme d'activation et de gestion du titre après délivrance (kiosque) », concomitamment soumis ;
- « Fourniture des services de confiance pour l'Identité numérique », concomitamment soumis.
La Commission constate que toutes ces interconnexions sont conformes aux finalités des différents traitements qui sont tous en lien avec la délivrance de l'identité numérique. Elle rappelle néanmoins que ces interconnexions ne peuvent être effectives qu'entre traitements ayant légalement été mis en œuvre.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Enfin, la Commission rappelle que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII. Sur la durée de conservation
Le responsable de traitement indique que les informations sont :
- En ce qui concerne l'identité, détruites une fois le « common name » construit ;
- Conservées un an pour les informations temporelles ;
- En ce qui concerne les autres informations, jusqu'au décès de la personne si elle est monégasque, et cinq ans après le dernier évènement (demande de carte, décision y relative, remise d'une carte ou d'un PV de refus, neutralisation d'une carte) lié à la carte de séjour en ce qui concerne les résidents.
La Commission constate que ces durées de conservation sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Prend acte que le présent traitement s'analyse en « une extension technique du RNMIN », et constate que cette dissociation théorique entre le RNMIN et son extension technique entraine des incohérences dans les interconnexions légalement prévues.
Modifie la finalité comme suit : « Gestion des moyens d'utilisation de l'identité numérique inscrits sur les cartes d'identité monégasque et les cartes de séjour (certificats, code CAN et PUK) ».
Demande que :
- des clarifications soient apportées sur l'autonomie du présent traitement, les définitions légales des « moyens d'utilisation de l'identité numérique », et la cohérence de la présence de certificats de signature électronique sur l'extension technique du RNMIN qui n'est pas limité aux seuls résidents et monégasques ;
- les personnes concernées soient informées lors de la délivrance de la carte de séjour ou de la carte d'identité monégasque de l'ensemble des traitements en lien avec l'identité numérique.
Rappelle que :
- Les Ordonnances Souveraines projetées, qui servent de base légale aux différents traitements en lien avec l'identité numérique, devront être publiées au plus tard concomitamment à la mise en œuvre des traitements y associés ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
- les traitements en lien avec l'identité numérique ne pourront être interconnectés qu'une fois légalement mis en œuvre.
À la condition de la prise en compte des éléments qui précèdent,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État, du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des moyens d'utilisation de l'identité numérique inscrits sur les cartes d'identité monégasque et les cartes de séjour (certificats, code CAN et PUK) ».
Le Président de la Commission de Contrôle des Informations Nominatives.