icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2018-118 du 18 juillet 2018 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion du Centre de Loisirs Prince Albert II et du Pass'Sport Culture » de la Direction de l'Éducation Nationale, de la Jeunesse et des Sports présenté par le Ministre d'État.

  • N° journal 8394
  • Date de publication 10/08/2018
  • Qualité 100%
  • N° de page

Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 3.505 du 1er mars 1966 portant création d'une Direction de l'Éducation Nationale, d'un Service des Affaires Culturelles et d'un Service des Congrès ;
Vu l'Ordonnance Souveraine n° 5.540 du 19 mars 1975 portant création de la Direction de l'Éducation Nationale, de la Jeunesse et des Sports ;
Vu la délibération n° 02.010 du 8 juillet 2002 portant avis sur la mise en œuvre par le Ministre d'État d'un traitement automatisé relatif à la « Gestion du Centre de Loisirs sans Hébergement », de la Direction de l'Éducation Nationale, de la Jeunesse et des Sports ;
Vu la délibération n° 08-07 du 4 juillet 2008 portant avis sur la demande modificative présentée par le Ministre d'État relative au traitement automatisé ayant pour finalité « Gestion du Centre de Loisirs sans Hébergement » de la Direction de l'Éducation Nationale, de la Jeunesse et des Sports ;
Vu la demande d'avis présentée le 8 mai 2018 par le Ministre d'État, concernant la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion du Centre de Loisirs Prince Albert II et du Pass'Sport Culture » de la Direction de l'Éducation Nationale, de la Jeunesse et des Sports ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 6 juillet 2018, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 18 juillet 2018 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Direction de l'Éducation Nationale, de la Jeunesse et des Sports souhaite remplacer l'application destinée à gérer le Centre de loisirs sans hébergement dont le traitement « Gestion du Centre de Loisirs sans Hébergement » a été légalement mis en œuvre en 2002 et modifié en 2008.
À cet égard, la présente demande annule et remplace le traitement susmentionné, en mettant en œuvre une nouvelle application dénommée « Concerto » ainsi que « L'espace Loisirs » accessible en ligne.
Aussi, conformément aux dispositions de l'article 7 de la loi n° 1.165 du 23 décembre 1993, le Ministre d'État soumet le traitement ayant pour finalité « Gestion du Centre de Loisirs Prince Albert II et du Pass'Sport Culture » à l'avis de la Commission.

I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité la « Gestion du Centre de Loisirs Prince Albert II et du Pass'Sport Culture ».
Le responsable de traitement précise qu'il concerne les utilisateurs habilités de la DENJS, les enfants de 3 à 13 ans scolarisés à Monaco et inscrits au Centre de Loisirs, leurs responsables légaux, les enfants de 13 à 21 ans inscrits au Pass'Sport Culture, leurs responsables légaux.
Le responsable de traitement indique que les fonctionnalités sont les suivantes :
Le traitement comprend plusieurs applications :
- une application interne, Concerto, qui gère elle-même les comptes utilisateurs et leurs habilitations, utilisée par le personnel habilité de l'Administration ;
- un espace Loisirs, ce portail sera utilisé par les parents pour inscrire leurs enfants au Centre de loisirs ou au Pass'Sport Culture ;
- un module dénommé, Diffusion permettant l'envoi ciblé en masse de notifications par email ;
- un module dénommé, CMO permettant le pointage de la présence horaire (arrivée/départ) des enfants sur tablettes.
L'objectif de l'application Concerto est de :
- gérer les enfants inscrits au Centre de loisirs et « leur structure familiale » (parents responsables payeurs, personnes ayant le droit de les récupérer à la sortie) par les personnes habilitées de la DENJS qui saisissent les dossiers papier ;
- gérer les enfants inscrits au Pass'Sport Culture, permettant aux jeunes de 13 à 21 ans résidents à Monaco de s'inscrire à différentes activités sportives et culturelles proposées durant les vacances d'été ;
- gérer l'acceptation/refus de prise de vue (photos vidéos), de sortie seul, de participer aux activités ;
- enregistrer le dépôt de l'ensemble des pièces justificatives nécessaires (certificat médical, brevet de natation pour les activités nautiques) ;
- gérer les activités sportives et culturelles proposées dans le cadre du Pass'Sport Culture ;
- gérer les jours de vacances scolaires et les mercredis après-midi proposés dans le cadre du Centre de loisirs ainsi que les périodes d'ouverture de réservation aux familles ;
- gérer les animateurs et associations encadrant les activités, les enfants ;
- gérer les plannings de réservations ;
- gérer les mandats SEPA et générer les fiches de prélèvement ;
- générer tous les mois les factures, certaines seront imprimées et envoyées aux familles par courrier, d'autres mises à disposition des familles sur leur espace loisirs pour celles ayant adhéré à cette faculté dans le dossier d'inscription ;
- enregistrer les paiements par chèques/espèces et les rejets de prélèvement. L'intégration du paiement par carte bancaire en ligne sera automatique, tout comme le prélèvement automatique qui soldera la facture au moment de la génération du fichier de prélèvement ;
- gérer les régularisations pour absence justifiée ;
- éditer les listes d'enfants, de familles (liste des inscrits/ présents, date, liste des familles ayant adhéré à la facture en ligne, ayant choisi le prélèvement automatique) ; des documents préformatés (facture par prélèvement, facture par autre mode de paiement, lettre de rappel de paiement, fiche famille récapitulant les informations de la famille, fiche sanitaire de l'enfant, reçu de règlement, facture acquittée (en prépaiement), fiche d'inscription aux séances) ;
- envoyer par le biais du module Diffusion, des informations par email uniquement à une liste de personnes (envoi aux inscrits du Centre de loisirs d'une notification d'ouverture de la période de réservation, envoi aux inscrits d'un rappel avant les vacances, envoi d'un message ciblé à un groupe inscrit à une date précise au Centre de loisirs pour leur communiquer une information importante, envoi d'une notification de mise à disposition de la facture sur l'espace loisirs pour les familles ayant adhéré, envoi à la personne qui encadre des enfants de la liste des enfants prévus la veille d'une activité) ;
- enregistrer sur des tablettes les présences des enfants par pointage par le biais du module CMO.
L'objectif de l'Espace Loisirs est de permettre aux familles ayant souhaité disposer d'un compte et fourni un email dans le dossier d'inscription de :
- partager avec les familles des informations, actualités sur le Centre de loisirs et le Pass'Sport Culture ;
- réserver des journées au Centre de loisirs ;
- gérer les journées réservées (consulter, modifier, annuler) ;
- visualiser les activités réservées pour le Pass'Sport Culture ;
- visualiser les factures, voire les payer en ligne ;
- justifier une absence d'un enfant en déposant un certificat médical ;
- déclarer un changement survenu au cours de l'année (changement professionnel, d'adresse, d'email, de numéro de téléphone, d'adhésion à la facture en ligne).
Aussi, elle considère que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement

  • Sur la licéité du traitement

La Direction de l'Éducation Nationale, de la Jeunesse et des Sports a été créée par l'Ordonnance Souveraine n° 5.540 du 19 mars 1975, laquelle a attribué à cette Direction les missions « précédemment exercées par la direction de l'éducation nationale et par le service de la jeunesse et des sports » détaillées dans l'Ordonnance Souveraine n° 3.511 du 1er mars 1966 portant création de ce service.
Le Centre de Loisirs Prince Albert II est une structure proposant des activités fonctionnant les mercredis après-midi et durant les vacances scolaires pour les enfants scolarisés à Monaco dont les parents ont une activité professionnelle et le Pass'Sport Culture est destiné aux jeunes de 13 à 21 ans résidents ou scolarisés à Monaco proposant des activités sportives et culturelles durant les vacances d'été.
Aussi, la Commission constate que le traitement est légitime au regard des missions que remplit la DENJS au titre de « la jeunesse et des sports ».
Elle considère donc que le traitement est licite conformément à l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.

  • Sur la justification du traitement

Le traitement est justifié par le consentement de la personne concernée, l'exécution  d'un contrat ou de mesures précontractuelles avec la personne concernée et la réalisation d'un intérêt légitime sans que ne soient méconnus les droits et libertés fondamentaux de la personne concernée.
À cet égard, le responsable de traitement évoque l'Ordonnance Souveraine n° 5.540 du 19 mars 1975 portant création de la Direction de l'Éducation Nationale, de la Jeunesse et des Sports.
La Commission considère pour sa part, que le consentement et l'exécution d'un contrat se justifient en ce que les personnes choisissent d'inscrire leurs enfants au Centre de loisirs ou au Pass'Sport Culture et s'engagent de fait contractuellement avec la Direction de l'Éducation Nationale, de la Jeunesse et des Sports pour que leurs enfants participent aux activités proposées.
Elle considère donc que le traitement est justifié, conformément aux dispositions de l'article 10-2 de la loi n° 1.165 du 23 décembre 1993\.

III. Sur les informations traitées
Les informations nominatives traitées sont :
- identité/situation familiale :
Responsables légaux : nom, prénom(s), situation de famille, format papier (copie du jugement ou de l'acte de divorce),
Enfant : nom, prénom(s), lieu de naissance, date de naissance, photo, nationalité, format papier (autorisation de filmer/photographier l'enfant, autorisation de sortir seul),
Payeur : nom, prénom(s),
Autres personnes de l'environnement de l'enfant (personne qui vient chercher l'enfant notamment) : nom, prénom(s), lient de parenté avec l'enfant,
médecin traitant : nom, prénom(s),
Agent/intervenant : titre, nom, prénom(s), lieu de naissance, date de naissance,
Utilisateur de Concerto : titre, nom, prénom ;
- adresses et coordonnées :
responsables légaux : téléphone portable, téléphone domicile, téléphone travail, adresse, email,
enfant : adresse, téléphone portable,
autres personnes de l'environnement de l'enfant : téléphone,
médecin traitant : téléphone,
agent/intervenant : téléphone portable, téléphone domicile, adresse, email ;
- formation – diplômes – vie professionnelle :
responsables légaux : nom de l'employeur, format papier (attestation de travail ou copie de l'inscription au registre du commerce ou copie du dernier bulletin trimestriel Camti/Carti pour les artisans, commerçants, professions, libérales),
enfant : établissement où l'enfant est scolarisé, classe ;
- caractéristiques financières :
payeur : nom de la banque, chèque, BIC IBAN en cas de prélèvement automatique ;
- données d'identification électronique :
responsables légaux : identifiant, email,
utilisateurs de Concerto : identifiant, email ;
- informations temporelles, horodatage :
responsables légaux : données d'horodatage, logs de connexion de l'usager,
utilisateur : données d'horodatage, logs de connexion de l'utilisateur ;
- données de santé : enfant inscrit au Centre de loisirs : les allergies alimentaires, régime alimentaire, maladies, contre-indications, au format papier (le groupe sanguin, port de lunettes, verres de contact, appareil dentaire, appareil auditif, phobies, PAI, PRI, AVS, certificat médical et ordonnance en cas de traitement en cours) ;
- mesures à caractère social : responsable légal de l'enfant : caisse sociale, numéro d'immatriculation, nom de la mutuelle ;
- accusé de réception du règlement intérieur signé (format papier).
Le responsable de traitement précise que « L'enfant mineur est confié à la responsabilité du personnel du Centre de loisirs Prince Albert II. Comme pour un établissement scolaire, le personnel habilité doit être informé des allergies, traitements qui devraient être administrés à l'enfant (avec ordonnance), régime particulier (PRI) à respecter afin d'assurer la sécurité de l'enfant au sein de l'établissement (…) ».
Par ailleurs, les informations relatives aux mesures à caractère social sont nécessaires en cas d'hospitalisation de l'enfant.
Les informations relatives aux rubriques « identité/situation de famille » et « adresses et coordonnées » concernant les responsables légaux, l'enfant, le payeur, les autres personnes de l'environnement de l'enfant et le médecin traitant, « formation-diplôme-vie professionnelle », « caractéristiques financières » ont pour origine les responsables légaux de l'enfant inscrit au Centre de loisirs ou le responsable majeur inscrit au Pass'Sport Culture.
Les informations concernant l'agent/intervenant relatives aux rubriques « identité/situation de famille », aux « adresses et coordonnées » proviennent de l'animateur/association lors de la signature du contrat.
Les informations relatives aux rubriques « donnée d'identification électronique » et « informations temporelles, horodatage » sont générées par le système.
La Commission relève que l'accusé de réception du règlement intérieur signé provient des responsables légaux de l'enfant inscrit au Centre de loisirs ou le responsable majeur inscrit au Pass'Sport Culture.
Aussi, la Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.

IV.  Sur les droits des personnes concernées

  • Sur l'information préalable des personnes concernées

Le responsable de traitement indique que l'information préalable des personnes concernées est effectuée par le biais d'une mention sur le document de collecte et une mention particulière intégrée dans un document d'ordre général accessible en ligne.
Les documents n'ayant pas été joints au dossier, la Commission n'est pas en mesure de se prononcer sur la qualité de l'information dispensée.
Aussi, elle rappelle que l'ensemble des personnes concernées doit être informée conformément aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993\.

  • Sur l'exercice du droit d'accès, de modification et de mise à jour

Le responsable de traitement indique que le droit d'accès est exercé soit par voie postale, par courrier électronique ou sur place. La réponse se fera dans le mois suivant la réception de la demande.
S'agissant de l'exercice du droit d'accès par voie électronique, la Commission considère qu'une procédure devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d'un document d'identité était demandée, la transmission et le traitement de ce document devront faire l'objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d'identité officiels.
À la condition de la prise en compte de ce qui précède, elle  constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.

V. Sur les personnes ayant accès au traitement

  • Sur les accès au traitement

Le responsable de traitement indique qu'ont accès au traitement :
- « Personnels de la Direction de l'Éducation Nationale, de la Jeunesse et des Sports habilités avec des profils différents selon les rôles (Directrice et Directrice-adjointe du Centre de Loisirs, 3 personnes gérant toute la partie administrative, 1 comptable, 2 administrateurs techniques, 1 infirmière, 3 personnes au Centre d'Information de l'Éducation Nationale) ;
- Personnels administratifs de la Direction Informatique ou prestataire intervenant pour son compte : tout accès dans le cadre des missions de maintenance, développement des applicatifs nécessaires au fonctionnement du site et de sécurité du site et du système d'information de l'État ;
- Personnels de la Direction de l'Administration Électronique et de l'Information aux Usagers (DAEIU) ou prestataire intervenant pour son compte ayant un rôle d'assistance à maîtrise d'ouvrage sur la procédure. »
À l'analyse du dossier, la Commission constate que les responsables légaux disposent d'un accès à leur compte.
En ce qui concerne le prestataire, la Commission rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993, les droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de son contrat de prestation de service. De plus, ledit prestataire est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission considère que ces accès sont justifiés.

VI. Sur les interconnexions avec d'autres traitements
Le responsable de traitement indique que le présent traitement fait l'objet d'un rapprochement avec le traitement légalement mis en œuvre ayant pour finalité « Gestion des techniques automatisées de communication ».

VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
Enfin, la Commission rappelle que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.

VIII. Sur la durée de conservation
Le responsable de traitement indique que les informations relatives à « l'identité/situation de famille » et aux « données d'identification électroniques » des utilisateurs de Concerto sont conservées tant que l'agent est en activité.
Les informations relatives aux « informations temporelles, horodatage » sont conservées une année.
Le reste des informations est conservé 3 ans à partir de la dernière inscription.
La Commission considère que la durée de conservation des informations est conforme à l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
Après en avoir délibéré, la Commission :
Considère qu'une procédure relative au droit d'accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations.
Constate que les responsables légaux disposent d'un accès à leur compte.
Rappelle que :
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort ;
- l'information préalable doit être dispensée à l'ensemble des personnes concernées conformément à l'article 14 de la loi n° 1.165 du 23 décembre 1993.
À la condition de la prise en compte des éléments qui précèdent,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État du traitement automatisé d'informations nominatives ayant pour finalité « Gestion du Centre de Loisirs Prince Albert II et du Pass'Sport Culture » de la Direction de l'Éducation Nationale, de la Jeunesse et des Sports.

Le Président de la Commission de Contrôle des Informations Nominatives.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14