icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2023-39 du 15 mars 2023 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion de la plateforme de données de l'Administration » exploité par la Direction des Plateformes et des Ressources Numériques (DPRN) présenté par le Ministre d'État.

  • No. Journal 8636
  • Date of publication 31/03/2023
  • Quality 100%
  • Page no.

Vu la Constitution ;

Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu l’Ordonnance Souveraine n° 7.997 du 12 mars 2020 portant création de la Direction des Plateformes et des Ressources Numériques ;

Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés d’informations nominatives ;

Vu la demande d’avis déposée par le Ministre d’État le 20 décembre 2022 concernant la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion de la plateforme de données de l’Administration » ;

Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 17 février 2023, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 15 mars 2023 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

Afin de « décloisonner les différentes Directions et Services du Gouvernement qui travaillent avec leurs propres données », le responsable de traitement entend proposer un outil « commun et transverse » pour « créer un environnement de confiance permettant (…) de mieux gérer leurs données, de les enrichir, de les analyser et de répondre à leurs attentes métiers ».

Ce lac de données contiendra donc des informations non sensibles et non personnelles d’acteurs publics mais aussi issus du privé, sur lesquelles seront appliqués des outils d’analyses descriptives, prédictives et prescriptives. Ces informations seront plus ou moins accessibles au sein d’une plateforme dédiée selon les profils habilités.

Ainsi, le traitement y relatif est soumis à l’avis de la Commission, conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.

I. Sur la finalité et les fonctionnalités du traitement

Le traitement a pour finalité « Gestion de la plateforme de données de l’Administration ».

Le responsable de traitement précise qu’il concerne les personnels de l’Administration, les personnels des partenaires privés ou publics et les « individuels accédant directement au portail web ».

Les fonctionnalités du traitement sont :

-  créer un compte utilisateur ;

-  connexion des utilisateurs (email/mot de passe) ;

-  parcourir les jeux de données ;

-  visualiser un jeu de données, une réutilisation des jeux de données ;

-  parcourir la liste des réutilisations (ou cas d’usage) ;

-  utiliser les outils développeur ;

-  gérer son compte utilisateur ;

-  visualiser le contenu statique (aide, FAQ, documentation technique) ;

-  contacter l’Administration via un formulaire de contact/ une gestion des demandes ;

-  administrer la plateforme et le portail ;

-  modification du compte utilisateur par un administrateur (validation des accès, modification des rôles/droits) ;

-  suppression du compte utilisateur ;

-  visualisation de l’historique des actions réalisées sur la plateforme et le portail.

Il est précisé que « Selon la typologie des données, la plateforme est accessible à différents types d’utilisateurs dont les accès sont sécurisés. Ainsi, grand public, développeurs ou administrateurs ont chacun des niveaux de visibilité spécifiques sur les données et sur les fonctionnalités disponibles ».

Elle constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le présent traitement est justifié par une mission d’intérêt public ainsi que par la réalisation d’un intérêt légitime qu’il poursuit sans méconnaître ni l’intérêt, ni les droits et libertés fondamentaux des personnes concernées.

En ce qui concerne le motif d’intérêt public, le responsable de traitement, citant l’Ordonnance Souveraine n° 7.997 portée au visa de la présente délibération, indique que la DPRN a notamment pour missions « de fédérer et mettre en œuvre des projets à forte composante technologique (cloud, données, internet des objets, jumeau numérique » et « d’apporter une expertise technologique aux directions métiers sur leurs projets de plateformes et de données ».

Il est en outre précisé que les personnes concernées qui s’inscrivent volontairement par le biais du portail sont informées de leurs droits par les Conditions Générales d’Utilisation (CGU) qu’elles doivent accepter par le biais d’une case à cocher.

Enfin, la Commission relève que le lac de données ne contient pas d’informations nominatives.

Elle considère donc que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.

III. Sur les informations traitées

Les informations nominatives traitées sont :

-  Identité : pour tous les utilisateurs : nom, prénom ;

-  Adresse et coordonnées : pour tous les utilisateurs : adresse e-mail, numéro de téléphone (facultatif) ;

-  Vie professionnelle : utilisateurs via le formulaire d’inscription sur le portail : nom de l‘organisation (entreprise ou association ou école ou centre de recherche…) ; personnel de l’administration : rattachement organisationnel (nom du service et de la direction) ;

-  Informations temporelles : pour tous les utilisateurs : logs, données d’horodatage ;

-  Données issues du processus d’authentification pour l’usager MConnect/MConnect Mobile : nom, nom d’usage, prénoms, adresse email ;

-  Clé technique : clé technique dérivée de la clé primaire permettant de faire un lien entre l’individu, son accès et ses actions sur le téléservice.

Il convient de relever que seuls des cookies techniques nécessaires au fonctionnement du téléservice sont déposés sur les terminaux des utilisateurs.

Les informations relatives à l’identité, aux adresses et coordonnées, ainsi qu’à la vie professionnelle ont pour origine, soit la personne concernée elle-même dans le cas d’un utilisateur qui s’inscrit via le portail Web, soit le traitement ayant pour finalité « Gestion décentralisée des accès aux applications du SI » pour les personnels de l’Administration enrôlés sur la solution.

En ce qui concerne les informations en lien avec MConnect et MConnect Mobile, les informations sont issues des traitements d’identités numériques visés en rubrique VI de la présente délibération.

Enfin, les informations temporelles sont produites par le système.

La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.

IV.   Sur les droits des personnes concernées

  •   Sur l’information préalable des personnes concernées

L’information des personnes concernées est réalisée par le biais d’une mention particulière intégrée dans un document d’ordre général accessible en ligne.

Il est précisé que les mentions d’informations sont communiquées aux utilisateurs par le biais de CGUs pour les personnes s’inscrivant sur le portail et par une mention d’information dédiée envoyée par mail pour les personnels de l’Administration enrôlés sur la solution.

Ces documents étant joints au dossier, la Commission relève que le contenu des mentions d’information est conforme aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.

  •   Sur l’exercice du droit d’accès, de modification et de mise à jour

Le droit d’accès est exercé par voie postale, par courrier électronique ou par le biais d’un formulaire en ligne auprès de la Délégation Interministérielle chargée de la Transition Numérique - Protection des données.

S’agissant de l’exercice du droit d’accès par voie électronique, la Commission rappelle qu’une procédure doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agit effectivement de la personne concernée par les informations.

La Commission constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.

V. Sur les personnes ayant accès au traitement

Le responsable de traitement indique qu’ont accès au traitement :

-  Personnels de l’Administration en charge de la gestion de la plateforme de données (DPRN) : tous droits afin d’assurer la gestion des applicatifs et l’administration des comptes utilisateurs ;

-  Personnels du prestataire en charge de la gestion de la plateforme de données : tous droits afin d’assurer la gestion des applicatifs et l’administration des comptes utilisateurs ;

-  Utilisateurs : accès à leur compte afin d’utiliser les fonctionnalités publiques et les fonctionnalités « développeur » (réservées aux utilisateurs ayant un compte sur le portail) et pour modifier leurs données personnelles.

La Commission rappelle qu’en ce qui concerne les prestataires, leurs accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de service, conformément à l’article 17 de la loi n° 1.165. De plus, ils sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement.

Elle considère que ces accès sont justifiés.

VI.   Sur les interconnexions avec d’autres traitements

Le responsable de traitement indique que le présent traitement fait l’objet d’une interconnexion avec les traitements légalement mis en œuvre ayant pour finalité respective :

-  « Fourniture des services de confiance pour l’identité numérique », afin de permettre l’authentification MConnect ;

-  « Gestion des habilitations et des accès au Système d’information », afin de disposer des éléments permettant de créer un compte aux utilisateurs ;

-  « Gestion centralisée des accès aux applications du SI », afin de disposer des éléments permettant au personnel de l’Administration de se connecter à la plateforme et d’exécuter leurs missions en fonction de leurs profils ;

-  « Permettre l’utilisation de l’identité numérique des monégasques et résidents par le biais d’une application mobile dédiée « MConnect Mobile » », afin de permettre l’authentification MConnect Mobile.

Enfin, il est rapproché avec le traitement de « Gestion de la messagerie professionnelle », légalement mis en œuvre.

La Commission constate que ces interconnexions et ce rapprochement sont conformes aux finalités initiales des traitements susvisés.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.

Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

Enfin, la Commission rappelle que, conformément à l’article 17 de la loi n°1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Le responsable de traitement indique que les informations sont conservées 12 mois après la date de dernière connexion de l’utilisateur.

La Commission constate que cette durée de conservation est conforme aux exigences légales.

Après en avoir délibéré, la Commission :

Rappelle que :

-  une procédure relative au droit d’accès par voie électronique doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agit effectivement de la personne concernée par les informations ;

-  les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

À la condition de la prise en compte des éléments qui précèdent,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État du traitement automatisé d’informations nominatives ayant pour finalité « Gestion de la plateforme de données de l’Administration ».

Le Président de la Commission de
Contrôle des Informations Nominatives.

Print article
Previous article Return to summary Next article

All rights reserved - Monaco 2016
Version 2018.11.07.14