icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2012-86 du 11 juin 2012 de la commission de contrôle des informations nominatives portant avis favorable sur la demande présentée par le ministre d’etat relative à la mise en œuvre par la direction de la sûreté publique du traitement automatisé d’informations nominatives ayant pour finalité «Gestion de la centrale d’alarmes de la DSP»

  • No. Journal 8075
  • Date of publication 29/06/2012
  • Quality 97.77%
  • Page no. 1359
Vu la Constitution ;

Vu la Convention de sauvegarde des droits de l’homme et des libertés fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 et son protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;

Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;

Vu l’ordonnance souveraine n° 765 du 13 novembre 2006 relative à l’organisation et au fonctionnement de la Direction de la Sûreté Publique, modifiée par l’ordonnance souveraine n° 3.717 du 28 mars 2012 ;

Vu l’arrêté ministériel n° 70-304 du 4 septembre 1970, modifié, portant fixation des redevances dues par les bénéficiaires de système d’alarme ;

Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;

Vu la délibération n° 2012-73 en date du 14 mai 2012 de la Commission de Contrôle des Informations Nominatives portant avis défavorable sur la demande présentée par le Ministre d’Etat relative à la mise en œuvre par la Direction de la Sûreté Publique d’un traitement automatisé d’informations nominatives ayant pour finalité «Surveillance du territoire - Enregistrement et exploitation des images de téléprotection urbaine» ;

Vu la demande d’avis déposée par le Ministre d’Etat le 30 mars 2012, concernant la mise en œuvre par la Direction de la Sûreté Publique d’un traitement automatisé ayant pour finalité «Gestion des connexions sur la centrale d’acquisition de données de la DSP» ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 11 juin 2012 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives

Préambule

Aux termes de l’article 1er de l’ordonnance souveraine du 13 novembre 2006 relative à l’organisation et au fonctionnement de la Direction de la Sûreté Publique, modifiée, «La Direction de la Sûreté Publique est chargée, sous l’autorité du Ministre d’Etat et du Conseiller de Gouvernement pour l’Intérieur, d’assurer les missions de préservation de la sécurité et de tranquillité publiques (…)».

Dans ce cadre, la Direction de la Sûreté Publique (DSP) exploite un traitement automatisé d’informations nominatives ayant pour finalité «Gestion des connexions sur la centrale d’acquisition de données de la DSP».

Conformément aux dispositions de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives, le Ministre d’Etat soumet ce traitement à l’avis de la Commission.

I. Sur la finalité et les fonctionnalités du traitement

Aux termes de la demande d’avis, le responsable de traitement indique que le traitement a pour finalité «Gestion des connexions sur la centrale d’acquisition de données de la DSP», et est dénommé «Centrale d’alarmes».
Il a pour fonctionnalités :

- la réception des alarmes provenant des sites reliés, et la détermination de leur origine éventuelle ;
- la mise en relation avec le correspondant désigné lors de la création de la liaison ;
- la détermination du nombre de déclenchements par site relié en vue de leur facturation.

Toutefois, à l’analyse du dossier, la Commission relève des fonctionnalités complémentaires, à savoir :

- l’établissement des fiches de renseignements concernant les «sites» ayant expressément demandé la mise en place d’une liaison alarme avec la DSP (les requérants) ;
- l’établissement de l’historique des alarmes et de rapports des positions masquées ;
- la traçabilité des connexions des membres du personnel habilités à la centrale.

Elle en prend donc acte.

Au vu de ces éléments, la Commission observe que la finalité présentée par le responsable de traitement n’est pas déterminée et explicite au sens de l’article 10-1 de la loi n° 1.165, modifiée.

En effet, celle-ci est incomplète au regard des fonctionnalités du traitement susmentionnées, et n’est en outre pas immédiatement intelligible à la seule lecture de son intitulé.

Par conséquent, la Commission reformule donc la finalité dans les termes suivants : «Gestion de la centrale d’alarmes de la DSP».

Enfin, le responsable de traitement indique que les personnes concernées sont «les personnels désignés comme correspondants lors de la création d’une liaison alarme».

Toutefois, au regard des fonctionnalités précitées, la Commission relève qu’entrent également dans la catégorie des personnes concernées, au sens de l’article 1er de la loi n° 1.165, modifiée, les membres du personnel de la DSP habilités à se connecter à la centrale d’alarme. Elle en prend donc acte.

II. Sur l’interconnexion avec la vidéosurveillance publique

A l’analyse du dossier, la Commission relève que le traitement objet de la présente délibération est interconnecté avec le traitement ayant pour finalité «Surveillance du territoire - Enregistrement et exploitation des images de téléprotection urbaine» (vidéosurveillance publique), objet d’un avis défavorable de la Commission par délibération n° 2012-73 en date du 14 mai 2012.

En effet, lorsqu’une alarme est déclenchée dans un des sites reliés à la centrale d’alarmes de la DSP, les caméras de vidéosurveillance publique situées aux alentours dudit site sont automatiquement orientées vers ce dernier.

La Commission relève que cette fonctionnalité n’a pas été portée à son attention dans le cadre de la demande d’avis afférente à la vidéosurveillance publique.

A cet égard, elle tient à appeler l’attention du responsable de traitement sur la nécessité d’une présentation transparente, complète et soignée des dossiers de demande d’avis de la DSP. Elle rappelle en particulier que l’article 8 de la loi n° 1.165, modifiée, requiert que soit notamment précisée l’ensemble des personnes concernées, des fonctionnalités, des interconnexions avec d’autres traitements, (…).

En tout état de cause, vu l’avis défavorable émis par la Commission dans le cadre de la délibération n° 2012-73 susvisée, elle demande à ce que l’interconnexion dont s’agit soit suspendue dans l’attente de l’adoption d’un texte de loi venant encadrer la vidéosurveillance publique en Principauté.

III. Sur la licéité et la justification du traitement

• Sur la licéité

La Commission relève qu’aux termes de l’article 1er de l’ordonnance du 6 juin 1867 sur la police générale, «La police a pour objet de veiller au maintien de l’ordre public, de la propriété et de la sûreté individuelle».

Par ailleurs, l’arrêté ministériel n° 70-304 du 4 septembre 1970 fixe le montant des redevances dues par les «établissements et entreprises privés dotés d’un système d’alarme relié à la Direction de la Sûreté Publique».

Au vu de ces éléments, la Commission considère que le traitement est licite, conformément à l’article 10-1 de la loi n° 1.165, modifiée.

• Sur la justification du traitement

Le responsable de traitement considère que ce traitement est justifié par le consentement des personnes concernées.

A cet effet, il indique que «la DSP a installé une centrale d’acquisition de données, qui permet de gérer des liaisons d’alarme avec des sites l’ayant expressément demandé. Il peut s’agir de bâtiments occupés par des Membres de la Famille Princière, de bâtiments officiels, de commerces de luxe, de banques…».

Toutefois, à l’analyse du dossier, la Commission ne relève aucun élément permettant de justifier que les personnes concernées au sens de l’article 1er de la loi n° 1.165, telles que définies au point I de la présente délibération, n’aient donné leur consentement à la collecte de leurs données dans le cadre de ce traitement. Elle considère donc que cette justification n’est pas applicable en l’espèce.

Par ailleurs, le responsable de traitement indique que le traitement est justifié par le respect d’une obligation réglementaire, sur le fondement de l’arrêté ministériel n° 70-304 du 4 septembre 1970, susvisé.

En effet aux termes de son article 2, «Le titre de perception [de la redevance due au titre de la liaison à la centrale d’alarme de la DSP] sera établi et le recouvrement poursuivi par M. le Directeur de la Sûreté Publique qui en délivrera reçu». En outre, une redevance exceptionnelle est collectée en cas d’appels injustifiés.

A cet égard, la Commission constate que la conservation de l’historique des déclenchements d’alarmes, de leurs motifs et de la nature de l’intervention de la DSP, est effectivement justifiée par les dispositions précitées, et ce à des fins de facturation.

Enfin, la Commission estime que l’exploitation du traitement à d’autres fins est justifiée par la réalisation d’un intérêt légitime, à savoir le maintien de la sûreté individuelle au sens de l’article 1er de l’ordonnance du 6 juin 1867 précitée, à la demande des entités et personnes physiques ou morales ayant requis l’établissement d’une liaison alarme auprès de la DSP.
Au vu de ces éléments, la Commission considère donc que le traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.

IV. Sur les informations traitées

Les informations objets du présent traitement sont les suivantes :

- Identité : nom, prénom ;
- Coordonnées : téléphone ;
- Société chargée de la maintenance du dispositif : raison sociale, adresse et téléphone ;
- Société de protection privée prestataire de service : raison sociale, adresse et téléphone ;
- Numéro de connexion dans la centrale d’acquisition ;
- Différentes zones reliées.

Le responsable de traitement indique que l’ensemble de ces données a pour origine le responsable du site relié à la centrale d’alarmes de la DSP. C’est en effet lui qui fournit les renseignements relatifs aux correspondants désignés pour être appelés en cas de déclenchement d’alarme. Il peut s’agir de collaborateurs ou du personnel d’une société prestataire, dont les coordonnées sont fournies à la DSP.

Toutefois, à l’analyse du dossier, la Commission relève que sont également collectées les données suivantes :

- Fiches des sites reliés : nom du site de société/entité/ personne physique ou morale concernée, adresse, horaires d’ouverture et de fermeture, plan d’intervention, informations techniques, zone «commentaires» ;
- Historique des alarmes : date et motif du déclenchement d’alarme ;
- Facturation : montant de la redevance due ;
- Traçabilité : logs de connexions du personnel habilité de la DSP.

Elle en prend donc acte.

La Commission relève que ces informations sont «adéquates, pertinentes et non excessives» au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée. Elle rappelle toutefois que la zone «commentaires» ne devra mentionner que des observations strictement nécessaires à la finalité du traitement, et respectant les principes posés par la loi n° 1.165, modifiée.

V. Sur les droits des personnes concernées

• Sur l’information des personnes concernées

Le responsable de traitement indique que l’information préalable des personnes concernées est effectuée via une mention ou clause particulière intégrée dans un document remis à l’intéressé.

A ce titre, la Commission observe qu’aucune copie dudit document n’est jointe à la demande d’avis. Elle rappelle que si le document dont s’agit est le protocole conclu avec la DSP, ce document ne saurait à lui seul garantir l’information des personnes concernées dans la mesure où il s’adresse en premier lieu à la société ou à l’entité qui décide de la mise en place de la liaison avec la centrale d’alarmes de la DSP.

Ainsi, la Commission suggère l’établissement d’un document annexe audit protocole, qui devra être remis à tous les correspondants désignés pour être appelés lors des déclenchements d’alarmes. En ce qui concerne les membres du personnel habilité de la DSP, elle recommande l’établissement d’une note interne, par le biais de laquelle il conviendra de les informer de l’existence du traitement ainsi que de leurs droits, en application de l’article 14 de la loi n° 1.165, modifiée. Ce document pourrait en outre servir de base afin d’assurer l’information des personnels relativement à l’ensemble des autres traitements exploités par la DSP les concernant.

• Sur l’exercice du droit d’accès

Le responsable de traitement indique que le droit d’accès est exercé par voie postale. A défaut de délai de réponse indiqué dans la demande d’avis, la Commission rappelle que conformément à l’article 15 de la loi n° 1.165, modifiée, celui-ci ne saurait être supérieur à trente jours.

Les droits de modification, mise à jour et suppression des données sont exercés selon les mêmes modalités.

La Commission constate donc que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.

Elle relève toutefois que le responsable de traitement mentionne qu’en matière de prospection, le droit des personnes s’exprime par l’«opt out». À cet égard, elle rappelle que ce traitement ne saurait donner lieu à aucune mesure de prospection à l’égard des personnes concernées.

VI. Sur les destinataires des informations

Le responsable de traitement n’indique aucun destinataire des données exploitées dans le cadre du traitement.

La Commission en prend donc acte.

VII. Sur les personnes ayant accès au traitement

Le responsable de traitement indique que «la centrale d’acquisition se trouve dans le PCTO de la Sûreté Publique. Elle n’est pas en réseau. Les opérateurs radio en sont les principaux utilisateurs (…). Les techniciens de la Sûreté Publique de la Section des Technologies de la Sécurité possèdent une habilitation leur permettant de vérifier les paramètres techniques de la connexion».

Par ailleurs, la Commission relève également un accès ouvert au prestataire technique à des fins de maintenance du système.

Enfin, conformément aux attributions conférées au Directeur de la Sûreté Publique par l’arrêté ministériel n° 70-304 du 4 septembre 1970 précité, la Commission considère que celui-ci doit également disposer d’un accès au traitement.

Au vu de ces éléments, et des attributions des personnels et du prestataire susvisés, la Commission considère que lesdits accès sont justifiés, et donc conformes aux dispositions de la loi n° 1.165, modifiée.

Elle rappelle toutefois que les droits d’accès au traitement (habilitations) ouverts au personnel de la DSP devront être attribués à un poste et non à un individu. Cependant à titre exceptionnel, des accès pourront être ouverts à un individu en particulier, sur le fondement d’une mission ponctuelle et temporaire.
VIII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations n’appellent pas d’observation.

La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

IX. Sur la durée de conservation

Le responsable de traitement indique que les données relatives à l’identité et aux coordonnées téléphoniques des correspondants, ainsi que celles relatives aux prestataires et sociétés de maintenance et de protection privée, sont conservées «jusqu’à l’arrêt de la liaison».

A ce titre, la Commission rappelle qu’en application du principe de qualité des données posé à l’article 10-1 de la loi, celles-ci devront être régulièrement mises à jour.

En ce qui concerne les catégories supplémentaires de données collectées dans le cadre de ce traitement, la Commission fixe les délais de conservation suivants :

- Fiches relatives aux sites reliés : jusqu’à l’arrêt de la liaison, sous réserve de mise à jour régulière ;
- Facturation : jusqu’au règlement de la redevance due en application de l’arrêté ministériel n° 70-304 du 4 septembre 1970, précité ;
- Traçabilité des connexions du personnel habilité : 3 mois.

Enfin, en ce qui concerne le délai de conservation des informations relatives à l’historique des déclenchements d’alarmes, la Commission considère que celles-ci pourront être conservées jusqu’au règlement de la redevance susvisée. Toutefois, si une procédure judiciaire venait à être engagée, la Commission rappelle que ces informations pourront être conservées jusqu’au terme de ladite procédure.

Après en avoir délibéré,

Relève que ce traitement est interconnecté avec le traitement ayant pour finalité «Surveillance du territoire - Enregistrement et exploitation des images de téléprotection urbaine», objet d’un avis défavorable de la Commission par délibération n° 2012-73 en date du 14 mai 2012 ;

Rappelle que l’adoption d’un texte de loi venant à encadrer la vidéosurveillance publique est nécessaire, conformément à l’article 8 de la Convention de sauvegarde des droits de l’homme ;

Demande dans cette attente à ce que l’interconnexion entre le traitement objet de la présente délibération et le système de vidéosurveillance publique soit suspendue ;

Demande en outre à ce que les personnes concernées soient correctement informées de l’existence du traitement ainsi que de leurs droits, conformément à l’article 14 de la loi n° 1.165, modifiée ;
A cet égard, recommande l’établissement :

- d’un document devant être remis à tous les correspondants désignés pour être appelés en cas de déclenchement d’alarmes ;

- d’une note interne à l’attention du personnel habilité de la DSP, lequel pourrait en outre servir de base afin d’assurer l’information des personnels relativement à l’ensemble des autres traitements exploités par la DSP les concernant ;

Fixe les délais de conservation suivants :

- Fiches relatives aux sites reliés : jusqu’à l’arrêt de la liaison, sous réserve de mise à jour régulière ;
- Facturation : jusqu’au règlement de la redevance due en application de l’arrêté ministériel n° 70-304 du 4 septembre 1970, précité ;
- Traçabilité des connexions du personnel habilité : 3 mois ;
- Historique des déclenchements d’alarmes : jusqu’au règlement de la redevance susvisée, à moins qu’une procédure judiciaire soit ouverte, auquel cas les données pourront être conservées jusqu’au terme de ladite procédure.

Appelle enfin l’attention du responsable de traitement sur la nécessité d’une présentation transparente, complète et soignée des dossiers de demande d’avis de la DSP, en application de l’article 8 de la loi n° 1.165, modifiée ;

A la condition de la prise en compte de ce qui précède,

La Commission de Contrôle des Informations Nominatives émet un avis favorable sur la demande présentée par le Ministre d’Etat relative à la mise en œuvre par la Direction de la Sûreté Publique du traitement automatisé d’informations nominatives ayant pour finalité «Gestion de la centrale d’alarmes de la DSP».

Le Président de la Commission
de Contrôle des Informations Nominatives.
Print article
Previous article Return to summary Next article

All rights reserved - Monaco 2016
Version 2018.11.07.14