Délibération n° 2024-10 du 17 janvier 2024 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion du parc informatique de la DENJS » exploité par la Direction de l'Éducation Nationale, de la Jeunesse et des Sports (DENJS) présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.334 du 12 juillet 2007 sur l’éducation ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’Ordonnance Souveraine n° 5.540 du 19 mars 1975 portant la création de la Direction de l’Éducation Nationale, de la Jeunesse et des Sports ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la demande d’avis déposée par le Ministre d’État, le 11 octobre 2023, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité la « Gestion des ressources informatiques de la DENJS » exploité par la Direction de l’Éducation Nationale, de la Jeunesse et des Sports ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 7 décembre 2023, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 17 janvier 2024 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Dans le cadre du projet global « E-éducation », la Direction de l’Éducation Nationale, de la Jeunesse et des Sports (DENJS) vise à équiper les enseignants et les élèves de matériels mobiles afin de leur permettre l’accès à Internet et aux ressources numériques mises à leur disposition.
Ainsi, la DENJS souhaite mettre en place un traitement lui permettant de connaitre la situation de ses équipements et ressources afin d’en assurer le suivi.
Aussi, ce dernier est soumis à l’avis de la Commission, conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Gestion des ressources informatiques de la DENJS ».
Il concerne les enseignants et les élèves des établissements scolaires relevant de la DENJS ainsi que les personnels de la DENJS dotés de postes de travail, les administrateurs du système d’information de la DENJS et les prestataires agissant pour le compte de la DENJS.
Les fonctionnalités du traitement sont :
- « Gestion centralisée des données nécessaires à la connaissance des ressources installées sur le SI ;
- Lien utilisateur - équipements ;
- Gestion des entrées et des sorties du parc informatique ;
- Établissement et tenue à jour des inventaires des ressources et éléments du système d’information de la DENJS ;
- Gestion des changements d’équipements ;
- Suivi des documents associés aux équipements et ressources ;
- Préparation des postes avant remise au destinataire (ex. enseignant, élève) ;
- Suivi des actions des agents du service informatique de la DENJS sollicités dans le cadre de la gestion du parc informatique ;
- Établissement de rapports, bilans, statistiques, reporting et exports génériques ».
La Commission rappelle que tout traitement d’informations nominatives doit avoir une finalité « déterminée, explicite et légitime », aux termes de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
Aussi, en l’espèce, elle considère que la finalité du traitement doit être plus explicite pour les personnes concernées en indiquant que le présent traitement concerne uniquement la gestion du parc informatique de la DENJS.
Par conséquent, la Commission modifie la finalité comme suit : « Gestion du parc informatique de la DENJS ».
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par le respect d’une obligation légale à laquelle il est soumis, ainsi que par la réalisation d’un intérêt légitime, sans que ne soient méconnus les droits et libertés fondamentaux des personnes concernées.
Il indique en outre, que le traitement s’inscrit dans le cadre des missions dévolues à la Direction de l’Éducation Nationale, de la Jeunesse et des Sports.
La Commission relève que l’article 1er alinéa 2 de la loi n° 1.334 du 12 juillet 2007 sur l’éducation dispose que « L’État est le garant de l’organisation et du contenu des enseignements, (…) de la gestion des personnels qui relèvent de sa responsabilité, de la répartition des moyens, de la régulation de l’ensemble du système éducatif, du contrôle et de l’évaluation des politiques éducatives. ».
Le responsable de traitement précise à cet égard que « la mise à disposition de ressources informatiques (…) est un essentiel à la vie matérielle des établissements et un incontournable des enseignements modernes ».
Par ailleurs, la Commission relève que l’article 39 de la loi précitée dispose que « La maîtrise de l’outil informatique et des technologies de l’information et de la communication est enseignée dès la maternelle et jusqu’au terme de la scolarité obligatoire. L’enseignement de leur usage bénéficie de mesures d’accompagnement adaptées de formation et de contrôle permettant d’assurer la sécurité des élèves et notamment la protection des mineurs. ».
Le responsable de traitement indique en outre, en ce qui concerne la justification par une obligation légale, que le traitement doit être conforme à la politique de sécurité des systèmes d’information de l’État (PSSIE), annexée à l’arrêté ministériel n° 2022-331 du 13 juin 2022.
À cet égard, il précise qu’il doit « maîtriser les ressources, éléments du système d’information, support de ses activités, des activités des enseignants et des élèves réalisées au moyen de ressources numériques. Cette maîtrise implique, notamment, la mise en place de mesures techniques et organisationnelles permettant une connaissance des ressources constituant le SI, à savoir : leur affectation et leur destination lorsqu’un équipement est destiné à être utilisé par un groupe de personne (ex. une imprimante) ou par une personne donnée (ex. un PC) ».
La Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Les informations nominatives traitées sont :
En ce qui concerne les utilisateurs/collaborateurs :
- identité : nom, prénom, identifiant (login) ;
- vie professionnelle : établissement, classe ;
- log de connexion de la dernière connexion / historique des postes-ressources : données d’horodatage du dernier contact avec l’inventaire (date, heure), DN de l’utilisation, prénom, nom.
En ce qui concerne l’affectation des ressources :
- ressources professionnelles : nom, numéro d’inventaire, type (ex. ordinateur, moniteur, logiciels installés) localisation, statut, fabricant, modèle, numéro de série, documentation à l’IC, bon de SAV, bon de déploiement ;
- information temporelle : date et heure de mise à jour.
En ce qui concerne les agents du système d’information intervenant dans le process de gestion des ressources :
- identité : nom, prénom ;
- vie professionnelle : fonction, groupe d’affectation ;
- logs de connexion : données d’horodatage de la dernière connexion (date, heure) DN de l’utilisation, prénom, nom, ou, opération réalisée (création, mise à jour de la fiche d’un IC, mise à jour des statuts), log routeur et les logs ouverture de flux.
Le responsable de traitement indique que les informations relatives à l’identité et à la vie professionnelle sont issues du traitement ayant pour finalité « Gestion des dossiers scolaires des élèves inscrits dans les établissements publics de la Principauté », dénommé Pronotes.
Il ressort des précisions apportées par le responsable de traitement que les informations ne figurant pas dans l’outil Pronote sont susceptibles de provenir des dossiers des ressources humaines. La Commission renvoie à cet égard au point VI de la présente délibération.
Les autres informations proviennent du système.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
- Sur l’information préalable des personnes concernées
Le responsable de traitement indique que l’information préalable des élèves et de leurs responsables légaux est réalisée par le biais des Règlements intérieurs et chartes des établissements concernés.
À cet égard, le responsable de traitement à joint au dossier un extrait du Règlement intérieur du Lycée Albert Ier. La Commission considère que celui‑ci n’est pas conforme à l’article 14 de la loi n° 1.165. En outre, elle constate que la mention d’information susvisée diffère de celle figurant au Règlement intérieur tel que publié au Journal de Monaco n° 8.624 du 6 janvier 2023.
En ce qui concerne l’information préalable des enseignants le responsable de traitement indique qu’ils sont soumis à la Charte des systèmes d’information de l’État (CSIE). Il précise que « lors de la signature du document pour la remise du matériel informatique, l’enseignant signe un document où sont inscrites les informations concernant la CSIE et la rectification des données ».
La Commission rappelle à cet égard que la Charte des systèmes d’information de l’État ne s’analyse pas en une information des personnes concernées, au sens de l’article 14 de la loi n° 1.165 du 23 décembre 1993, quant à l’exploitation d’un traitement déterminé.
Par ailleurs, le document signé en échange de la remise du matériel informatique n’ayant pas été joint au dossier, la Commission n’est pas en mesure de se prononcer sur la qualité de l’information dispensée.
Enfin, la Commission relève que les modalités d’information des agents du système d’information intervenant dans le processus de gestion des ressources ne sont pas spécifiées. Aussi, la Commission rappelle que toutes les personnes concernées par le présent traitement doivent bénéficier d’une information préalable conforme aux exigences légales.
En conséquence, la Commission demande que soit assurée l’information de l’ensemble des personnes concernées et que cette information soit effectuée conformément à l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.
- Sur l’exercice du droit d’accès, de modification et de mise à jour
Le droit d’accès est exercé par les personnes concernées par voie postale, par courrier électronique auprès de la Direction de l’Éducation Nationale de la Jeunesse et des Sports ou par le biais d’un formulaire de demande en ligne.
À cet égard, la Commission rappelle que la réponse à ce droit d’accès doit s’exercer dans le mois suivant la réception de la demande.
Elle rappelle en outre, que dans le cadre de l’exercice du droit d’accès par voie électronique une procédure doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agit effectivement de la personne concernée par les informations.
À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.
Sous ces conditions, la Commission considère que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.
V. Sur les destinataires et les personnes ayant accès au traitement
La Commission constate que le responsable de traitement ne communique aucune information à des destinataires.
Par ailleurs, ont accès au traitement :
- les administrateurs réseau de la DENJS : en inscription, modification, consultation et suppression ;
- les administrateurs système : en lecture ;
- les utilisateurs (sauf élèves) : en lecture.
La Commission constate qu’il est fait recours à des prestataires. Elle rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993 les droits d’accès de ces derniers doivent être limités à ce qui est strictement nécessaire à l’exécution de leurs contrats de prestation de service. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission considère que ces accès sont justifiés.
VI. Sur les rapprochements et les interconnexions avec d’autres traitements
Le responsable de traitement indique le présent traitement et rapproché des traitements ayant pour finalité « Gestion des dossiers scolaires des élèves inscrits dans les établissements publics de la Principauté » et « Gestion du personnel », légalement mis en œuvre.
Il est également interconnecté avec le traitement ayant pour finalité « Gestion des habilitations et des accès au Système d’information de la DENJS », concomitamment déposé, afin de disposer des éléments permettant de lier les ressources à un utilisateur.
Par ailleurs, le responsable de traitement indique que le traitement fait l’objet d’un rapprochement avec le traitement ayant pour finalité « Assistance aux utilisateurs du Système d’information de la DENJS », afin de mettre à jour les équipements selon les actions effectuées pour un utilisateur et de mettre à disposition d’un utilisateur la liste des équipements affectés.
Enfin, il appert que le présent traitement est interconnecté avec un traitement ayant pour finalité la gestion de la messagerie professionnelle, propre au responsable de traitement, non légalement mis à œuvre.
À cet égard, la Commission rappelle que tout rapprochement ou interconnexion ne peut avoir lieu qu’entre des traitements légalement mis en œuvre.
Aussi, elle demande que le traitement ayant pour finalités « Assistance aux utilisateurs du système d’information de la DENJS » et celui relatif à la gestion de la messagerie professionnelle lui soient déposés dans les meilleurs délais.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.
Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Elle rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui‑ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Les données sont conservées comme suit :
- les informations relatives à l’identité et à la vie professionnelle des utilisateurs élèves et le personnel enseignant : 6 mois après le départ, et maximum à la rentrée suivante pour ceux qui quitteraient les établissement pendant l’année scolaire. Le responsable de traitement précise que ce délai est nécessaire pour s’assurer que le matériel informatique soit rendu avant que le nom de l’utilisateur ne soit effacé du système ;
- les informations relatives à l’identité et à la vie professionnelle des utilisateurs, personnel non-enseignant : 6 mois après leur départ ;
- les ressources professionnelles : pendant la durée de vie de la ressource (entre 3 et 5 ans) ;
- les informations temporelles relatives aux ressources : jusqu’à la prochaine mise à jour.
Par ailleurs, le responsable de traitement précise que les logs de connexion des utilisateurs sont conservés « jusqu’à la connexion suivante ». Il précise que « les logs sont écrasés à chaque connexion et la durée maximale correspondrait à la présence de l’utilisateur + 6 mois ».
À cet égard, la Commission rappelle que ces informations doivent être conservées entre 3 mois minimum et 1 an maximum. Elle fixe donc la durée de conservation de ces informations à une durée comprise entre 3 mois et 1 an maximum.
Enfin, les informations relatives aux agents du système d’informations intervenant dans le process de gestion des ressources sont conservées « tant que l’agent est habilité à avoir accès à la solution » à l’exception des logs de connexion qui sont conservés 12 mois.
Sous la réserve évoquée au présent point, la Commission considère que ces durées sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Modifie la finalité comme suit : « Gestion du parc informatique de la DENJS ».
Fixe la durée de conservation des logs de connexion des utilisateurs du système d’information à une durée comprise entre 3 mois minimum et 1 an maximum.
Demande que :
- l’information de l’ensemble des personnes concernées soit assurée et que celle‑ci soit conforme aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993 ;
- les traitements ayant pour finalités « Assistance aux utilisateurs du système d’information de la DENJS » et celui relatif à la gestion de la messagerie professionnelle lui soient déposés dans les meilleurs délais.
Rappelle que :
- toutes les personnes concernées par le présent traitement doivent bénéficier d’une information préalable conforme aux exigences légales ;
- tout rapprochement ou interconnexion ne peut avoir lieu qu’entre des traitements légalement mis en œuvre ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par la Direction de l’Éducation Nationale de la Jeunesse et des Sports, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion du parc informatique de la DENJS ».
Le Président de la Commission de
Contrôle des Informations
Nominatives.