icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2023-97 du 19 juillet 2023 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion de la messagerie professionnelle du Conseil National » présenté par la Présidente du Conseil National.

  • N° journal 8661
  • Date de publication 22/09/2023
  • Qualité 100%
  • N° de page

Vu la Constitution ;

Vu la Convention de sauvegarde des Droits de l’Homme et des Libertés fondamentales du Conseil de l’Europe du 4 novembre 1950, et notamment son article 10 ;

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 et son protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives, modifiée ;

Vu la loi n° 771 du 25 juillet 1964 sur l’organisation et le fonctionnement du Conseil National, modifiée ;

Vu la loi n° 975 du 12 juillet 1975 portant statut des fonctionnaires de l’État, modifiée ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;

Vu la demande d’avis déposée par la Présidente du Conseil National le 27 mars 2023 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Gestion de la messagerie professionnelle du Conseil National » ;

Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 25 mai 2023, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 19 juillet 2023 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

Le Conseil National est une Institution publique consacrée par la Constitution, ainsi que par la loi n° 771 du 25 juillet 1964, susvisée.

Ses Services relèvent de l’autorité hiérarchique du Président du Conseil National, dont le fonctionnement est défini par un Règlement Intérieur soumis au contrôle du Tribunal Suprême.

Ainsi, le Conseil National revêt le statut d’autorité publique au sens de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives.

Cette institution souhaite mettre à disposition de ses fonctionnaires, agents de l’État, suppléants et stagiaires ainsi que des Conseillères Nationales et Conseillers Nationaux une messagerie électronique.

Ledit traitement, objet de la présente délibération, est donc soumis à l’avis de la Commission conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée.

I. Sur la finalité et les fonctionnalités du traitement

Le traitement a pour finalité « Gestion de la messagerie professionnelle du Conseil National ».

Les personnes concernées sont l’ensemble des personnes habilitées à avoir un compte de messagerie professionnelle au Conseil National (les agents de l’État et les fonctionnaires, les Conseillers Nationaux, les suppléants et leurs stagiaires) et leurs interlocuteurs.

Enfin, les fonctionnalités de ce traitement sont les suivantes :

-  gestion des comptes de messagerie (création, administration, suppression) ;

-  gestion des habilitations d’accès aux boites électroniques des services ;

-  gestion des carnets d’adresse génériques ;

-  établissement et lecture des fichiers journaux ;

-  veiller au maintien en condition de sécurité de l’application ;

-  établir des statistiques anonymes à des fins de rapports sur l’utilisation du système ;

-  échange de messages électroniques entrants et sortants ;

-  historisation des messages électroniques entrants et sortants ;

-  gestion des contacts de la messagerie électronique ;

-  gestion des dossiers de la messagerie, des messages et des contenus archivés ;

-  gestion de l’agenda, des contacts et réservations des salles ;

-  organisation et gestion des réunions en lien avec les outils de la messagerie ;

-  assurer la qualité et le fonctionnement opérationnel de la messagerie.

Au vu de ce qui précède, la Commission considère donc que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le traitement est justifié par « la réalisation d’un intérêt légitime poursuivi [par lui et qui] ne méconnaît ni l’intérêt, ni les droits et libertés fondamentaux de la personne concernée ».

À cet égard, la Commission prend acte que « Ce traitement est nécessaire au bon fonctionnement des Services du Conseil National » car « Il permet aux utilisateurs de communiquer entre eux de façon continue, simplifiée et à distance, ainsi qu’avec les autres Services de l’État ou des tiers, dès lors que la messagerie électronique est devenue le premier outil de communication dans la sphère professionnelle ».

Le responsable de traitement précise par ailleurs que « Cette solution permet également d’assurer le fonctionnement des Services avec notamment la gestion des calendriers et des salles de travail, indispensable à la tenue de réunions, des Commissions ou des Séances Publiques ».

La Commission constate à la lecture de la charte informatique jointe au dossier que « Tout message qui comportera la mention expresse ou manifeste de son caractère personnel bénéficiera du droit au respect de la vie privée et du secret des correspondances. À défaut, le message est présumé professionnel » et que « Le Conseil National s’interdit d’accéder aux dossiers et aux messages identifiés comme « personnel » dans l’objet de la messagerie de l’agent ».

Au vu de ce qui précède, la Commission considère donc que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.

III. Sur les informations traitées

Les informations traitées sont les suivantes :

-  identité : nom, prénom ;

-  vie professionnelle : fonction, département, direction, service ;

-  coordonnées personnelles et professionnelles : email, numéro(s) de téléphone, adresse(s) ;

-  données d’identification électronique : login et mot de passe ;

-  informations temporelles : logs de connexion ;

-  message : contenu ;

-  informations liées aux messages (fichiers journaux) : type de contenu, objet, dossier de classement, date et heure d’envoi ou de réception, nombre de messages entrants et sortants, de messages nettoyés, de spams, volume, format, pièces jointes, noms de domaine expéditeur de messages ;

-  calendrier : date, lieu, heure, évènement, durée, notes, tâches ;

-  photo : portrait attaché au compte de la messagerie (sur la base du volontariat).

Le responsable de traitement indique que les informations relatives à l’identité, à la vie professionnelle et aux coordonnées personnelles et professionnelles ont pour origine le fichier RH et le fichier des élus.

La Commission considère qu’elles peuvent également avoir pour origine les correspondants externes.

Les données d’identification ont pour origine le système pour le login et l’utilisateur pour le mot de passe.

La Commission considère par ailleurs que les logs de connexion ont pour origine le système.

Les messages et la photo ont pour origine l’utilisateur.

Les informations liées aux messages (fichiers journaux) ont pour origine le système.

Enfin, les données liées au calendrier ont pour origine le système et l’utilisateur.

La Commission considère ainsi que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.

IV. Sur les droits des personnes concernées

  • Sur l’information préalable des personnes concernées

Le responsable de traitement indique que l’information préalable des personnes concernées est effectuée par le biais de « La charte informatique du Conseil National ».

À la lecture de ladite charte, la Commission constate que celle-ci est conforme à l’article 14 de la loi n° 1.165 du 23 décembre 1993.

Elle prend acte par ailleurs qu’une mention d’information a été insérée au bas de tout message électronique sortant, afin d’informer les tiers destinataires de la finalité du traitement, ainsi que de leurs droits.

  • Sur l’exercice du droit d’accès

Le responsable de traitement indique que le droit d’accès s’exerce par courrier électronique auprès du Secrétaire Général du Conseil National.

À cet égard, la Commission rappelle que la réponse à ce droit d’accès doit intervenir dans le mois suivant la réception de la demande.

S’agissant de l’exercice du droit d’accès par voie électronique, la Commission constate qu’une procédure a été mise en place afin de permettre au responsable de traitement de s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, le responsable de traitement précise que « le demandeur devra apporter la preuve de son identité en joignant à sa demande électronique, une copie noire et blanche rayée de sa carte d’identité conformément à la délibération n° 2015-116 de la CCIN du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels ».

La Commission considère ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.

V. Sur les destinataires et les personnes ayant accès au traitement

  • Sur les destinataires

Le responsable de traitement indique que les messages sont susceptibles d’être communiqués aux Autorités administratives et judiciaires dans le cadre de leurs missions légalement conférées.

La Commission estime ainsi que la communication à la Direction de la Sûreté Publique peut être justifiée par les besoins d’une enquête judiciaire. À cet égard, la Commission rappelle qu’en cas de transmission, ladite direction ne pourra avoir accès aux informations objet du traitement, que dans le strict cadre de ses missions légalement conférées.

Sous cette condition, elle considère donc que de telles transmissions sont conformes aux exigences légales.

  • Sur les personnes ayant accès au traitement

Les personnes habilitées à avoir accès au traitement sont :

-  les utilisateurs de la messagerie : tous droits sur leur propre messagerie ;

-  le responsable informatique et ses adjoints (administrateurs du système) : tous droits dans le cadre de leurs opérations d’administration et de maintenance.

Considérant les attributions de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.

VI. Sur les rapprochements et les interconnexions

Le responsable de traitement indique que le présent traitement fait l’objet de trois rapprochements/interconnexions avec les traitements ayant respectivement pour finalité « Gestion des habilitations au Système Informatique du Conseil National », « Gestion des informations des Conseillères Nationales et des Conseillers Nationaux » et la gestion des fichiers des Ressources Humaines.

Ce dernier n’ayant fait l’objet d’aucune formalité auprès d’elle, la Commission demande au responsable de traitement de le lui soumettre dans les plus brefs délais.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.

La Commission rappelle toutefois que la copie ou l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception.

Elle rappelle également que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur les durées de conservation

Le responsable de traitement indique que les informations relatives à l’identité, à la vie professionnelle, aux coordonnées personnelles et professionnelles, au login ainsi que la photo sont conservées le temps de l’affectation.

Le mot de passe est changé tous les 6 mois.

Les logs de connexion sont conservés 1 an.

Les messages et les données du calendrier sont conservés en fonction de la politique d’archivage.

Enfin, le responsable de traitement indique que les informations liées aux messages (fichiers journaux) sont conservées une année après la fin de l’affectation.

À cet égard, la Commission rappelle que les informations ne peuvent être conservées sous une forme permettant l’identification de la personne concernée que pendant une durée n’excédant pas celle nécessaire à la réalisation de la finalité pour lesquelles elles ont été collectées.

Aussi, elle fixe la durée des informations liées aux messages à un an.

Après en avoir délibéré, la Commission :

Rappelle que :

-  la réponse à un droit d’accès doit intervenir dans le mois suivant la réception de la demande ;

-  la Direction de la Sûreté Publique ne peut avoir accès aux informations objet du traitement que dans le strict cadre de ses missions légalement conférées ;

-  la copie ou l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception.

Demande au responsable de traitement de lui soumettre dans les plus brefs délais le traitement lié à la gestion des fichiers des Ressources Humaines.

Fixe la durée des informations liées aux messages (fichiers journaux) à un an.

À la condition de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par la Présidente du Conseil National, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion de la messagerie professionnelle du Conseil National ».

Le Président de la Commission de
Contrôle des Informations Nominatives.

 

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14