Délibération n° 2016-111 du 20 juillet 2016 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité la « Gestion des ventes en ligne du Musée des Timbres et des Monnaies https://www.mtm-monaco.mc » du Musée des Timbres et des Monnaies présenté par le Ministre d’Etat
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’ordonnance n° 2.046 du 6 juin 1937 portant création d’un Office des Emissions de Timbres-Poste ;
Vu l’ordonnance souveraine n° 11.809 du 14 décembre 1995 portant création d’un Musée des Timbres et des Monnaies ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la demande d’avis déposée par le Ministre d’Etat le 12 avril 2016 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Gestion des ventes en ligne du Musée des Timbres et des Monnaies https://www.mtm-monaco.mc » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 10 juin 2016, conformément à l’article 11-1 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 20 juillet 2016 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Le Musée des Timbres et des Monnaies a été créé par l’ordonnance souveraine n° 11.809 du 14 décembre 1995 et placé sous la tutelle administrative de l’Office des Emissions de Timbres-Poste.
Afin notamment d’effectuer la vente de pièces commémoratives en euros monégasques sans générer les troubles constatés lors des ventes sur place, ce dernier souhaite désormais également effectuer sa distribution en ligne.
Aussi, conformément aux dispositions de l’article 7 de la loi n° 1.165 du 23 décembre 1993, il soumet le traitement ayant pour finalité « Gestion des ventes en ligne du Musée des Timbres et des Monnaies https://www.mtm-monaco.mc » à l’avis de la Commission.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « Gestion des ventes en ligne du Musée des Timbres et des Monnaies https://www.mtm-monaco.mc ».
Sont concernés les clients et visiteurs du site.
Les fonctionnalités du traitement sont les suivantes :
- Création et gestion du compte client : toute opération d’achat nécessitera une authentification obtenue suite à une inscription préalable via un formulaire d’inscription dont la nature des champs d’information garantira la bonne identité de la personne connectée ;
- Paiement par le biais d’un lien sécurisé vers Mercanet ;
- Gestion et suivi de la commande ;
- Echange de messages avec les internautes par le biais d’une messagerie dédiée au site Internet ;
- Etablissement de statistique de mesure d’audience.
Au vu de ces éléments, la Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le traitement est justifié par le consentement de la personne concernée et la réalisation d’un intérêt légitime qui ne méconnaît ni l’intérêt, ni les droits et libertés fondamentaux de la personne concernée.
A cet égard, la Commission relève que l’inscription sur le site dont s’agit des personnes désirant obtenir des produits du Musée des Timbres et des Monnaies est volontaire.
Elle constate également qu’il est de l’intérêt légitime du responsable de traitement de vouloir diversifier ses canaux de distribution en proposant une solution en ligne, et ainsi d’éviter les troubles constatés lors de la mise en vente sur place de nouvelles pièces commémoratives.
La Commission considère donc que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Les informations objets du traitement sont les suivantes :
- identité : nom, prénom, état civil, date et lieu de naissance ;
- adresses et coordonnées : adresse postale, numéro de téléphone ;
- données d’identification électronique : adresse email ;
- données identification administrateur : adresse IP, paramètres de connexion (login et mot de passe), profil (nom et prénom) ;
- données statistiques : adresse IP, mesure d’audience.
Les informations relatives à l’identité, aux adresses et coordonnées et aux données d’identification électronique ont pour origine le client, tandis que les données d’identification administrateur et les données statistiques proviennent du système lui-même.
La Commission considère que les informations traitées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
• Sur l’information des personnes concernées
Le responsable de traitement indique que l’information préalable des personnes concernées est effectuée par une rubrique propre à la protection des données accessible en ligne.
La Commission relève que les personnes concernées sont également informées de la politique cookie du site dont s’agit.
La Commission relève donc que l’information des personnes concernées est valablement effectuée.
• Sur l’exercice du droit d’accès
La Commission observe que le droit d’accès est exercé par courrier électronique.
Les droits de modification et de mise à jour des données sont exercés selon les mêmes modalités.
Le délai de réponse est de 20 jours.
La Commission constate ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.
V. Sur les destinataires et les personnes ayant accès au traitement
• Sur les destinataires
Les informations relatives à l’identité, aux adresses et coordonnées sont communiquées au prestataire de livraison pour l’envoi des commandes.
La Commission estime que de telles transmissions sont conformes aux exigences légales.
• Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
- le personnel du Musée des Timbres et des Monnaies (le responsable du musée, le comptable, l’attaché et les employés de bureau) en droits administrateurs ;
- le prestataire en droits administrateurs.
Considérant les attributions de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.
En ce qui concerne le prestataire, la Commission rappelle toutefois que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993 ses droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service. De plus, celui-ci est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de l’article 17, susvisé.
Ainsi, elle considère que les accès au traitement sont conformes aux dispositions légales.
VI. Sur les rapprochements et interconnexions
Le responsable de traitement indique que le présent traitement est interconnecté ou rapproché avec le traitement ayant pour finalité « Gestion des techniques de communication du Service Informatique de l’Etat », légalement mis en œuvre, et exploité par la Direction Informatique, afin d’utiliser la messagerie électronique.
La Commission constate que ce traitement a été légalement mis en œuvre.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
Toutefois, l’architecture technique du système repose sur des équipements de raccordement (switchs, routeurs, pare-feux) de serveurs et périphériques qui doivent être protégés par un login et un mot de passe réputé fort et les ports non utilisés doivent être désactivés.
Par ailleurs, lors de la création de tout compte, le mot de passe renseigné doit être réputé fort.
La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité de ce traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Les informations relatives à l’identité, aux adresses et coordonnées et aux données d’identification électronique sont conservées 1 an à compter de la désinscription.
Les données d’identifications administrateur et les données statistiques sont conservées un an à compter de leur collecte.
Après en avoir délibéré, la Commission :
Demande que les mots de passe renseignés lors de la création de tout compte soient réputés forts.
Rappelle que les équipements de raccordement (switchs, routeurs, pare-feux) de serveurs et périphériques doivent être protégés par un login et un mot de passe réputé fort et que les ports non utilisés doivent être désactivés.
A la condition de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’Etat, du traitement automatisé d’informations nominatives ayant pour finalité la « Gestion des ventes en ligne du Musée des Timbres et des Monnaies https://www.mtm-monaco.mc ».
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’ordonnance n° 2.046 du 6 juin 1937 portant création d’un Office des Emissions de Timbres-Poste ;
Vu l’ordonnance souveraine n° 11.809 du 14 décembre 1995 portant création d’un Musée des Timbres et des Monnaies ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la demande d’avis déposée par le Ministre d’Etat le 12 avril 2016 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Gestion des ventes en ligne du Musée des Timbres et des Monnaies https://www.mtm-monaco.mc » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 10 juin 2016, conformément à l’article 11-1 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 20 juillet 2016 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Le Musée des Timbres et des Monnaies a été créé par l’ordonnance souveraine n° 11.809 du 14 décembre 1995 et placé sous la tutelle administrative de l’Office des Emissions de Timbres-Poste.
Afin notamment d’effectuer la vente de pièces commémoratives en euros monégasques sans générer les troubles constatés lors des ventes sur place, ce dernier souhaite désormais également effectuer sa distribution en ligne.
Aussi, conformément aux dispositions de l’article 7 de la loi n° 1.165 du 23 décembre 1993, il soumet le traitement ayant pour finalité « Gestion des ventes en ligne du Musée des Timbres et des Monnaies https://www.mtm-monaco.mc » à l’avis de la Commission.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « Gestion des ventes en ligne du Musée des Timbres et des Monnaies https://www.mtm-monaco.mc ».
Sont concernés les clients et visiteurs du site.
Les fonctionnalités du traitement sont les suivantes :
- Création et gestion du compte client : toute opération d’achat nécessitera une authentification obtenue suite à une inscription préalable via un formulaire d’inscription dont la nature des champs d’information garantira la bonne identité de la personne connectée ;
- Paiement par le biais d’un lien sécurisé vers Mercanet ;
- Gestion et suivi de la commande ;
- Echange de messages avec les internautes par le biais d’une messagerie dédiée au site Internet ;
- Etablissement de statistique de mesure d’audience.
Au vu de ces éléments, la Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le traitement est justifié par le consentement de la personne concernée et la réalisation d’un intérêt légitime qui ne méconnaît ni l’intérêt, ni les droits et libertés fondamentaux de la personne concernée.
A cet égard, la Commission relève que l’inscription sur le site dont s’agit des personnes désirant obtenir des produits du Musée des Timbres et des Monnaies est volontaire.
Elle constate également qu’il est de l’intérêt légitime du responsable de traitement de vouloir diversifier ses canaux de distribution en proposant une solution en ligne, et ainsi d’éviter les troubles constatés lors de la mise en vente sur place de nouvelles pièces commémoratives.
La Commission considère donc que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Les informations objets du traitement sont les suivantes :
- identité : nom, prénom, état civil, date et lieu de naissance ;
- adresses et coordonnées : adresse postale, numéro de téléphone ;
- données d’identification électronique : adresse email ;
- données identification administrateur : adresse IP, paramètres de connexion (login et mot de passe), profil (nom et prénom) ;
- données statistiques : adresse IP, mesure d’audience.
Les informations relatives à l’identité, aux adresses et coordonnées et aux données d’identification électronique ont pour origine le client, tandis que les données d’identification administrateur et les données statistiques proviennent du système lui-même.
La Commission considère que les informations traitées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
• Sur l’information des personnes concernées
Le responsable de traitement indique que l’information préalable des personnes concernées est effectuée par une rubrique propre à la protection des données accessible en ligne.
La Commission relève que les personnes concernées sont également informées de la politique cookie du site dont s’agit.
La Commission relève donc que l’information des personnes concernées est valablement effectuée.
• Sur l’exercice du droit d’accès
La Commission observe que le droit d’accès est exercé par courrier électronique.
Les droits de modification et de mise à jour des données sont exercés selon les mêmes modalités.
Le délai de réponse est de 20 jours.
La Commission constate ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.
V. Sur les destinataires et les personnes ayant accès au traitement
• Sur les destinataires
Les informations relatives à l’identité, aux adresses et coordonnées sont communiquées au prestataire de livraison pour l’envoi des commandes.
La Commission estime que de telles transmissions sont conformes aux exigences légales.
• Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
- le personnel du Musée des Timbres et des Monnaies (le responsable du musée, le comptable, l’attaché et les employés de bureau) en droits administrateurs ;
- le prestataire en droits administrateurs.
Considérant les attributions de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.
En ce qui concerne le prestataire, la Commission rappelle toutefois que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993 ses droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service. De plus, celui-ci est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de l’article 17, susvisé.
Ainsi, elle considère que les accès au traitement sont conformes aux dispositions légales.
VI. Sur les rapprochements et interconnexions
Le responsable de traitement indique que le présent traitement est interconnecté ou rapproché avec le traitement ayant pour finalité « Gestion des techniques de communication du Service Informatique de l’Etat », légalement mis en œuvre, et exploité par la Direction Informatique, afin d’utiliser la messagerie électronique.
La Commission constate que ce traitement a été légalement mis en œuvre.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
Toutefois, l’architecture technique du système repose sur des équipements de raccordement (switchs, routeurs, pare-feux) de serveurs et périphériques qui doivent être protégés par un login et un mot de passe réputé fort et les ports non utilisés doivent être désactivés.
Par ailleurs, lors de la création de tout compte, le mot de passe renseigné doit être réputé fort.
La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité de ce traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Les informations relatives à l’identité, aux adresses et coordonnées et aux données d’identification électronique sont conservées 1 an à compter de la désinscription.
Les données d’identifications administrateur et les données statistiques sont conservées un an à compter de leur collecte.
Après en avoir délibéré, la Commission :
Demande que les mots de passe renseignés lors de la création de tout compte soient réputés forts.
Rappelle que les équipements de raccordement (switchs, routeurs, pare-feux) de serveurs et périphériques doivent être protégés par un login et un mot de passe réputé fort et que les ports non utilisés doivent être désactivés.
A la condition de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’Etat, du traitement automatisé d’informations nominatives ayant pour finalité la « Gestion des ventes en ligne du Musée des Timbres et des Monnaies https://www.mtm-monaco.mc ».
Le Président de la Commission
de Contrôle des Informations Nominatives.