Délibération n° 2021-139 du 23 juin 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre de la modification du traitement automatisé d'informations nominatives ayant pour finalité « Gestion et analyse des évènements du système d'information » exploité par la Direction des Services Numériques, présentée par le Ministre d'État.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’Ordonnance Souveraine n° 7.996 du 12 mars 2020 portant création de la Direction des Systèmes d’Information ;
Vu l’Ordonnance Souveraine n° 8.504 du 18 février 2021 portant application de l’article 24 de la loi n° 1.435 du 8 novembre 2016 relative à la lutte contre la criminalité technologique ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la délibération n° 2020-126 du 16 septembre 2020 portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion et analyse des évènements du système d’information » présenté par le Ministre d’État ;
Vu la demande d’avis déposée par le Ministre d’État, le 20 avril 2021, concernant la modification du traitement automatisé ayant pour finalité la « Gestion et analyse des évènements du système d’information » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 17 juin 2021, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Afin de renforcer et rationnaliser la sécurité de son système d’information, le Ministre d’État avait souhaité mettre en œuvre le traitement ayant pour finalité la « Gestion et analyse des évènements du système d’information ». Ce dernier avait par délibération n° 2020-126 reçu avis favorable de la Commission, sous réserve de la prise en compte de certains éléments.
Aussi, le responsable de traitement souhaite désormais modifier le traitement dont s’agit pour apporter des réponses à la Commission sur les réserves qu’elle a émises.
Ainsi, cette modification est soumise à l’avis de la Commission, conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.
Paragraphe unique
Le présent traitement a pour finalité « Gestion et analyse des évènements du système d’information ».
Il concerne tout utilisateur du Système d’information de l’État et les personnels habilités à avoir accès au traitement.
Les fonctionnalités du traitement sont inchangées.
Par délibération n° 2020-126, la Commission avait exclu la transmission des informations objet du traitement à l’Agence Monégasque de Sécurité Numérique (AMSN) pour stockage, en l’absence d’encadrement légal.
La Commission relève qu’ a désormais été publiée l’Ordonnance Souveraine n° 8.504 du 18 février 2021 portant application de l’article 24 de la loi n° 1.435 du 8 novembre 2016 relative à la lutte contre la criminalité technologique qui dispose à son article 2 f) que l’AMSN « met en œuvre des dispositifs de détection qualifiés des événements susceptibles d’affecter la sécurité des systèmes d’information de l’État, des services publics et des opérateurs publics et privés, conformément à l’article 27 de la loi n° 1.435 du 8 novembre 2016, susvisé, et coordonne la réaction à ces événements. Lorsque l’Agence Monégasque de Sécurité numérique, à la demande d’un opérateur, public ou privé, met en œuvre des dispositifs de détection qualifiés des événements susceptibles d’affecter la sécurité de ses systèmes d’information, elle conclut une convention d’assistance avec ledit opérateur lui permettant d’exploiter les systèmes de détection ».
Aussi, la Commission prend acte qu’un « flux » des données, « dont aucune information n’est conservée », est désormais possible pour cette finalité vers cette Agence, et pour celle ayant reçu un avis favorable dans le traitement ayant pour finalité « Caractérisation d’une attaque visant les systèmes d’information de la Principauté ».
La Commission avait également relevé dans sa délibération n° 2020-126 que « peut être interconnecté tout traitement reposant sur des équipements intégrés dans le périmètre du présent traitement d’analyse » et avait rappelé que « ces interconnexions ne doivent pas introduire de surveillance permanente et systématique des utilisateurs du SI ».
À cet égard, le responsable de traitement précise dans la présente modification qu’« elles ne visent pas les individus, utilisateurs du SI ou tiers. Elles cherchent à protéger le SI des attaques ou atteintes à son fonctionnement, à la disponibilité, l’intégrité, la confidentialité (tel que mentionné dans la PSSIE) qu’elles soient volontaires ou accidentelles, qui pourraient alors avoir des conséquences sur l’ensemble des activités des services de l’Administration, que les données exploitées soient ou non nominatives ».
La Commission en prend acte.
Enfin, il est indiqué que le présent traitement a été intégré dans la mention d’information des personnes concernées disponible sut l’Intranet, et jointe au dossier. La Commission rappelle néanmoins que le responsable de traitement doit s’assurer que la personne concernée a été avertie de la mise à disposition de cette mention et a été placée en mesure d’en prendre connaissance.
Après en avoir délibéré, la Commission :
Constate que :
- le « flux » des logs de connexion vers l’AMSN est désormais légalement encadré ;
- le responsable de traitement indique ne pas effectuer une surveillance individualisée continue et permanente des utilisateurs du SI de l’Administration.
Rappelle que le responsable de traitement doit s’assurer que la personne concernée a été avertie de la mise à disposition de la mention d’information et a été placée en mesure d’en prendre connaissance.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la modification, par le Ministre d’État, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion et analyse des évènements du système d’information ».
Le Président de la Commission de Contrôle des Informations Nominatives.