Délibération n° 2022-94 du 20 juillet 2022 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des habilitations et des accès au Système d'Information de la Mairie de Monaco » présenté par la Commune de Monaco.
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés fondamentales du Conseil de l’Europe du 4 novembre 1950, et notamment son article 10 ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 et son protocole additionnel ;
Vu la loi n° 1.096 du 7 août 1986 portant statut des fonctionnaires de la Commune, modifiée ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives, modifiée ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’Ordonnance Souveraine n° 4.934 du 22 août 2014 relative aux obligations déontologiques des fonctionnaires de la Commune ;
Vu l’arrêté municipal n° 2019-559 du 14 février 2019 portant application de l’Ordonnance Souveraine n° 4.934 du 22 août 2014 relative aux obligations déontologiques des fonctionnaires de la Commune ;
Vu l’arrêté municipal n° 2019-561 du 14 février 2019 portant application de l’Ordonnance Souveraine n° 4.934 du 22 août 2014 relative aux obligations déontologiques des fonctionnaires de la Commune ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la demande d’avis déposée par la Commune de Monaco le 3 mai 2022 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Gestion des habilitations et des accès au Système d’Information de la Mairie de Monaco » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 1er juillet 2022, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230, du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 20 juillet 2022 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Commune de Monaco exploite un système d’information permettant à ses Services de fonctionner conformément aux missions qui leur sont dévolues. Pour autant, les personnes concernées par le traitement ne doivent pouvoir accéder qu’aux seules informations strictement nécessaires aux postes et aux fonctions qu’elles occupent.
À cet effet, la Mairie de Monaco déploie un traitement de gestion des habilitations permettant de gérer l’authentification des utilisateurs à son système d’information, veillant ainsi à la légitimité des accès et participant de ce fait à la sécurité de ces derniers.
Ledit traitement, objet de la présente délibération, est donc soumis à l’avis de la Commission conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « Gestion des habilitations et des accès au Système d’Information de la Mairie de Monaco ».
Les personnes concernées sont les Élus du Conseil Communal, les fonctionnaires de la Commune, les agents de la Commune, les suppléants et les prestataires.
Enfin, les fonctionnalités de ce traitement sont les suivantes :
- gestion des comptes utilisateurs (création, modification, désactivation, suppression) ;
- gestion des profils et groupes d’utilisateurs ;
- gestion des autorisations d’accès aux ressources informatiques (création, modification, désactivation, suppression) ;
- gestion de la mobilité et des départs ;
- gestion des mots de passe temporaires ;
- gestion du Système d’Information (SI) : maîtrise des accès au SI ;
- établissement de statistiques, indicateurs et tableaux de bord ;
- permettre la supervision des accès aux applications (veiller à la journalisation des accès, collecter et enregistrer des évènements systèmes (logs) permettant de tracer les accès des utilisateurs aux applications et aux données ;
- établir des alertes et/ou des rapports qui permettent de détecter des risques de malveillance et de s’assurer de la cohérence des accès avec les habilitations délivrées ;
- disposer, le cas échéant, de preuves en cas d’infraction avec possibilité d’extraction et/ou de copies sur un support distinct protégé en vue d’une communication aux Autorités compétentes habilitées.
La Commission prend acte des précisions du responsable de traitement selon lesquelles les statistiques et les rapports sont non nominatifs.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément à l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le traitement est justifié à la fois par le respect d’une obligation légale à laquelle il est soumis et par « la réalisation d’un intérêt légitime poursuivi [par lui et qui] ne méconnaît ni l’intérêt, ni les droits et libertés fondamentaux de la personne concernée ».
Il précise à cet effet que « La mise en place d’un tel outil est nécessaire au fonctionnement sécurisé d’un système d’information qui résulte des attributions du Service Informatique de la Commune et particulièrement du Responsable de Sécurité des Systèmes d’Information ».
Le responsable de traitement mentionne en outre que « La politique de Sécurité des Systèmes d’Information de la Commune annexée à l’arrêté municipal n° 2019-561 du 14 février 2019 ainsi que la charte Administrateur Réseaux et Système d’Information annexée à l’arrêté municipal n° 2019-559 du 14 février 2019, sont opposables à l’ensemble des personnes concernées par le présent traitement :
- Les Élus du Conseil Communal sont tenus de respecter ces deux documents en vertu du Règlement Intérieur du Conseil Communal qui leur est opposable.
- Les fonctionnaires y sont soumis par le fait que les deux textes sont pris par arrêtés municipaux portant application de l’Ordonnance Souveraine n° 4.934 du 22 août 2014 relative aux obligations déontologiques des fonctionnaires de la Commune et qui ajoutent des obligations aux fonctionnaires, outre celles déjà consacrées dans la loi n° 1.096 du 7 août 1986 portant statut des fonctionnaires de la Commune, modifiée.
- Les agents de la Commune et les suppléants sont tenus au respect de ces deux textes :
o Par une clause particulière de leur contrat de travail concernant la PSSI -C [Politique de Sécurité des Systèmes d’information de la Commune] ;
o Par la signature d’un accusé de réception les engageant à respecter la Charte Administrateur Réseaux et Systèmes d’Information ».
Au vu de ce qui précède, la Commission considère donc que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Les informations traitées sont les suivantes :
- identité : nom, prénom, matricule (optionnel) ;
- adresses et coordonnées du personnel communal : adresse électronique professionnelle, numéro de téléphone fixe professionnel ;
- formation, diplômes, vie professionnelle : société (si prestataire), poste, fonction, service, hiérarchie, groupe utilisateurs affecté, date de début et de fin de mission pour les prestataires ;
- données d’identification électronique : identifiant utilisateur, mot de passe chiffré ;
- informations temporelles : logs de connexion, numéro du poste de travail, numéro d’utilisateur ;
- identificateur de demandeur : nom, prénom ;
- matrices responsabilités/actions sur le système d’habilitation : nom, prénom, actions possibles et ressources.
Les informations relatives à l’identité, à la formation, aux diplômes et à la vie professionnelle des Élus du Conseil Communal, des fonctionnaires de la Commune, des agents de la Commune et des suppléants ont pour origine le traitement ayant pour finalité « Gestion des personnels - processus d’embauchage » et le Chargé de Mission pour les Ressources Humaines du Secrétariat Général.
Les informations relatives à l’identité, à la formation, aux diplômes et à la vie professionnelle des prestataires ont pour origine les prestataires eux-mêmes.
Les adresses et coordonnées du personnel communal et les identifiants ont pour origine le Service Informatique.
Le mot de passe a pour origine l’intéressé.
Les informations temporelles ainsi que la matrice des responsabilités et les actions sur le système d’habilitation sont générées par le système.
Enfin l’identificateur du demandeur a pour origine le demandeur lui-même.
La Commission considère ainsi que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
- Sur l’information préalable des personnes concernées
Le responsable de traitement indique que l’information préalable s’effectue tout d’abord par le biais d’une mention d’information écrite lors de la communication des identifiants de connexion à la personne concernée.
Elle s’effectue par ailleurs, concernant les Élus du Conseil Communal et le personnel de la Mairie, par le biais d’une Politique Générale de la protection des données à caractère personnel accessible depuis l’Intranet de la Mairie de Monaco.
À l’analyse des documents joints au dossier, la Commission considère que les modalités d’information préalable des personnes sont conformes aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993.
- Sur l’exercice du droit d’accès
Le responsable de traitement indique que le droit d’accès s’exerce par voie postale ou par courrier électronique auprès du Data Protection Office (DPO).
À cet égard, la Commission rappelle que la réponse à ce droit d’accès doit intervenir dans le mois suivant la réception de la demande.
S’agissant de l’exercice du droit d’accès par voie électronique, la Commission considère qu’une procédure devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.
La Commission considère que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.
V. Sur les destinataires et les personnes ayant accès au traitement
- Sur les destinataires
Le responsable de traitement indique que les informations sont susceptibles d’être communiquées aux Autorités judiciaires compétentes.
La Commission estime ainsi que la communication à la Direction de la Sûreté Publique peut être justifiée par les besoins d’une enquête judiciaire. À cet égard, la Commission rappelle qu’en cas de transmission, ladite direction ne pourra avoir accès aux informations objet du traitement, que dans le strict cadre de ses missions légalement conférées.
Sous ces conditions, elle considère donc que de telles transmissions sont conformes aux exigences légales.
- Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
- les Administrateurs du Service Informatique : tous droits selon leur niveau d’habilitation ;
- le prestataire informatique : tous droits à des fins d’administration des systèmes limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestations de services.
Considérant les attributions de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.
En ce qui concerne le prestataire, la Commission rappelle toutefois que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service. De plus, ledit prestataire est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
VI. Sur les rapprochements et les interconnexions
Le responsable de traitement indique que le présent traitement est rapproché avec le traitement ayant pour finalité « Gestion des personnels - processus d’embauchage », et s’interconnecte avec tous les traitements présents et à venir dont les applicatifs ont besoin pour gérer les habilitations.
La Commission en prend acte et considère que ces rapprochements et interconnexions sont conformes aux exigences légales.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
Cependant, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
La Commission rappelle que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur les durées de conservation
Le responsable de traitement indique que les informations relatives à l’identité, aux adresses et coordonnées et à la vie professionnelle sont conservées 90 jours après le départ de l’intéressé.
Il précise toutefois que « Cette durée pourrait être portée à titre exceptionnel au temps que dure une procédure en cas de litige ».
Les informations temporelles et les données relatives à l’identification de demandeur sont conservées 1 an.
Les données d’identification électronique sont conservées tant que la personne est en poste.
Enfin, les informations concernant la matrice des responsabilités et les actions sur le système d’habilitation sont conservées le temps de l’affectation de la personne.
Par ailleurs, les informations temporelles sont conservées 1 an.
Au vu de ce qui précède, la Commission considère que ces durées sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Considère qu’une procédure relative au droit d’accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations.
Rappelle que :
- la réponse à un droit d’accès doit intervenir dans le mois suivant la réception de la demande ;
- la Direction de la Sûreté Publique ne peut avoir accès aux informations objet du traitement que dans le strict cadre de ses missions légalement conférées ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
À la condition de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par la Commune de Monaco du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des habilitations et des accès au Système d’Information de la Mairie de Monaco ».
Le Président de la Commission de
Contrôle des Informations Nominatives.