icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2013-144 du 16 décembre 2013 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des accès aux systèmes d’information opérés par les Caisses Sociales » présenté par la Caisse de Compensation des Services Sociaux de Monaco

  • N° journal 8154
  • Date de publication 03/01/2014
  • Qualité 97.6%
  • N° de page 23
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu l’ordonnance-loi n° 397 du 27 septembre 1944 portant création d’une Caisse de Compensation des Services Sociaux de la Principauté de Monaco, modifiée ;
Vu la loi n° 455 du 27 juin 1947 sur les retraites des salariés ;
Vu la loi du n° 644 du 17 janvier 1958 sur la retraite des travailleurs indépendants ;
Vu la loi n° 1.048 du 28 juillet 1982 instituant un régime de prestations sociales en faveur des travailleurs indépendants ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’ordonnance souveraine n° 7.191 du 31 août 1981 relative aux opérations financières et comptables de la Caisse de Compensation des Services Sociaux, de la Caisse Autonome des Retraites et de la Caisse Autonome des Retraites des Travailleurs Indépendants ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’arrêté ministériel n° 2010-638 du 23 décembre 2010 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu le traitement automatisé d’informations nominatives ayant pour finalité « Gestion des ressources humaines » de la Caisse de Compensation des Services Sociaux ayant fait l’objet d’un récépissé de mise en œuvre le 10 août 2001 ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la demande d’avis reçue le 17 septembre 2013 concernant la mise en œuvre par la Caisse de Compensation des Services Sociaux d’un traitement automatisé ayant pour finalité « Gestion des accès aux systèmes d’information opérés par les Caisses Sociales » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 14 novembre 2013, conformément à l’article 19 de l’ordonnance souveraine n° 2.230 susmentionnée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 16 décembre 2013 portant analyse dudit traitement automatisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
La Caisse de Compensation des Services Sociaux (CCSS), responsable de traitement, est un organisme de droit privé investi d’une mission d’intérêt général au sens de l’arrêté ministériel n° 2010-638 du 23 décembre 2010 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée.
Elle agit, en l’espèce, en tant que responsable des systèmes d’informations des 4 Caisses Sociales de Monaco tenant compte des modalités et procédures d’organisation mises en place afin de répondre à leurs missions.
Ainsi, le traitement d’informations nominatives objet de la présente délibération est soumis à l’avis de la Commission conformément à l’article 7 de la loi précitée.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « Gestion des accès aux systèmes d’information opérés par les Caisses Sociales ».
Il concerne les « utilisateurs » des Systèmes d’Information (SI) des Caisses Sociales de Monaco définit comme étant comme toutes personnes dûment habilitées, identifiées et authentifiées.
Ces utilisateurs sont les personnels de la Caisse de Compensation des Services Sociaux (CCSS), de la Caisse Autonome de Retraites (CAR), de la Caisse d’Assurance Maladie, Maternité des Travailleurs Indépendants (CAMTI), de la Caisse Autonome de Retraites des Travailleurs Indépendants (CARTI), désignés ci-après Caisses Sociales de Monaco (CSM).
Il s’agit également des personnels habilités des organismes partenaires et des prestataires sous convention avec les CSM.
Les objectifs de ce traitement sont de veiller à la sécurité des SI des CSM et des traitements y exploités, de garantir l’identification et l’authentification des utilisateurs des SI, de s’assurer que seules les personnes habilitées par les CSM ont accès aux SI, aux applications, données et traitements exploités et hébergés par les CSM.
Ses fonctionnalités sont les suivantes :
- organiser, tenir et mettre à jour l’annuaire des utilisateurs habilités ;
- créer et mettre à jour des comptes et profils utilisateurs ;
- garantir des accès aux SI en tenant compte des missions et attributions des utilisateurs, des conditions d’accès tendant à garantir la confidentialité et la sécurité des systèmes d’information et des data ;
- permettre la mise en place de mesures techniques portant sur l’observation du fonctionnement des systèmes d’information ;
- observer le fonctionnement des SI ;
- assurer la traçabilité des opérations réalisées par les utilisateurs du SI ;
- établir des statistiques.
La Commission note que le présent traitement fait l’objet de mises en relation avec l’ensemble des traitements automatisés des CSM et relève que ces mises en relation sont conformes aux principes de compatibilité de l’article 10-1 de la loi n° 1.165, susvisée.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la justification du traitement
• Sur la licéité du traitement
La Commission relève que la Caisse de Compensation des Services Sociaux (CCSS), la Caisse Autonome de Retraites (CAR), la Caisse d’Assurance Maladie, Maternité des Travailleurs Indépendants (CAMTI), la Caisse Autonome de Retraites des Travailleurs Indépendants (CARTI), ont été créées par des lois particulières qui déterminent pour chacun des organismes leurs missions et attributions.
Par ailleurs, aux termes de l’article 17 de la loi n° 1.165, susvisée, tout responsable de traitements doit mettre en place des mesures techniques et organisationnelles permettant de garantir la sécurité des traitements et la confidentialité des données.
Le présent traitement est une des mesures mises en place par la CCSS à ce titre, en tant que responsable des SI exploités par la CCSS pour l’ensemble des Caisses Sociales de Monaco.
La Commission considère que le traitement est licite conformément à l’article 10-1 de la loi n° 1.165, modifiée.
• Sur la justification du traitement
Le responsable de traitement justifie, tout d’abord, la mise en œuvre du présent traitement par le consentement des personnes concernées. La Commission considère que cette justification n’est pas recevable à l’espèce puisque ces personnes sont placées dans une position de subordination à l’égard d’une des caisses, de leurs prestataires ou partenaires. L’information des personnes concernées ne peut être assimilée à un consentement.
Le traitement est également justifié par :
- le respect d’une obligation légale à laquelle est soumis le responsable de traitement ;
- la réalisation d’un intérêt légitime poursuivi par le responsable de traitement qui ne méconnaît ni l’intérêt, ni les droits et libertés fondamentaux des personnes concernées.
Ces justifications sont fondées d’une part, sur les obligations légales et réglementaires ainsi que sur les missions des CSM qui s’intéressent aux prestations sociales dont peuvent bénéficier les salariés et travailleurs indépendants ayant une activité en Principauté de Monaco, et d’autre part, sur les obligations de la loi n° 1.165 particulièrement en ses articles 12 et 17, ainsi que sur la nécessité de disposer d’un système d’information permettant de répondre aux impératifs de disponibilité, d’intégrité et de confidentialité des données.
La Commission considère que ce traitement est justifié conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées et leur origine
• Sur le détail des informations traitées
Les informations nominatives objets du traitement sont :
- identité : nom, prénom ;
- adresses et coordonnées : adresse électronique professionnelle ;
- vie professionnelle : service d’appartenance, affectation ;
- éléments d’identification : code utilisateur, mot de passe ;
- profil utilisateur : groupe de sécurité et d’autorisations auxquels appartient l’utilisateur ;
- logs de connexion : identification du compte utilisateur, conditions d’exploitation (normal, erreur, anomalie, bug), date et heure du début et de la fin de la connexion.
• Sur l’origine des informations
Les informations ont pour origine :
- le service de la CCSS en charge de la gestion du personnel des CSM ;
- les partenaires et prestataires liés aux CSM par Convention.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV. Sur les droits des personnes concernées
• Sur l’information des personnes concernées
L’information préalable des personnes concernées est assurée par la charte de bon usage des systèmes d’information des CSM, par une mention figurant dans les Conventions liant les CSM et leurs partenaires / prestataires, et par une information diffusée sur l’écran de connexion avant saisie des identifiants.
• Sur l’exercice du droit d’accès, de modification et de mise à jour
La Commission relève qu’aux termes de l’article 13 de la loi n° 1.165, s’agissant d’un traitement mis en œuvre par un organisme de droit privé investi d’une mission d’intérêt général, les personnes concernées par le présent traitement ne disposent pas du droit de s’opposer au traitement de leurs informations.
Les personnes concernées peuvent exercer leur droit d’accès et de rectification auprès du « correspondant CCIN » ou des personnes chargées de la collecte des informations nécessaires à la procédure d’accès.
Les intéressés peuvent exercer ces droits par courrier électronique, par voie postale ou sur place.
La réponse à toute demande est réalisée dans les 15 jours suivants la réception. En cas de demande de modification ou de mise à jour des informations, une réponse sera apportée à l’intéressé par les mêmes voies.
La Commission considère que les modalités d’exercice des droits d’accès et de rectification sont conformes aux dispositions de la loi n° 1.165, modifiée.
V. Sur les personnes ayant accès au traitement et les destinataires des informations
• Les personnes ayant accès au traitement
Les personnes habilitées à avoir accès aux informations en création, inscription, modification, mise à jour et suppression sont les personnels habilités du pôle fournitures du service des CSM.
Toutefois, seuls les utilisateurs peuvent modifier leur propre mot de passe.
• Les destinataires des informations
Les personnels habilités des organismes partenaires et des prestataires extérieurs, sous convention avec les CSM de Monaco sont destinataires des éléments leur permettant d’exécuter leurs missions.
La Commission relève que les accès au présent traitement et les communications d’informations sont dévolus en considération des missions et des fonctions des personnes auxquels ils sont attribués, conformément aux articles 8 et 17 de la loi n° 1.165, modifiée.
VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement n’appellent pas d’observation de la Commission.
Elle rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de la période d’exploitation du présent traitement.
VII. Sur la durée de conservation
La durée de conservation des informations est différente selon les données.
Les informations relatives à l’identité, aux adresses et coordonnées, à la vie professionnelle, aux éléments d’identification et au profil utilisateur sont conservées tant que la personne est en activité au sein des CSM, ou, s’agissant des personnels relevant de l’autorité de partenaire/prestataire, tant que l’utilisateur est en fonction ou dispose d’une mission nécessitant un accès aux SI des CSM.
Les informations relatives aux logs de connexion infrastructure sont conservées une année, puis archivées au même titre que les journaux du système d’exploitation du serveur sur une durée de 5 ans. Ils sont supprimés dans le cadre de la procédure de destruction des matériels informatiques.
Les logs de connexion aux applicatifs sont conservés 120 jours.
La Commission considère que la durée de conservation est conforme aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
Après en avoir délibéré,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par la Caisse de Compensation des Services Sociaux (CCSS) du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des accès aux systèmes d’information opérés par les Caisses Sociales ».


Le Président de la Commission
de Contrôle des Informations Nominatives.
Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14