icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2022-87 du 22 juin 2022 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion du maintien opérationnel du Système d'Information » exploité par la Direction des Systèmes d'Information présenté par le Ministre d'État.

  • N° journal 8598
  • Date de publication 08/07/2022
  • Qualité 100%
  • N° de page

Vu la Constitution ;

Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré, modifiée ;

Vu l’Ordonnance Souveraine n° 7.996 du 12 mars 2020 portant création de la Direction des Systèmes d’Information ;

Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;

Vu la demande d’avis déposée par le Ministre d’État, le 22 février 2022, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Gestion des ressources du Système d’Information » ;

Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 22 avril 2022, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 22 juin 2022 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

Les Services de l’Administration souhaitent automatiser les opérations d’inventaires des matériels et ressources du Système d’Information gérés par la Direction des Systèmes d’Information, les contrôles du niveau de sécurité ainsi que les mises à jour et mises en œuvre d’actions correctives nécessaires.

Ainsi, le traitement automatisé d’informations nominatives y afférent est soumis à l’avis de la Commission, conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.

I. Sur la finalité et les fonctionnalités du traitement

Le traitement a pour finalité « Gestion des ressources du Système d’Information ».

Il concerne les fonctionnaires et les agents de l’État (en ce compris, les stagiaires qui font usage des systèmes d’informations de l’État) ainsi que les prestataires sous contrat avec l’Administration dotés d’un poste de travail du Gouvernement.

La Commission relève que les administrateurs de la solution sont également susceptibles d’être concernés par le traitement.

Le responsable de traitement indique que le présent traitement lui permet d’effectuer des actions techniques sur les ressources du Système d’Information (SI) notamment les maintiens en condition opérationnelle et en condition de sécurité.

Les fonctionnalités associées au présent traitement sont :

-  « installer les mises à jour sur les postes de travail ;

-  installer les applications sur les ressources par défaut ou selon les besoins identifiés par les utilisateurs ;

-  identifier et grouper les matériels et ressources (ex. poste, logiciels) du SI ;

-  identifier si le poste est connecté pour veiller à la qualité de sa mise à jour ;

-  établir des statistiques non nominatives ;

-  permettre de contacter un utilisateur afin d’effectuer des vérifications, si nécessaire ;

-  possibilité de prise de main à distance sur certaines ressources, avec l’autorisation de l’utilisateur ;

-  réaliser la masterisation des postes de travail ;

-  possibilité d’extraire les paramétrages des postes de travail ».

La Commission rappelle que la finalité doit être « déterminée, explicite et légitime » conformément aux termes de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.

En l’espèce elle considère que la finalité doit être modifiée afin de mentionner plus précisément l’objectif du traitement.

Aussi elle modifie la finalité comme suit : « Gestion du maintien opérationnel du Système d’Information ».

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le présent traitement est justifié par la réalisation d’un intérêt légitime qu’il poursuit sans que ne soient méconnus ni l’intérêt, ni les libertés et droits fondamentaux de la personne concernée.

Il précise que « le traitement s’inscrit dans le cadre des missions de la DSI telles que définies par exemple par l’Ordonnance Souveraine n° 7.996 du 12 mars 2020 portant création de la DSI, par la PSSIE et les règles fixées par l’AMSN » et « entre, plus particulièrement, dans les missions se rapportant au maintien en condition de sécurité et en condition opérationnelle du système d’information issues de cette ordonnance souveraine, de la PSSIE, de la Charte des Systèmes d’Information de l’État et de la Charte des administrateurs ».

Le responsable de traitement souligne par ailleurs que « les droits et libertés des personnes sont respectés par la transparence des politiques visant à assurer la sécurité et la confidentialité des ressources par le biais de la PSSIE et de chartes accessibles à tous au Journal de Monaco et sur le portail du Gouvernement ».

Enfin, la Commission prend acte que « le traitement n’a pas pour objet de surveiller les personnes concernées ».

La Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165, modifiée.

III. Sur les informations traitées

Les informations nominatives exploitées aux fins du présent traitement sont :

-  identité : nom et prénom de l’utilisateur ;

-  informations temporelles et horodatage : log (dont login, accountname) ;

-  données relatives à l’administrateur de la solution : login et log de connexion ;

-  ressources : numéro de poste ;

-  utilisateurs : login des postes de travail et des utilisateurs (premier et dernier connecté), actions effectuées.

Les informations relatives à l’identité et aux ressources ont pour origine la DSI. Les informations temporelles et celles relatives aux utilisateurs sont par ailleurs générées par le système.

La Commission considère que les informations ainsi collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.

IV.   Sur les droits des personnes concernées

  • Sur l’information préalable des personnes concernées

L’information préalable des personnes concernées est réalisée par le biais d’un document diffusé sur l’intranet du Gouvernement.

La Commission relève que la mention jointe au dossier est conforme aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.

En outre, elle prend acte du fait qu’une notice d’information est intégrée dans le livret d’accueil des nouveaux arrivants à la DSI.

La Commission souligne que toutes les personnes concernées par le présent traitement doivent avoir été mises en mesures de prendre connaissance de la mention d’information qui, pour certaines d’entre elles, n’est accessible que depuis l’Intranet. Aussi elle rappelle que les personnes concernées doivent bénéficier d’une information individuelle afin qu’elle puissent valablement consulter la mention d’information.

  • Sur l’exercice du droit d’accès, de modification et de mise à jour

Le droit d’accès s’exerce par voie postale auprès de la Délégation Interministérielle chargée de la Transition Numérique.

À cet égard, la Commission rappelle que la réponse à ce droit d’accès doit intervenir dans le mois suivant la réception de la demande.

Elle relève par ailleurs, de la mention d’information jointe au dossier, que le droit d’accès peut également s’effectuer par voie électronique.

Aussi, s’agissant de l’exercice du droit d’accès par voie électronique, la Commission considère qu’une procédure devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.

Sous cette réserve, elle constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.

V. Sur les personnes ayant accès au traitement

Le responsable de traitement indique que les personnes ayant accès au traitement sont « les personnels habilités de la DSI », tels que :

-  les administrateurs SI de la solution (niveaux 2 et 3) : en lecture et suppression ;

-  les administrateurs SI de la solution (niveau 1 – CDS et équipe projet DSI) : en lecture ;

-  les auditeurs : accès en lecture ;

-  les personnels de la SECOPS : accès en lecture ; Il est indiqué que ces derniers ont accès aux seuls logs.

-  les gestionnaires des Database DSI : accès en lecture, consultation, modification et suppression. Il est précisé que ces derniers disposent d’un accès à la donnée dans leur périmètre de responsabilité.

Considérant les attributions de chacune de ces personnes et, eu égard à la finalité du traitement, la Commission considère que les accès susvisés sont justifiés.

VI.   Sur les rapprochements et interconnexions avec d’autres traitements

Le responsable de traitement indique que le présent traitement fait l’objet de rapprochements avec les traitements légalement mis en œuvre, suivants :

-  « Gestion du parc informatique » afin de vérifier, si nécessaire, l’identité de l’utilisateur auquel un équipement a été confié ;

-  « Assistance aux utilisateurs par le Centre de Service de la DSI » pour effectuer les demandes relatives au SI et, pour les agents de la DSI, rendre des comptes de leurs actions au travers des tickets GLPI ;

-  « Gestion de la messagerie professionnelle » pour permettre aux acteurs d’échanger selon les besoins de leurs missions.

Il est également interconnecté avec les traitements légalement mis en œuvre suivants :

-  « Gestion des habilitations et des accès au Système d’information par l’Active Directory » afin de gérer les accès accordés aux administrateurs sur la solution et identifier les utilisateurs et leurs postes sur le réseau ;

-  « Gestion et analyse des évènements du système d’information » pour veiller à la traçabilité et à la sécurité des actions effectuées sur le réseau.

La Commission considère que ces rapprochements et ces interconnexions sont conformes aux exigences légales.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.

Cependant, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165 modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement, au regard des risques présentés par ce traitement et de la nature des données à protéger, devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Les informations relatives à l’identité de l’utilisateur sont conservées tant que l’utilisateur est habilité à avoir accès au Système d’Information.

Les informations temporelles sont supprimées au bout de 20 jours. Enfin, les informations concernant les ressources (numéro de poste) sont conservées tant que le poste est dans le système et celles relatives aux utilisateurs (logins des postes de travail et des utilisateurs ainsi que les actions effectuées) jusqu’à connexion et déconnexion de l’utilisateur suivant.

Compte tenu de la nature de ce traitement la Commission considère que ces durées sont conformes aux exigences légales.

Après en avoir délibéré, la Commission :

Modifie la finalité comme suit : « Gestion du maintien opérationnel du Système d’Information ».

Rappelle que :

-  les personnes concernées doivent être mises en mesure de prendre connaissance de la mention d’information relative au présent traitement ;

-  les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switch, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

Considère qu’une procédure relative au droit d’accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations.

À la condition de la prise en compte des éléments qui précèdent,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion du maintien opérationnel du Système d’Information ».

Le Président de la Commission de
Contrôle des Informations Nominatives.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14