Délibération n° 2022-42 du 16 mars 2022 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion d'un coffre numérique permettant l'échange de documents entre les juridictions et les auxiliaires de justice » présenté par la Direction des Services Judiciaires.
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.383 du 2 août 2011 pour une Principauté numérique, modifiée ;
Vu la loi n° 1.398 du 24 juin 2013 relative à l’administration et à l’organisation judiciaires ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la demande d’avis déposée par la Direction des Services Judiciaires, le 23 novembre 2021, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Gestion d’un coffre numérique permettant l’échange de documents entre les juridictions et les auxiliaires de justice » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 20 janvier 2022, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 16 mars 2022 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Direction des Services Judiciaires (DSJ) entend partiellement remplacer le Cartonnier physique, présent dans les locaux du Palais de Justice, par un Cartonnier numérique. L’objectif est ainsi de permettre au Greffe Général, au Parquet Général et aux auxiliaires de justice d’échanger des éléments et pièces de procédure de manière dématérialisée et sécurisée.
Ainsi, le traitement automatisé d’informations nominatives y afférent est soumis à l’avis de la Commission, conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « Gestion d’un coffre numérique permettant l’échange de documents entre les juridictions et les auxiliaires de justice ».
Le responsable de traitement indique que les personnes concernées sont les personnels habilités par le Directeur des Services Judiciaires (fonctionnaires et agents de l’État), les auxiliaires de justice (Avocats-défenseurs, Avocats et Avocats‑stagiaires) ainsi que les Greffes des différentes juridictions.
Le traitement a pour fonctionnalités :
- créer des coffres numériques pour les auxiliaires de justice et personnes habilitées par le Directeur des Services Judiciaires en lien avec des procédures judiciaires ;
- donner un accès sélectif par authentification forte avec droits et habilitations personnalisés ;
- déposer de manière temporaire et sécurisée des documents électroniques dans les coffres ;
- horodater les opérations de dépôt, de modification, de consultation, de copie, de téléchargement, d’impression et de suppression ;
- notifier des documents et décisions aux Avocats ;
- informer par le biais d’une messagerie intégrée au système les utilisateurs des dépôts de pièces ;
- enregistrer tous les accès aux informations et aux documents permettant de tracer ces accès et mettre en œuvre des opérations de contrôle et des mesures d’alerte graduées ;
- garantir l’intégrité des informations et des documents déposés dans les coffres ;
- donner une valeur probatoire aux documents déposés dans les coffres ;
- effectuer des statistiques (poids du coffre, nombre et poids des documents) ;
- supprimer les coffres.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le présent traitement est justifié par le respect d’une obligation légale à laquelle le responsable de traitement est soumis et par la réalisation d’un intérêt légitime qui ne méconnaît, ni l’intérêt, ni les droits et libertés fondamentaux de la personne concernée.
Ce dernier indique que « le Cartonnier numérique est un dispositif de connexion entre les juridictions et les avocats de la Principauté. Il permet aux avocats et aux services du Palais de Justice de communiquer de manière sécurisée et d’échanger des éléments en lien avec une procédure de manière dématérialisée ». De plus, « la communication de tels éléments et pièces est nécessaire pour la tenue et le déroulé des affaires ».
Le responsable de traitement précise toutefois que « les éléments de procédure relèvent des dispositions de l’article 24-2 de la loi n° 1.165, modifiée et n’entrent dès lors pas dans son champ d’application ».
Le présent traitement lui permet par ailleurs de « notifier des décisions et documents aux avocats », ce qui relève des textes et procédure, le Directeur des Services Judiciaires assurant la bonne administration de la justice.
Enfin, « l’horodatage et l’intégrité en sont garantis par des certificats conformes aux dispositions de la loi n° 1.383 pour une Principauté numérique ». À cet effet la Commission relève qu’« une Charte a été signée par les Avocats de la Principauté, aux termes de laquelle ces derniers s’engagent notamment « à n’utiliser le système que pour les échanges intervenant entre les différents services du Palais et les Avocats-Défenseurs, Avocats ou Avocats-Stagiaires et ce, dans le strict respect des fonctions, missions et règles déontologiques applicables à chacun (..) » ».
La Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Les informations nominatives traitées sont :
- identité : nom et prénom des utilisateurs (Avocats intervenant dans un dossier, Huissiers, personnels de Greffe) ;
- adresse et coordonnées : emails des utilisateurs ;
- vie professionnelle : statut des utilisateurs (Avocat-Défenseur, Avocat, Avocat-Stagiaire, personnels de Greffe) ;
- données d’identification électronique : identifiants et mots de passe des personnes habilitées à avoir accès au Cartonnier numérique ;
- informations temporelles : logs de connexion des personnes habilitées et logs applicatifs ;
- pièces déposées dans le cadre des procédures entrant dans le champ de l’article 24-2 de la loi n° 1.165 : ensemble des pièces justificatives adressées dans le cadre d’une procédure, y compris des données relevant de l’article 12 de la loi n° 1.165 ou des données infractionnelles relatives aux parties.
Les informations relatives à l’identité, aux adresses et coordonnées et à la vie professionnelle ont pour origine les Greffes des juridictions et les Avocats (Avocats-Défenseurs, Avocats et Avocats-Stagiaires).
Les pièces déposées dans le cadre des procédures proviennent par ailleurs des Avocats-Défenseurs, Avocats et Avocats-Stagiaires.
Enfin, les données d’identification électronique et les informations temporelles sont issues du système.
La Commission considère que les informations ainsi collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
- Sur l’information des personnes concernées
L’information préalable des personnes concernées est réalisée par le biais de la Charte du Cartonnier numérique signée par les Avocats de la Principauté.
Cette dernière étant jointe au dossier, la Commission relève que son contenu est conforme aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.
- Sur l’exercice du droit d’accès
Le droit d’accès est exercé par voie postale, sur place ou par courrier électronique auprès de la Direction des Services Judiciaires.
À cet égard, la Commission rappelle que la réponse à ce droit d’accès doit intervenir dans le mois suivant la réception de la demande.
Par ailleurs, s’agissant de l’exercice du droit d’accès par voie électronique, la Commission considère qu’une procédure devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.
Sous cette réserve, elle constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les personnes ayant accès au traitement
Les personnes ayant accès au traitement sont :
- les Magistrats, Greffiers et personnes habilitées en charge des procédures judiciaires : accès pour dépôt, modification, consultation, copie, téléchargement, impression et suppression ;
- les Avocats-Défenseurs, Avocats et Avocats-Stagiaires ayant signé la Charte d’utilisation du Cartonnier numérique : accès à leur propre compte pour dépôt, modification, consultation, copie, téléchargement, impression et suppression ;
- les Administrateurs informatiques : accès pour la mise en place de l’ouverture des droits et les opérations de maintenance ;
- les Gestionnaires : droits de gestion et de modification de l’arborescence et des partages au sein du Cartonnier numérique ;
- les prestataires dans le cadre de leurs missions de maintenance (strictement limité à des opérations de maintenance corrective ou évolutive).
Compte tenu des attributions de chacune de ces personnes et, eu égard à la finalité du traitement, la Commission considère que les accès susvisés sont justifiés.
La Commission souligne, qu’en ce qui concerne le prestataire externe, ses accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de services, conformément à l’article 17 de la loi n° 1.165, modifiée. De plus, ce dernier est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement.
VI. Sur les rapprochements et interconnexions
Le responsable de traitement indique que le présent traitement fait l’objet d’un rapprochement avec le traitement dénommé « Esabora Lex », lequel est en cours de régularisation.
La Commission rappelle que celui-ci doit lui être soumis dans les meilleurs délais.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
La Commission rappelle que les ports non utilisés doivent être désactivés et que les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Elle rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Le responsable de traitement indique que les informations sont conservées trois mois à compter de la date de dépôt du document, le cartonnier n’étant pas destiné à constituer une banque de stockage de fichiers.
S’agissant des informations relatives à l’identité des utilisateurs, la Commission relève que celles-ci sont par ailleurs susceptibles d’être conservées tant que les personnes sont habilitées à accéder au Cartonnier numérique.
Les données d’identification électronique sont conservées tant que la personne est habilitée et les informations temporelles sont supprimées au bout d’un an pour les logs de connexion et trois mois pour les logs applicatifs.
La Commission considère que ces délais de conservation sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Rappelle que :
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switch, routeurs, pares-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
- le traitement dénommé « Esabora Lex » doit lui être soumis dans les meilleurs délais.
Considère qu’une procédure relative au droit d’accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par la Direction des Services Judiciaires, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion d’un coffre numérique permettant l’échange de documents entre les juridictions et les auxiliaires de justice ».
Le Président de la Commission de
Contrôle des Informations Nominatives.