Délibération n° 2013-156 du 16 décembre 2013 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des défauts informatiques » présenté par Monaco Télécom SAM
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée ;
Vu le contrat de concession du service public des communications électroniques sur le territoire de la Principauté de Monaco du 26 septembre 2011 ;
Vu le cahier des charges relatif à la concession du service public des communications électroniques sur le territoire de la Principauté de Monaco signé le 26 septembre 2011 et annexé à l’ordonnance souveraine n° 3.560 du 6 décembre 2011 ;
Vu la demande d’avis déposée par Monaco Télécom SAM le 18 octobre 2013 concernant la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des défauts informatiques » ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 16 décembre 2013 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
Monaco Télécom SAM, immatriculée au RCI, est un organisme de droit privé concessionnaire d’un service public. Elle a notamment pour objet « d’assurer dans les relations intérieures et internationales, tous services de télécommunications. A ce titre, elle assure les activités d’opérateur public chargé de l’exploitation du service téléphonique de la Principauté de Monaco […] ».
Le responsable de traitement souhaite procéder à la mise en œuvre d’un traitement permettant « de sécuriser les corrections et les évolutions des applications composant le système d’information » de Monaco Télécom SAM.
A ce titre, en application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, ladite société soumet la présente demande d’avis relative au traitement ayant pour finalité « Gestion des défauts informatiques ».
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Gestion des défauts informatiques ».
Le responsable de traitement indique que les personnes concernées sont les « testeurs internes pour demande de correction ou d’évolution et prestataire pour mise en œuvre ».
Il permet notamment de journaliser les demandes de corrections ou d’évolution des applications informatiques.
Ses fonctionnalités sont les suivantes :
- gestion du cycle de vie des demandes d’évolution ;
- gestion du cycle de vie des demandes de correction ;
- assignation des tickets au personnel en charge de l’action de résolution ;
- gestion des versions de déploiement logiciel (historique des corrections ou évolutions incluses dans chaque version).
A l’analyse du dossier de demande d’avis, la Commission relève l’existence de trois fonctionnalités complémentaires, à savoir :
- création de groupes de travail relatifs à la mise en place de projets ;
- affectation des participants au projet et création d’un degré d’habilitation, via un rapprochement avec le traitement ayant pour finalité « Gestion des affectations et demandes relatives aux ressources informatiques » (SUPSI) ;
- envoi de notifications par email.
Elle en prend donc acte.
Enfin, la Commission rappelle que tout traitement d’informations nominatives doit avoir une finalité « déterminée, explicite et légitime » aux termes de l’article 10-1 de la loi n° 1.165, susmentionnée.
A cet égard, la finalité du présent traitement doit être plus explicite et mettre en évidence les objectifs recherchés par le responsable de traitement.
Par conséquent, elle devrait être modifiée par la finalité suivante : « Gestion des incidents et interventions informatiques ».
II. Sur la licéité et la justification du traitement
Ce traitement est justifié par la réalisation d’un intérêt légitime, sans que soient méconnus les libertés et droits fondamentaux des personnes concernées.
A cet égard, la Commission observe que le présent traitement est justifié par la nécessité de sécuriser le système informationnel de Monaco Telecom par le biais de la mise en place d’une traçabilité des différentes opérations de correction ou d’intervention sur ledit système.
Elle considère donc que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations objets du traitement sont :
- identité : nom et prénom de l’utilisateur ;
- données d’identification électronique : adresse email professionnelle de l’utilisateur ;
- identifiants : droit d’accès de l’utilisateur, mot de passe de l’utilisateur, trigramme du développeur responsable du ticket, identifiant de connexion ;
- informations relatives au ticket : identifiant du rapport à corriger, nom du rapport à corriger, catégorie de service, chiffrages, date d’échéance du ticket, application concernée, information relative à la charge de travail, catégorie du ticket, reproductibilité, sévérité, priorité, plateforme, OS & version où le dysfonctionnement s’est produit, résumé & description du problème ou de la demande, étapes nécessaires pour le reproduire, informations complémentaires, niveau de confidentialité du ticket, login de l’utilisateur à qui le ticket est affecté.
Elles ont pour origine l’utilisateur, à l’exception de celles relatives au droit d’accès de l’utilisateur, au trigramme du développeur responsable du ticket, à l’identifiant de connexion qui ont pour origine l’administrateur de l’application.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV. Sur les droits des personnes concernées
• Sur l’information des personnes concernées
L’information préalable des personnes concernées est effectuée par le biais d’une procédure interne accessible en Intranet.
Ladite procédure n’étant pas jointe, la Commission invite le responsable de traitement à s’assurer que les mentions d’information qu’elle contient soient conformes aux dispositions de l’article 14 de la loi n° 1.165, modifiée.
• Sur l’exercice des droits des personnes concernées
Les droits d’accès, de modification et de suppression sont exercés par voie postale ou par courrier électronique auprès de la Direction des Systèmes d’Information et Hébergement (DSIH).
Le délai de réponse est de 30 jours.
La Commission constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
• Sur les destinataires
La Commission constate que le responsable de traitement indique ne pas communiquer d’informations relatives au présent traitement.
• Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au présent traitement sont :
- le service Etude et Développement de la DSIH pour « soumettre des tickets, suivre leur évolution et prendre des actions à mener sur les logiciels dont ils ont la responsabilité » ;
- les utilisateurs de la société, qui testent les solutions logicielles, pour « soumettre des tickets et suivre leurs évolutions » ;
- les prestataires de service pour « soumettre des tickets, suivre leur évolution, prendre connaissance des actions à mener sur les logiciels dont ils ont la sous-traitance ».
En ce qui concerne le prestataire, la Commission rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165, modifiée, ses droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service. De plus, celui-ci est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
Considérant les attributions de ces services, et eu égard à la finalité du traitement, la Commission considère que ces accès sont justifiés.
VI. Sur les rapprochements et interconnexions
Le responsable de traitement indique opérer des opérations de rapprochement et d’interconnexion entre le présent traitement ainsi que les traitements ayant pour finalité respective « Gestion des affectations et demandes relatives aux ressources informatiques » et « Gestion des campagnes de test ».
Cependant, la Commission constate que ces deux traitements n’ont pas été légalement mis en œuvre au sens de la loi n° 1.165 du 23 décembre 1993, modifiée.
Ainsi, elle demande qu’aucune interconnexion, rapprochement ou mise en relation ne soit effectuée avec les traitements précités, tant que ces derniers n’ont pas été mis en conformité avec les dispositions de la loi n° 1.165.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
Elle rappelle enfin que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Le responsable de traitement indique conserver les informations objet du traitement « 10 ans, suite au décommissionnement du système ».
Toutefois, après analyse du dossier, la Commission relève que les informations nominatives présentes dans les tickets sont anonymisées un an après la clôture de celui-ci, et les champs nominatifs sont remplacés par un utilisateur virtuel nommé « DALO ». Elle constate donc que seul le ticket anonymisé est supprimé après dix ans par le système.
Ainsi, elle considère que ces durées de conservation sont conformes aux exigences légales.
Après en avoir délibéré,
Demande :
- Que la finalité du traitement soit modifiée par : « Gestion des incidents et interventions informatiques » ;
- Qu’aucune interconnexion, rapprochement ou mise en relation ne soit effectuée avec les traitements ayant pour finalité respective « Gestion des affectations et demandes relatives aux ressources informatiques » et « Gestion des campagnes de test », tant que ces derniers n’ont pas été mis en conformité avec les dispositions de la loi n° 1.165.
Invite le responsable de traitement à s’assurer que les mentions d’information figurant sur le document communiqué aux employés soient conformes aux dispositions de l’article 14 de la loi n° 1.165, modifiée ;
Sous réserve de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, du traitement automatisé d’informations nominatives ayant pour finalité « Suivi des correctifs et évolutions informatiques et gestion des projets de développements informatiques » par Monaco Telecom SAM.
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée ;
Vu le contrat de concession du service public des communications électroniques sur le territoire de la Principauté de Monaco du 26 septembre 2011 ;
Vu le cahier des charges relatif à la concession du service public des communications électroniques sur le territoire de la Principauté de Monaco signé le 26 septembre 2011 et annexé à l’ordonnance souveraine n° 3.560 du 6 décembre 2011 ;
Vu la demande d’avis déposée par Monaco Télécom SAM le 18 octobre 2013 concernant la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des défauts informatiques » ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 16 décembre 2013 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
Monaco Télécom SAM, immatriculée au RCI, est un organisme de droit privé concessionnaire d’un service public. Elle a notamment pour objet « d’assurer dans les relations intérieures et internationales, tous services de télécommunications. A ce titre, elle assure les activités d’opérateur public chargé de l’exploitation du service téléphonique de la Principauté de Monaco […] ».
Le responsable de traitement souhaite procéder à la mise en œuvre d’un traitement permettant « de sécuriser les corrections et les évolutions des applications composant le système d’information » de Monaco Télécom SAM.
A ce titre, en application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, ladite société soumet la présente demande d’avis relative au traitement ayant pour finalité « Gestion des défauts informatiques ».
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Gestion des défauts informatiques ».
Le responsable de traitement indique que les personnes concernées sont les « testeurs internes pour demande de correction ou d’évolution et prestataire pour mise en œuvre ».
Il permet notamment de journaliser les demandes de corrections ou d’évolution des applications informatiques.
Ses fonctionnalités sont les suivantes :
- gestion du cycle de vie des demandes d’évolution ;
- gestion du cycle de vie des demandes de correction ;
- assignation des tickets au personnel en charge de l’action de résolution ;
- gestion des versions de déploiement logiciel (historique des corrections ou évolutions incluses dans chaque version).
A l’analyse du dossier de demande d’avis, la Commission relève l’existence de trois fonctionnalités complémentaires, à savoir :
- création de groupes de travail relatifs à la mise en place de projets ;
- affectation des participants au projet et création d’un degré d’habilitation, via un rapprochement avec le traitement ayant pour finalité « Gestion des affectations et demandes relatives aux ressources informatiques » (SUPSI) ;
- envoi de notifications par email.
Elle en prend donc acte.
Enfin, la Commission rappelle que tout traitement d’informations nominatives doit avoir une finalité « déterminée, explicite et légitime » aux termes de l’article 10-1 de la loi n° 1.165, susmentionnée.
A cet égard, la finalité du présent traitement doit être plus explicite et mettre en évidence les objectifs recherchés par le responsable de traitement.
Par conséquent, elle devrait être modifiée par la finalité suivante : « Gestion des incidents et interventions informatiques ».
II. Sur la licéité et la justification du traitement
Ce traitement est justifié par la réalisation d’un intérêt légitime, sans que soient méconnus les libertés et droits fondamentaux des personnes concernées.
A cet égard, la Commission observe que le présent traitement est justifié par la nécessité de sécuriser le système informationnel de Monaco Telecom par le biais de la mise en place d’une traçabilité des différentes opérations de correction ou d’intervention sur ledit système.
Elle considère donc que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations objets du traitement sont :
- identité : nom et prénom de l’utilisateur ;
- données d’identification électronique : adresse email professionnelle de l’utilisateur ;
- identifiants : droit d’accès de l’utilisateur, mot de passe de l’utilisateur, trigramme du développeur responsable du ticket, identifiant de connexion ;
- informations relatives au ticket : identifiant du rapport à corriger, nom du rapport à corriger, catégorie de service, chiffrages, date d’échéance du ticket, application concernée, information relative à la charge de travail, catégorie du ticket, reproductibilité, sévérité, priorité, plateforme, OS & version où le dysfonctionnement s’est produit, résumé & description du problème ou de la demande, étapes nécessaires pour le reproduire, informations complémentaires, niveau de confidentialité du ticket, login de l’utilisateur à qui le ticket est affecté.
Elles ont pour origine l’utilisateur, à l’exception de celles relatives au droit d’accès de l’utilisateur, au trigramme du développeur responsable du ticket, à l’identifiant de connexion qui ont pour origine l’administrateur de l’application.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV. Sur les droits des personnes concernées
• Sur l’information des personnes concernées
L’information préalable des personnes concernées est effectuée par le biais d’une procédure interne accessible en Intranet.
Ladite procédure n’étant pas jointe, la Commission invite le responsable de traitement à s’assurer que les mentions d’information qu’elle contient soient conformes aux dispositions de l’article 14 de la loi n° 1.165, modifiée.
• Sur l’exercice des droits des personnes concernées
Les droits d’accès, de modification et de suppression sont exercés par voie postale ou par courrier électronique auprès de la Direction des Systèmes d’Information et Hébergement (DSIH).
Le délai de réponse est de 30 jours.
La Commission constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
• Sur les destinataires
La Commission constate que le responsable de traitement indique ne pas communiquer d’informations relatives au présent traitement.
• Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au présent traitement sont :
- le service Etude et Développement de la DSIH pour « soumettre des tickets, suivre leur évolution et prendre des actions à mener sur les logiciels dont ils ont la responsabilité » ;
- les utilisateurs de la société, qui testent les solutions logicielles, pour « soumettre des tickets et suivre leurs évolutions » ;
- les prestataires de service pour « soumettre des tickets, suivre leur évolution, prendre connaissance des actions à mener sur les logiciels dont ils ont la sous-traitance ».
En ce qui concerne le prestataire, la Commission rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165, modifiée, ses droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service. De plus, celui-ci est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
Considérant les attributions de ces services, et eu égard à la finalité du traitement, la Commission considère que ces accès sont justifiés.
VI. Sur les rapprochements et interconnexions
Le responsable de traitement indique opérer des opérations de rapprochement et d’interconnexion entre le présent traitement ainsi que les traitements ayant pour finalité respective « Gestion des affectations et demandes relatives aux ressources informatiques » et « Gestion des campagnes de test ».
Cependant, la Commission constate que ces deux traitements n’ont pas été légalement mis en œuvre au sens de la loi n° 1.165 du 23 décembre 1993, modifiée.
Ainsi, elle demande qu’aucune interconnexion, rapprochement ou mise en relation ne soit effectuée avec les traitements précités, tant que ces derniers n’ont pas été mis en conformité avec les dispositions de la loi n° 1.165.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
Elle rappelle enfin que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Le responsable de traitement indique conserver les informations objet du traitement « 10 ans, suite au décommissionnement du système ».
Toutefois, après analyse du dossier, la Commission relève que les informations nominatives présentes dans les tickets sont anonymisées un an après la clôture de celui-ci, et les champs nominatifs sont remplacés par un utilisateur virtuel nommé « DALO ». Elle constate donc que seul le ticket anonymisé est supprimé après dix ans par le système.
Ainsi, elle considère que ces durées de conservation sont conformes aux exigences légales.
Après en avoir délibéré,
Demande :
- Que la finalité du traitement soit modifiée par : « Gestion des incidents et interventions informatiques » ;
- Qu’aucune interconnexion, rapprochement ou mise en relation ne soit effectuée avec les traitements ayant pour finalité respective « Gestion des affectations et demandes relatives aux ressources informatiques » et « Gestion des campagnes de test », tant que ces derniers n’ont pas été mis en conformité avec les dispositions de la loi n° 1.165.
Invite le responsable de traitement à s’assurer que les mentions d’information figurant sur le document communiqué aux employés soient conformes aux dispositions de l’article 14 de la loi n° 1.165, modifiée ;
Sous réserve de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, du traitement automatisé d’informations nominatives ayant pour finalité « Suivi des correctifs et évolutions informatiques et gestion des projets de développements informatiques » par Monaco Telecom SAM.
Le Président de la Commission
de Contrôle des Informations Nominatives.