icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails
Voir le site en Anglais
MENU
Français | Anglais
  • Avis et Communiqués
  • Déliberations-Décisions CCIN

Délibération n° 2021-100 du 19 mai 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Demander une autorisation d'absence exceptionnelle par voie dématérialisée » exploité par la Direction de l'Éducation Nationale, de la Jeunesse et des Sports présenté par le Ministre d'État.

  • N° journal 8542
  • Date de publication 11/06/2021
  • Qualité 100%
  • N° de page

Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.334 du 12 juillet 2007 sur l'éducation ;
Vu l'Ordonnance Souveraine n° 5.540 du 19 mars 1975 portant création de la Direction de l'Éducation Nationale, de la Jeunesse et des Sports ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l'Administration et l'administré ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la demande d'avis déposée par le Ministre d'État le 1er février 2021, concernant la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Demander une autorisation d'absence exceptionnelle par voie dématérialisée » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 30 mars 2021, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 19 mai 2021 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Direction de l'Éducation Nationale, de la Jeunesse et des Sports (ci-après, la DENJS) souhaite mettre à la disposition des parents et responsables légaux et des élèves, un téléservice afin de leur permettre de solliciter une demande d'autorisation d'absence exceptionnelle.
Conformément aux dispositions de l'article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, le Ministre d'État soumet ainsi, à l'avis de la Commission, le traitement ayant pour finalité « Demander une autorisation d'absence exceptionnelle par voie dématérialisée ».


I.          Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Demander une autorisation d'absence exceptionnelle par voie dématérialisée ».
Il concerne les agents en charge de traiter les demandes ainsi que les usagers (parents, responsables légaux ou personne assumant effectivement la garde de l'enfant).
La démarche en ligne a pour fonctionnalités :
-           La saisie d'informations concernant les responsables légaux ;
-           La saisie d'informations concernant l'élève ;
-           La saisie d'informations concernant la demande ;
-           L'import de pièces justificatives ;
-           Le complément d'informations manquantes ;
-           L'annulation d'une déclaration par l'usager ou par un agent ;
-           L'envoi d'un courriel de confirmation d'enregistrement de la déclaration ;
-           L'envoi d'un courriel de confirmation d'annulation de la déclaration ;
-           L'envoi d'un courriel de confirmation de désinscription à la démarche en ligne ;
-           L'export d'un fichier Excel comprenant toutes les déclarations et leurs informations anonymisées par les agents ayant les droits nécessaires pour effectuer cette action.
Le responsable de traitement précise en outre que « la création du compte usager se fait via Login » et que « le téléservice récupère l'adresse email grâce à ce compte ».
Il est également précisé que le téléservice propose un lien vers un questionnaire de satisfaction anonyme dont les réponses sont traitées par la Direction des Services Numériques.
La Commission constate enfin que les personnels de la DENJS procèdent à des statistiques, qui sont également anonymes.
Elle considère que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.


II.        Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par le consentement des personnes concernées, par le respect d'une obligation légale à laquelle il est soumis et enfin, par la réalisation d'un intérêt légitime qu'il poursuit et qui ne méconnaît ni l'intérêt, ni les droits et libertés fondamentaux des personnes concernées.
Il précise que le consentement des personnes concernées est formalisé par un acte positif clair, matérialisé par le biais d'une case à cocher qui mentionne « J'accepte que mes données personnelles soient traitées dans le cadre du téléservice « Demander une autorisation d'absence exceptionnelle par voie dématérialisée » » et par l'acceptation préalable des conditions générales d'utilisation du téléservice, indispensable pour la création d'un compte sécurisé et l'accès à la démarche en ligne.
Le traitement est également justifié par le respect d'une obligation légale à laquelle le responsable de traitement est soumis à savoir la loi n° 1.334 du 12 juillet 2007 sur l'éducation, ainsi que les arrêtés ministériels n° 2019-642, 643, 644, 645, 646, 647, 648, 649, 650, 651, 652, 653 et 654 du 31 juillet 2019 portant règlement intérieur des différents établissements scolaires de la Principauté.
Enfin, l'intérêt légitime est justifié par la volonté de l'Administration de simplifier les démarches administratives des administrés en leur permettant de déposer leur déclaration sans se déplacer et sans autres démarches, ce qui s'inscrit dans le cadre de l'Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l'Administration et l'administré.
La Commission rappelle à cet égard que conformément aux dispositions de l'article 43 de l'Ordonnance Souveraine susvisée « (…) la création d'un téléservice ne saurait toutefois avoir pour effet de supprimer la possibilité pour l'usager, d'accomplir les démarches, formalités ou paiements qui en sont l'objet par des voies autres qu'électroniques ».
La Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165, modifiée.


III.       Sur les informations traitées
Les informations traitées sont :
-           Identité, nom de famille : premier et deuxième responsable légal : titre, nom et prénom, êtes-vous le seul responsable légal de l'élève ;
Élève : nom, prénom ;
-           Adresses et coordonnées : premier et deuxième responsable légal : courriel, adresse, numéro de téléphone ;
-           Formation, diplômes : élève : classe et établissement ;
-           Données d'identification électronique : identifiant technique de l'usager ;
-           Informations temporelles et horodatage : données d'horodatage ;
-           Données de connexion : logs de connexion et données de messagerie de l'usager ;
-           Autres : demande : raison de la demande, motif, date de début et de fin de l'absence ; Pièces justificatives : signature du deuxième responsable légal, justification de la demande, documents complémentaires.
Les informations ont pour origine l'usager (le particulier effectuant la demande), à l'exception des données d'identification électronique qui proviennent du système et des informations temporelles et données de connexion qui ont pour origine le module web de la démarche en ligne.
La Commission considère que les informations ainsi collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément à l'article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.


IV.       Sur les droits des personnes concernées

  • Sur l'information préalable des personnes concernées

L'information préalable des personnes concernées est effectuée par le biais d'une mention particulière intégrée dans un document d'ordre général accessible en ligne, à savoir les conditions générales d'utilisation du téléservice que l'usager doit accepter et peut consulter dès l'accès à la démarche.
À la lecture de celle-ci, la Commission constate qu'elle est conforme aux exigences légales.

  • Sur l'exercice du droit d'accès

Le droit d'accès est exercé par la personne concernée sur place, par voie postale, en ligne (en cliquant sur un lien hypertexte intégré dans les conditions générales d'utilisation du téléservice) ou par courrier électronique adressé à la DENJS.
S'agissant de l'exercice du droit d'accès par voie de courrier électronique, la Commission considère qu'une procédure devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations.
À ce titre, elle précise que si une copie d'un document d'identité était demandée, la transmission et le traitement de ce document devront faire l'objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d'identité officiels.
Sous cette réserve, elle constate que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993, modifiée.


V.        Sur les destinataires et les personnes ayant accès au traitement

  • Sur les destinataires

La Commission constate que la DENJS peut communiquer, à la Direction des Services Numériques un sondage anonymisé en lien avec le présent traitement.

  • Sur les personnes ayant accès au traitement

Le responsable de traitement indique que les personnes habilitées à avoir accès au traitement sont :
-           Les personnels de la DENJS (Direction de l'Éducation Nationale de la Jeunesse et des Sports) : en lecture, en paramétrage, en traitement, en saisie, en traitement établissement, en validation ;
-           La DSN (Direction des Services Numériques) ou tiers intervenant pour son compte ayant un rôle d'assistance à maîtrise d'ouvrage sur la procédure : en lecture, en configuration, en paramétrage, en traitement, en saisie, en traitement établissement, en validation.
Le responsable de Traitement précise que « la liste des agents ayant accès au téléservice est définie et validée par le service ».
La Commission relève que de plus en plus de traitements métiers ou de téléservices font l'objet d'interventions de la DSN qui administre ou crée les solutions. Cette Direction support est décrite comme disposant d'accès aux traitements concernés. Elle rappelle que cette dernière n'a pas à avoir accès en continu à l'information métier, dont la sensibilité peut varier en fonction des Services concernés. Elle demande donc que les accès soient restreints au strict besoin d'en connaitre et que les interventions de supports soient effectuées selon des modalités définies conformes aux règles de l'art.
En ce qui concerne l'accès de la DENJS, elle constate que le personnel de cette Direction accède aux informations du téléservice selon les habilitations spécifiques à chacun. Par ailleurs, concernant le motif des autorisations d'absences exceptionnelles, la Commission demande que l'accès à la justification des absences soit limité à des professionnels restreints, et selon le strict besoin d'en connaître.
En ce qui concerne les tiers intervenant pour le compte de la DSN, la Commission rappelle que, conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, les droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de leur contrat de prestation de services.
De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
Enfin, la Commission relève que les personnes concernées disposent également d'un accès à leur propre compte.
Elle considère que ces accès sont justifiés.


VI.       Sur les interconnexions
Le présent traitement fait l'objet d'interconnexions avec les traitements suivants :
-           « Gestion du compte permettant aux usagers d'entreprendre des démarches par téléservices », légalement mis en œuvre ;
-           « Gérer les habilitations des agents et fonctionnaires de l'État aux téléservices contenus dans le « Guichet Virtuel », légalement mis en œuvre.
Lesdits traitements ont vocation à permettre l'accès sécurisé des usagers à la démarche et gérer les habilitations des personnels de l'État, dans le respect des cadres fixés dans les délibérations y relatives de la Commission portant avis favorable à leur mise en œuvre.
Le présent traitement est également interconnecté avec les traitements de messageries professionnelles de l'État, légalement mis en œuvre.
La Commission considère que ces interconnexions sont conformes aux exigences légales.


VII.     Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation particulière.
Cependant, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
En outre, la Commission constate l'utilisation de reCAPTCHA Google, qui implique un transfert d'informations vers les États-Unis. À cet effet, elle acte, qu'à compter de la présente délibération, comme évoqué dans ses récents avis relatifs aux téléservices, il doit désormais être mis fin à l'utilisation de cette solution.
Elle rappelle ainsi que toute utilisation d'outils subordonnant l'accès à un service à un transfert de données vers un pays ne disposant pas d'un niveau de protection adéquat doit disposer d'un fondement juridique apportant des garanties appropriées audit transfert.
La Commission rappelle également que, conformément à l'article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement, au regard des risques présentés par ce traitement et de la nature des données à protéger, devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.


VIII.    Sur la durée de conservation
Les informations nominatives sont conservées un an à partir du dépôt de la demande, et les données d'horodatage et de connexion sont effacées au bout d'un an.
Le responsable de traitement justifie la conservation des données pour une durée d'un an à compter du dépôt de la demande par la « nécessité d'assurer un suivi effectif des absences exceptionnelles des élèves inscrits en Principauté au cours de l'année scolaire ».
La Commission relève que ces délais sont conformes aux exigences légales, à l'exception des informations en lien avec la justification des demandes d'autorisations d'absences exceptionnelles. Ces dernières, qui peuvent contenir des informations sensibles, doivent être conservées uniquement le temps de la vérification du motif de demande d'autorisation d'absence.
Après en avoir délibéré, la Commission :
Considère qu'une procédure relative au droit d'accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations.
Rappelle que :
-           les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switch, routeurs, pares-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
-           les accès doivent être restreints au strict besoin d'en connaitre et que les interventions de supports, notamment ceux de la DSN, doivent être effectuées selon des modalités définies conformes aux règles de l'art.
Acte que le délai pour le remplacement du Google ReCAPTCHA est échu et qu'il doit désormais être mis fin à l'utilisation de toute solution impliquant un transfert de données vers un pays ne disposant pas d'un niveau de protection adéquat, en l'absence de fondement juridique apportant des garanties appropriées audit transfert.
Fixe la durée de conservation des informations en lien avec la justification des absences au temps de la vérification du motif.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État, du traitement automatisé d'informations nominatives ayant pour finalité « Demander une autorisation d'absence exceptionnelle par voie dématérialisée ».


Le Président de la Commission de Contrôle des Informations Nominatives.

Visualiser le journal
au format PDF 2,16 MB
Télécharger le journal
au format PDF 2,16 MB
Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14