icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2020-164 du 18 novembre 2020 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « S'inscrire en classe à horaires aménagés pour la pratique du sport intensif » exploité par la Direction de l'Éducation Nationale, de la Jeunesse et des Sports présenté par le Ministre d'État.

  • N° journal 8516
  • Date de publication 11/12/2020
  • Qualité 100%
  • N° de page

Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 918 du 27 décembre 1971 sur les établissements publics ;
Vu la loi n° 1.334 du 12 juillet 2007 sur l'éducation ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 3.505 du 1er mars 1966 portant création d'une Direction de l'Éducation Nationale, d'un Service des Affaires Culturelles et d'un Service des Congrès ;
Vu l'Ordonnance Souveraine n° 5.540 du 19 mars 1975 portant création de la Direction de l'Éducation Nationale, de la Jeunesse et des Sports ;
Vu l'Ordonnance Souveraine n° 7.995 du 12 mars 2020 portant création de la Direction des Services Numériques ;
Vu l'Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l'Administration et l'administré ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la délibération n° 2015-113 du 18 novembre 2015 de la Commission de Contrôle des Informations Nominatives portant recommandation sur la collecte et la conservation de la copie de documents d'identité officiels ;
Vu la demande d'avis déposée par le Ministre d'État le 13 août 2020 concernant la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « S'inscrire en classe à horaires aménagés pour la pratique du sport intensif » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 12 octobre 2020, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 18 novembre 2020 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,

Préambule
La Direction de l'Éducation Nationale, de la Jeunesse et des Sports (DENJS) souhaite, dans le cadre de l'Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l'Administration et l'administré, simplifier les démarches administratives des administrés en leur permettant de demander une inscription en classe à horaires aménagés pour la pratique du sport intensif par la démarche en ligne, sans se déplacer et sans autre démarche.
Aussi, le traitement automatisé d'informations nominatives objet de la présente délibération est soumis à l'avis de la Commission conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « S'inscrire en classe à horaires aménagés pour la pratique du sport intensif ».
Les personnes concernées sont les agents traitants, les représentants légaux des élèves et les élèves.
Il a pour objectif de « permettre aux particuliers de faire une demande d'inscription en classe à horaires aménagés pour la pratique du sport intensif ».
Les fonctionnalités sont les suivantes :
- saisie des informations sur l'élève ;
- saisie des informations sur les représentants légaux ;
- envoi de courriels de suivi des demandes aux particuliers ;
- saisie d'informations complémentaires d'une demande incomplète ;
- annulation d'une demande par le particulier ;
- envoi d'un courriel de confirmation de désinscription à la démarche en ligne ;
- export d'un fichier Excel qui comprend toutes les demandes et leurs informations anonymisées par les agents ayant les droits nécessaires pour effectuer cette action.
Le responsable de traitement indique également que « la création du compte usager se fait via Login » et que « le téléservice récupère l'adresse email grâce à ce compte ».
Il est également précisé que le téléservice propose un lien vers un questionnaire de satisfaction anonyme dont les résultats sont traités anonymement par la Direction des Services Numériques.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par le consentement des personnes concernées « formalisé par un acte positif clair » par le biais d'une case à cocher qui prévoit « J'accepte que mes données personnelles soient traitées dans le cadre du téléservice « S'inscrire en classe à horaires aménagés pour la pratique du sport intensif » ».
À l'examen de l'extrait des Conditions générales d'utilisation du téléservice, la Commission observe ainsi que « les informations nominatives collectées dans le cadre du téléservice ont un caractère obligatoire (…) et sont nécessaires, d'une part pour procéder au traitement, et d'autre part pour pouvoir répondre à toute demande ou toute question en cas de demande de l'usager. À défaut du renseignement des mentions obligatoires dans le cadre des formulaires de collecte (mentions suivies d'un *), nous ne pourrons donner suite à votre démarche en ligne. ».
Elle observe également, à l'étude dudit extrait, que « conformément aux dispositions de l'article 43 de l'Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l'Administration et l'administré, la création de ce téléservice n'a pas pour effet de supprimer la possibilité pour l'usager d'accomplir la démarche par voie postale ou en se déplaçant à la Direction de l'Éducation Nationale, de la Jeunesse et des Sports. ».
Le traitement est ensuite justifié par le respect d'une obligation légale à laquelle est soumis le responsable de traitement. Ce dernier fait référence à l'Ordonnance Souveraine n° 3.505 du 1er mars 1966 portant création d'une Direction de l'Éducation Nationale, d'un Service des Affaires Culturelles et d'un Service des Congrès.
L'article 2 de celle-ci dispose que « la Direction de l'Éducation Nationale est chargée de l'organisation et de l'administration de l'enseignement public primaire, secondaire et supérieur ».
À cet égard, la Commission constate qu'il relève des prérogatives de la DENJS d'organiser les inscriptions en classe à horaires aménagés pour la pratique du sport intensif.
Le responsable de traitement justifie enfin le traitement par la réalisation d'un intérêt légitime.
À cet égard, il indique que « l'intérêt légitime se justifie par la volonté de simplifier les démarches administratives des administrés en leur permettant de déposer leur déclaration, depuis la démarche en ligne sans se déplacer et sans autre démarche. ». À ce titre, il fait référence à l'Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l'Administration et l'administré.
La Commission considère donc que le traitement est justifié, conformément aux dispositions de l'article 10-2 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

III. Sur les informations traitées
Les informations traitées sont les suivantes :
- identité :
• élève : nom, prénom, sexe, nationalité ;
• responsable légal de l'élève : nom, prénom ;
- adresses et coordonnées :
• élève : adresse ;
• responsable légal de l'élève : adresse, email, téléphone ;
• formation-diplômes de l'élève : sport pratiqué, dénomination du groupement sportif, langue vivante, classe, établissement ;
- données d'identification électronique :
• usager : identifiant technique de l'usager ;
• responsable légal de l'élève : adresse mail ;
• informations temporelles : données d'horodatage ;
• données de connexion de l'usager : log de connexion de l'usager, données de messagerie de l'usager.
Le responsable de traitement indique que les informations ont pour origine l'usager et le système.
La Commission considère que les informations collectées au sein dudit traitement sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément à l'article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

IV. Sur les droits des personnes concernées

  • Sur l'information des personnes concernées

Le responsable de traitement indique que l'information préalable des personnes concernées est effectuée par une mention particulière intégrée dans un document d'ordre général, à savoir les Conditions générales d'utilisation.
À la lecture de celles-ci, la Commission constate que l'information préalable est conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

  • Sur l'exercice du droit d'accès

La Commission observe que le droit d'accès est exercé par courrier électronique, par voie postale, sur place ou encore par un accès en ligne à son dossier.
S'agissant de l'exercice du droit d'accès par voie électronique, la Commission considère qu'une procédure devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations.
À ce titre, elle précise que si une copie d'un document d'identité était demandée, la transmission et le traitement de ce document devront faire l'objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d'identité officiels.
Sous cette réserve, la Commission constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

V. Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
- le personnel de la Direction de l'Éducation Nationale, de la Jeunesse et des Sports (DENJS) : en validation, en lecture, en saisie, en traitement et en paramétrage ;
- le personnel de la Direction des Systèmes d'Information (DSI) ou les tiers intervenants : en validation, en lecture, en traitement, en paramétrage et en configuration ;
- le personnel de la Direction des Services Numériques (DSN) ou les tiers intervenants : en validation, en lecture, en traitement, en paramétrage et en configuration.
La Commission relève que de plus en plus de traitements métiers ou de téléservices font l'objet d'interventions de Directions supports qui administrent ou créent les solutions. Ces Directions supports sont décrites comme disposant d'accès aux traitements concernés. Elle rappelle que ces dernières n'ont pas à avoir accès en continu à l'information métier, dont la sensibilité peut varier en fonction des Services concernés. Elle demande donc que les accès soient restreints au strict besoin d'en connaitre et que les interventions de supports soient effectuées selon des modalités définies conformes aux règles de l'art.
En ce qui concerne les prestataires, la Commission rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée, les droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de leur contrat de prestation de service. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission relève par ailleurs que les personnes concernées disposent d'un accès à leur propre compte.
Elle considère que ces accès sont justifiés.

VI. Sur les rapprochements et interconnexions avec d'autres traitements
Le présent traitement fait l'objet d'interconnexions avec les traitements suivants :
- « Gestion du compte permettant aux usagers d'entreprendre des démarches par téléservice » ;
- « Gérer les habilitations des agents et fonctionnaires de l'État aux téléservices contenus dans le « Guichet Virtuel » », légalement mis en œuvre.
Lesdits traitements ont pour vocation de permettre l'accès sécurisé des usagers à la démarche et de gérer les habilitations des personnels de l'État, dans le respect des cadres fixés par les délibérations y relatives de la Commission portant avis favorables à leur mise en œuvre.
Le responsable de traitement indique également que le traitement est interconnecté avec les messageries professionnelles, légalement mises en œuvre par l'État.

VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation particulière.
La Commission rappelle toutefois que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Elle rappelle également que les communications d'informations doivent être sécurisées en tenant compte de la nature des informations transmises.
La Commission rappelle enfin que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.

VIII. Sur la durée de conservation
Les informations relatives à l'identité et aux adresses et coordonnées de l'élève et de son responsable légal sont conservées 5 ans à partir du dépôt de la demande.
Les informations relatives à la formation de l'élève sont conservées 5 ans à partir du dépôt de la demande.
En ce qui concerne les données d'identification électronique :
- l'identifiant technique de l'usager est conservé 1 an à compter de l'accès à la démarche ;
- l'adresse mail du responsable légal de l'élève est conservée 5 ans à partir du dépôt de la demande.
Enfin, les données d'horodatage et les logs de connexion sont conservés 1 an.
La Commission considère que ces durées sont conformes aux exigences légales.

Après en avoir délibéré, la Commission :
Considère qu'une procédure relative au droit d'accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations.

Rappelle que :
- les Directions supports n'ont pas à avoir accès en continu à l'information métier, dont la sensibilité peut varier en fonction des Services concernés ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
- les communications d'informations doivent être sécurisées en tenant compte de la nature des informations transmises.

Demande que :
- les accès des Directions supports soient restreints au strict besoin d'en connaître et que les interventions de supports soient effectuées selon des modalités définies conformes aux règles de l'art.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État, du traitement automatisé d'informations nominatives ayant pour finalité « S'inscrire en classe à horaires aménagés pour la pratique du sport intensif ».

Le Président de la Commission de Contrôle des Informations Nominatives.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14