Délibération n° 2022-65 du 18 mai 2022 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion de l'Allocation Parent Isolé » exploité par la Direction de l'Action et de l'Aide Sociales (DASO) présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.279 du 29 décembre 2003 modifiant certaines dispositions de la loi n° 335 du 19 décembre 1941 portant création d’un office d’assistance sociale ;
Vu la loi n° 1.450 du 4 juillet 2017 relative à la résidence alternée ;
Vu la loi n° 1.465 du 11 décembre 2018 relative à l’aide à la famille monégasque et à l’aide sociale ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’Ordonnance Souveraine n° 5.570 du 23 novembre 2015 portant création de l’allocation parent isolé ;
Vu l’Ordonnance Souveraine n° 5.641 du 14 décembre 2015 portant création d’une Direction de l’Action et de l’Aide Sociales ;
Vu l’Ordonnance Souveraine n° 7.374 du 1er mars 2019 portant modification de l’Ordonnance Souveraine n° 5.570 du 23 novembre 2015 portant création de l’allocation parent isolé ;
Vu l’arrêté ministériel n° 2019-207 du 1er mars 2019 portant modification de l’arrêté ministériel n° 2015-700 du 23 novembre 2015 portant application de l’Ordonnance Souveraine n° 5.570 du 23 novembre 2015 portant création de l’allocation parent isolé, modifiée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la demande d’avis déposée par le Ministre d’État le 21 février 2022 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Gestion de l’Allocation Parent Isolé » ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 18 mai 2022 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Direction de l’Action et de l’Aide Sociales (DASO) est chargée de toutes missions relatives à l’action et à l’aide sociales en Principauté.
Afin de mener à bien lesdites missions, elle souhaite assurer, en coordination avec l’Office de Protection Sociale (OPS), la gestion des dossiers relatifs à l’allocation parent isolé au bénéfice de « toute personne veuve, divorcée, séparée ou abandonnée qui n’est pas mariée ou ne vit pas maritalement avec une autre personne et qui assume la charge effective et permanente d’un ou plusieurs enfants de nationalité monégasque ».
Le traitement automatisé d’informations nominatives objet de la présente délibération est donc soumis à l’avis de la Commission conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Ce traitement a pour finalité « Gestion de l’Allocation Parent Isolé ».
Il est dénommé « Allocation Parent Isolé » ou « API ».
Les personnes concernées sont les bénéficiaires de l’allocation et les membres du foyer, le représentant légal le cas échéant et le personnel habilité de la DASO.
Enfin, les fonctionnalités sont les suivantes :
- permettre au personnel habilité d’avoir accès aux applications informatiques mises en place afin d’assurer la gestion et le suivi des dossiers d’allocation parent isolé ;
- déterminer l’ouverture de droit à l’allocation parent isolé et le montant de cette prestation ;
- échanger des correspondances avec les bénéficiaires de cette allocation ;
- créer et actualiser les fiches bénéficiaires ;
- procéder au tirage des listings des bénéficiaires aux fins de paiement ;
- transférer les données nécessaires au traitement des dossiers vers l’Office de Protection Sociale (OPS), établissement payeur ;
- émettre les certificats de paiement aux fins de contrôle et signature du Directeur de l’OPS et du Contrôle Général des Dépenses ;
- adresser les ordres de virement bancaire aux fins de versement de l’API sur le compte des bénéficiaires ;
- établir des attestations de perception ou de non perception de l’allocation parent isolé, à la demande du bénéficiaire ;
- procéder à des vérifications et contrôles éventuels des informations communiquées par l’administré ;
- assurer le suivi administratif et financier des dossiers (modification, renouvellement et suppression) ;
- gérer les contentieux (indu, trop perçu, suspension) ;
- établir des tableaux de bord non nominatifs (mouvement, budget prévisionnel, études, mailing courrier) et des statistiques non nominatives ;
- transférer des informations à l’Autorité de Tutelle (Département des Affaires Sociales et de la Santé) afin de lui permettre de mettre en œuvre des actions d’information au bénéfice des personnes.
La Commission constate ainsi que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le traitement dont s’agit est tout d’abord justifié par le respect d’une obligation légale à laquelle est soumis le responsable de traitement.
La Commission constate ainsi que « Le traitement s’inscrit dans une démarche du Gouvernement Princier formalisée par la loi n° 1.465 du 11 décembre 2018 relative à l’aide familiale monégasque et à l’aide sociale et par l’Ordonnance Souveraine n° 7.374 du 1er mars 2019 portant modification de l’Ordonnance Souveraine n° 5.570 du 23 novembre 2015 portant création de l’allocation parent isolé ».
Elle relève que « Le traitement permet la mise en application des engagements de l’État portant sur l’aide à la famille monégasque qui consiste à verser mensuellement une allocation au parent isolé, pour les enfants dont il a la charge, jusqu’à l’âge auquel prend fin l’obligation scolaire si l’enfant satisfait à cette obligation et sous réserve de remplir les conditions d’octroi ».
La Commission prend acte par ailleurs que « L’instruction des demandes et la gestion de cette prestation font partie des attributions de la DASO décrites dans l’Ordonnance Souveraine n° 5.641 du 14 décembre 2015 ».
Le traitement est également justifié par la réalisation d’un intérêt légitime poursuivi par le responsable de traitement qui ne méconnaît ni l’intérêt, ni les droits et libertés fondamentaux de la personne concernée, à savoir « celui de pouvoir répondre à sa mission dans les meilleures conditions et dans le respect des droits des personnes formalisés par des textes transparents et clairs quant aux informations nécessaires pour répondre à leur demande ».
Enfin, le traitement est justifié par un motif d’intérêt public.
À cet égard, le responsable de traitement indique que celui-ci « repose sur le respect d’un droit fondamental garanti par la Constitution monégasque en son article 26 qui dispose que « Les Monégasques ont droit à l’aide de l’État en cas d’indigence, chômage, maladie, invalidité, vieillesse et maternité, dans les conditions et formes prévues par la loi ». ».
Le responsable de traitement précise que « Se fondant sur ce principe, la loi n° 1.465 du 11 décembre 2018 relative à l’aide à la famille monégasque et à l’aide sociale permet de renforcer ce modèle social, en favorisant l’éducation et l’entretien d’un enfant de nationalité monégasque, dans les conditions et selon les modalités prévues par l’Ordonnance Souveraine n° 5.570 du 23 novembre 2015 portant création de l’allocation parent isolé, modifiée, et par l’arrêté ministériel n° 2019-207 du 1er mars 2019 portant modification de l’arrêté ministériel n° 2015-700 du 23 novembre 2015 portant application de l’Ordonnance Souveraine précitée ».
La Commission note également que « La Direction de l’Action et de l’Aide Sociales est chargée d’instruire les demandes d’aides et de prestations en matière sociale servies par l’État ou pour son compte, dont l’aide en objet ».
Elle prend acte enfin que « Les données sensibles traitées sont prévues par les textes précités, notamment par l’arrêté ministériel n° 2015-700 pour la liste des pièces justificatives demandées ».
Au vu de ce qui précède, la Commission considère que le traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations nominatives traitées
Les informations nominatives traitées sont :
- Identité, situation familiale, coordonnées :
- Pour le demandeur :
• identité : civilité, nom d’usage, prénom, date et lieu de naissance, nationalité ;
• situation de famille : nombre de personnes dans le foyer, nombre d’enfants, situation familiale, mesure de tutelle, adoption, séparation, justificatif d’interruption ou de fin d’activité professionnelle, nationalité de(s) enfant(s) ;
• coordonnées : adresse du domicile, coordonnées téléphoniques et électroniques ;
• documents d’identité : photocopie de la carte d’identité ou carte de séjour.
- Pour les personnes vivant au foyer :
• identité : civilité, nom, nom d’usage, prénom, date de naissance ;
• coordonnées : adresse du domicile, coordonnées téléphoniques et électroniques ;
• enfants à charge : nombre, nom, prénom, date de naissance, nationalité et certificat de nationalité de(s) enfant(s).
La Commission prend acte que les cartes d’identité ou cartes de séjour du demandeur et des membres du foyer ainsi que les cartes d’étudiant ou les certificats de scolarité sont photocopiés, barrés et scannés en noir et blanc.
Elle note également que « S’agissant des copies de l’extrait de la copie de l’Ordonnance de non conciliation ou de séparation de corps ou de jugement de divorce pour les personne séparées ou divorcées, uniquement les données nécessaires à l’instruction du dossier sont collectées et conservées strictement à cette fin ».
- Les ressources financières (justificatifs papier scannés et enregistrés) sur les 12 derniers mois :
- revenus professionnels et assimilés, attestation des sommes perçues au titre d’une allocation chômage, attestation des pensions d’invalidité, attestation des pensions de retraites directes et/ou de réversion, attestation des prestations familiales :
• pour les professions libérales : une déclaration fiscale ou une déclaration certifiée ou une attestation sur l’honneur des revenus perçus pour le dernier exercice ;
• pour les commerçants ou actionnaires de société : un bilan et un compte de résultat certifié par un expert-comptable ou un comptable agréé par activité, le cas échéant une déclaration fiscale. Une attestation complémentaire du comptable par activité, précisant le revenu net d’apports perçus ainsi que la part du bénéfice distribué, attestation bancaire des revenus de valeurs et capitaux financiers pour l’année civile précédente, revenus immobiliers, allocation logement et le montant actualisé de la part contributive à l’éducation et à l’entretien de l’enfant et/ou pension alimentaire et/ou prestation compensatoire ;
• pour les personnes hébergées en foyer : justificatifs de tout revenu perçu au cours des 12 derniers mois ;
• pour le demandeur ayant la qualité d’étudiant : certificat d’inscription dans une université ou une école supérieure de commerce, montant de la bourse allouée pour la dernière année universitaire, avis d’impôt sur le revenu ;
- charges du foyer :
• pour les locataires : dernière quittance de loyer et charges (taxe d’habitation pour les locataires en France - résidence principale), bail à loyer ;
• pour les propriétaires (résidence principale) : échéancier des intérêts d’emprunt immobilier, décompte des charges annuelles, taxes foncières et habitation ;
• pour les hébergés : attestation sur l’honneur de l’hébergeant ;
- relevé d’identité bancaire.
La Commission prend acte que les informations relatives aux ressources financières sont nécessaires à l’instruction du dossier, au calcul déterminant l’ouverture de droit à l’Allocation parent isolé et le montant de cette prestation.
- Les données de santé (certificat médical notifiant l’incapacité pour un enfant âgé au plus de 21 ans de poursuivre ses études ou de se livrer à une activité salariée).
La Commission observe à cet égard qu’aucune donnée médicale n’est inscrite sur ce certificat et que ledit certificat ne fait pas partie des données à joindre au formulaire de renseignement mais qu’il peut être demandé pour vérifier les conditions d’octroi.
Elle note par ailleurs que ce document est nécessaire pour autoriser le versement de l’API en cas de non scolarisation de l’enfant pour lequel le parent ou le représentant légal sollicite cette prestation.
- Informations sur le personnel habilité de la DASO :
- données d’identification électronique : login et mot de passe ;
- informations temporelles : logs de connexion ;
- identité : nom, prénom, accès autorisé ;
- éléments de traçabilité : date, heure, nom, prénom, action.
Les informations relatives à l’identité ainsi que les données de santé ont pour origine le demandeur de l’API ou son représentant légal le cas échéant.
Les caractéristiques financières ont pour origine le demandeur ou son représentant légal et les personnes hébergées au foyer.
Les données d’identification électronique ont pour origine la Direction des Systèmes d’Information pour le login et l’utilisateur pour le mot de passe.
Les logs de connexion et les éléments de traçabilité des dossiers ont pour origine le système.
Enfin, les informations relatives à l’identité des agents habilités à avoir accès au traitement ont pour origine le responsable de service.
La Commission considère ainsi que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
- Sur l’information préalable des personnes concernées
L’information préalable des personnes concernées est effectuée par le biais d’une mention sur le formulaire de demande de l’allocation parent isolé.
À l’analyse de ce document, la Commission considère que celui-ci est conforme à l’article 14 de la loi n° 1.165 du 23 décembre 1993.
Elle note également que la possibilité pour la DASO de demander, recevoir ou communiquer à d’autres services administratifs monégasques des éléments concernant le bénéficiaire fait l’objet d’une autorisation particulière par le biais de deux cases à cocher (« Je l’y autorise » et « Je ne l’y autorise pas ») au sein même du formulaire.
- Sur l’exercice du droit d’accès, de modification et de mise à jour
Le droit d’accès s’exerce sur place ou par voie postale auprès de la Direction de l’Action et de l’Aide Sociale - Division de l’Aide Sociale Financière.
La Commission constate ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.
V. Sur les destinataires et les personnes ayant accès au traitement
- Sur les destinataires
Le responsable de traitement indique que « Dans la limite de leurs attributions et chacun pour ce qui le concerne, sont destinataires d’informations nominatives issues du présent traitement, en fonction du type de demande :
- les Services Administratifs compétents : Afin de contrôler la réalité des déclarations effectuées par le demandeur des aides sociales sur sa situation familiale, personnelle, financière ou de résidence, les personnes dûment habilitées à instruire des demandes d’allocations d’aides sociales peuvent également demander aux administrations publiques toutes les informations utiles même couvertes par le secret de la vie privée, à la condition que ces informations soient strictement nécessaires au contrôle des conditions de bénéfice de ces aides, telles qu’elles sont prévues à l’article 19 de la loi n° 1.465 du 11 décembre 2018. L’échange d’information, visé à l’alinéa ci-dessus, est effectué au cas particulier et aux fins de contrôle uniquement et ne donne pas lieu à la création d’échanges systématisés ;
- l’OPS, organisme payeur ;
- le représentant légal du demandeur, peut solliciter l’octroi de l’allocation parent isolé pour le compte de la personne qu’il représente, adresser et recevoir des correspondances avec la DASO ;
- la Direction de l’Habitat peut être destinataire des informations, avec l’accord du demandeur, pour connaître le montant de l’allocation parent isolé perçu par le demandeur, nécessaire à l’instruction de son dossier d’allocation nationale au logement ;
- l’Administration des Domaines peut être destinataire des informations, avec l’accord du demandeur, pour le paiement partiel ou total d’un loyer ou d’une dette locative ;
- la Direction de l’Éducation Nationale, de la Jeunesse et des Sports : la DASO édite à la demande du bénéficiaire une attestation de perception et le cas échéant le montant de l’allocation parent isolé ou une attestation de non perception de cette prestation (dans le cadre d’une demande de bourse d’études). Cette attestation est communiquée au demandeur qui l’adresse à la DENJS ;
- le Contrôle Général des Dépenses contrôle, valide et signe les certificats de paiement établis par la comptable de la DASO ;
- la Direction du Budget et du Trésor (si le montant est supérieur à 50.000 euros par bénéficiaire) aux fins de signature et paiement de l’allocation ;
- le Département des Affaires Sociales et de la Santé, autorité de Tutelle : pour le suivi de l’octroi de l’aide permettant la mise en œuvre d’actions d’information au bénéfice des personnes, dans le cadre d’une consultation pour instruction d’un dossier complexe, pour toute demande de dérogation ou dans le cadre d’une contestation ou recours administratif contre une décision rendue ».
La Commission en prend acte et considère que ces transmissions sont conformes aux exigences légales.
- Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
- le comptable de la DASO : création, consultation, mise à jour et suppression des fiches bénéficiaires ;
- l’Attaché Principal Hautement Qualifié (binôme de la comptable) : création, consultation, mise à jour et suppression des fiches bénéficiaires ;
- le Chef de bureau de la DASO en charge de l’API : consultation des fiches bénéficiaires et tout accès à l’application métier OPS - Aide à la famille ;
- le Chef de bureau de la DASO en charge des allocations versées aux personnes attributaires du statut handicapé (binôme du Chef de bureau chargé de l’API ) : consultation des fiches bénéficiaires et tout accès à l’application métier OPS - Aide à la famille ;
- le Chargé de mission de la DASO, le Directeur de l’OPS : consultation des fiches bénéficiaires ;
- l’Administrateur de la DASO : consultation des fiches bénéficiaires ;
- le Directeur de la DASO : consultation des fiches bénéficiaires, accès en création et consultation de la base courrier ;
- l’Adjoint au Directeur de la DASO : consultation des fiches bénéficiaires et de la base courrier ;
- le Chef de bureau du secrétariat, l’attaché et le secrétaire-sténodactylographe de la DASO : consultation des fiches bénéficiaires : tout accès à la base courrier ;
- les agents habilités de la DSI et toute personne travaillant sous son autorité : accès dans le cadre de leurs missions d’assistance technique et de maintenance.
Concernant ces derniers, la Commission rappelle que les accès effectués aux informations métiers de la DASO par la DSI, ainsi qu’aux sauvegardes, doivent être tracés et conservés et demande qu’un message/une alerte soit envoyé(e) au responsable métier l’informant de cet accès qui sera préalablement justifié ou devra l’être.
De même, elle demande que toute réplication/copie des applications métiers et bases courriers soit autorisée par le responsable de service, tracée par le système et fasse l’objet d’une alerte auprès du responsable métier.
Sous ces conditions, considérant les attributions de chacune de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.
VI. Sur les interconnexions et rapprochements
Le responsable de traitement indique que le présent traitement fait l’objet de trois interconnexions avec les traitements ayant respectivement pour finalité « Gestion des habilitations et des accès au Système d’information », « Gestion des techniques automatisées de communication (outil métier) » et « Gestion de la messagerie professionnelle » ainsi que d’un rapprochement avec le traitement ayant pour finalité « Assistance aux utilisateurs par le Centre de Service de la DSI ».
La Commission prend acte que ces traitements ont été légalement mis en œuvre par la Direction des Systèmes d’Information.
Le responsable de traitement indique par ailleurs que le traitement fait également l’objet d’un rapprochement avec le traitement ayant pour finalité « Gestion du paiement des prestations et des aides sociales » légalement mis en œuvre par l’Office de Protection Sociale.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations appellent plusieurs informations.
La Commission rappelle ainsi que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
Elle rappelle également que toute communication d’informations confidentielles et/ou sensibles par voie électronique doit être sécurisée.
La Commission constate en outre que les informations et données sont enregistrées dans les fichiers Excel et Word sans sécurité.
Elle demande donc que lesdites informations et données soient chiffrées ou ne soient uniquement accessibles que par les personnes ayant à en connaître.
La Commission rappelle par ailleurs que la copie et l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception.
Elle rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Le responsable de traitement indique que la durée de conservation des informations relatives à l’identité et aux ressources financières « est définie par le référentiel d’archivage en cours de validation. Elle correspond à l’année en cours d’instruction du dossier et les 5 années précédentes, Les 5 années sont établies selon le délai de prescription légale se rapportant au délai de procédure liée à la restitution de l’indu. Au-delà ces documents seraient détruits. ».
Le certificat médical est quant à lui conservé 1 an. À cet égard, le responsable de traitement indique que « La durée de conservation correspond à l’année en cours d’instruction du dossier, dans la mesure où le bénéfice de l’allocation parent au foyer est accordé au plus pour une année. Passé ce délai, ce document sera détruit. ».
Par ailleurs, les logs de connexion sont conservés 180 jours.
Enfin, les données d’identification électronique, les informations relatives au personnel habilité à avoir accès au traitement et les éléments de traçabilité sont conservées tant que la personne est autorisée à avoir accès.
Concernant ces derniers, la Commission demande qu’ils ne soient conservés qu’un an maximum.
Sous cette condition, la Commission considère que ces durées sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Rappelle que :
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort ;
- toute communication d’informations confidentielles et/ou sensibles par voie électronique doit être sécurisée ;
- la copie et l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception.
Demande que :
- les accès effectués aux applications métiers et bases courriers par la DSI ainsi que les sauvegardes de ces accès soient collectés et qu’un message/une alerte soit envoyé(e) au responsable métier l’informant de cet accès qui sera préalablement justifié ou devra l’être ;
- toute réplication/copie des applications métiers et bases courriers soit autorisée par le responsable de service, tracée par le système et fasse l’objet d’une alerte auprès du responsable métier ;
- les informations et données enregistrées dans les fichiers Excel et Word soient chiffrées ou ne soient uniquement accessibles que par les personnes ayant à en connaître.
Fixe la durée de conservation des éléments de traçabilité à 1 an maximum.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par le Ministre d’État du traitement automatisé d’informations nominatives ayant pour finalité « Gestion de l’Allocation Parent Isolé ».
Le Président de la Commission de
Contrôle des Informations Nominatives.