Délibération n° 2018-67 du 16 mai 2018 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre de la modification du traitement automatisé d'informations nominatives ayant pour finalité « Tenue du Répertoire des Traitements » présentée par son Président.
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l'article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la délibération n° 2010-06 du 1er mars 2010 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Tenue du Répertoire des Traitements » ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la délibération n° 2015-42 du 15 avril 2015 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la modification du traitement automatisé d'informations nominatives ayant pour finalité « Tenue du Répertoire des Traitements » ;
Vu la demande d'avis modificative déposée par le Président de la Commission de Contrôle des Informations Nominatives le 2 mars 2018 concernant la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Tenue du Répertoire des Traitements » ;
Vu la prorogation du délai d'examen de la présente demande d'avis qui a été notifiée au responsable de traitement le 2 mai 2018, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 16 mai 2018 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Commission de Contrôle des Informations Nominatives (CCIN) est une Autorité Administrative Indépendante, organisme de droit public.
Afin de permettre aux responsables de traitement de créer des comptes pour les personnes en charge de remplir les formulaires, la CCIN a souhaité moderniser son répertoire des traitements.
À ce titre, en application des articles 7 et 9 de la loi n° 1.165 du 23 décembre 1993, le Président de la Commission soumet la présente demande d'avis modificative.
I. Sur les nouvelles fonctionnalités du traitement
La finalité du traitement, ainsi que les personnes concernées, demeurent inchangées.
Les nouvelles fonctionnalités du traitement sont les suivantes :
- permettre aux responsables de traitements de gérer les habilitations des personnes habilitées à remplir les formulaires ;
- permettre aux responsables de traitements d'initialiser ou de modifier leur mot de passe ;
- permettre aux personnes habilitées à remplir les formulaires d'initialiser ou de modifier leur mot de passe ;
- permettre aux responsables de traitements d'obtenir la liste des traitements en cours de dépôt ;
- permettre aux responsables de traitements de consulter la liste des traitements actifs ainsi que leur contenu, hormis les informations liées à la sécurité et les traitements relevant de l'article 11 de la loi n° 1.165 ;
- permettre aux responsables de traitements de faire évoluer un traitement existant.
II. Sur les informations nominatives traitées
Les nouvelles informations nominatives traitées concernant les responsables de traitements et les personnes habilitées par eux sont :
- données d'identification électronique : identifiants, mots de passe ;
- horodatage : journalisation des accès ;
- cookies : cookies de session (identifiant de session de l'utilisateur).
S'agissant du prestataire seront collectés ses identifiants et mot de passe ainsi que les données d'horodatage.
Les données d'identification électronique liées aux adresses électroniques ont pour origine le responsable de traitement et/ou la personne en charge de remplir le formulaire pour le compte dudit responsable de traitement.
Par ailleurs, les informations relatives à l'horodatage et aux cookies ont pour origine l'outil métier.
La Commission considère donc que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
III. Sur les personnes ayant accès au traitement
Auront désormais également accès au traitement :
- les responsables de traitements et les personnes habilitées par eux : création, mise à jour et consultation de leurs comptes, hormis les documents techniques et les traitements relevant de l'article 11 de la loi n° 1.165 ;
- le prestataire : tous droits dans le cadre de ses opérations de développement et de maintenance au travers d'un accès sécurisé ouvert à la demande, hormis les documents techniques et les traitements relevant de l'article 11 de la loi n° 1.165.
La Commission souligne que s'agissant du prestataire, ses accès doivent être limités à ce qui est strictement nécessaire à l'exécution de son contrat de prestation de service, conformément à l'article 17 de la loi n° 1.165\. De plus il est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement.
La Commission considère que ces accès sont justifiés.
IV. Sur le nouveau rapprochement
Le responsable de traitement indique un nouveau rapprochement avec un traitement ayant pour finalité « Gestion des communications au travers de coffres numériques sécurisés ».
La Commission constate que ce traitement a été légalement mis en œuvre.
V. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation particulière.
La Commission rappelle néanmoins que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
Elle rappelle également que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VI. Sur les nouvelles durées de conservation
Les données d'identification sont conservées tant que le compte est actif.
Les informations temporelles (horodatage) sont conservées 1 an.
Enfin, les cookies sont conservés le temps de la durée de la connexion des utilisateurs sur l'outil métier.
Après en avoir délibéré, la Commission :
Rappelle que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
Sous réserve de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la modification par son Président du traitement automatisé d'informations nominatives ayant pour finalité « Tenue du Répertoire des Traitements ».
Le Président de la Commission de
Contrôle des Informations Nominatives.