Délibération n° 2017-5 du 18 janvier 2017 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion et suivi des projets informatiques du Gouvernement Princier de Monaco » exploité par la Direction de l'Administration Electronique et de l'Information aux Usagers et présenté par le Ministre d'Etat.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 3.121 du 11 février 2011 portant création de la Direction de l'Administration Electronique et de l'Information aux Usagers ;
Vu l'Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l'administration et l'administré, et son rapport de présentation ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la demande d'avis déposée par le Ministre d'Etat, le 19 octobre 2016, concernant la mise en œuvre d'un traitement automatisé ayant pour finalité la « Gestion et suivi des projets informatiques du Gouvernement Princier de Monaco » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 16 décembre 2016, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 18 janvier 2017 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Le Ministre d'Etat soumet le présent traitement dont « l'objectif est de permettre à la Direction de l'Administration Electronique et de l'Information aux Usagers (D.A.E.I.U.) et à la Direction Informatique de gérer et suivre l'avancement des projets informatiques menés par ces Directions ».
Ainsi, ce dernier est soumis à l'avis de la Commission, conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Gestion et suivi des projets informatiques du Gouvernement Princier de Monaco ».
Il concerne tous les Fonctionnaires et Agents de la D.A.E.I.U., de la Direction Informatique et tiers habilités intervenants pour leur compte.
Ses fonctionnalités permettent aux utilisateurs de ces Directions de :
- gérer des ressources ;
- gérer des demandes de projets ;
- gérer des projets (phases, lots, tâches, activités, dates, budget) ;
- gérer des plannings ;
- renseigner le temps passé à la réalisation de tâches par les ressources ;
- émettre des mails de notification à destination des ressources ;
- gérer des budgets ;
- effectuer un suivi budgétaire du projet ;
- réaliser des statistiques.
En ce qui concerne le temps passé à la réalisation des tâches à la ressource, la Commission relève que « l'analyse du temps passé a uniquement un objectif de réaliser le suivi des projets et de réaliser des statistiques mais n'a pas pour objectif de réaliser une surveillance des personnes ».
La Commission constate ainsi que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par la réalisation d'un intérêt légitime poursuivi par le responsable de traitement qui ne méconnaît ni l'intérêt, ni les droits et libertés fondamentaux des personnes concernées.
La Commission relève que le traitement permet à la D.A.E.I.U. de préparer, « (…) en relation avec les Départements et Services administratifs, ainsi qu'avec la Direction Informatique, un schéma directeur de l'évolution des procédures administratives, des systèmes d'information et des sites Internet, et d'en assurer le suivi dans son domaine de compétence ».
Aussi, il est de l'intérêt légitime de l'Etat d'améliorer l'Administration et la gestion de ses ressources.
La Commission considère donc que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Les informations nominatives traitées sont :
- identité : nom, prénom, identifiant externe, nom d'utilisateur ;
- adresse et coordonnées : adresse e-mail professionnelle (en gouv.mc) ;
- formation-diplômes-vie professionnelle : employeur des tiers intervenant pour le compte des Directions ;
- caractéristiques financières : coût journalier ;
- données d'identification électronique : login Windows (SSO) ;
- données de connexion : données d'horodatage, log de connexion de l'utilisateur.
La Commission relève qu'est également traité le temps passé à la réalisation d'une tâche, comme indiqué dans la rubrique relative aux fonctionnalités.
Les informations ont pour origine le système lui-même, ou les administrateurs fonctionnels.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
► Sur l'information préalable des personnes concernées
L'information préalable des personnes concernées est réalisée à partir d'une procédure interne accessible en Intranet.
Le document susmentionné n'étant pas joint à la présente demande d'avis, la Commission rappelle que l'information des personnes concernées doit être conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993.
► Sur l'exercice du droit d'accès, de modification et de mise à jour
Le droit d'accès est exercé par courrier électronique, auprès de la D.A.E.I.U. ou de la Direction Informatique. Le délai de réponse est de trente jours.
Les droits de modification et de mise à jour des données sont réalisés sur place ou par courrier électronique.
La Commission constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
La Commission constate qu'il n'y a pas de destinataire des informations objets du présent traitement.
Les accès sont définis comme suit :
- Fonctionnaires et Agents de la Direction de l'Administration Electronique et de l'Information aux Usagers et de la Direction Informatique ou tiers habilités intervenant pour leur compte ayant un profil dans l'outil, en consultation ;
- Parmi eux, les personnes ayant un profil « Administrateur fonctionnel » et « Responsable / Manager » disposeront des fonctions de : création, modification, suppression ;
- Fonctionnaires et Agents de la Direction Informatique ou tiers habilités intervenant pour son compte : tout accès dans le cadre des missions de maintenance, des développements nécessaires au fonctionnement de l'outil et de sécurité.
En ce qui concerne les prestataires, la Commission rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993 les droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de leur contrat de prestation de service. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission considère que ces accès sont justifiés.
VI. Sur les interconnexions
Le présent traitement est interconnecté avec le traitement ayant pour finalité « Gestion des techniques automatisées de communication », légalement mis en œuvre, afin « (…) de permettre une connexion à l'outil en mode SSO et également l'envoi de courriels sur la boîte mail professionnelle des utilisateurs de l'outil ».
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Toutefois, l'architecture technique du système repose sur des équipements de raccordement (switchs, routeurs, pare-feux) de serveurs et périphériques qui doivent être protégés par un login et un mot de passe réputé fort et les ports non utilisés doivent être désactivés.
La Commission rappelle enfin que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII. Sur la durée de conservation
Les données de connexion sont supprimées trois mois après leur collecte.
L'ensemble des autres informations nominatives collectées est conservé trois mois après que le fonctionnaire ou l'agent ait quitté l'Administration.
La Commission estime toutefois que les informations doivent être supprimées :
- trois mois après qu'un Agent ou Fonctionnaire ait quitté la D.A.E.I.U. ou la Direction Informatique ;
- dès que les personnels extérieurs ne sont plus habilités à intervenir pour l'une de ces Directions.
Après en avoir délibéré, la Commission :
Rappelle que :
- les personnes concernées doivent être informées de manière conforme aux dispositions de l'article 14 de la loi n° 1.165 du
23 décembre 1993 ;
- les équipements de raccordement (switchs, routeurs, pare-feux) de serveurs et périphériques doivent être protégés par un login et un mot de passe réputé fort et que les ports non utilisés doivent être désactivés ;
Fixe la durée de conservation, hors données de connexion, à :
- trois mois après qu'un agent ou fonctionnaire ait quitté la D.A.E.I.U. ou la Direction Informatique ;
- dès que les personnels extérieurs ne sont plus habilités à intervenir pour l'une de ces directions.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'Etat, du traitement automatisé d'informations nominatives ayant pour finalité « Gestion et suivi des projets informatiques du Gouvernement Princier de Monaco ».
Le Président de la Commission
de Contrôle des Informations Nominatives.