icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2022-40 du 16 mars 2022 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre de la modification d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion des cantines des établissements scolaires » exploité par la Direction de l'Éducation Nationale, de la Jeunesse et des Sports présentée par le Ministre d'État.

  • N° journal 8585
  • Date de publication 08/04/2022
  • Qualité 100%
  • N° de page

Vu la Constitution ;

Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 918 du 27 décembre 1971 sur les établissements publics ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu la loi n° 1.334 du 12 juillet 2007 sur l’éducation, modifiée ;

Vu l’Ordonnance Souveraine n° 5.540 du 19 mars 1975 portant création de la Direction de l’Éducation Nationale, de la Jeunesse et des Sports ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré ;

Vu l’Ordonnance Souveraine n° 7.995 du 12 mars 2020 portant création de la Direction des Services Numériques ;

Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;

Vu la délibération n° 2020-163 du 18 novembre 2020 portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des cantines des établissements scolaires » ;

Vu la demande d’avis déposée par le Ministre d’État, le 7 décembre 2021, concernant la mise en œuvre de la modification du traitement automatisé ayant pour finalité la « Gestion des cantines des établissements scolaires » ;

Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 4 février 2022, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;

La Commission de Contrôle des Informations Nominatives,

Préambule

Par délibération n° 2020-163 du 18 novembre 2020, la Commission a émis un avis favorable à la mise en œuvre, par la Direction de l’Éducation Nationale, de la Jeunesse et des Sports (DENJS), d’un traitement automatisé ayant pour finalité « Gestion des cantines des établissements scolaires » destiné à permettre la gestion dématérialisée des cantines scolaires et le paiement en ligne des repas consommés.

Le responsable de traitement souhaite désormais modifier le traitement dont s’agit, étant précisé que la finalité, la justification, les droits et informations des personnes concernées, les rapprochements et interconnexions avec d’autres traitements, la sécurité et la durée de conservation demeurent semblables.

Ainsi, cette modification est soumise à l’avis de la Commission, conformément à l’article 9 de la loi n° 1.165 du 23 décembre 1993.

I. Sur la finalité et les fonctionnalités du traitement

La finalité du présent traitement demeure inchangée.

Le responsable de traitement indique qu’il concerne désormais les élèves, leurs représentants légaux, les enseignants et/ou personnels de la DENJS (les adultes) ainsi que le personnel de l’administration.

S’agissant des fonctionnalités, la Commission constate que les données Pronote des inscrits à la cantine sont désormais importées dans le présent traitement. Le responsable de traitement précise à cet égard, que l’import « se fait avant la rentrée scolaire pour chaque établissement scolaire par la Direction des Systèmes d’Information » et qu’« un fichier est extrait de Pronote par la Direction des Systèmes d’Information et est transmis à la Direction des Services Numériques pour effectuer l’importation des données dans le logiciel de gestion de cantine ». En outre, « à partir de la rentrée 2022, l’importation des données sera effectuée en autonomie par la Direction des Systèmes d’Information », étant précisé que « les adultes déjeunant à la cantine sont également importés dans la solution afin de permettre à ces usagers de suivre leur passage et de payer en ligne si besoin ».

Elle relève par ailleurs que l’accès au Portail Famille vaut consentement des personnes concernées à la dématérialisation des factures de cantine. Le responsable de traitement précise toutefois que « conformément à l’article 43 de l’Ordonnance Souveraine n° 3.413 du 29 août 2011 la création de ce service n’a pas pour effet de supprimer la possibilité de recevoir les factures par voie papier ». La Commission note qu’une procédure est à cet égard mise en œuvre pour permettre aux personnes concernées de recevoir leurs factures au format papier.

II. Sur les informations traitées

Le responsable de traitement précise que les informations désormais traitées sont :

   - identité :

     -  élève : nom, prénom, date de naissance ;

     -  responsable légal : nom, prénom, lien de parenté ;

     -  adulte (enseignants et/ou personnels de la DENJS) : nom et prénom ;

   - adresses et coordonnées :

     -  responsable légal : adresse email, adresse postale ;

     -  adulte : adresse email ;

   - formation-diplômes :

     -  élève : établissement scolaire, date d’entrée et date de sortie de l’établissement, classe ;

     -  adulte : établissement scolaire auquel est rattaché l’adulte ;

   - passage à la cantine :

     -  élève et adultes : présences et absences ;

   - caractéristiques financières :

     -  payeur : coordonnées bancaires, mandat SEPA, historique des règlements, moyens de paiements, factures, soldes, coûts des repas, informations de communication des notifications de factures et de relances, tarifs des repas ;

   - données d’identification électronique :

     -  élève et adulte : identifiant unique du badge ;

   - informations temporelles : logs et traçabilité.

La Commission relève par ailleurs que les « droits exercés sur l’élève » (autorité parentale, garde légale, appel d’urgence, héberge l’élève ou le récupère) sont également collectés et en prend acte.

L’origine des informations demeure pour l’essentiel inchangée. Le responsable de traitement précise néanmoins que le profil de l’utilisateur « adulte » est créé par la DSI à la suite de la communication d’un fichier par la DENJS. En outre, les passages à la cantine sont saisis manuellement en cours d’année par le gestionnaire établissement pour le primaire et sont automatisés par l’utilisation du badge, avec une possible saisie manuelle par le prestataire de restauration notamment en cas d’oubli de badge ou de corrections, pour le secondaire.

La Commission considère que les informations traitées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.

III. Sur les destinataires et les personnes ayant accès au traitement

Il est indiqué que les personnes ayant désormais accès au traitement sont :

-  le personnel de la Direction de l’Éducation Nationale, de la Jeunesse et des Sports (DENJS) : en lecture, en configuration et en consultation ;

-  le personnel de la Direction des Systèmes d’Information (DSI) : en lecture et en paramétrage et le Centre de service en création, modification et suppression pour la gestion des droits ;

-  le personnel de la Direction des Services Numériques (DSN) : en lecture et en configuration ;

-  le prestataire de restauration : en lecture et en paramétrage ;

-  l’éditeur de la solution : en lecture et en paramétrage.

En ce qui concerne le prestataire de restauration et l’éditeur de la solution, la Commission rappelle que, conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, leurs d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leurs contrats de prestation de services. De plus, ces derniers sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement.

Par ailleurs, la Commission relève que de plus en plus de traitements métiers ou de téléservices font l’objet d’interventions de la DSN qui administre ou crée les solutions.

Cette Direction support est décrite comme disposant d’accès aux traitements concernés. La Commission rappelle que cette dernière n’a pas à avoir accès en continu à l’information métier, dont la sensibilité peut varier en fonction des services concernés. Elle demande donc que les accès soient restreints au strict besoin d’en connaître et que les interventions de supports soient effectuées selon des modalités définies conformes aux règles de l’art.

La Commission relève, de nouveau, que les personnes concernées disposent d’un accès à leur propre compte.

Elle considère que ces accès sont justifiés.

Après en avoir délibéré,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, du traitement automatisé d’informations nominatives modifié ayant pour finalité « Gestion des cantines des établissements scolaires ».

Le Président de la Commission

de Contrôle des Informations Nominatives.

 

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14