icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2024-11 du 17 janvier 2024 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion de la politique de filtrage des accès à Internet des établissements scolaires » exploité par la Direction de l'Éducation Nationale, de la Jeunesse et des Sports (DENJS), présenté par le Ministre d'État.

  • N° journal 8680
  • Date de publication 02/02/2024
  • Qualité 100%
  • N° de page

Vu la Constitution ;

Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu la loi n° 1.334 du 12 juillet 2007 sur l’éducation ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu l’Ordonnance Souveraine n° 5.540 du 19 mars 1975 portant la création de la Direction de l’Éducation Nationale, de la Jeunesse et des Sports ;

Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;

Vu la demande d’avis déposée par le Ministre d’État, le 11 octobre 2023, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité la « Gestion de la politique de filtrage des accès à Internet des établissements scolaires » exploité par la Direction de l’Éducation Nationale, de la Jeunesse et des Sports ;

Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 7 décembre 2023, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 17 janvier 2024 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

La Direction de l’Éducation Nationale, de la Jeunesse et des Sports (DENJS) souhaite, dans le cadre du projet global « E-éducation », sécuriser les accès à Internet des personnes qu’elle a dotées d’un poste de travail par la mise en place d’une politique de filtrage.

Ainsi, l’objectif est de limiter le risque de compromission du système d’information de la DENJS et d’éviter « que l’utilisateur (élève, enseignant, et autre personnel disposant d’un accès au SI) puisse faire un usage illégitime du SI en accédant à un site diffusant des contenus illicites ou non appropriés dans le cadre de l’apprentissage, de l’enseignement ou de toute autre activité professionnelle attenante ».

Aussi, ce dernier est soumis à l’avis de la Commission, conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.

I.  Sur la finalité et les fonctionnalités du traitement

Le présent traitement a pour finalité « Gestion de la politique de filtrage des accès à Internet des établissements scolaires ».

Il concerne les enseignants et les élèves des établissements scolaires publics ainsi que toute autre personne dotée d’un poste de travail mis à disposition par la DENJS.

Les fonctionnalités du traitement sont :

-    filtrer les accès / les flux à Internet dans le respect de la politique de filtrage de la DENJS ;

-    gérer les profils utilisateurs concernant les accès à Internet ;

-    sécuriser les accès par l’authentification des utilisateurs afin de prévenir les risques d’atteinte au système d’information ;

-    prévenir l’accès (accidentel ou volontaire) à des sites ou contenus considérés comme illicites ou non conformes par une politique de filtrage ;

-    disposer d’un début de preuve, le cas échéant, en cas d’infraction ou d’acte susceptible de constituer des infractions à la réglementation ;

-    établir des rapports et des statistiques à des fins techniques et de fonctionnement, dans le cadre des fonctionnalités précitées, dont la fin ne peut être la surveillance individuelle des personnes ;

-    mise à disposition des rapports, pouvant comporter des informations sur les utilisateurs, aux responsables d’établissement à des fins d’information. Les responsables d’établissement peuvent utiliser ces informations dans le cadre de leurs missions.

Le responsable de traitement indique que tout trafic reçu d’un utilisateur (http et https), connecté au réseau interne de la DENJS, ou à un réseau externe, est filtré. Dans l’hypothèse où la navigation enfreint une des règles de filtrage, la recherche est bloquée.

Le responsable de traitement indique qu’est d’abord bloquée toute recherche ne respectant pas la charte d’utilisation ou présentant un risque légal, ainsi que toute tentative d’installation d’une application. Les flux non reconnus (par exemple un nouveau site ou site non encore répertorié) sont autorisés, mais un avertissement de sécurité s’affiche sur le navigateur. Enfin, il est également possible d’autoriser ou d’interdire certains flux au cas par cas afin de prévenir un blocage non judicieux (par exemple l’URL d’un cabinet d’avocat bloqué car diffusant des articles sur la lutte contre le terrorisme).

S’agissant des politiques de filtrage, le responsable de traitement précise qu’elles sont établies selon le profil des utilisateurs (lycéen, collégien, professeurs) et sont amenées à évoluer selon les risques, l’état de l’art ainsi que les évolutions technologiques.

Il indique par ailleurs que le présent traitement n’a pas pour objectif de surveiller ou contrôler l’activité des utilisateurs sur les réseaux sociaux. À cet égard, l’outil permettant la collecte de toutes les URLs visitées, la Commission appelle l’attention sur la nécessaire proportionnalité dans l’analyse des données de navigation.

Enfin, s’agissant de la fonctionnalité relative à l’établissement de statistiques, le responsable de traitement explique que « la solution permet d’effectuer des statistiques globales, par groupe ou par utilisateur à des fins techniques et de fonctionnement, (…), non à des fins de surveillance des personnes ». Ainsi, il explique que si les statistiques montrent que 80% des utilisateurs ou d’un groupe d’utilisateurs tentent d’accéder à un site bloqué, cela peut conduire à se questionner sur la position dudit site dans la politique de filtrage (modification de la politique ou maintien).

Le responsable de traitement indique en outre que lorsque la recherche est bloquée une alerte est automatiquement générée dès la première tentative. Celle‑ci est ensuite analysée par le service informatique de la DENJS afin d’écarter les faux positifs. Il est par ailleurs précisé qu’en cas d’alerte avérée, il sera procédé à la notification de la personne concernée ou encore à sa convocation, et, en fonction de la gravité et de la récurrence à l’information du CPE et des fonctions de Direction.

Enfin, le responsable de traitement indique qu’il n’a actuellement pas de procédure précise encadrant ces convocations alors que les récurrences du comportement sur la navigation Internet sont analysées.

À cet égard, la Commission a conscience de l’importance de procéder au filtrage des accès à Internet des personnes dotées d’un équipement fourni par la DENJS à des fins de protection des élèves mineurs, et de blocage de sites diffusant des contenus illicites ou non appropriés. Toutefois, elle considère que la génération systématique d’alertes dès la première tentative et qui conduit à la convocation systématique de la personne, et selon la gravité et la récurrence appréciées par le seul service informatique, l’information du CPE et des fonctions de Direction apparaît comme disproportionnée. La Commission relève que le responsable de traitement justifie ce contrôle étendu par la nécessaire protection des mineurs. Elle considère toutefois que cet objectif est dans la plus grande majorité des cas atteint dès lors que la recherche intentée par l’élève est bloquée, et ainsi, que le déclenchement automatique d’une réponse individualisée et nominative est disproportionné avec le but recherché.

Ainsi, la Commission demande de procéder à la suspension des alertes et des contrôles individuels tels que prévus en l’état. Elle demande en outre au responsable de traitement, s’il estime toujours devoir introduire cette fonctionnalité, de revenir vers elle avec une demande d’avis modificative explicitant notamment la procédure permettant de déterminer les mécanismes mis en œuvre pour respecter à la fois la sécurité du système d’information, la prévention d’infractions (telle que la consultation de sites faisant l’apologie du terrorisme), et le respect de la vie privée des personnes concernées. Cette proportionnalité pourrait trouver sa source dans la mise en œuvre d’une pseudonymisation des alertes, d’établissement de scénarii permettant d’effectuer des réponses graduées aux problèmes rencontrés, l’éventuelle implication d’une équipe pédagogique pour déterminer les suites à donner à une alerte.

Sous les réserves évoquées au présent point, la Commission considère que la finalité du traitement est explicite et légitime, conformément à l’article 10-1 de la loi n° 1.165, modifiée.

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le présent traitement est justifié par le respect d’une obligation légale à laquelle il est soumis, par l’existence d’un motif d’intérêt public ainsi que par la réalisation d’un intérêt légitime, sans que ne soient méconnus les droits et libertés fondamentaux des personnes concernées.

Il indique en outre, que le traitement s’inscrit dans le cadre des missions dévolues à la Direction de l’Éducation Nationale, de la Jeunesse et des Sports (DENJS).

L’article 1er alinéa 2 de la loi n° 1.334 du 12 juillet 2007 sur l’éducation dispose que « L’État est le garant de l’organisation et du contenu des enseignements, (…) de la gestion des personnels qui relèvent de sa responsabilité, de la répartition des moyens, de la régulation de l’ensemble du système éducatif, du contrôle et de l’évaluation des politiques éducatives. ».

Le responsable de traitement précise que « la mise à disposition de ressources informatiques (…) est un essentiel à la vie matérielle des établissements et un incontournable des enseignements modernes ».

Par ailleurs, l’article 39 de la loi précitée dispose que « La maîtrise de l’outil informatique et des technologies de l’information et de la communication est enseignée dès la maternelle et jusqu’au terme de la scolarité obligatoire. L’enseignement de leur usage bénéficie de mesures d’accompagnement adaptées de formation et de contrôle permettant d’assurer la sécurité des élèves et notamment la protection des mineurs. À ce titre, les établissements précisent, (…) les conditions d’utilisation par les élèves et les personnels éducatifs des services liés aux technologies de l’information et de la communication ».

À cet égard, le responsable de traitement précise que « Le présent traitement participe à la mise en place de mesures destinées à la sécurité des élèves, des enseignants, des équipes enseignantes et assimilés, des équipes informatiques lors de l’utilisation d’Internet lorsqu’ils disposent de ressources mobiles (ex. PC) mises à disposition par la DENJS et utilisées hors le réseau de la DENJS. Il participe, notamment, à prévenir l’accès à des environnements et ressources non souhaités pour des mineurs, comme les sites pour adultes ou violents ».

Il explique en outre que le traitement participe à la prévention des usages prohibés ou non tolérés de l’Internet, notamment l’accès à des sites comportant des contenus illicites ou à des sites dits malveillants ou compromis en termes de sécurité.

En toute fin, le responsable de traitement indique, s’agissant de la justification par une obligation légale, que le traitement doit être conforme à la politique de sécurité des systèmes d’information de l’État (PSSIE), annexée à l’arrêté ministériel n° 2022-331 du 13 juin 2022.

À cet égard, il précise qu’il doit « veiller à la sécurité du système d’information support de ses activités et des activités des enseignants et des élèves réalisées par le biais de ressources numériques. (…) notamment, par la mise en place de mesures techniques et organisationnelles permettant une gestion des accès et habilitations selon les utilisateurs, au cas particulier des utilisations d’Internet ».

La Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.

III.  Sur les informations traitées

Les informations nominatives traitées sont :

-    identité de l’utilisateur : nom, prénom, identifiant (login) ;

-    vie professionnelle : fonctions (personnel enseignant ou scolaires), établissement scolaire de rattachement et niveau de classe pour les scolaires ;

-    données d’identification électronique : login et mot de passe (administrateur de la solution) ;

-    informations temporelles : date, heure (minute-seconde) de consultation ;

-    log de connexion : adresse IP (privée et publique) du terminal, groupe LDAP, localisation du terminal, politique de filtrage appliquée (générique ou spécifique), information du poste (mac adresse, numéro, OS, modèle du terminal), information de l’applicatif (version…) type d’accès, action de filtrage (autorisé, bloqué), ressource(s) de rebond (équipement(s) de sortie), URLs visitées ;

-    identification des administrateurs : nom, login, email, rôle, scope, mot de passe (chiffré), droits ;

-    commentaires : observation(s) liée(s) au fonctionnement ;

-    documents : convention de mise à disposition signée.

S’agissant des commentaires, le responsable de traitement précise par complément d’information qu’ils sont rédigés par le personnel en charge du traitement de l’alerte et aident le service informatique à effectuer un suivi de l’incident qui peut être traité par différentes personnes au sein du service, voire avec le concours d’autres services.

À cet égard, la Commission rappelle avoir écarté les alertes au point I de la présente délibération. Elle estime donc désormais que le traitement des commentaires pouvant avoir un caractère nominatif est sans objet. Ils devront donc se limiter à un traitement factuel d’une problématique de sécurité.

Le responsable de traitement indique que les informations relatives à l’identité, à la vie professionnelle des personnes concernées ainsi que leurs données d’identification électronique proviennent du traitement, concomitamment déposé, ayant pour finalité « Gestion des habilitations et des accès au Système d’information de la DENJS ».

Le responsable de traitement indique que les commentaires sont rédigés par l’administrateur.

Les autres informations sont générées par le système.

La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.

IV. Sur les droits des personnes concernées

  • Sur l’information préalable des personnes concernées

Le responsable de traitement indique que l’information préalable des élèves et de leurs responsables légaux est réalisée par le biais des Règlements intérieurs et chartes des établissements concernés.

À cet égard, le responsable de traitement a joint au dossier un extrait du Règlement intérieur du Lycée Albert Ier. La Commission constate que la mention d’information susvisée diffère de celle figurant au Règlement intérieur tel que publié au Journal de Monaco n° 8.624 du 6 janvier 2023. Par complément d’information, il a été précisé que cette mention est amenée à évoluer, selon une rédaction qui a été transmise. La Commission considère que l’information insérée dans le Règlement intérieur est généraliste et n’est pas conforme, eu égard au présent traitement, aux dispositions de l’article 14 de la loi n° 1.165.

La Commission relève la particularité de la situation, s’analysant en une mise à disposition de matériels aux enfants scolarisés, sur lesquels il n’est pas possible pour ces derniers ou leurs représentants légaux d’ajouter des logiciels de sécurité à leur main, celle‑ci étant assurée par la DENJS. Elle estime donc que la seule information exigée par l’article 14 susvisé ne saurait être suffisante.

À cet égard, par complément d’information, le responsable de traitement indique qu’il est communiqué aux élèves et à leurs responsables légaux, au moment de la remise du matériel informatique, un document à signer intitulé « Convention de mise à disposition ».

Ce document permet d’informer les personnes concernées sur les « Conditions et règles d’utilisation générales », notamment les obligations de l’élève et de ses représentants légaux, la mise en place d’outils de sécurité à des fins de protection des mineurs ainsi que les « Conditions et règles d’utilisation pendant le temps scolaire et/ou dans l’enceinte de l’établissement », et les « Conditions et règles d’utilisation hors de l’enceinte de l’établissement ».

À cet égard il est indiqué que le dispositif de filtrage Internet sera toujours Opérationnel, y compris au domicile. Néanmoins, il est précisé que « l’autorité parentale s’exerce de plein droit sur l’ordinateur portable (…) ainsi que sur les usages qui en sont faits. Il relève de la responsabilité des représentants légaux d’assurer le contrôle de l’usage de l’ordinateur portable par l’élève à son domicile ».

Par ailleurs, même si la « Charte d’utilisation des services numériques dans le cadre éducatif », à laquelle la convention de mise à disposition fait d’ailleurs référence, précise bien une liste de comportements interdits « sanctionnés par voie pénale » et que :

-    « Il appartient à l’Établissement d’installer des mécanismes techniques de protection, permettant de contrôler et de sélectionner l’accès à certains sites qui présentent un réel intérêt pédagogique tout en préservant les enfants des contenus illicites ou/et présentant sous un jour favorable le banditisme, le vol, la haine, la débauche ou tous actes qualifiés de crimes ou délits ou de nature à démoraliser l’enfance ou la jeunesse ou à inspirer ou entretenir des préjugés relatifs à l’appartenance ou à la non-appartenance, réelle ou supposée, à une ethnie, une nation ou une race déterminée » ;

-    « L’Établissement se réserve la possibilité de procéder à un contrôle des sites visités par les élèves afin d’éviter l’accès par ces derniers à des sites illicites ou requérant l’âge de la majorité, notamment par lecture des journaux d’activité du service d’accès au réseau » ;

les personnes concernées ne seraient pas préalablement informées de l’existence d’alertes et donc des mécanismes de contrôle et de leurs suites.

Sur ce point, la Commission rappelle qu’elle exclut du présent traitement la remontée d’alertes. Aussi, elle appelle l’attention du responsable de traitement sur le fait que les remontées d’alerte doivent faire l’objet d’une demande d’avis modificative auprès d’elle, afin qu’elle puisse en apprécier la proportionnalité et la qualité de l’information dispensée aux personnes concernées.

Par ailleurs, elle estime que la convention de mise à disposition pourrait comporter un article 10 relatif aux données personnelles contenant les mentions exigées par l’article 14 de la loi n° 1.165.

Enfin, la Commission relève qu’après la signature, le document est collecté par le responsable de traitement et aucun autre document d’information n’est laissé en la possession de l’élève et de ses responsables légaux. À cet égard, elle recommande que la convention soit accompagnée d’un second document, à vocation informative, et adapté aux élèves, qui pourrait être gardé au domicile de l’enfant et/ou la signature en double exemplaire de ladite convention avec remise du second exemplaire aux personnes concernées.

S’agissant de l’information préalable des enseignants, le responsable de traitement indique qu’ils sont soumis à la Charte des systèmes d’information de l’État (CSIE). Il précise que « lors de la signature du document pour la remise du matériel informatique, l’enseignant signe un document où sont inscrites les informations concernant la CSIE et la rectification des données personnelles ».

La Commission rappelle à cet égard que la Charte des systèmes d’information de l’État ne s’analyse pas en une information des personnes concernées, au sens de l’article 14 de la loi n° 1.165 du 23 décembre 1993, quant à l’exploitation d’un traitement déterminé.

Par ailleurs, le document signé en échange de la remise du matériel informatique n’ayant pas été joint au dossier, la Commission n’est pas en mesure de se prononcer sur la qualité de l’information dispensée.

À cet égard, et compte tenu des spécificités du traitement la Commission considère que les enseignants doivent également être informés des obligations qui leur incombent dans l’utilisation du matériel mis à la disposition par la DENJS. Par ailleurs, le responsable de traitement doit également les informer au sujet de la mise en place d’un filtrage de leur navigation Internet.

Enfin, la Commission relève que les modalités d’informations des agents de la DENJS intervenant dans le process de gestion des ressources ne sont pas spécifiées. Aussi, la Commission rappelle que toutes les personnes concernées par le présent traitement doivent bénéficier d’une information préalable conforme aux exigences légales.

En conséquence, la Commission demande que l’ensemble des personnes concernées soient informées de manière conforme à l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée, et que les documents qui leurs sont remis soient complétés d’une information plus spécifique leur permettant de comprendre les comportements attendus sur la navigation Internet et les modalités de contrôle opérées, afin de pouvoir s’y adapter.

  •   Sur l’exercice du droit d’accès, de modification et de mise à jour

Le droit d’accès est exercé par les personnes concernées par voie postale et par courrier électronique auprès de la Direction de l’Éducation Nationale, de la Jeunesse et des Sports.

À cet égard, la Commission rappelle que la réponse à ce droit d’accès doit s’exercer dans le mois suivant la réception de la demande.

Elle rappelle en outre, que dans le cadre de l’exercice du droit d’accès par voie électronique une procédure doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agit effectivement de la personne concernée par les informations.

À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.

Sous ces conditions, la Commission considère que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.

V. Sur les destinataires et les personnes ayant accès au traitement

La Commission constate que le responsable de traitement ne communique aucune information à des destinataires.

Par ailleurs, ont accès au traitement :

-    le personnel du Service Informatique de la DENJS : en inscription, modification, consultation, suppression ;

-    le prestataire d’hébergement : en suppression.

La Commission constate qu’il est fait recours à des prestataires. Elle rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993 les droits d’accès de ces derniers doivent être limités à ce qui est strictement nécessaire à l’exécution de leurs contrats de prestation de service. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.

Sous cette condition, la Commission considère que ces accès sont justifiés.

VI.  Sur les rapprochements et les interconnexions avec d’autres traitements

Le présent traitement est interconnecté avec le traitement, concomitamment déposé ayant pour finalité « Gestion des habilitations et des accès au Système d’information de la DENJS » afin de permettre l’accès logique aux ressources numériques de la DENJS aux seules personnes autorisées.

Il est également interconnecté avec les traitements, en cours d’analyse auprès de la CCIN, en lien avec l’outil Microsoft 365.

Par ailleurs, le responsable de traitement précise que le présent traitement est rapproché du traitement, concomitamment déposé ayant pour finalité « Gestion du parc informatique de la DENJS ».

Il appert en outre à l’étude du dossier que le présent traitement est rapproché du traitement, légalement mis en œuvre, ayant pour finalité « Gestion des dossiers scolaires des élèves inscrits dans les établissements publics de la Principauté ».

Le responsable de traitement indique en outre que le traitement fait l’objet d’un rapprochement avec le traitement « Assistance aux utilisateurs du système d’information de la DENJS » et d’une interconnexion avec le traitement « Gestion et analyse des évènements du système d’information ».

Enfin, il appert que le présent traitement est interconnecté avec un traitement ayant pour finalité la gestion de la messagerie professionnelle, propre au responsable de traitement, non légalement mis à œuvre.

Au regard de ce qui précède, la Commission rappelle que tout rapprochement ou interconnexion ne peut avoir lieu qu’entre des traitements légalement mis en œuvre.

Aussi, elle demande que les traitements ayant pour finalités « Assistance aux utilisateurs du système d’information de la DENJS », « Gestion et analyse des évènements du système d’information » et celui relatif à la gestion de la messagerie professionnelle lui soient déposés dans les meilleurs délais.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.

La Commission rappelle néanmoins que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

Par ailleurs, elle rappelle que la copie ou l’extraction d’informations issues de ce traitement devra être chiffrée sur son support de réception.

La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui‑ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Les informations relatives à l’identification des administrateurs ainsi que les données d’identification électronique sont conservées « tant que la personne (l’administrateur) est habilitée à avoir accès à la solution ».

Par ailleurs, les informations relatives aux utilisateurs sont conservées « tant que la personne est autorisée à avoir accès à Internet ».

Les informations temporelles ainsi que les logs de connexion sont conservés 1 an.

La Commission prend acte des précisions du responsable de traitement indiquant que les conventions de mise à disposition sont conservées par le secrétariat de l’établissement concerné et sont détruits « 6 mois après le départ de l’élève ».

La Commission fixe la durée de conservation des autres données traitées dans le cadre du présent traitement à 1 an.

Après en avoir délibéré, la Commission :

Demande :

-    de procéder à la suspension des alertes et des contrôles individuels tels que prévus en l’état ;

-    au responsable de traitement, s’il estime toujours devoir introduire la fonctionnalité de génération d’alertes, de revenir vers elle avec une demande d’avis modificative explicitant notamment la procédure permettant de déterminer les mécanismes mis en œuvre pour respecter à la fois la sécurité du système d’information, la prévention d’infractions (telle que la consultation de sites faisant l’apologie du terrorisme), et le respect de la vie privée des personnes concernées ;

-    que l’ensemble des personnes concernées soient informées de manière conforme à l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée, et que les documents qui leurs sont remis soient complétés d’une informations plus spécifique leur permettant de comprendre les comportements attendus sur la navigation Internet et les modalités de contrôle opérées, afin de pouvoir s’y adapter ;

-    que les traitements ayant pour finalités « Assistance aux utilisateurs du système d’information de la DENJS », « Gestion et analyse des évènements du système d’information » et celui relatif à la gestion de la messagerie professionnelle lui soient déposés dans les meilleurs délais.

Rappelle que :

-    la Charte des systèmes d’information de l’État ne s’analyse pas en une information des personnes concernées, au sens de l’article 14 de la loi n° 1.165 du 23 décembre 1993, quant à l’exploitation d’un traitement déterminé ;

-    tout rapprochement ou interconnexion ne peut avoir lieu qu’entre des traitements légalement mis en œuvre ;

-    les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;

-    la copie ou l’extraction d’informations issues de ce traitement devra être chiffrée sur son support de réception.

Considère que l’information insérée dans le Règlement intérieur est généraliste et n’est pas conforme, eu égard au présent traitement, aux dispositions de l’article 14 de la loi n° 1.165.

Recommande que la convention de mise à disposition soit accompagnée d’un second document, à vocation informative, et adapté aux élèves, qui pourrait être gardé au domicile de l’enfant et/ou la signature en double exemplaire de ladite convention avec remise du second exemplaire aux personnes concernées.

Fixe la durée de conservation des autres données traitées dans le cadre du présent traitement à 1 an.

Sous le bénéfice de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par la Direction de l’Éducation Nationale, de la Jeunesse et des Sports, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion de la politique de filtrage des accès à Internet des établissements scolaires ».

Le Président de la Commission de
Contrôle des Informations
Nominatives.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14