Délibération n° 2014-63 du 12 mars 2014 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des habilitations informatiques » présenté par son Président
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée ;
Vu la demande d’avis déposée par le Président de la Commission de Contrôle des Informations Nominatives le 17 février 2014 relative à la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Gestion des habilitations informatiques » ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 12 mars 2014 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
La Commission de Contrôle des Informations Nominatives est une autorité administrative indépendante, organisme de droit public.
Dans le cadre de l’organisation de son Secrétariat Général, et afin d’assurer la sécurité informatique de son système informationnel, elle a dû mettre en place un système informatique déconnecté du système de l’Etat. A ce titre, la CCIN dispose de ses propres serveurs et d’un administrateur informatique, agent du Secrétariat Général. Elle souhaite mettre œuvre un traitement ayant pour finalité « Gestion des habilitations informatiques ».
S’agissant d’un traitement automatisé d’informations nominatives au sens de l’article 1er de la loi n° 1.165, modifiée, le Président de la Commission a décidé de le soumettre à l’avis de la Commission, en application de l’article 7 de la loi n° 1.165, modifiée.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « Gestion des habilitations informatiques ».
Les personnes concernées sont les agents du Secrétariat Général, le Secrétaire Général, le Président de la CCIN et les stagiaires.
Enfin, les fonctionnalités du traitement sont les suivantes :
- création et gestion des profils utilisateurs ;
- administration des droits d’accès (inscription, modification, consultation, etc.) au réseau interne de la CCIN, aux applications et aux dossiers hébergés sur les serveurs de la CCIN ;
- visualisation des logs afin de vérifier si un problème de sécurité informatique est identifié ;
- interconnexion (filtrage) avec tous les traitements ayant pour objet des données enregistrées sur le réseau.
Au vu de ces éléments, la Commission considère que la finalité du traitement est « déterminée, explicite et légitime », comme exigé par l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la justification du traitement
• Sur la licéité du traitement
La Commission constate que le Président de la CCIN est responsable de traitement, au sens de l’article 1er de la loi n° 1.165, modifiée, des traitements automatisés exploités par l’Autorité dans le cadre des missions qui lui sont conférées à l’article 2 de la loi dont s’agit.
A cet égard, il lui incombe en cette qualité de « prévoir des mesures techniques et d’organisation appropriées pour protéger les informations nominatives contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisé, notamment lorsque le traitement comporte des transmissions d’informations dans un réseau, ainsi que contre toute autre forme de traitement illicite », conformément à l’article 17 de la loi n° 1.165, précitée.
Ainsi, la Commission constate que le traitement est licite conformément à l’article 10-1 de la loi n° 1.165, modifiée.
• Sur la légitimité du traitement
La Commission relève que le traitement dont s’agit est justifié par la réalisation d’un intérêt légitime, sans que soient méconnus l’intérêt ou les droits et libertés fondamentaux des personnes concernées ainsi que par le respect d’une obligation légale.
En effet, il participe à la sécurité du système informatique de la CCIN, tant par l’administration des droits d’accès en fonction des habilitations de chaque collaborateur, que par la supervision des logs (ex. erreurs de connexions, problèmes d’accès).
De plus, les droits des personnes concernées sont respectés, comme cela est examiné au point IV de la présente délibération.
Par conséquent, la Commission considère que le traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations objets du traitement sont les suivantes :
- identité : nom, prénom ;
- données d’identification électronique : adresse AD, identifiants ;
- compte utilisateur : nom du compte, domaine du compte, groupes d’utilisateurs, type de droits ;
- logs : traces d’exécution, horodatage.
L’ensemble de ces données a pour origine le compte utilisateur créé par l’administrateur informatique, ainsi que les logs automatiquement générés par le système de traçabilité informatique.
Considérant les dispositions de l’article 10-1 de la loi n° 1.165, modifiée, la Commission estime que les informations traitées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement.
IV. Sur les droits des personnes concernées
• Sur l’information des personnes concernées
L’information préalable des personnes concernées est effectuée par le biais de la charte informatique de la CCIN, qui comprend un article spécifique à la protection des informations nominatives. Y sont mentionnés les traitements exploités par la CCIN ainsi que les modalités d’exercice, par le personnel, de ses droits.
Les stagiaires sont quant à eux informés par le biais des mentions légales du site Internet de la CCIN, qui comprend un paragraphe spécifique à la protection des informations nominatives.
La Commission considère que ces modalités d’information des personnes concernées sont conformes aux exigences légales.
• Sur l’exercice des droits d’accès, de rectification
Les droits d’accès et de rectification des personnes concernées peuvent être exercés sur place ou par voie postale, à l’attention du Secrétariat Général de la CCIN.
Le délai de réponse est de 30 jours.
Elle considère donc que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
• Sur les destinataires
La Commission constate que ce traitement ne fait l’objet d’aucune communication d’information.
• Sur les personnes ayant accès au traitement
L’administrateur informatique a accès au présent traitement, dans le cadre de ses missions d’administration et de maintenance du système informatique de la CCIN. A ce titre, il dispose de tous les droits d’accès.
Le Président de la CCIN ainsi que le Secrétaire Général ont accès en consultation, à partir du terminal de l’administrateur informatique, dans le cadre de leurs pouvoirs hiérarchiques respectifs visés à l’article 5-2 de la loi n° 1.165, modifiée.
Ainsi, la Commission considère que les accès susvisés sont conformes aux exigences légales.
VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VII. Sur la durée de conservation
Les données objets du traitement sont conservées jusqu’à deux mois après le départ du collaborateur de la CCIN. Quant aux logs, ils sont effacés par écrasement automatique, ce qui correspond à une durée de conservation de deux mois maximum.
La Commission considère que ces durées de conservation sont conformes aux exigences légales.
Au vu de ces éléments,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des habilitations informatiques ».
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée ;
Vu la demande d’avis déposée par le Président de la Commission de Contrôle des Informations Nominatives le 17 février 2014 relative à la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Gestion des habilitations informatiques » ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 12 mars 2014 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
La Commission de Contrôle des Informations Nominatives est une autorité administrative indépendante, organisme de droit public.
Dans le cadre de l’organisation de son Secrétariat Général, et afin d’assurer la sécurité informatique de son système informationnel, elle a dû mettre en place un système informatique déconnecté du système de l’Etat. A ce titre, la CCIN dispose de ses propres serveurs et d’un administrateur informatique, agent du Secrétariat Général. Elle souhaite mettre œuvre un traitement ayant pour finalité « Gestion des habilitations informatiques ».
S’agissant d’un traitement automatisé d’informations nominatives au sens de l’article 1er de la loi n° 1.165, modifiée, le Président de la Commission a décidé de le soumettre à l’avis de la Commission, en application de l’article 7 de la loi n° 1.165, modifiée.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « Gestion des habilitations informatiques ».
Les personnes concernées sont les agents du Secrétariat Général, le Secrétaire Général, le Président de la CCIN et les stagiaires.
Enfin, les fonctionnalités du traitement sont les suivantes :
- création et gestion des profils utilisateurs ;
- administration des droits d’accès (inscription, modification, consultation, etc.) au réseau interne de la CCIN, aux applications et aux dossiers hébergés sur les serveurs de la CCIN ;
- visualisation des logs afin de vérifier si un problème de sécurité informatique est identifié ;
- interconnexion (filtrage) avec tous les traitements ayant pour objet des données enregistrées sur le réseau.
Au vu de ces éléments, la Commission considère que la finalité du traitement est « déterminée, explicite et légitime », comme exigé par l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la justification du traitement
• Sur la licéité du traitement
La Commission constate que le Président de la CCIN est responsable de traitement, au sens de l’article 1er de la loi n° 1.165, modifiée, des traitements automatisés exploités par l’Autorité dans le cadre des missions qui lui sont conférées à l’article 2 de la loi dont s’agit.
A cet égard, il lui incombe en cette qualité de « prévoir des mesures techniques et d’organisation appropriées pour protéger les informations nominatives contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisé, notamment lorsque le traitement comporte des transmissions d’informations dans un réseau, ainsi que contre toute autre forme de traitement illicite », conformément à l’article 17 de la loi n° 1.165, précitée.
Ainsi, la Commission constate que le traitement est licite conformément à l’article 10-1 de la loi n° 1.165, modifiée.
• Sur la légitimité du traitement
La Commission relève que le traitement dont s’agit est justifié par la réalisation d’un intérêt légitime, sans que soient méconnus l’intérêt ou les droits et libertés fondamentaux des personnes concernées ainsi que par le respect d’une obligation légale.
En effet, il participe à la sécurité du système informatique de la CCIN, tant par l’administration des droits d’accès en fonction des habilitations de chaque collaborateur, que par la supervision des logs (ex. erreurs de connexions, problèmes d’accès).
De plus, les droits des personnes concernées sont respectés, comme cela est examiné au point IV de la présente délibération.
Par conséquent, la Commission considère que le traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations objets du traitement sont les suivantes :
- identité : nom, prénom ;
- données d’identification électronique : adresse AD, identifiants ;
- compte utilisateur : nom du compte, domaine du compte, groupes d’utilisateurs, type de droits ;
- logs : traces d’exécution, horodatage.
L’ensemble de ces données a pour origine le compte utilisateur créé par l’administrateur informatique, ainsi que les logs automatiquement générés par le système de traçabilité informatique.
Considérant les dispositions de l’article 10-1 de la loi n° 1.165, modifiée, la Commission estime que les informations traitées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement.
IV. Sur les droits des personnes concernées
• Sur l’information des personnes concernées
L’information préalable des personnes concernées est effectuée par le biais de la charte informatique de la CCIN, qui comprend un article spécifique à la protection des informations nominatives. Y sont mentionnés les traitements exploités par la CCIN ainsi que les modalités d’exercice, par le personnel, de ses droits.
Les stagiaires sont quant à eux informés par le biais des mentions légales du site Internet de la CCIN, qui comprend un paragraphe spécifique à la protection des informations nominatives.
La Commission considère que ces modalités d’information des personnes concernées sont conformes aux exigences légales.
• Sur l’exercice des droits d’accès, de rectification
Les droits d’accès et de rectification des personnes concernées peuvent être exercés sur place ou par voie postale, à l’attention du Secrétariat Général de la CCIN.
Le délai de réponse est de 30 jours.
Elle considère donc que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
• Sur les destinataires
La Commission constate que ce traitement ne fait l’objet d’aucune communication d’information.
• Sur les personnes ayant accès au traitement
L’administrateur informatique a accès au présent traitement, dans le cadre de ses missions d’administration et de maintenance du système informatique de la CCIN. A ce titre, il dispose de tous les droits d’accès.
Le Président de la CCIN ainsi que le Secrétaire Général ont accès en consultation, à partir du terminal de l’administrateur informatique, dans le cadre de leurs pouvoirs hiérarchiques respectifs visés à l’article 5-2 de la loi n° 1.165, modifiée.
Ainsi, la Commission considère que les accès susvisés sont conformes aux exigences légales.
VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VII. Sur la durée de conservation
Les données objets du traitement sont conservées jusqu’à deux mois après le départ du collaborateur de la CCIN. Quant aux logs, ils sont effacés par écrasement automatique, ce qui correspond à une durée de conservation de deux mois maximum.
La Commission considère que ces durées de conservation sont conformes aux exigences légales.
Au vu de ces éléments,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des habilitations informatiques ».
Le Président de la Commission
de Contrôle des Informations Nominatives.