Délibération n° 2017-197 du 15 novembre 2017 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des communications au travers de coffres numériques sécurisés » présenté par son Président.
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l'article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la demande d'avis déposée par le Président de la Commission de Contrôle des Informations Nominatives le 6 novembre 2017 concernant la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion des communications au travers de coffres numériques sécurisés » ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 15 novembre 2017 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Commission de Contrôle des Informations Nominatives (CCIN) est une Autorité Administrative Indépendante, organisme de droit public.
Afin de faciliter et sécuriser les échanges de documents lors de l'instruction des dossiers, elle souhaite mettre en place un système de coffres numériques.
Le traitement automatisé d'informations nominatives objet de la présente délibération est donc soumis à l'avis de la Commission conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993\.
I. Sur la finalité et les fonctionnalités du traitement
Ce traitement a pour finalité « Gestion des communications au travers de coffres numériques sécurisés ».
Les personnes concernées sont les collaborateurs de la CCIN, les Membres de la Commission, ainsi que tout autre utilisateur créé par la CCIN.
Enfin, les fonctionnalités sont les suivantes :
- créer des coffres numériques pour des dossiers, des personnes et/ou des entreprises déterminés ;
- donner un accès sélectif par authentification forte avec droits et habilitations personnalisés ;
- obliger les utilisateurs à changer leur mot de passe à la 1ère connexion (un identifiant et mot de passe étant attribué automatiquement par le collaborateur lors de la création d'un coffre) ;
- déposer de manière temporaire et sécurisée des documents électroniques dans les coffres ;
- horodater les opérations de dépôt et de consultation ;
- enregistrer tous les accès aux informations et aux documents permettant de tracer ces accès ;
- tracer le cycle de vie des documents déposés dans les coffres et non retirés ;
- administrer les moyens de preuve concernant les documents déposés dans les coffres et non retirés ;
- garantir l'intégrité des informations et des documents déposés dans les coffres et non retirés;
- donner une valeur probatoire aux documents déposés dans les coffres et non retirés ;
- effectuer des statistiques (poids du coffre, nombre et poids des documents) ;
- supprimer les coffres.
La Commission constate ainsi que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le traitement est justifié par la réalisation d'un intérêt légitime poursuivi par le responsable du traitement, sans que ne soient méconnus ni l'intérêt, ni les droits et libertés fondamentaux de la personne concernée.
À cet égard, la Commission constate que ce traitement « va permettre aux collaborateurs de la CCIN de créer des coffres numériques afin de pouvoir échanger des documents de manière sécurisée avec les responsables de traitement ».
Elle note ainsi qu'après « s'être authentifiés par login et mot de passe nominatifs, lesdits responsables de traitement pourront déposer des fichiers qui seront automatiquement horodatés et auront ainsi une valeur probatoire pendant toute la durée du dépôt ».
La Commission observe par ailleurs que la création de coffres va également permettre d'envoyer aux Membres de la Commission qui souhaitent avoir recours à ce moyen de communication les documents relatifs aux réunions.
À cet égard, elle prend acte des précisions du responsable de traitement selon lesquelles le traitement est mis en œuvre « uniquement dans le but de faciliter les démarches des responsables de traitement auprès de la CCIN et de sécuriser les échanges de documents non seulement entre ces mêmes responsables de traitement et les collaborateurs de la CCIN en charge de leur dossier mais également entre la Commission et ses membres avant chaque réunion ».
Enfin, la Commission relève que ledit traitement « n'a pas pour objet de surveiller l'activité des personnes concernées ».
Elle considère donc que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993\.
III. Sur les informations nominatives traitées
Les informations nominatives traitées sont :
- identité : nom et prénom du collaborateur et du membre de la Commission ; civilité, nom, prénom et société du responsable de traitement ;
- adresses et coordonnées : adresse email et numéro de téléphone du collaborateur, du membre de la Commission et du responsable de traitement ;
- données d'identification électronique : mode d'authentification (certificat ou login/mot de passe), identifiant et authentification de connexion des personnes habilitées à avoir accès au traitement ;
- accès conférés : profil, accès ((tous droits, pas d'accès, consultation, dépôt…) ;
- données de connexion : logs, traces d'exécution, fichiers journaux ;
- informations temporelles et horodatage : date et heure de dépôt, consultation et suppression du document ;
- document déposé : contenu du document.
Les informations relatives à l'identité, aux adresses, aux coordonnées et aux accès conférés ont pour origine le collaborateur.
Les informations relatives aux données d'identification électronique ont pour origine le collaborateur et la personne habilitée par ce collaborateur à accéder au coffre.
Le contenu du document déposé a pour origine le collaborateur ou le responsable de traitement.
Les informations relatives aux accès, aux données de connexion, aux informations temporelles à l'horodatage et aux statistiques ont pour origine le logiciel de création des coffres numériques.
La Commission considère donc que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
IV. Sur les droits des personnes concernées
Sur l'information préalable des personnes concernées
La Commission observe que l'information préalable des personnes concernées est effectuée suivant plusieurs modalités.
Les collaborateurs sont informés par le biais d'avenants à la charte informatique de la CCIN.
Les autres utilisateurs sont informés par le biais d'une mention d'information insérée en bas de chaque email envoyé par la CCIN lors de l'affectation à un coffre numérique.
À l'analyse de ces documents, la Commission considère ainsi que les modalités d'information préalable des personnes sont conformes aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993.
Sur l'exercice du droit d'accès, de modification et de mise à jour
Le droit d'accès s'exerce sur place ou par voie postale auprès du Secrétariat Général.
La Commission constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.
V. Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
- les collaborateurs de la CCIN : création et suppression du coffre-fort, création des profils utilisateurs, attribution des accès, consultation, modification et suppression des documents;
- les autres utilisateurs : consultation et dépôt de documents s'agissant uniquement des coffres qui leur sont affectés ;
- l'administrateur CCIN : tous droits ;
- le prestataire : accès à la solution dans le cadre des opérations de maintenance mais aucun accès au contenu des coffres.
Considérant les attributions de chacune de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.
La Commission constate que le contenu des coffres est chiffré et que seules les personnes habilitées par les collaborateurs ont accès au contenu des coffres.
En ce qui concerne le prestataire, elle rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993, les droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de son contrat de prestation de service. De plus, ledit prestataire est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
VI. Sur les interconnexions et rapprochements
Le responsable de traitement indique que le présent traitement fait l'objet d'une interconnexion avec un traitement ayant pour finalité « Gestion de la messagerie électronique professionnelle » et d'un rapprochement avec un traitement ayant pour finalité « Tenue du répertoire des traitements ».
La Commission constate que ces deux traitements ont été légalement mis en œuvre.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation particulière.
La Commission rappelle néanmoins que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
La Commission rappelle également que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII. Sur la durée de conservation
Les documents déposés sont conservés le temps de l'instruction du dossier, à savoir 4 mois maximum à compter du dépôt officiel dudit dossier.
Les informations relatives à l'identité, aux adresses et cordonnées, aux données d'identification électroniques et aux accès conférés sont conservées le temps de l'affectation d'une personne à un coffre numérique.
Les informations relatives aux données de connexion, aux informations temporelles et à l'horodatage sont conservées 1 an.
La Commission considère que ces durées sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Rappelle que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort ;
Sous réserve de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par son Président du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des communications au travers de coffres numériques sécurisés ».
Le Président de la Commission
de Contrôle des Informations Nominatives.