Délibération n° 2019-38 du 20 mars 2019 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Mettre en place un portail intranet de services pour les employés du Gouvernement de Monaco munis d'un poste de travail » présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la demande d'avis présentée le 13 décembre 2018 par de Ministre d'État, concernant la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Mettre en place un portail intranet de services pour les employés du Gouvernement de Monaco munis d'un poste de travail » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 11 février 2019, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 20 mars 2019 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Le Ministre d'État souhaite déployer au sein de l'Administration un Intranet doté d'outils collaboratifs.
Aussi, conformément aux dispositions de l'article 7 de la loi n° 1.165 du 23 décembre 1993, le Ministre d'État soumet le traitement ayant pour finalité « Mettre en place un portail intranet de services pour les employés du Gouvernement de Monaco munis d'un poste de travail » à l'avis de la Commission.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité la « Mettre en place un portail intranet de services pour les employés du Gouvernement de Monaco munis d'un poste de travail ».
Le responsable de traitement précise qu'il concerne les fonctionnaires, agents de l'État et prestataires externes munis d'un poste de travail.
Les fonctionnalités sont :
- créer un profil utilisateur sur l'intranet ;
- permettre la connexion à l'intranet à distance ;
- permettre à l'utilisateur de consulter ses informations de profil ;
- permettre à l'utilisateur s'il le désire d'insérer une photo de profil ;
- mise à disposition d'un espace de travail collectif pour le service de l'administration auquel il appartient (partage de documents, d'url, de tâche, d'actualités, de discussions et de notes) ;
- mise à disposition d'un espace de travail collaboratif sur lequel l'utilisateur peut définir les membres y participant et leurs rôles respectifs ;
- notifier à l'utilisateur les évènements réalisés sur l'intranet, dont notamment ceux en lien avec l'espace collaboratif ;
- mise à disposition de liens messagerie, agenda, organigramme, flux Facebook et Twitter du Gouvernement.
La Commission considère que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par la réalisation d'un intérêt légitime sans que ne soient méconnus les droits et libertés fondamentaux de la personne concernée.
À cet égard, il précise que « dans le cadre de sa transformation digitale l'Administration a décidé de mettre en place un portail intranet permettant de centraliser les ressources nécessaires aux agents et fonctionnaires (liens, documents, etc.) ».
La Commission considère donc que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Les informations nominatives traitées sont :
- identité / situation de famille : nom, prénom, photo (facultatif), poste, service ;
- adresses et coordonnées : téléphone, adresse e-mail ;
- informations temporelles : données d'horodatage ;
- données de connexion : log de connexion de l'usager, données de messagerie de l'usager.
Les informations ont pour origine le référentiel d'identités de l'Administration, excepté les informations temporelles et les données de connexion qui proviennent du système.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
- Sur l'information préalable des personnes concernées
L'information préalable des personnes concernées est réalisée par le biais d'une mention particulière intégrée dans un document d'ordre général accessible en ligne.
Cette dernière n'étant pas jointe au dossier, la Commission rappelle que les personnes concernées doivent être informées de manière conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.
- Sur l'exercice du droit d'accès, de modification et de mise à jour
Le droit d'accès est exercé par voie postale, par accès en ligne au dossier, ou par courrier électronique auprès de la Direction des Réseaux et Systèmes d'Information.
S'agissant de l'exercice du droit d'accès par voie électronique, la Commission considère qu'une procédure devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d'un document d'identité était demandée, la transmission et le traitement de ce document devront faire l'objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d'identité officiels.
La Commission constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les personnes ayant accès au traitement
- Sur les accès au traitement
Le responsable de traitement indique qu'ont accès au traitement :
- les fonctionnaires et agents de l'État, en consultation et modification en respect des droits conférés à ladite personne ;
- les prestataires externes, configurés au préalable, en consultation et modification en respect des droits qui leurs sont octroyés ;
- la Direction des Réseaux et Systèmes d'Information dans sa mission de maintenance et ses prestataires.
La Commission rappelle qu'en ce qui concerne les prestataires, leurs accès doivent être limités à ce qui est strictement nécessaire à l'exécution de leur contrat de prestation de service, conformément à l'article 17 de la loi n° 1.165\. De plus, ils sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement.
La Commission considère que ces accès sont justifiés.
VI. Sur les interconnexions avec d'autres traitements
Le responsable de traitement indique que le présent traitement fait l'objet d'interconnexions avec les traitements ayant pour finalité respective « Gestion des dossiers des fonctionnaires et agents relevant de la Fonction Publique et de statuts particuliers », légalement mis en œuvre, « Active Directory » et « web service : référentiel organigramme », non légalement mis en œuvre au sens de la loi n° 1.165, modifiée.
La Commission demande donc à ce que ces deux traitements soient soumis à son avis dans les meilleurs délais.
La Commission relève également que le traitement est interconnecté avec le traitement ayant pour finalité « Gestion des techniques automatisées de communication » aux fins d'utilisation de la messagerie électronique de l'État et de gestion des habilitations au traitement.
À cet égard la Commission rappelle que si ledit traitement a été modifié au sens des articles 8 et 9 de la loi n° 1.165, il incombe au responsable de traitement de procéder aux formalités nécessaires auprès d'elle. Elle relève ainsi que la mention d'un traitement « Active Directory » semble confirmer son évolution.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Enfin, la Commission rappelle que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII. Sur la durée de conservation
Le responsable de traitement indique que les informations sont conservées 5 ans à compter du départ de l'agent ou du fonctionnaire.
Toutefois, la Commission relève que les informations ne peuvent être conservées pour une durée excédant celle nécessaire à la réalisation de la finalité pour laquelle elles ont été collectées.
Aussi, elle fixe les durées de conservation ainsi que suit :
- s'agissant du profil de l'agent ou du fonctionnaire, 3 mois maximum après son départ de l'Administration ;
- s'agissant des données d'horodatage et de connexion, 1 an à compter de leur collecte.
Après en avoir délibéré, la Commission :
Considère qu'une procédure relative au droit d'accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations.
Demande que les traitements ayant pour finalité respective « Active Directory » et « web service : référentiel organigramme », non légalement mis en œuvre au sens de la loi n° 1.165, modifiée, soient soumis à son avis dans les meilleurs délais.
Rappelle que :
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
- si le traitement ayant pour finalité « Gestion des techniques automatisées de communication » a été modifié, il incombe au responsable de traitement de procéder aux formalités nécessaires auprès d'elle ;
- l'information préalable doit être dispensée à l'ensemble des personnes concernées conformément à l'article 14 de la loi n° 1.165 du 23 décembre 1993.
Fixe les durées de conservation de donnée suivantes :
- s'agissant du profil de l'agent ou du fonctionnaire, 3 mois maximum après son départ de l'Administration ;
- s'agissant des données d'horodatage et de connexion, 1 an à compter de leur collecte.
À la condition de la prise en compte des éléments qui précèdent,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État du traitement automatisé d'informations nominatives ayant pour finalité « Mettre en place un portail intranet de services pour les employés du Gouvernement de Monaco munis d'un poste de travail ».
Le Président de la Commission de Contrôle des Informations Nominatives.