Délibération n° 2020-150 du 28 octobre 2020 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Demande d'actes en ligne délivrés par le Service de l'État Civil - Nationalité » présenté par la Commune de Monaco.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 959 du 24 juillet 1974 sur l'organisation communale ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'arrêté municipal n° 2014-1992 du 16 juin 2014 fixant la liste des services communaux ;
Vu la Recommandation du Conseil de l'Europe n° R(89)2 du 19 janvier 1989 sur la protection des données à caractère personnel utilisées à des fins d'emploi ;
Vu la demande d'avis déposée par la Commune de Monaco le 2 juillet 2020 concernant la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Demande d'actes en ligne délivrés par le Service de l'État Civil-Nationalité » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 1er septembre 2020, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 susmentionnée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 28 octobre 2020 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Commune souhaite permettre au public de demander via un site Internet dédié les actes du Service de l'État Civil - Nationalité. Sont ainsi éligibles à ce service en ligne les demandes d'actes de naissance, d'actes de mariage, d'actes de décès, de transcription de séparation de corps ou de divorce, fiches d'État Civil, actes d'État Civil de plus de cent ans, certificat de nationalité, de domicile ou de coutume.
Le traitement automatisé d'informations nominatives objet de la présente délibération est soumis à l'avis de la Commission conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Demande d'actes en ligne délivrés par le Service de l'État Civil-Nationalité ».
Il concerne les Administrés et les personnes habilitées à accéder au traitement.
Il a pour fonctionnalités :
- l'enregistrement des demandes de délivrance d'actes par le Service de l'État Civil-Nationalité aux intéressés et paiement en ligne de la commande pour les actes pouvant être envoyés par courrier postal ;
- le traitement des demandes reçues via le site Internet (demandes d'informations complémentaires nécessaires au traitement de la demande, édition d'un courrier d'accompagnement, envoi de la commande par courrier postal lorsque les actes demandés le permettent) ;
- l'édition d'une facture du montant acquitté ;
- l'ajout de pièces jointes ;
- la création d'un compte utilisateur pour les particuliers ou les professionnels qui le souhaitent (pas obligatoire pour envoyer une demande) ;
- l'édition de statistiques.
En ce qui concerne l'édition de statistiques, la Commission n'est pas en mesure de déterminer s'il s'agit exclusivement de statistiques sur la fréquence et la nature des demandes d'actes de l'État Civil, ou s'il s'agit également de statistiques de fréquentation du site, les CGU du site faisant mention de cookies.
Concernant l'utilisation potentielle de cookies statistiques, elle renvoie au point VI « Interconnexions » de la présente délibération. Sous cette réserve, la Commission considère que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
- Sur la licéité du traitement
Aux termes de l'article 43 de la loi n° 959 du 24 juillet 1974, « Le Maire assure, sous la surveillance du procureur général, les fonctions d'officier d'état civil ; à ce titre :
1°) il dresse les actes de naissance, de mariage, de décès et autres y relatifs selon des procédés manuels ou automatisés ; toutefois, la signature des actes doit être manuscrite ;
2°) il tient les registres prescrits à cet effet par la loi ; ceux-ci pourront être composés de feuilles mobiles, numérotées, réunies dans un classeur provisoire puis reliées en registre ; (…) ».
En outre, les articles 26, 66, 67, et 68 du Code Civil posent notamment les conditions d'octroi des actes de l'État Civil.
La Commission observe par ailleurs avoir délivré des avis favorables aux différents traitements des registres d'État Civil objet des demandes en ligne concernées par le présent traitement.
- Sur la justification
Le responsable de traitement indique que le traitement est justifié par la réalisation d'un intérêt légitime, sans que soient méconnus les libertés et droits fondamentaux des personnes concernées.
Le traitement permet dans un souci de modernisation de l'administration communale, d'offrir une nouvelle modalité de demande d'actes aux personnes concernées, sans toutefois imposer une démarche dématérialisée, ces dernières pouvant continuer à se rendre à la Mairie pour effectuer leurs démarches.
La Commission relève que le traitement est licite et justifié conformément aux articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Les informations nominatives traitées sont dans le cadre de la création d'un compte :
- identité : pour un particulier : civilité, prénom, nom ; pour un professionnel : civilité du contact, nom du contact, prénom du contact ;
- adresse et coordonnées : adresse complète : numéro et nom de la rue, complément, code postal, ville, pays, téléphone, fax ;
- vie professionnelle : pour un professionnel : profession (notaire, avocat, généalogiste, mairie, tribunal, ambassade, consulat, autres), raison sociale ;
- données d'identification électronique : courriel, mot de passe ;
- langue : liste déroulante : français, anglais, italien ;
- moyen de contact privilégié : case à cocher : courriel, téléphone, fax ou courrier (par défaut courriel).
Les informations nominatives traitées sont dans le cadre du dépôt des différentes demandes d'actes :
- identité : identité du titulaire de l'acte : nom (nom de jeune fille), prénom, date de naissance, lieu de naissance, département de naissance, pays de naissance (pour les transcriptions) ; identité du père du titulaire de l'acte (acte de naissance) ou ayant reconnu le titulaire de l'acte (acte de reconnaissance) : nom, prénom ; si acte de reconnaissance date et lieu de naissance (ville département, pays) ; identité de la mère du titulaire de l'acte (acte de naissance) ou ayant reconnu le titulaire de l'acte (acte de reconnaissance) : nom, prénom si acte de reconnaissance date et lieu de naissance (ville département, pays) ;
- situation de famille (acte de mariage) : identité de l'époux (nom, prénom), identité du père de l'époux et de l'épouse (nom, prénom), identité de la mère de l'époux et de l'épouse ; identité de l'épouse (nom de jeune fille, prénom) ; date du mariage, lieu du mariage (ville, département, pays) ;
- situation de famille acte de décès : date de décès, lieu de décès ;
- situation de famille transcription de séparation de corps ou de divorce : valeurs possibles (case à cocher) : séparation de corps, divorce, date de l'évènement (séparation de corps ou divorce) ;
- situation de famille fiche d'état civil individuelle ou familiale : type d'acte (fiche individuelle, fiche familiale), nombre d'enfants ;
- type d'acte : valeurs possibles (case à cocher) : copie intégrale, extrait sans filiation, extrait avec filiation, acte plurilingue, transcription ;
- filiation : case à cocher si père ou mère non déclaré(e) ;
- adoption : case à cocher si père adoptif ou mère adoptive ;
- reconnaissance : case à cocher si le père ou la mère a reconnu l'enfant.
Les informations ont pour origine les personnes concernées.
La Commission relève que la possibilité de demander les actes d'État Civil est restreinte aux personnes éligibles eu égard la nature de l'acte concerné (acte de naissance intégral, extrait d'acte de naissance, etc.), selon les règles définies par le Code Civil, notamment en son article 67.
Aussi, l'utilisation du téléservice peut nécessiter selon les cas le dépôt d'une copie de carte d'identité, d'un livret de famille, la collecte des informations relatives à la filiation (identité des parents, parents inconnus, adoption), le dépôt d'un document probant (demande signée et cachetée d'une étude notariale ou d'un cabinet d'avocat, autorisation du Procureur Général, demande signée d'un organisme particulier).
Ces collectes sont faites dans le respect du principe de proportionnalité, les informations n'étant demandées que lorsqu'elles sont imposées par les textes.
La Commission en prend acte.
Elle relève également l'existence d'un horodatage (logs) et de login/mot de passe des administrateurs.
La Commission relève que le back office permet de choisir les motifs de refus d'une demande par le biais de cases à cocher et l'insertion de commentaires. Elle appelle l'attention du responsable de traitement sur la qualité que doivent avoir ces derniers.
Sous ces réserves, la Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
IV. Sur les droits des personnes concernées
- Sur l'information préalable des personnes concernées
L'information préalable des personnes concernées est réalisée à partir d'une mention particulière intégrée dans un document d'ordre général accessible en ligne, à savoir les Conditions Générales d'Utilisation du site Internet.
Celles-ci, jointes au dossier, sont indiquées comme se trouvant intégrées à une rubrique dédiée du site. Aussi, la Commission relève que les personnes concernées semblent être en mesure d'initier et finaliser la démarche sans en avoir connaissance et sans avoir à les accepter expressément. Elle demande donc au responsable de traitement de s'assurer qu'il informe valablement les personnes concernées.
Enfin, elle appelle l'attention du responsable de traitement sur la rédaction des droits des personnes concernées. Si ces dernières ont bien la possibilité d'effacer toutes les informations relatives à leurs comptes en ligne, la mention d'information pourrait suggérer qu'elles disposent des mêmes prérogatives sur les traitements « sources » de l'État Civil, ce qui ne peut être le cas.
- Sur l'exercice du droit d'accès, de modification et de mise à jour
Le droit d'accès est exercé par un accès en ligne au dossier pour les personnes ayant créé un compte, sur place ou par courrier électronique, auprès du Service de l'État Civil - Nationalité.
La Commission rappelle que la réponse à ce droit d'accès doit s'exercer dans le mois suivant la réception de la demande.
V. Sur les destinataires et les personnes ayant accès au traitement
La Commission constate qu'il n'y a pas de destinataires des informations objets du présent traitement.
Par ailleurs, ont accès au traitement :
- Les internautes qui établissent une demande en ligne ;
- Les internautes titulaires d'un compte utilisateur, en inscription, modification, consultation et mise à jour des données les concernant ;
- Les « super-administrateurs » du site Internet, tous droits ;
- Les « administrateurs » du site internet, en consultation, inscription et suppression des demandes reçues via le site ;
- Le Service Informatique de la Mairie - section fonctionnelle, dans le cadre de la maintenance technique ;
- Le prestataire en charge de la maintenance de l'outil, dans le cadre de ses missions de maintenance.
La Commission considère que ces accès sont justifiés.
VI. Sur les interconnexions
Le responsable de traitement indique que ce dernier est rapproché avec les traitements légalement mis en œuvre suivants :
- « Gestion des registres d'État Civil : actes de naissance et actes de reconnaissance » ;
- « Gestion des registres d'État Civil : actes de mariage » ;
- « Gestion des registres d'État Civil : actes de décès » ;
- « Fichiers des nationaux et de leurs familles ».
Il est précisé que ces rapprochements sont nécessaires aux fins du traitement des demandes de délivrance des actes concernés. La Commission relève que ces opérations sont justifiées et permettent une exploitation des données compatibles avec les finalités d'origine des traitements.
En outre, la Commission relève que ce traitement est interconnecté avec le site Internet de la Mairie, légalement mis en œuvre. Toutefois, ce dernier datant de 2003 et ne prévoyant pas en son sein de fonctionnalités indiquées dans le présent dossier telles que l'établissement de statistiques, la Commission appelle l'attention du responsable de traitement sur la nécessaire mise en conformité du site avec les standards en vigueur. Notamment, elle rappelle la nécessité de la mise en place d'une politique cookie et l'attention particulière qui doit être portée sur la mise en œuvre de statistiques, notamment en cas d'utilisation de modules opérant des transferts vers des pays ne disposant pas d'une législation en matière de protection des données personnelles d'un niveau adéquat.
À cet égard, elle rappelle les principes qu'elle a exposés dans sa délibération n° 2019-083 du 15 mai 2019 portant recommandation sur les modalités de dépôt et la durée de conservation des cookies et autres traceurs sur les terminaux d'utilisateurs de réseaux de communication électronique.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Toutefois, la Commission demande que les mots de passe des personnes habilitées à accéder au traitement soient réputés fort.
Enfin, l'architecture technique du système repose sur des équipements de raccordement (switchs, routeurs, pare-feux) de serveurs et périphériques qui doivent être protégés par un login et un mot de passe réputé fort et les ports non utilisés doivent être désactivés.
La Commission rappelle enfin que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII. Sur la durée de conservation
Les informations collectées sont conservées 1 an si la personne concernée n'a pas créé de compte. Le cas échéant, la personne peut solliciter la suppression de son compte qui sera effective sous 5 jours. Enfin, il est précisé que les comptes demeurés inactifs plus de 5 ans sont également supprimés.
Enfin, la Commission relève que la journalisation est de 2 mois. Elle demande que cette durée soit portée à 3 mois.
Sous cette réserve, la Commission relève que ces durées de conservation sont conformes à la loi n° 1.165 du 23 décembre 1993.
Après en avoir délibéré, la Commission :
Rappelle que :
- une attention particulière doit être portée à la qualité des commentaires renseignés ;
- les mots de passe des personnes habilitées à accéder au traitement doivent être réputés fort ;
- les équipements de raccordement (switchs, routeurs, pare-feux) de serveurs et périphériques doivent être protégés par un login et un mot de passe réputé fort et que les ports non utilisés doivent être désactivés.
Fixe la durée de conservation à 3 mois en ce qui concerne les logs de connexion.
Constate que le traitement est interconnecté avec le site Internet de la Commune, légalement mis en œuvre en 2003.
Demande qu'une analyse et une mise à jour, si nécessaire, soit faite relativement audit site, notamment en ce qui concerne la politique cookie et d'éventuels outils statistiques.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par la Commune de Monaco, du traitement automatisé d'informations nominatives ayant pour finalité « Demande d'actes en ligne délivrés par le Service de l'État Civil - Nationalité ».
Le Président de la Commission de Contrôle des Informations Nominatives.