icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2021-158 du 21 juillet 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Sécurisation et suivi des impressions papier » exploité par la Direction des Systèmes d'Information (DSI), présenté par le Ministre d'État.

  • N° journal 8551
  • Date de publication 13/08/2021
  • Qualité 100%
  • N° de page

Vu la Constitution ;

Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré, modifiée ;

Vu l’Ordonnance Souveraine n° 7.996 du 12 mars 2020 portant création de la Direction des Systèmes d’Information ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu l’arrêté ministériel n° 2015-703 du 26 novembre 2015 portant application de l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré, modifiée, et son annexe « Charte des systèmes d’information de l’État » ;

Vu l’arrêté ministériel n° 2017-56 du 1er février 2017 portant application de l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré, modifiée, et son annexe « Politique de Sécurité des Systèmes d’Information de l’État » ;

Vu l’arrêté ministériel n° 2018-281 du 4 avril 2018 portant application de l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’administration et l’administré, modifiée, et son annexe « Charte administrateurs réseaux et système d’information de l’État » ;

Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;

Vu la demande d’avis déposée par le Ministre d’État le 20 avril 2021 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Gestion des impressions 2.0 » ;

Vu la prorogation du délai d’examen de ladite demande d’avis notifiée au responsable de traitement le 17 juin 2021, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 21 juillet 2021 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

L’Administration Gouvernementale souhaite gérer les impressions à partir des imprimantes mises à disposition de ses différents services afin d’éviter d’une part que les photocopies, impressions ou scans de documents ne « traînent » sur ou à côté desdites imprimantes pour des raisons de sécurité et de confidentialité et d’éviter d’autre part le gaspillage de papier et d’encre afin de participer à la politique « green » de l’Administration.

Le traitement automatisé d’informations nominatives objet de la présente délibération est donc soumis à l’avis de la Commission conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée.

I. Sur la finalité et les fonctionnalités du traitement

Le responsable de traitement indique que le traitement a pour finalité « Gestion des impressions 2.0 ».

Il a vocation à s’appliquer à l’ensemble des services de l’Administration de l’État.

Les personnes concernées sont « Toute personne fonctionnaire et Agent de l’Administration d’État disposant d’un poste de travail du gouvernement » ainsi que « Les prestataires sous contrat avec l’Administration agissant pour le compte et sous l’autorité de l’Administration disposant d’un poste de travail du gouvernement ».

Enfin, les fonctionnalités sont les suivantes :

-  identification des personnes pouvant utiliser les imprimantes sécurisées ;

-  impressions/scans/copies sécurisés de documents ;

-  suivi et gestions des utilisations ;

-  suivi des impressions réalisées par les utilisateurs eux-mêmes ;

-  gestion de la console d’administration ;

-  sécurisation des flux ;

-  statistiques sur les impressions nominatives ou génériques (par service, globales, par personne, …).

La Commission prend acte des précisions du responsable de traitement selon lesquelles « le traitement n’a pas pour objet de contrôler ou de surveiller l’activité des personnes ».

Le responsable de traitement précise par ailleurs que des rapports peuvent être générés dans le cadre de ce traitement. Ainsi, les rapports de consommation de services proposés aux chefs de service seront anonymisés pour qu’on ne puisse pas identifier une personne. Lesdits chefs auront également la possibilité d’obtenir des éléments nominatifs par exemple pour vérifier qui a copié un document sensible (en infraction avec les règles fixées) ou imprimé un document volumineux mais uniquement sur demande motivée auprès de la DSI. Enfin, des rapports nominatifs pourront également être produits afin de répondre à une demande de droit d’accès au sens de la loi n° 1.165 du 23 décembre 1993, modifiée.

Au vu de ce qui précède, la Commission rappelle que tout traitement d’informations nominatives doit avoir une finalité « déterminée, explicite et légitime » aux termes de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.

En l’espèce, la finalité du présent traitement doit être plus explicite c’est-à-dire être claire et précise pour les personnes concernées, en indiquant que son objectif essentiel est de sécuriser les impressions mais également d’en assurer leur suivi.

Par conséquent, elle modifie la finalité comme suit : « Sécurisation et suivi des impressions papier ».

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le présent traitement est justifié par la réalisation d’un intérêt légitime, sans que ne soient méconnus les droits et libertés fondamentaux des personnes concernées.

Il précise ainsi que « la personne qui a effectué l’action devra se déplacer jusqu’à la photocopieuse pour « lancer » les impressions ou effectuer un scan ou une copie. Si elle ne le fait pas le document ne sort pas, il est également supprimé de l’espace attente de l’imprimante au bout d’un délai paramétré par défaut ».

Le responsable de traitement ajoute en outre que ce traitement va « lui permettre de veiller à la confidentialité des données et documents faisant l’objet d’impressions tout en respectant les droits des personnes par un accès personnel et une limitation des durées de conservation des éléments d’identification ».

La Commission relève que la mise en place d’un tel outil s’inscrit dans les missions de la Direction des Systèmes d’Information (DSI) telles que prévues à l’article 2 de l’Ordonnance Souveraine n° 7.996 du 12 mars 2020 portant création de cette dernière, qui dispose notamment qu’elle se doit « d’assurer le maintien en conditions opérationnelles et en conditions de sécurité du système d’information de l’Administration », « d’assurer la gestion opérationnelle des infrastructures matérielles et logicielles constituant le système d’information de l’Administration en assurant une haute disponibilité des ressources informatiques », « de fournir des outils de travail modernes au personnel de l’administration », « d’assurer la confidentialité au niveau opérationnel des données dans le respect de la législation en vigueur sur la classification des données et sur la protection des informations nominatives », « d’assurer la gestion des annuaires et des contrôles d’accès logiques » et « d’opérer une veille technologique de l’évolution des moyens techniques ».

Le responsable de traitement précise par ailleurs que le traitement s’inscrit dans le cadre de l’application de mesures physiques demandées par la Politique de Sécurité des Systèmes d’Information de l’État (PSSI), annexée à l’arrêté ministériel n° 2017-56 du 1er février 2017.

La Commission constate ainsi que le traitement dont s’agit répond notamment aux objectifs suivants de cette PSSI :

-  « Objectif 21 (Exploitation des systèmes d’information) : « Authentifier les usagers et contrôler leurs accès aux ressources des systèmes d’information de l’État, en fonction d’une politique explicite d’autorisations » ;

-  Objectif 22 (Exploitation des systèmes d’information) : « Sécurisation de l’exploitation : Fournir aux administrateurs les outils nécessaires à l’exercice des tâches de sécurité des systèmes d’information et configurer ces outils de manière sécurisée » ;

-  Objectif 23 (Défense des systèmes d’information) : « Défendre les S.I. nécessite une vigilance de tous et des actions permanentes » ;

-  Objectif 25 (Sécurisation des postes de travail) : « Durcir les configurations des postes de travail en protégeant les utilisateurs » ;

-  Objectif 34 (Contrôles) : « Contrôles réguliers - Effectuer des contrôles (audits, inspections) et des exercices réguliers de façon à mesurer les progrès accomplis et corriger les manquements ».

Le responsable de traitement indique enfin que ce traitement va permettre « la mise en application des règles édictées par la Charte des systèmes d’information de l’État annexée à l’arrêté ministériel n° 2015-703 du 26 novembre 2015 portant application de l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré » et que les actions réalisées par les administrateurs dans le cadre dudit traitement « respectent les principes fixés par la Charte administrateurs réseaux et système d’information tels que fixés par l’arrêté ministériel n° 2018-281 du 4 avril 2018 ».

Au vu de ce qui précède, la Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993, modifiée.

III. Sur les informations nominatives traitées

Les informations nominatives traitées sont :

-  identité : nom, prénom et matricule de l’utilisateur, Uid de la carte, numéro NFC si l’utilisateur choisi le téléphone ;

-  données d’identification électronique : login et mot de passe de l’utilisateur ;

-  informations temporelles : logs de connexion de l’imprimante (heure et date d’impression, type de document) ;

-  utilisation : nombre d’impression/scans, nombre de pages, coût, impact environnemental, date, identification de l’imprimante, nom du document ;

-  administrateur de la solution : login, mot de passe, log de connexion.

   Les informations relatives à l’identité ont pour origine la DSI, la Direction des Ressources Humaines ou le téléphone de l’utilisateur en phase d’enrôlement.

Les données d’identification électronique ont pour origine la DSI.

Enfin, les informations temporelles ainsi que les informations relatives à l’utilisation et à l’administrateur de la solution ont pour origine le système.

La Commission considère ainsi que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.

IV. Sur les droits des personnes concernées

  • Sur l’information préalable des personnes concernées

L’information préalable des personnes concernées est effectuée par le biais d’une notice d’information intégrée dans le livret d’accueil des nouveaux arrivants à la DSI et sur l’Intranet de l’Administration pour tous les usagers du SI.

À l’analyse du projet de notice joint à la présente demande, la Commission considère que celui-ci est conforme à l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.

Elle demande toutefois que cette notice soit modifiée afin de prendre en compte la nouvelle finalité du traitement.

  • Sur l’exercice du droit d’accès, de modification et de mise à jour

Le responsable de traitement indiqué que le droit d’accès s’exerce par voie postale auprès de la DSI.

À la lecture du dossier du dossier, la Commission constate que ce droit d’accès s’exerce également par courrier électronique.

À cet égard, elle considère qu’une procédure relative au droit d’accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations.

La Commission rappelle en outre que la réponse à ce droit d’accès doit s’exercer dans le mois suivant la réception de la demande.

V. Sur les personnes ayant accès au traitement

Le traitement est interne à l’Administration Gouvernementale.

Les personnes habilitées à avoir accès au traitement sont :

-  le personnel habilité de la DSI : lecture/consultation, création, modification/mise à jour et suppression ;

-  les utilisateurs : lecture/consultation, création, modification/mise à jour des informations qui les concernent ;

-  le personnel du prestataire en charge de la maintenance du logiciel : accès à des fins de maintenance.

Considérant les attributions de chacune de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.

En ce qui concerne le prestataire, elle rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service. De plus, ledit prestataire est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.

VI. Sur les interconnexions et rapprochements

Le responsable de traitement indique que le présent traitement fait l’objet d’interconnexions et de rapprochements avec 7 traitements ayant respectivement pour finalité :

-  « Gestion des habilitations et des accès au Système d’Information » ;

-  « Assistance aux utilisateurs par le Centre de Service de la DSI » ;

-  « Gestion des accès à distance au Système d’information du Gouvernement » ;

-  « Sécurisation des accès à distance au SI pour les flottes nomades BYOD et professionnelles » ;

-  « Gestion et analyse des évènements du système d’information ».

Il est également interconnecté avec les traitements relatifs à la messagerie professionnelle.

La Commission prend acte que ces traitements ont été légalement mis en œuvre et considère que ces interconnexions et rapprochements sont conformes aux exigences légales.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.

La Commission rappelle néanmoins que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

Elle rappelle que la copie ou l’extraction d’informations issues de ce traitement devra être chiffrée sur son support de réception, conformément à la délibération n° 2010-13 du 3 mai 2010.

La Commission rappelle également que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur les durées de conservation

Le responsable de traitement indique que les informations relatives à l’identité ainsi que les données d’identification électronique des utilisateurs sont conservées 1 an après la désactivation du compte.

Il indique en outre que les informations temporelles sont conservées 1 an glissant.

Les données liées à l’utilisation sont conservées 1 an glissant avant d’être anonymisées.

Enfin, le responsable du traitement précise qu’en cas de litige, ces données pourront être conservées le temps dudit litige.

La Commission considère que ces durées sont conformes aux exigences légales.

Après en avoir délibéré, la Commission :

Modifie la finalité du traitement par « Sécurisation et suivi des impressions papier ».

Prend acte des précisions selon lesquelles « le traitement n’a pas pour objet de contrôler ou de surveiller l’activité des personnes ».

Considère qu’une procédure relative au droit d’accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations.

Rappelle que :

-  la réponse au droit d’accès doit s’exercer dans le mois suivant la réception de la demande ;

-  les ports non utilisés doivent être désactivés et les serveurs, périphériques,  équipements de raccordements (switchs, routeurs, pare-feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort ;

-  la copie et l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception.

Demande que la notice d’information soit modifiée afin de prendre en compte la nouvelle finalité du traitement.

Sous le bénéfice de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, du traitement automatisé d’informations nominatives ayant pour finalité « Sécurisation et suivi des impressions papier ».

Le Président de la Commission de Contrôle des Informations Nominatives.

 

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14