icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2022-63 du 20 avril 2022 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion du compte permettant aux usagers d'entreprendre et suivre des démarches par téléservices » dénommé « MonGuichet.mc » exploité par la Direction des Services Numériques présenté par le Ministre d'État.

  • N° journal 8589
  • Date de publication 06/05/2022
  • Qualité 100%
  • N° de page

Vu la Constitution ;

Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu la loi n° 1.483 du 17 décembre 2019 relative à l’identité numérique ;

Vu la loi n° 1.383 du 2 août 2011 pour une Principauté Numérique, modifiée ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré ;

Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés d’informations nominatives ;

Vu la demande d’avis présentée le 22 février 2022 par de Ministre d’État concernant, la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion du compte permettant aux usagers d’entreprendre et suivre des démarches par téléservices » ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 20 avril 2022 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

Par le biais du site « MonGuichet.mc », le Gouvernement souhaite permettre aux particuliers et aux entreprises de créer un compte leur permettant d’entreprendre et de suivre les démarches offertes par les différents téléservices qu’il crée.

Ce traitement a pour vocation de remplacer le traitement ayant pour finalité « Gestion du compte permettant aux usagers d’entreprendre des démarches par téléservices ». Il se substituera donc à ce dernier dans toutes les interconnexions avec les téléservices actifs.

Aussi, conformément aux dispositions de l’article 7 de la loi n° 1.165 du 23 décembre 1993, le Ministre d’État soumet le traitement y afférent à l’avis de la Commission.

I. Sur la finalité et les fonctionnalités du traitement

Le traitement a pour finalité « Gestion du compte permettant aux usagers d’entreprendre et suivre des démarches par téléservices » et est dénommé « MonGuichet.mc ».

Le responsable de traitement précise qu’il concerne les usagers monégasques titulaires d’une identité numérique, les usagers résidents titulaires d’une identité numérique, les usagers personnes physiques disposant d’un compte personnel, les personnes physiques représentants d’une personne morale ainsi que, de manière incidente, le personnel de l’Administration.

Les fonctionnalités permettent à l’usager de :

-  se connecter en utilisant son compte personnel (identifiant/mot de passe) ou bien le service MConnect (identité numérique) ;

-  visualiser et paramétrer son compte ;

-  accéder au catalogue des démarches du Service Public réalisables en ligne ;

-  retrouver l’historique de ses démarches effectuées en ligne ;

-  différencier ses démarches particuliers et entreprises ;

-  accéder aux services depuis tous supports numériques.

Il est en outre indiqué que « dans le cadre des accès du personnel de l’Administration (DSN/DSI), le traitement permet d’assurer les fonctions de support de niveau 1 et 2 » suivantes :

-  consultation des informations ;

-  correction de l’information à la demande de l’usager ;

-  désactivation du compte ;

-  suivi des logs de connexion de l’usager ;

-  suivi des logs du personnel de l’Administration (modifications opérées sur la solution de gestion des comptes utilisateurs).

La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le présent traitement est justifié par le consentement des personnes concernées, par le respect d’une obligation légale à laquelle il est soumis et par la réalisation d’un intérêt légitime qu’il poursuit et qui ne méconnaît ni l’intérêt, ni les droits et libertés fondamentaux des personnes concernées.

À cet égard, il précise que le consentement des personnes concernées est formalisé par un acte positif clair matérialisé par le biais d’une case à cocher mentionnant « J’accepte que mes données personnelles soient traitées dans le cadre de « MonGuichet.mc » », ainsi que par l’acceptation préalable des conditions générales d’utilisation, indispensable pour la création du compte sécurisé et pour l’accès à la démarche en ligne.

En outre, l’intérêt légitime trouve son fondement dans la volonté de l’Administration de simplifier les démarches administratives des administrés, ce qui s’inscrit dans le cadre de l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré.

La Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165, modifiée.

III. Sur les informations traitées

Les informations nominatives traitées sont :

-  identité/situation de famille : usager pour un compte particulier (dont usager authentifié via MConnect) : civilité, nom, prénom, nationalité ; usager pour un compte entreprise : civilité, nom, prénom, raison sociale, numéro NIS, numéro CAR, numéro RCI ;

-  données issues du processus d’authentification pour l’usager MConnect/MConnect mobile : nom/nom d’usage, prénoms, nom de naissance, sexe, date et heure de naissance, lieu de naissance, autorité d’enregistrement (Mairie ou DSP) ;

-  adresses et coordonnées : usager pour un compte particulier (dont usager authentifié via MConnect) : adresse mail, adresse, code postal, pays, ville ; usager pour un compte entreprise : adresse mail, adresse, code postal ville, pays ;

-  données d’identification électronique : usager pour un compte particulier ou entreprise (hors usager MConnect) : identifiant , mot de passe ; usager MConnect : identifiant technique unique (créé en récupérant la clé technique fournie par MConnect) ;

-  données de connexion : log de connexion de l’usager, données de messagerie de l’usager, logs d’accès du personnel de l’Administration ;

-  clé technique (authentification via MConnect et MConnect Mobile) : clé technique ;

-  informations relatives au compte usager : données techniques : nombre total de demandes par démarche, nombre de demandes en cours par démarche, nombre de demandes en attente de retour de l’usager, nombre de demandes terminées par démarche, statut simplifié des démarches en ligne ;

-  informations temporelles : données d’horodatage.

Les informations ont pour origine la personne concernée lors de la création d’un compte sur le Guichet.

Les informations en lien avec l’identité numérique sont collectées par le biais d’interconnexions avec les traitements relatifs à MConnect et MConnect mobile.

Les données d’identification électronique, les données de connexion et les informations relatives au compte usager proviennent du système.

La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.

IV.   Sur les droits des personnes concernées

  • Sur l’information préalable des personnes concernées

L’information des personnes concernées est réalisée par le biais d’une mention d’information particulière intégrée dans un document d’ordre général accessible en ligne.

Il est précisé que les utilisateurs du site sont informés des mentions légales et en application de la loi n° 1.383 pour une Principauté Numérique, de la politique cookie, ainsi que des conditions générales comprenant une clause intitulée protection des données à caractère personnel.

Cette dernière étant jointe au dossier, la Commission relève que son contenu est conforme aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.

  •   Sur l’exercice du droit d’accès, de modification et de mise à jour

Le droit d’accès est exercé par voie postale, courrier électronique, ainsi que par un accès en ligne à son dossier.

S’agissant de l’exercice du droit d’accès par voie électronique, la Commission considère qu’une procédure devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.

Sous cette réserve, elle constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.

V. Sur les personnes ayant accès au traitement

Le responsable de traitement indique qu’ont accès au traitement :

-  les personnels administratifs de la Direction des Systèmes d’Information (DSI) ou tiers intervenant pour son compte : en configuration, en paramétrage, en modification, en lecture ;

-  les personnels de la Direction des Services du Numérique (DSN) ou tiers intervenant pour son compte : en configuration, en paramétrage, en modification, en lecture.

La Commission rappelle qu’en ce qui concerne les prestataires, leurs accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de service, conformément à l’article 17 de la loi n° 1.165. De plus, ils sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement.

Elle relève également que les usagers disposent d’un accès à leurs propres comptes.

La Commission considère que ces accès sont justifiés.

VI.   Sur les interconnexions avec d’autres traitements

Le responsable de traitement indique que le présent traitement fait l’objet d’interconnexions avec les traitements légalement mis en œuvre ayant pour finalités respectives :

-  « Fourniture des services de confiance pour l’identité numérique », afin de permettre l’authentification des personnes disposant d’une identité numérique ;

-  « Permettre l’utilisation de l’identité numérique des monégasques et résidents par le biais d’une application mobile dédiée « MConnect Mobile » » également à des fins d’authentification ;

-  Gestion de la messagerie professionnelle, permettant aux agents et fonctionnaires d’échanger entre eux et avec les usagers.

La Commission constate que ces interconnexions sont compatibles avec les finalités initiales de ces traitements et les considère donc conformes aux exigences légales.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.

Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

En outre, il est recommandé de faire toutes mises à jour concernant la sécurité du site https://monguichet.mc.

Enfin, la Commission rappelle que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Le responsable de traitement indique que les informations sont conservées 3 ans à compter de la dernière connexion de l’usager. À cet égard, la Commission recommande qu’avant toute suppression de compte à l’issue de cette période d’inactivité de trois ans, l’usager soit préalablement averti qu’il dispose d’un délai d’un mois pour se reconnecter à ce dernier pour éviter, s’il le souhaite, cette suppression.

Par ailleurs, les informations d’horodatage et de données de connexion sont conservées 1 an, excepté les données de connexion des usagers qui sont effacées au bout de trois mois.

La Commission constate que ces durées de conservation sont conformes aux exigences légales.

Après en avoir délibéré, la Commission :

Constate que le présent traitement remplace le traitement ayant pour finalité « Gestion du compte permettant aux usagers d’entreprendre des démarches par téléservices » et se substitue à ce dernier dans toutes les interconnexions avec les téléservices actifs.

Rappelle que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

Considère qu’une procédure relative au droit d’accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations.

Recommande :

-  qu’avant toute suppression de compte à l’issue d’une période d’inactivité de trois ans, l’usager soit préalablement averti qu’il dispose d’un délai d’un mois pour se reconnecter à ce dernier pour éviter une telle suppression ;

-  de faire toutes mises à jour concernant la sécurité du site https://monguichet.mc.

À la condition de la prise en compte des éléments qui précèdent,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État du traitement automatisé d’informations nominatives ayant pour finalité « Gestion du compte permettant aux usagers d’entreprendre et suivre des démarches par téléservices » dénommé « MonGuichet.mc ».

Le Président de la Commission de
Contrôle des Informations Nominatives.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14