Délibération n° 2018-210 du 19 décembre 2018 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Attribution, calcul et suivi des allocations pour charges de famille » du Service des Prestations Médicales de l'État (SPME) présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 486 du 17 juillet 1948 relative à l'octroi des allocations pour charges de famille, des prestations médicales, chirurgicales et pharmaceutiques aux fonctionnaires de l'État et de la Commune ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 231 du 3 octobre 2005 portant création d'un Service des Prestations Médicales de l'État ;
Vu l'Ordonnance Souveraine n° 4.801 du 28 avril 2014 portant création d'une Direction de l'Habitat ;
Vu l'Ordonnance Souveraine n° 7.155 du 10 octobre 2018 relative à l'octroi des allocations pour charges de famille aux fonctionnaires et agents de l'État et de la Commune ;
Vu l'Ordonnance Souveraine n° 3.095 du 24 janvier 2011 portant création de l'Institut Monégasque de la Statistique et des Études Économiques et du Conseil Scientifique de la Statistique et des Études Économiques ;
Vu l'arrêté ministériel n° 2018-952 du 10 octobre 2018 portant application de l'Ordonnance Souveraine n° 7.155 du 10 octobre 2018 relative à l'octroi des allocations pour charges de famille aux fonctionnaires et agents de l'État et de la Commune ;
Vu la demande d'avis présentée le 27 novembre 2018 par le Ministre d'État, concernant la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Attribution, calcul et suivi des allocations pour charges de famille » du Service des Prestations Médicales de l'État ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 19 décembre 2018 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
L'Ordonnance Souveraine n° 231 du 3 octobre 2005 portant création d'un Service des Prestations Médicales de l'État (SPME) dispose que ce dernier est chargé « de gérer les prestations accordées par l'État au titre (…) des prestations familiales et autres avantages sociaux y afférents ».
Aussi, le Ministre d'État souhaite soumettre à l'avis de la Commission, aux fins de permettre au SPME de remplir les missions qui lui sont conférées, et conformément aux dispositions de l'article 7 de la loi n° 1.165 du 23 décembre 1993, le traitement ayant pour finalité « Attribution, calcul et suivi des allocations pour charges de famille ».
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « Attribution, calcul et suivi des allocations pour charges de famille ».
Le responsable de traitement précise qu'il concerne les « allocataires, attributaires et enfants du foyer soit environ 10000 personnes », comprenant les actifs et les retraités.
À cet égard, l'article 3 de l'Ordonnance Souveraine n° 7.155 du 10 octobre 2018 relative à l'octroi des allocations pour charges de famille aux fonctionnaires et agents de l'État et de la Commune dispose que l'allocataire est la personne physique qui bénéficie du droit aux allocations pour charges de famille et que l'attributaire est la personne à laquelle sont versées ces allocations.
Les fonctionnalités du traitement, qui a pour objectif d'attribuer les allocations aux foyers des fonctionnaires et agents de l'État et de la Commune, sont :
- la gestion des allocataires ;
- la saisie des différents éléments nécessaires au calcul des allocations ;
- la saisie des coordonnées bancaires ;
- le calcul des allocations ;
- la génération des ordres de paiement ;
- l'édition des bulletins de paiement ;
- l'édition de journaux mensuels ;
- l'édition d'attestations ;
- la génération de statistiques.
La Commission considère que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Sur la licéité
L'Ordonnance Souveraine n° 231 du 3 octobre 2005 portant création d'un Service des Prestations Médicales de l'État dispose que ce dernier est chargé « de gérer les prestations accordées par l'État au titre (…) des prestations familiales et autres avantages sociaux y afférents ».
L'article 2 de la loi n° 486 du 17 juillet 1948 relative à l'octroi des allocations pour charges de famille, des prestations médicales, chirurgicales et pharmaceutiques aux fonctionnaires de l'État et de la Commune dispose quant à lui que « les allocations et prestations sont dues aux personnes visées à l'article précédent, à leurs conjoints et à leurs enfants selon les modalités qui seront déterminées par ordonnances souveraines (…) ».
À cet égard, l'Ordonnance Souveraine n° 7.155 du 10 octobre 2018 relative à l'octroi des allocations pour charges de famille aux fonctionnaires et agents de l'État et de la Commune précise que les prestations familiales comprennent les allocations prénatales et les allocations familiales, tandis que les avantages sociaux comprennent les allocations complémentaires (allocation de soutien de famille, allocation de crèche, allocation d'orphelin)et les allocations annuelles (allocation de scolarité, allocation de vacances, allocation exceptionnelle de rentrée scolaire).
Enfin, la Commission relève que l'arrêté ministériel n° 2018‑952 du 10 octobre 2018 portant application de l'Ordonnance Souveraine n° 7.155 du 10 octobre 2018 relative à l'octroi des allocations pour charges de famille aux fonctionnaires et agents de l'État et de la Commune prévoit que les demandes faites au SPME par les personnes pouvant bénéficier des prestations familiales doivent communiquer des pièces non renseignées dans le présent traitement (extrait intégral de naissance, feuillet d'examen prénatal, etc.). Il est toutefois précisé que ces demandes sont traitées et conservées sous format papier et ne font pas l'objet d'un traitement automatisé, et que seules les informations indiquées au présent dossier sont numérisées.
Aussi, la Commission considère que le traitement est licite conformément à l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
Sur la justification
Le traitement est justifié par le respect d'une obligation légale à laquelle le responsable de traitement est soumis.
À cet égard, la Commission constate que les textes susvisés mettent à la charge du SPME l'attribution des prestations familiales.
Elle considère donc que le traitement est justifié, conformément aux dispositions de l'article 10-2 de la loi n° 1.165 du 23 décembre 1993\.
III. Sur les informations traitées
Les informations nominatives traitées sont :
- Mesures à caractère social : allocations attribuées ;
- Identité, situation de famille : matricule SPME, identifiant technique (non connu de l'allocataire), civilité, nom, nom d'usage, prénom, date de naissance, nationalité des personnes ; type de personne : allocataire (chef de foyer ou non), autre membre du couple, enfant (à charge ou non), tierce personne (ex-conjoint en cas de paiement de la moitié des allocations pour un enfant en résidence alternée) ; lien de parenté entre les personnes ;
- adresses et coordonnées : adresse des allocataires et attributaires, email ;
- formation-diplômes-vie professionnelle : statut de l'allocataire (fonctionnaire ou agent), temps de travail de l'allocataire, activité de l'allocataire (actif, retraité, sans activité), classe de l'enfant ;
- caractéristiques financières : n° de bénéficiaire du versement et coordonnées bancaires des attributaires, revenus du foyer, montants moyens annuels brut et net de l'allocataire et de l'attributaire ;
- bulletin de paiement : montant alloué à la personne concernée.
Les informations ont pour origine l'allocataire lorsqu'il formule sa demande, ou s'il s'agit d'une personne connue de l'administration (matricule renseigné), le traitement de gestion de la paie via une interconnexion.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
Sur l'information préalable des personnes concernées
Le responsable de traitement indique que l'information préalable des personnes concernées est effectuée par le biais d'un courrier adressé à l'intéressé. Il appert de l'analyse du dossier que la mention d'information est également portée sur le bulletin de paiement délivré aux personnes concernées, et de manière interne au SPME dans une circulaire propre aux traitements qu'il exploite.
Ladite mention, jointe au dossier, est conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993\.
Sur l'exercice du droit d'accès, de modification et de mise à jour
Le responsable de traitement indique que le droit d'accès est exercé sur place. La réponse se fera dans le mois suivant la réception de la demande.
La Commission constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.
V. Sur les personnes ayant accès au traitement
Le responsable de traitement indique qu'ont accès au traitement :
- Les personnels du SPME habilités à la gestion des allocations pour charges de famille ;
- Les administrateurs réseaux et systèmes d'information de la Direction des Réseaux et Systèmes d'Information selon les modalités définies par la Charte Administrateur Réseau et Systèmes d'Information de l'État annexée à l'arrêté ministériel n° 2018-281 du 4 avril 2018 ;
- Les personnels de la Direction de l'Administration Numérique ou tiers intervenant pour son compte ayant un rôle d'assistance à maîtrise d'ouvrage, dûment habilités : tous droits sur sollicitation du SPME pour des actions de formation, d'assistance, ou en cas de maintenances planifiées.
Il est également précisé que « certaines catégories de personnes ont accès au traitement avec des fonctionnalités restreintes gérées par de profils différents », à savoir :
- le personnel habilité du Contrôle Général des Dépenses : accès aux éditions issues du traitement de paiement mensuel pour les allocataires relevant du Gouvernement aux fins de contrôle ;
- le personnel habilité de la Trésorerie Générale des Finances : accès aux éditions issues du traitement de paiement mensuel pour les allocataires relevant du Gouvernement aux fins de contrôle ;
- le personnel habilité de la Commune : accès aux éditions issues du traitement de paiement mensuel pour les allocataires relevant de la Commune aux fins d'établissement des ordres de paiement ;
- le personnel habilité du Centre Scientifique de Monaco : accès aux éditions issues du traitement de paiement mensuel pour les allocataires relevant du Centre Scientifique de Monaco aux fins de contrôle ;
- le personnel habilité du Nouveau Musée National de Monaco : accès aux éditions issues du traitement de paiement mensuel pour les allocataires relevant du nouveau Musée National de Monaco aux fins de contrôle ;
- le Personnel habilité de la Direction du Budget et du Trésor : accès aux éditions issues du traitement de paiement mensuel pour les allocataires relevant du Centre Scientifique et du Nouveau Musée National de Monaco aux fins de contrôle, en tant qu'agent comptable ;
- le personnel habilité de la Direction de l'Habitat : accès à une attestation des allocations perçues par les allocataires ayant autorisé la transmission de ces informations en vue de l'instruction de leur dossier d'aides au logement.
Par ailleurs, ont accès à l'infocentre :
- les personnels habilités du SPME : sur l'ensemble des données ;
- les personnels habilités de l'Institut Monégasque de la Statistique et des Études Économiques : sur les données anonymes.
La Commission souligne qu'en cas de recours à des prestataires, leurs accès doivent être limités à ce qui est strictement nécessaire à l'exécution de leur contrat de prestation de service, conformément à l'article 17 de la loi n° 1.165\. De plus, ils sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement.
La Commission considère que ces accès sont justifiés.
Elle relève par ailleurs que les données du présent traitement pourront être communiquées à la Direction de l'Habitat pour les personnes ayant autorisé l'Administration à communiquer leurs informations entre ses différents Services à des fins de rationalisation des formalités.
VI. Sur les interconnexions avec d'autres traitements
Le responsable de traitement indique que le présent traitement fait l'objet d'une interconnexion avec le traitement légalement mis en œuvre ayant pour finalité « Établir le paiement des fonctionnaires et agents de l'État », afin d'en utiliser certaines données, telles que les revenus des personnes concernées, pour établir et calculer les droits des allocataires.
De plus, il appert de l'analyse du dossier que le traitement fait l'objet d'un rapprochement avec le traitement légalement mis en œuvre ayant pour finalité « Gestion des techniques automatisées de communication ».
À cet égard, la Commission rappelle que si ledit traitement a été modifié au sens des articles 8 et 9 de la loi n° 1.165, il incombe au responsable de traitement de procéder aux formalités nécessaires auprès d'elle.
Enfin, la Commission relève que le présent traitement permettra à la Commune, via les accès prévus au point V de la présente délibération, de disposer des informations nécessaires à l'établissement de ses ordres de virement.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Enfin, la Commission rappelle que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII. Sur la durée de conservation
Le responsable de traitement indique que les informations sont conservées « 5 ans après le dernier versement des allocations pour charges de famille par le SPME ».
Toutefois, la Commission estime que les informations relatives aux bulletins de paiement doivent être supprimées tous les cinq ans glissants, conformément aux délais de prescription, et que les informations relatives au foyer de l'allocataire (caractéristiques financières, adresse, attributaires associés, enfants, etc.) soient continuellement actualisées afin d'être à jour.
Cependant, si des informations relatives au foyer de l'allocataire devaient être conservées à des fins probatoires suite à une modification de son statut, celles-ci ne doivent pas être conservées plus de cinq années glissantes à compter de la date du paiement ayant suivi ladite modification.
Après en avoir délibéré, la Commission :
Demande que les modifications des délais de conservation indiquées au point VIII de la présente délibération soient respectées.
Rappelle que :
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
- si le traitement ayant pour finalité « Gestion des techniques automatisées de communication » a été modifié, il incombe au responsable de traitement de procéder aux formalités nécessaires auprès d'elle.
À la condition de la prise en compte des éléments qui précèdent,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État du traitement automatisé d'informations nominatives ayant pour finalité « Attribution, calcul et suivi des allocations pour charges de famille » du Service des Prestations Médicales de l'État.
Le Président de la Commission de
Contrôle des Informations Nominatives.