icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails
Voir le site en Anglais
MENU
Français | Anglais
  • Avis et Communiqués
  • Déliberations-Décisions CCIN

Délibération n° 2024-9 du 17 janvier 2024 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion et supervision des habilitations et des accès au système d'information de la DENJS » exploité par la Direction de l'Éducation Nationale, de la Jeunesse et des Sports présenté par le Ministre d'État.

  • N° journal 8680
  • Date de publication 02/02/2024
  • Qualité 100%
  • N° de page

Vu la Constitution ;

Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu la loi n° 1.334 du 12 juillet 2007 sur l’éducation ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu l’arrêté ministériel n° 2022-331 du 13 juin 2022 portant application de l’article 23 de la loi n° 1.435 du 8 novembre 2016 relative à la lutte contre la criminalité technologique, fixant les mesures de sécurité des systèmes d’information de l’État ;

Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;

Vu la délibération n° 2017-206 du 20 décembre 2017 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les traitements automatisés d’informations nominatives ayant pour finalité « Gestion des Habilitations et des Accès Informatiques mis en œuvre à des fins de surveillance ou de contrôle des accès au Système d’Information » ;

Vu la demande d’avis déposée par le Ministre d’État, le 11 octobre 2023 concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Gestion des habilitations au système d’information de la DENJS » ;

Vu la prorogation du délai d’examen de la présente demande d’avis, notifiée au responsable de traitement le 7 décembre 2023, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 17 janvier 2024 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

La Direction de l’Éducation Nationale, de la Jeunesse et des Sports (la « DENJS ») est un Service exécutif de l’État au sens de l’article 44 de la Constitution.

Cette Direction entend, dans le cadre de la gestion de son système d’information et notamment du projet e-éducation, équiper les enseignants et les élèves de la DENJS de ressources informatiques et développer les usages des outils numériques.

Aussi, afin de sécuriser l’accès au système d’information de la DENJS, le responsable de traitement souhaite mettre en place un traitement automatisé lui permettant de maîtriser l’accès des utilisateurs aux seuls environnements du système nécessaires à l’accomplissement de leurs missions ou activités.

Ledit traitement est ainsi soumis à l’avis de la Commission conformément aux dispositions de l’article 7 de la loi n° 1.165 du 23 décembre 1993.

I.  Sur la finalité et les fonctionnalités du traitement

Le présent traitement a pour finalité « Gestion des habilitations au système d’information de la DENJS ».

Il concerne les enseignants et les élèves des établissements scolaires relevant de la DENJS, les personnels de la DENJS dotés de postes de travail gérés par la DENJS, les prestataires agissant pour le compte de la DENJS ainsi que les administrateurs du Service informatique de la DENJS.

Le présent traitement a pour fonctionnalités :

-    gestion des autorisations d’accès aux ressources informatiques ;

-    gestion des comptes utilisateurs, des profils utilisateurs et des groupes utilisateurs ;

-    gestion des comptes système ;

-    gestion des mots de passe ;

-    établissement de rapports ;

-    supervision des accès aux applications ;

-    établissement d’éléments de preuve en cas d’infractions ;

-    établissement de rapports, bilans, statistiques, reporting et exports génériques.

Il ressort des informations complémentaires communiquées par le responsable de traitement que les statistiques réalisées sont anonymes. Les rapports et bilans concernent en outre des alertes sécurité, en cas de tentatives de connexion à des sites non autorisés ou d’installation d’applications non autorisées, et contiennent les informations qui permettent d’identifier le compte concerné et son détenteur.

À cet égard, après analyse du dossier, la Commission considère que ces alertes sont issues du traitement ayant pour finalité « Gestion des politiques de filtrages des accès à internet des établissements scolaires ». Elle renvoie en conséquence à la délibération rendue en lien avec ce traitement.

Le responsable de traitement précise enfin que le présent traitement comporte à la fois des opérations de gestion des habilitations et de supervision des accès.

À cet égard, la Commission rappelle que tout traitement d’informations nominatives doit avoir une finalité « déterminée, explicite et légitime » aux termes de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.

En l’espèce, la finalité du présent traitement doit être plus explicite en indiquant qu’il a également pour objet la supervision des accès des utilisateurs aux environnements du système d’information de la DENJS.

Par conséquent, elle modifie la finalité comme suit : « Gestion et supervision des habilitations et des accès au système d’information de la DENJS ».

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le présent traitement est justifié par le respect d’une obligation légale à laquelle il est soumis ainsi que par la réalisation d’un intérêt légitime qu’il poursuit et qui ne méconnaît ni l’intérêt, ni les droits et libertés fondamentaux des personnes concernées.

Il indique notamment que « le traitement se justifie par une obligation légale du responsable de traitement, issue de la PSSIE, de maîtriser les ressources ainsi que les éléments du système d’information support de ses activités, de celles des enseignants et de celles des élèves réalisées au moyen de ressources numériques. Cette maîtrise implique, notamment, la mise en place de mesures techniques et organisationnelles permettant une maîtrise des habilitations et des accès au système d’information ».

La Commission rappelle à cet égard qu’aucune obligation légale n’impose, en tant que telle, la mise en œuvre d’un traitement proposant la présente finalité. Elle relève néanmoins que le présent traitement permet de répondre aux objectifs de la Politique de Sécurité du Système d’Information de l’État annexée à l’arrêté ministériel n° 2022-331 du 13 juin 2022 notamment s’agissant de l’exploitation des systèmes d’information et de la Charte des systèmes d’information de l’État.

Le responsable de traitement précise par ailleurs, s’agissant du fondement relatif à l’intérêt légitime, que le présent traitement met à disposition des enseignants et des élèves des ressources et supports en application de la loi n° 1.334 du 12 juillet 2007 sur l’éducation.

La Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.

III.  Sur les informations traitées

Les informations traitées dans le cadre du présent traitement sont :

-    identité : prénom, nom ;

-    vie professionnelle : service, fonction, classe pour les élèves et les enseignants ou assimilés, statut pour le personnel administratif/technique ;

-    données d’identification électronique : login, mot de passe (haché) ;

-    informations temporelles : horodatage, logs de connexion, opérations réalisées (création, modification, suppression), ID, dates, postes de travail et objet de l’évènement, fichiers journaux quotidiens avec Mac adresse et adresse IP ;

-    compte utilisateur : nom du compte, domaine du compte, groupe d’utilisateurs, type de droits, appartenance à un annuaire ou à des groupes spécifiques, degrés d’habilitation hiérarchique ou de confidentialité, dates de début et de fin de mission (si applicable).

Il ressort de l’étude du dossier que l’adresse postale des utilisateurs est également susceptible d’être collectée. La Commission en prend acte.

Les informations relatives aux noms et prénoms ainsi qu’à la vie professionnelle sont issues du traitement légalement mis en œuvre ayant pour finalité « Gestion des dossiers scolaires des élèves inscrits dans les établissements de la Principauté », dénommé Pronote.

En outre le responsable de traitement précise que les informations ne figurant pas dans l’outil Pronote sont susceptibles de provenir des dossiers des ressources humaines. La Commission renvoie à cet égard au point VI de la présente délibération.

Les autres informations proviennent du système d’information.

La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.

IV.  Sur les droits des personnes concernées

  •   Sur l’information préalable des personnes concernées

L’information préalable des personnes concernées est réalisée par le biais d’un document spécifique.

Le responsable de traitement précise que les élèves sont informés par le biais des Règlements intérieurs de leurs établissements et des Chartes.

Il est joint, à l’appui du dossier de demande d’avis, un extrait du Règlement intérieur du Lycée Albert Ier. La Commission considère que celui‑ci n’est pas conforme à l’article 14 de la loi n° 1.165. En outre, elle constate que la mention d’information susvisée diffère de celle figurant au Règlement intérieur tel que publié au Journal de Monaco n° 8.624 du 6 janvier 2023.

Il est également précisé que les « fonctionnaires et agents de l’État du Gouvernement de la Principauté de Monaco, les enseignants sont soumis à la Charte des systèmes d’information de l’État » et que « lors de la signature du document pour la remise du matériel informatique, l’enseignant signe un document où sont inscrites les informations concernant la CSIE et la rectification des données personnelles ».

La Commission rappelle à cet égard que la Charte des systèmes d’information de l’État ne s’analyse pas en une information des personnes concernées, au sens de l’article 14 de la loi n° 1.165 du 23 décembre 1993, quant à l’exploitation d’un traitement déterminé.

Le document signé en échange de la remise du matériel informatique n’a par ailleurs pas été joint au dossier.

Au regard de ce qui précède, la Commission demande que l’ensemble des personnes concernées soient valablement informées et que cette information soit conforme aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993.

  • Sur l’exercice du droit d’accès

Le responsable de traitement indique que le droit d’accès s’exerce par voie postale, par courrier électronique ainsi qu’à travers un formulaire en ligne dédié.

Il ressort par ailleurs de l’étude du dossier qu’ « une nouvelle procédure pour l’accès et la rectification des données a été promulguée par note de service. Parmi les mesures principales sont envisagées :

-    la création d’une page internet sur les sites des établissements dédiés à la protection des données et reprenant tous les traitements avec les mentions obligatoires décrites à l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée ;

-    la création d’un délégué à la protection des données pour la DENJS, chargé de donner suite aux demandes des usagers ;

-    la création d’un formulaire de demande lié à une adresse électronique pour toute demande d’accès ou de rectification.

C’est à travers ces documents que les usagers prennent connaissance des conditions exactes leur permettant d’accéder à leurs informations nominatives, et à demander, le cas échéant, leur modification ».

La Commission en prend acte et rappelle que quel que soit l’état d’avancement des procédures, les personnes concernées doivent être en mesure d’exercer leurs droits d’accès de manière effective conformément aux dispositions de la loi n° 1.165, susvisée.

Elle rappelle également que la réponse à ce droit d’accès doit s’exercer dans le mois suivant la réception de la demande.

S’agissant de l’exercice du droit d’accès par voie électronique, elle rappelle, en outre, qu’une procédure doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agisse effectivement de la personne concernée par les informations. À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.

V. Sur les destinataires et les personnes ayant accès au traitement

  •    Sur les destinataires

Le responsable de traitement précise que les informations sont susceptibles d’être communiquées au Responsable des systèmes d’information de la DENJS.

Il ressort par ailleurs de l’étude du dossier que « le traitement peut permettre l’extraction ou/et l’établissement de copie sur un support distinct protégé en cas d’une demande de communication aux services de police et/ou aux autorités administratives et judiciaires compétentes dans le cadre des missions qui leur sont légalement conférées ».

La Commission rappelle qu’en cas de transmission, ces Autorités ne pourront avoir communication des informations objet du présent traitement, que dans le strict cadre de leurs misions légalement conférées.

Sous réserve du point VII de la présente délibération, elle considère que ces communications sont conformes aux exigences légales.

  •   Sur les personnes ayant accès au traitement

Il est précisé que le personnel du service informatique de la DENJS a accès au présent traitement à des fins d’inscription, de modification, de consultation et de suppression.

La Commission considère que ces accès sont justifiés au regard du présent traitement.

VI.  Sur les rapprochements et les interconnexions

Le présent traitement fait l’objet d’un rapprochement avec le traitement, légalement mis en œuvre ayant pour finalité « Gestion des dossiers scolaires des élèves inscrits dans les établissements publics de la Principauté ».

Il est également interconnecté avec les traitements, en cours d’analyse auprès de la CCIN, en lien avec l’outil Microsoft 365.

Le responsable de traitement précise par ailleurs que le présent traitement fait l’objet d’un rapprochement avec le traitement « Assistance aux utilisateurs du système d’information de la DENJS » et d’une interconnexion avec le traitement « Gestion et analyse des évènements du système d’information ».

Il est en outre susceptible de faire l’objet d’un rapprochement ou d’une interconnexion avec tout traitement de la DENJS nécessitant une habilitation gérée par le système d’information de cette Direction.

Enfin, il appert que le présent traitement est interconnecté avec un traitement ayant pour finalité la gestion de la messagerie professionnelle, propre au responsable de traitement, non légalement mis à œuvre. Il est enfin susceptible de faire l’objet d’un rapprochement avec un traitement en lien avec les ressources humaines.

Au regard de ce qui précède, la Commission rappelle que tout rapprochement ou interconnexion ne peut avoir lieu qu’entre des traitements légalement mis en œuvre.

Aussi, elle demande que les traitements ayant pour finalité « Assistance aux utilisateurs du système d’information de la DENJS », « Gestion et analyse des évènements du système d’information » et celui relatif à la gestion de la messagerie professionnelle lui soient déposés dans les meilleurs délais.

La Commission rappelle au surplus que les traitements de la DENJS, non légalement mis en œuvre, appelés à faire l’objet d’une interconnexion ou d’un rapprochement avec le présent traitement devront lui être préalablement soumis.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.

Cependant, il convient de préciser que la copie ou l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception.

En outre, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui‑ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Le responsable de traitement indique que les informations sont conservées comme suit :

-    en ce qui concerne les informations relatives à l’identité et à la vie professionnelle des utilisateurs élèves, personnel enseignant ou assimilé, personnel administratif/ technique les données sont effacées au bout de 6 mois après le départ, et au maximum à la rentrée suivante pour ceux qui quitteraient les établissements pendant l’année scolaire.

Le responsable de traitement précise que ce délai est nécessaire pour s’assurer que le matériel informatique soit rendu avant que le nom de l’utilisateur ne soit effacé du système.

-    les informations temporelles sont conservées 12 mois.

S’agissant des informations relatives à l’identité et à la vie professionnelle des utilisateurs élèves, personnel enseignant ou assimilé, personnel administratif/technique, la Commission estime cette durée trop longue et la fixe, conformément à sa recommandation n° 2017-206 du 20 décembre 2017, à 3 mois après le départ ces derniers.

En conséquence, elle fixe la durée de conservation des logins à 3 mois à compter du départ de la personne.

Sous cette réserve, la Commission considère que ces délais sont conformes aux exigences légales.

Après en avoir délibéré, la Commission :

Modifie la finalité du traitement par « Gestion et supervision des habilitations et des accès au système d’information de la DENJS ».

Estime trop longue la durée de conservation s’agissant des informations relatives à l’identité et à la vie professionnelle des utilisateurs élèves, personnel enseignant ou assimilé, personnel administratif/technique.

Fixe la durée de conservation s’agissant des informations relatives à l’identité et à la vie professionnelle des utilisateurs élèves, personnel enseignant ou assimilé, personnel administratif/ technique à 3 mois après le départ ces derniers.

Considère :

-    que les alertes sont issues du traitement ayant pour finalité « Gestion des politiques de filtrages des accès à internet des établissements scolaires » et renvoie en conséquence à la délibération rendue en lien avec ce traitement ;

-    qu’une procédure relative au droit d’accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations.

Demande :

-    que l’ensemble des personnes concernées soient valablement informées et que cette information soit conforme aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993 ;

-    les traitements ayant pour finalités « Assistance aux utilisateurs du système d’information de la DENJS », « Gestion et analyse des évènements du système d’information » et celui relatif à la gestion de la messagerie professionnelle lui soient déposés dans les meilleurs délais.

Rappelle :

-    que quel que soit l’état d’avancement des procédures, les personnes concernées doivent être en mesure d’exercer leurs droits d’accès de manière effective conformément aux dispositions de la loi n° 1.165, susvisée ;

-    que tout rapprochement ou interconnexion ne peut avoir lieu qu’entre des traitements légalement mis en œuvre ;

-    que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;

-    que la copie ou l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception.

Sous le bénéfice de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion et supervision des habilitations et des accès au système d’information de la DENJS ».

Le Président de la Commission de
Contrôle des Informations
Nominatives.

Visualiser le journal
au format PDF 1,26 MB
Télécharger le journal
au format PDF 1,26 MB
Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14