Délibération n° 2021-156 du 21 juillet 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Création des badges de l'Administration » exploité par la Direction des Systèmes d'Information (DSI), présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’Ordonnance Souveraine n° 1.635 du 30 avril 2008 fixant les attributions de la Direction des Ressources Humaines et de la Formation de la Fonction Publique ;
Vu l’Ordonnance Souveraine n° 7.996 du 12 mars 2020 portant création de la Direction des Systèmes d’Information ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’arrêté ministériel n° 2017-56 du 1er février 2017 portant application de l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré, modifiée, et son annexe « Politique de Sécurité des Systèmes d’Information de l’État » ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la demande d’avis déposée par le Ministre d’État le 23 mars 2021 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Création des badges de l’Administration » ;
Vu la prorogation du délai d’examen de ladite demande d’avis notifiée au responsable de traitement 20 mai 2021, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 21 septembre 2021 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
L’Administration Gouvernementale souhaite délivrer des badges nécessaires à l’enregistrement des personnes sur les dispositifs appropriés (contrôles d’accès/pointage).
Le traitement automatisé d’informations nominatives objet de la présente délibération est donc soumis à l’avis de la Commission conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée.
I. Sur la finalité et les fonctionnalités du traitement
Ce traitement a pour finalité « Création des badges de l’Administration ».
Les personnes concernées sont les « Fonctionnaires et Agents de l’État » et les « Prestataires (si besoin identifiés) ».
Enfin, les fonctionnalités sont les suivantes :
- fournir les badges qui serviront de support aux usages ciblés de l’Administration (ex. cartes de pointage, cartes d’accès aux locaux de l’Administration), établir leur encodage et leur impression ;
- assurer le suivi des dates d’échéance des badges, le cas échéant ;
- fournir les données nécessaires aux applications utilisant ces badges afin d’en assurer le suivi de manière centralisée (de la création à la suppression) ;
- établir des statistiques anonymes (créations de badges dans le mois, l’année ; statut des badges (actifs, supprimés, pertes, etc.).
La Commission constate ainsi que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par la réalisation d’un intérêt légitime, sans que ne soient méconnus les droits et libertés fondamentaux des personnes concernées.
La Commission prend ainsi acte des précisions du responsable de traitement selon lesquelles ledit traitement va permettre de « délivrer une carte [badge] répondant à des critères de sécurité et de fiabilité afin de permettre aux traitements impliquant l’utilisation d’une carte [badge] de fonctionner, tels :
- le traitement de gestion « des accès physiques ou « Gestion des accès physiques par badge aux locaux de l’Administration »,
- de gestion du temps de travail. ».
Elle note que dans le cadre des missions de la DRHFFP (Direction des Ressources Humaines et de la Formation de la Fonction Publique) et de la DSI (Direction des Systèmes d’Information), ce traitement sera lié à 2 autres traitements qui répondent à des objectifs de l’Administration, soit :
• de gestion de la sécurité de l’accès aux locaux des Services de l’Administration Gouvernementale puisque la « DRHFFP est en charge du système permettant de limiter l’accès aux locaux selon des horaires déterminés par les besoins du Service et modulables selon la fonction des personnes concernées connue par la DRHFFP » et que la « DSI est chargée de l’exploitation du traitement, de son maintien en conditions opérationnelles et de la sécurité des applications associées » ;
• de gestion des horaires aménagés mise en œuvre à l’initiative du Secrétariat Général et géré par la DRHFFP afin d’organiser le temps de travail et les obligations des fonctionnaires et agents de l’État en la matière.
Le responsable de traitement précise que ces « deux applications nécessitent la délivrance de cartes [badges] magnétiques attribuées aux fonctionnaires et agents de l’État afin de leur permettre d’accéder aux locaux où ils doivent se rendre pour la gestion des accès et pour pointer, lorsque le pointage se fait dans les locaux par badgeuse » et que « D’autres traitements pourraient également reposer sur ces cartes [badges] ».
Il indique enfin que la DSI est « en charge d’assurer le maintien en conditions opérationnelles et en conditions de sécurité du système d’information de l’Administration » et « gère les aspects logiques et techniques des applications utilisées pour l’exploitation du traitement ».
La Commission prend acte enfin que les personnes concernées sont informées de la mise en place de ces différents traitements.
Au vu de ce qui précède, elle considère donc que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993, modifiée.
III. Sur les informations nominatives traitées
Les informations nominatives traitées sont :
- Sur la personne titulaire d’un badge :
- identité : civilité, nom, prénom, matricule ;
- vie professionnelle : date d’entrée, date de sortie, type de contrat, site principal d’activité ;
- suivi administratif : date de remise du badge, date de restitution, date et motif de déclaration de perte/vol ;
- identification du badge : numéro de série, numéro de badge, numéro utilisateur (UserIdentification), date d’émission, date de validité/d’expiration du badge, type de badge ;
- photo : photo du détenteur du badge.
- Sur le hiérarchique de la personne pour laquelle un badge est établi :
- identité : nom, prénom.
- Sur les gestionnaires de l’application :
- identité : nom, prénom ;
- données d’identification électronique : login, mot de passe ;
- logs de connexion : données d’horodatage, identifiant, actions effectuées.
Les informations relatives à l’identité et à la vie professionnelle de la personne titulaire du badge ont pour origine la DRHFFP ou le chef de service.
Le suivi administratif a pour origine la DRHFFP, les chefs de service et la personne concernée.
Les informations liées à l’identification du badge et celles liées à l’identité du hiérarchique ont pour origine la DRHFFP (personne en charge de l’établissement des badges).
La photo a pour origine la DRHFFP (personne en charge de l’établissement des badges) ou la personne concernée.
Par ailleurs, les informations relatives à l’identité des gestionnaires de l’application ont pour origine la DRHFFP.
Les données d’identification électronique ont pour origine la DSI.
Enfin, les logs de connexion des gestionnaires de l’application ont pour origine le système.
La Commission considère ainsi que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.
IV. Sur les droits des personnes concernées
- Sur l’information préalable des personnes concernées
L’information préalable des personnes concernées est effectuée par le biais d’une mention ou clause particulière intégrée dans un document remis à l’intéressé, à savoir le « PV de remise de badge d’accès ».
À l’analyse de ce document, la Commission considère que celui-ci est conforme à l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.
- Sur l’exercice du droit d’accès, de modification et de mise à jour
Le droit d’accès s’exerce par voie postale auprès de la Direction des Ressources Humaines et de la Formation de la Fonction Publique.
À cet égard, la Commission rappelle que la réponse à ce droit d’accès doit s’exercer dans le mois suivant la réception de la demande.
V. Sur les destinataires et les personnes ayant accès au traitement
- Sur les destinataires
Le responsable de traitement indique que toute Autorité administrative et judiciaire dans le cadre de ses missions peut être destinataire des informations.
À cet égard, la Commission prend acte des précisions du responsable de traitement selon lesquelles il s’agit « de toute autorité judiciaire, administrative ou policière habilitée en droit interne à ordonner, autoriser ou entreprendre l’exécution de procédures de collecte ou de production d’éléments de preuve se rapportant à des enquêtes ou procédures qui peut être destinataire d’informations issues du présent traitement, dans le cadre des missions qui leur sont légalement ou réglementairement conférées et des garanties mises en place conformément au droit interne. ».
Elle estime ainsi que la communication à la Direction de la Sûreté Publique peut être justifiée pour les besoins d’une enquête judiciaire.
La Commission considère donc que ces transmissions sont conformes aux exigences légales.
- Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont les suivantes :
- les administrateurs DRHFFP déterminent les droits d’accès sur l’application, encodent et impriment les cartes, saisissent les données des fonctionnaires et associent une carte aux titulaires : lecture/consultation, création, modification/mise à jour et suppression ;
- les administrateurs de la DSI sur demande de la DRHFFP (en cas de problème sur serveurs) : lecture/consultation, création, modification/mise à jour et suppression ;
- le personnel du fournisseur de l’application paramètre l’application : lecture/consultation, modification/mise à jour et suppression sous contrôle de la DSI.
Considérant les attributions de chacune de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.
En ce qui concerne le prestataire, elle rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service. De plus, ledit prestataire est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
VI. Sur les interconnexions et rapprochements
Le responsable de traitement indique que le présent traitement fait l’objet de quatre rapprochements avec les traitements ayant respectivement pour finalité :
- « Gestion des dossiers des fonctionnaires et agents de l’État relevant de la Fonction Publique et des statuts particuliers », légalement mis en œuvre ;
- « Gestion de la messagerie professionnelle Exchange », légalement mis en œuvre ;
- « Gestion des techniques automatisées de communication (Lotus Notes) », légalement mis en œuvre ;
- « Assistance aux utilisateurs par le Centre de Service de la DSI », légalement mis en œuvre.
Le responsable de traitement indique en outre que ledit traitement fait l’objet de quatre interconnexions avec les traitements ayant respectivement pour finalité :
- « Gestion des habilitations et des accès au Système d’information par l’Active Directory », légalement mis en œuvre ;
- « Gestion des accès à distance au Système d’information du Gouvernement », légalement mis en œuvre ;
- « Gestion des accès physiques par badge aux locaux de l’Administration », légalement mis en œuvre ;
- « Gestion des horaires dynamiques ».
Ce dernier traitement n’ayant pas fait l’objet de formalité auprès de la CCIN, la Commission demande au responsable de traitement de le lui soumettre dans les plus brefs délais.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
La Commission rappelle néanmoins que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Elle rappelle que la copie ou l’extraction d’informations issues de ce traitement devra être chiffrée sur son support de réception, conformément à la délibération n° 2010-13 du 3 mai 2010.
La Commission rappelle également que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Le responsable de traitement indique que les informations relatives à l’identité et à la vie professionnelle de la personne titulaire d’une carte ainsi que sa photo, et les informations relatives à l’identité du supérieur hiérarchique de ladite personne sont conservées tant que la personne travaille au sein de l’Administration « + 12 mois » après la restitution du badge.
Le suivi administratif et les informations relatives à l’identification du badge sont conservés 12 mois après la restitution du badge.
L’identité et les données d’identification électronique des gestionnaires de l’application sont conservées tant que la personne exerce cette fonction de gestionnaire.
Enfin, les logs de connexion des gestionnaires de l’application sont conservés 12 mois glissants.
À cet égard, la Commission prend acte des précisions du responsable de traitement selon lesquelles ces durées sont liées aux obligations de traçabilité des actions sur le Système d’information et aux impératifs de sécurité entourant le fonctionnement d’un SI.
Elle considère donc que ces durées sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Rappelle que :
- la réponse au droit d’accès doit s’exercer dans le mois suivant la réception de la demande ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort ;
- la copie et l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception.
Demande que le traitement ayant pour finalité « Gestion des horaires dynamiques » lui soit soumis dans les plus brefs délais.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par le Ministre d’État du traitement automatisé d’informations nominatives ayant pour finalité « Création des badges de l’Administration ».
Le Président de la Commission de Contrôle des Informations Nominatives.