Délibération n° 2023-58 du 19 avril 2023 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre de la modification du traitement automatisé d'informations nominatives ayant pour finalité « Postuler aux emplois publics par téléservice », exploité par la Direction des Ressources Humaines et de la Formation de la Fonction Publique, présentée par le Ministre d'État.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 188 du 18 juillet 1934 relative aux fonctions publiques, modifiée ;
Vu la loi n° 975 du 12 juillet 1975 portant statut des fonctionnaires de l’État, modifiée ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’Ordonnance Souveraine n° 6.365 du 17 août 1978 fixant les conditions d’application de la loi n° 975 du 12 juillet 1975, susvisée ;
Vu l’Ordonnance Souveraine n° 9.640 du 23 décembre 2022 portant dispositions générales de caractère statutaires applicables aux agents contractuels de l’État ;
Vu l’Ordonnance Souveraine n° 1.635 du 30 avril 2008 fixant les attributions de la Direction des Ressources Humaines et de la Formation de la Fonction Publique ;
Vu l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré, et son rapport de présentation ;
Vu l’Ordonnance Souveraine n° 7.996 du 12 mars 2020 portant création de la Direction des Systèmes d’Information ;
Vu l’Ordonnance Souveraine n° 7.995 du 12 mars 2020 portant création de la Direction des Services Numériques ;
Vu la délibération n° 2021-171 du 21 juillet 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé ayant pour finalité « Gestion des accès dédiés au Système d’Information » de la Direction des Systèmes d’Information, présenté par le Ministre d’État ;
Vu la délibération n° 2011-102 du 15 novembre 2011 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement d’informations nominatives ayant pour finalité « Postuler aux emplois publics de la Fonction Publique d’État par téléservice » présenté par le Ministre d’État ;
Vu la demande d’avis déposée, par le Ministre d’État, le 16 janvier 2023, concernant la mise en œuvre de la modification du traitement automatisé ayant pour finalité « Postuler aux emplois publics par téléservice » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 16 mars 2023, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Par délibération n° 2011-102 du 15 novembre 2011, la Direction des Ressources Humaines et de la Formation de la Fonction Publique (DRHFFP) a reçu un avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Postuler aux emplois publics de la Fonction Publique d’État par téléservice ».
Le responsable de traitement souhaite désormais modifier ledit traitement et soumet cette modification à l’avis de la Commission, conformément à l’article 9 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
La finalité du traitement demeure inchangée.
Les personnes concernées par le traitement sont celles souhaitant postuler à un avis de recrutement, les fonctionnaires et agents de la DRHFFP, auxquels s’ajoutent désormais les prestataires sous contrat avec l’Administration agissant pour le compte et sous l’autorité de l’Administration ainsi que les membres de la famille du candidat.
Le responsable de traitement indique que les fonctionnalités demeurent inchangées à l’exception de la mise à jour des avis de recrutement, auxquels les usagers peuvent postuler, qui est désormais assurée par la Direction des Services Numériques (DSN) et non plus par la Direction de l’Administration Électronique et de l’Information aux Usagers (DAEIU).
La Commission en prend acte.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le traitement est justifié par le consentement des personnes concernées, le respect d’une obligation légale à laquelle il est soumis, et la réalisation d’un intérêt légitime sans que ne soient méconnus les droits et libertés fondamentaux des personnes concernées.
La Commission relève que le responsable de traitement doit tenir compte des modifications apportées à la loi n° 975 du 12 juillet 1975 portant statut des fonctionnaires de l’État qui change le processus et les conditions de recrutement en prévoyant notamment la mobilité et les promotions internes pour les candidats fonctionnaires ou les agents en fonction ayant accompli une durée minimale de service public.
Elle relève par ailleurs qu’en vertu de l’article 1er de la loi n° 188 du 18 juillet 1934 relative aux fonctions publiques, modifiée, le responsable de traitement doit s’assurer que « les fonctions publiques de l’État, de la Commune et des établissements publics sont attribuées, aux personnes qui remplissent les conditions d’aptitude exigées » en respectant les règles de priorité d’accès.
Enfin, la Commission constate que la candidature aux emplois de la Fonction Publique par téléservice n’est pas obligatoire. Le candidat dispose également de la possibilité de répondre aux avis de recrutement par des voies autres qu’électroniques, conformément à l’article 43 de l’Ordonnance Souveraine n° 3.413, susvisée.
La Commission considère que ce traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Les informations nominatives traitées sont désormais :
- identité : titre, nom, nom de jeune fille, prénom, date et lieu de naissance (ville et pays), nationalité, photographie, numéro de candidat ;
- documents d’identité : une carte d’identité, un passeport, certificat de nationalité, carte de séjour monégasque ;
- adresses et coordonnées : adresse postale, numéro de téléphone, adresse électronique ;
- justificatifs de domicile :
• pour les candidats domiciliés dans une des communes limitrophes de Monaco (code postal : 06240, 06320, 06190) : facture d’eau, facture d’électricité au nom du candidat ;
• pour les candidats résidents : facture d’eau, facture d’électricité ;
- vie professionnelle : curriculum vitae, titres et diplômes, autres diplômes non validés, si le candidat a déjà travaillé en Principauté (un certificat de travail ou une copie de son permis de travail ou une attestation de travail ou un bulletin de salaire d’un employeur monégasque) ;
- historique de navigation de l’usager : pages visitées, temps resté sur les différentes pages ;
- données de connexion : données d’horodatage, log de connexion de l’utilisateur, données de messagerie de l’utilisateur ;
- log technique : log système ;
- données de rang de priorité : copie(s) du ou des justificatif(s) concernant le rang de priorité :
• conjoint de monégasque : justificatif de mariage, preuve de la nationalité monégasque du conjoint ;
• partenaire de monégasque : copie du contrat de vie commune, preuve de la nationalité monégasque du partenaire ;
• enfant de monégasque : copie de l’acte de filiation (livret de famille ou acte de naissance du demandeur), preuve de la nationalité monégasque du parent (carte d’identité ou certificat de nationalité) ;
• parent d’un enfant monégasque : copie d’un acte de filiation (livret de famille ou acte de naissance du demandeur), preuve de la nationalité monégasque de l’enfant (carte d’identité ou certificat de nationalité).
À titre liminaire, la Commission relève que les avis de recrutement peuvent solliciter la communication, par les candidats, d’informations diverses spécifiques au poste. À cet égard, elle rappelle que peuvent être traitées dans le cadre du présent traitement uniquement les informations pertinentes au regard du poste à pourvoir.
La Commission relève en outre que des documents permettant au candidat de justifier de son identité, de sa nationalité ou de son domicile sont demandés par le responsable de traitement dans le cadre du processus de recrutement.
À cet effet, le responsable de traitement entend collecter des documents d’identité. Pour rappel, dans sa délibération n° 2011‑102 du 15 novembre 2011, la Commission avait demandé que la carte d’identité des candidats, quelle que soit leur nationalité, ne soit pas collectée.
À cet égard, cette collecte est justifiée à la fois pour que la Direction de la Sureté Publique (DSP) puisse mener ses enquêtes administratives et pour que la DRHFFP établisse les rangs de priorité. Aussi, si la Commission n’entend plus interdire la collecte de documents d’identité, elle rappelle que celle-ci doit s’opérer conformément à sa recommandation n° 2015-113.
En outre, elle considère que les documents d’identité ne peuvent être conservés que pendant le temps de traitement de la candidature. Dans l’hypothèse où le candidat est retenu ceux-ci peuvent être transmis à la DSP qui procédera à l’enquête de police préalable à l’embauche avant suppression par la DRHFFP. Si au contraire la candidature n’est pas retenue, le responsable de traitement doit procéder à la suppression de ceux-ci.
La Commission rappelle qu’il convient, selon le principe de proportionnalité, de collecter le minimum d’informations permettant d’assurer la finalité poursuivie et recommande lorsque c’est adéquat de collecter des documents dont la sensibilité est moindre tel qu’un certificat de nationalité.
Par ailleurs, la Commission relève que des informations nominatives et des documents relatifs aux membres de la famille du candidat peuvent être collectés afin d’établir le rang de priorité de ce dernier. À cet égard, elle considère que ces informations doivent être conservées uniquement pendant le temps nécessaire à l’établissement de celui-ci.
Enfin, la Commission relève que l’Administration peut vouloir faciliter les démarches des personnes concernées ayant déjà postulé depuis moins de deux ans. Elle considère donc que la DRHFFP peut conserver pour cette durée, après suppression des documents justificatifs et si la personne concernée y a donné son consentement, le rang de priorité de la personne concernée.
Le responsable de traitement indique que les documents sont joints sous un format d’image.
Ces informations ont pour origine :
- le candidat pour l’identité, les documents d’identité, les adresses et coordonnées, les justificatifs de domicile et la vie professionnelle ainsi que les données relatives au rang de priorité ;
- le Module WEB du traitement pour l’historique de navigation et les données de connexion ;
- le système pour le numéro de candidat et les logs techniques.
Sous les réserves évoquées au présent point, la Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
* Sur l’information préalable des personnes concernées
Le responsable de traitement indique que l’information préalable des personnes concernées demeure inchangée.
* Sur l’exercice du droit d’accès et de rectification
Le droit d’accès est exercé par un accès en ligne direct, par voie postale auprès de la DRHFFP ou par voie électronique.
S’agissant de l’exercice du droit d’accès par voie électronique, la Commission rappelle qu’une procédure doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agit effectivement de la personne concernée par les informations.
La Commission relève ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.
V. Sur les destinataires et les personnes ayant accès au traitement
* Sur les personnes ayant accès au traitement
Les personnes ayant accès au traitement sont désormais :
- les personnels de la DRHFFP en charge de la gestion des candidatures et de leurs suites : accès en consultation, extraction et validation d’actions réalisées avec possibilité de modification/suppression des données à la demande de l’usager ;
- le personnel habilité de la Direction des Systèmes d’Information (DSI) ou tiers intervenant pour son compte : tout accès dans le cadre des missions de maintenance, de développement des applicatifs nécessaires au fonctionnement du site et de sécurité du site et du Système d’Information de l’État ;
- le personnel habilité de la DSN, ou les tiers intervenant pour son compte : tout accès dans le cadre des missions d’assistance à maitrise d’ouvrage sur la procédure qui leur sont affectés.
Concernant les tiers intervenant pour le compte de la DSN ou de la DSI, la Commission rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993 les droits d’accès de ces derniers doivent être limités à ce qui est strictement nécessaire à l’exécution de leurs contrats de prestation de service. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
* Sur les destinataires des informations
Les destinataires des informations sont les Départements, la Direction ou le Service effectuant le recrutement.
La Commission constate que les informations objet du traitement sont susceptibles d’être communiquées à la Direction de la Sûreté Publique (DSP) agissant dans le cadre de ses missions lorsqu’un candidat a été retenu pour un poste conformément aux dispositions de l’article 3 de la loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale.
La Commission considère que ces communications sont justifiées au regard du traitement.
VI. Sur les rapprochements et les interconnexions avec d’autres traitements
Le responsable de traitement précise qu’au rapprochement initialement déclaré avec le traitement ayant pour finalité « Gestion des dossiers des fonctionnaires et agents relevant de la Fonction Publique et de statuts particuliers » s’ajoutent les rapprochements et interconnexions avec les traitements légalement mis en œuvre suivants :
- « Assistance aux utilisateurs par le Centre de Service de la DSI » ;
- « Gestion de la messagerie professionnelle » ;
- « Gestion d’un outil de partage de documents sécurisés avec des partenaires internes et externes à l’administration monégasque » ;
- « Gestion du compte permettant aux usagers d’entreprendre et suivre des démarches par téléservices » dénommé « MonGuichet.mc ».
Il appert à l’étude du dossier que le présent traitement est également interconnecté avec le traitement ayant pour finalité « Gestion des habilitations et des accès au Système d’Information » légalement mis en œuvre.
La Commission considère que ces rapprochements et cette interconnexion sont conformes aux exigences légales.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.
Toutefois, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
À cet égard, la Commission rappelle que les modalités d’accès des administrateurs doivent être standardisées selon la procédure décrite dans le traitement des accès dédiés afin d’assurer le plus haut niveau de traçabilité et d’imputabilité conformément à la délibération n° 2021-171, susmentionnée.
VIII. Sur la durée de conservation
Pour rappel, les informations nominatives collectées étaient conservées :
- les informations relatives à l’identité, aux adresses, à la vie professionnelle sont conservées 6 mois à partir de la dernière candidature de l’intéressé ;
- les informations relatives à l’historique de navigation, et aux données de connexion sont conservées 3 mois.
La Commission constate que le responsable de traitement souhaite désormais conserver :
- les informations relatives à l’identité, aux adresses, à la vie professionnelle ainsi que les documents d’identité, les justificatifs de domicile et les informations relatives au rang de priorité pendant 2 ans à compter de la dernière candidature ;
- les informations relatives à l’historique de navigation de l’usager ainsi que les données de connexion pendant 3 mois ;
- les logs techniques pendant 30 jours.
La Commission considère que ces durées de conservation sont conformes aux exigences légales, sous réserve de la prise en compte des éléments mentionnés au point III de la présente délibération.
Après en avoir délibéré, la Commission :
Rappelle que :
- peuvent être traitées dans le cadre du présent traitement uniquement les informations pertinentes au regard du poste à pourvoir ;
- la collecte des documents d’identité doit s’opérer conformément à la recommandation n° 2015-113 ;
- il convient selon le principe de proportionnalité de collecter le minimum d’informations permettant d’assurer la finalité poursuivie et recommande lorsque c’est adéquat de collecter des documents dont la sensibilité est moindre que la pièce d’identité, tel que le certificat de nationalité ;
- une procédure relative au droit d’accès par voie électronique doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agit effectivement de la personne concernée par les informations ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
- les modalités d’accès des administrateurs doivent être standardisées selon la procédure décrite dans le traitement des accès dédiés afin d’assurer le plus haut niveau de traçabilité et d’imputabilité conformément à la délibération n° 2021-171, susmentionnée.
À la condition de la prise en compte des éléments qui précèdent,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, de la modification du traitement automatisé d’informations nominatives ayant pour finalité « Postuler aux emplois publics par téléservice » de la Direction des Ressources Humaines et de la Formation de la Fonction Publique.
Le Président de la Commission de
Contrôle des Informations Nominatives.