Délibération n° 2024‑65 du 20 mars 2024 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion des outils de productivité » exploité par la Direction de l'Éducation Nationale, de la Jeunesse et des Sports (DENJS) présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.334 du 12 juillet 2007 sur l’éducation ;
Vu l’Ordonnance Souveraine n° 5.540 du 19 mars 1975 portant la création de la Direction de l’Éducation Nationale, de la Jeunesse et des Sports ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la délibération n° 2011‑82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la demande d’avis déposée par le Ministre d’État, le 22 novembre 2023, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Gestion des outils de productivité » exploité par la Direction de l’Éducation Nationale, de la Jeunesse et des Sports ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 19 janvier 2024, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 20 mars 2024 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Direction de l’Éducation Nationale, de la Jeunesse et des Sports (DENJS) souhaite mettre à la disposition des élèves, des enseignants et des non-enseignants des applications permettant de simplifier les tâches et de rationaliser les flux de travail.
Ainsi, le présent traitement est soumis à l’avis de la Commission, conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Gestion des outils de productivité ».
Il concerne les élèves, les enseignants, le personnel de direction, ainsi que le personnel non-enseignant des établissements scolaires et de la DENJS (ex. documentalistes, répétiteurs, etc.).
Les fonctionnalités du traitement sont :
- « Planner : gestionnaire de tâches et de projets en équipe ;
- To Do : gestionnaire de tâche en mobilité ;
- Visio : outil de visualisation de l’information au moyen de graphiques et de schémas ;
- Viva Insight : outil d’aide à la productivité et à la créativité par la promotion du bien-être chez les employés ;
- Power Automate : permettre d’automatiser les tâches récurrentes et d’améliorer la productivité ;
- Projects : logiciel de gestion de projets ;
- Lists : outils de gestion de tâches et d’organisation du travail en équipe ;
- Bookings : logiciel de gestion des réservations en ligne ;
- Calendrier : application liée à la messagerie permettant la gestion des calendriers ;
- Forms : outil de création des questionnaires, d’enquêtes et de sondages ».
S’agissant de la fonctionnalité « Calendrier : application liée à la messagerie permettant la gestion des calendriers », la Commission prend acte qu’une demande d’avis spécifique lui sera adressée par le responsable de traitement et renvoie au point VI de la présente délibération.
Elle relève par ailleurs que les fonctionnalités du présent traitement sont réparties entre différentes solutions d’un même prestataire et qu’un compte utilisateur permet à ce dernier de se connecter aux différentes applications. À cet égard, le responsable de traitement a précisé que l’enrôlement des utilisateurs est effectué par le biais du traitement légalement mis en œuvre ayant pour finalité « Gestion et supervision des habilitations et des accès au système d’information de la DENJS » et « qu’une revue annuelle du statut de l’utilisateur est effectuée chaque rentrée scolaire ».
À cet égard, la Commission considère que les applications sont mises à disposition des personnes concernées en tenant compte de leur profil (élèves, enseignants, personnel non-enseignant) et de leurs besoins d’utilisation.
De même, il ressort des précisions apportées par le responsable de traitement que lors du départ d’un utilisateur, celui-ci peut enregistrer le contenu de son espace pendant une durée d’un an. La Commission renvoie à cet égard au point IV de la présente délibération.
Enfin, elle considère que la présente délibération concerne uniquement l’exploitation des fonctionnalités ci-dessus listées. Aussi, dans l’hypothèse où le responsable de traitement souhaite ajouter de nouvelles fonctionnalités au présent traitement, il conviendra de revenir vers la CCIN avec une demande d’avis modificative conformément aux dispositions de l’article 9 de la loi n° 1.165, susvisée.
Sous réserve de ce qui précède, la Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par un motif d’intérêt public ainsi que par la réalisation d’un intérêt légitime qu’il poursuit et qui ne méconnaît ni l’intérêt ni les droits et libertés fondamentaux des personnes concernées.
Il précise que le traitement dont s’agit répond à un objectif pédagogique en ce qu’il permet aux élèves de se familiariser avec les outils mis à leur disposition.
Ainsi, « l’objectif des outils déployés est de faciliter l’enseignement et l’apprentissage notamment en familiarisant les élèves avec des outils qu’ils seront appelés à utiliser pendant leurs études d’enseignement supérieur et en situation professionnelle. »
Par ailleurs « [P]our les enseignants, l’enjeu est de développer des compétences numériques tout en produisant du contenu pédagogique et didactique sur support numérique. Pour tous les personnels, ce sont aussi des outils d’aide à la gestion administrative et de classe ainsi que des outils d’évaluation ».
La Commission relève en outre, qu’en vertu des dispositions de l’article 13 alinéa 1er de la loi n° 1.334 susvisée, « [l]e Directeur de l’Éducation nationale est le chef du service de l’État institué par Ordonnance Souveraine ayant notamment pour mission : (…). 5°) d’une manière générale, de préparer et concevoir toute mesure d’impulsion ou d’application relative à l’éducation ». L’article 39 de dispose en outre que « La maîtrise de l’outil informatique et des technologies de l’information et de la communication est enseignée dès la maternelle et jusqu’au terme de la scolarité obligatoire. L’enseignement de leur usage bénéficie de mesures d’accompagnement adaptées de formation et de contrôle permettant d’assurer la sécurité des élèves et notamment la protection des mineurs. (…) ».
La Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10‑1 et 10‑2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Les informations nominatives traitées sont :
- identité : nom, prénom ;
- formation, diplômes, vie professionnelle : établissement, classe, options de formation ;
- informations temporelles : horodatage et versioning automatique ;
- données d’identification électronique : identifiant, mot de passe.
La Commission relève que les informations exploitées par la DENJS sont moins nombreuses que celles soumises par les autres responsables de traitement utilisant les mêmes outils. Ayant sollicité un complément d’informations, la CCIN n’a pas reçu du responsable de traitement des précisions sur des collectes supplémentaires. Aussi elle en prend acte et rappelle que si le responsable de traitement souhaite exploiter d’autres données il conviendra de revenir vers elle avec une demande d’avis modificative du présent traitement conformément aux dispositions de l’article 9 de la loi n° 1.165, modifiée.
Le responsable de traitement indique que les informations ont pour origine les personnes concernées à l’exception de celles relatives à l’établissement, à la classe et aux options de formation qui proviennent du traitement ayant pour finalité « Gestion des dossiers scolaires des élèves inscrits dans les établissements publics de la Principauté ».
La Commission considère que les informations temporelles proviennent du système.
En outre, certaines informations sont susceptibles d’avoir pour origine d’autres traitements légalement mis en œuvre tels que ceux ayant pour finalités « Gestion et supervision des habilitations et des accès au système d’information de la DENJS » et « Gestion des dossiers des fonctionnaires et agents de l’État relevant de la Fonction Publique et de statuts particuliers ».
Sous réserve de ce qui précède, la Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
- Sur l’information préalable des personnes concernées
Le responsable de traitement indique que l’information préalable des personnes concernées est assurée au moyen d’un document spécifique, d’une mention particulière intégrée dans un document d’ordre général ainsi que dans le Règlement intérieur de l’établissement scolaire concerné.
La Commission n’ayant pas été destinataire desdits documents, elle n’est pas en mesure de se prononcer sur la qualité de l’information dispensée.
À cet égard, elle rappelle que l’ensemble des personnes concernées doit être informé préalablement et conformément à l’article 14 de la loi n° 1.165 du 23 décembre 1993.
En toute fin, elle rappelle que l’information des personnes concernées doit permettre à ces dernières de comprendre l’utilisation autorisée des outils mis à leur disposition en indiquant, par exemple, dans quelle mesure une utilisation privée/personnelle est admise.
Aussi, elle recommande au responsable de traitement, si cela n’est pas déjà fait, de mettre en place une charte d’usage des outils mis à la disposition des personnes concernées.
- Sur l’exercice du droit d’accès, de modification et de mise à jour
Le droit d’accès est exercé par les personnes concernées sur place, par voie postale ou par courrier électronique adressé à l’attention du Délégué à la protection des données de la DENJS.
À cet égard, la Commission rappelle que la réponse à ce droit d’accès doit s’exercer dans le mois suivant la réception de la demande.
Elle rappelle en outre, que dans le cadre de l’exercice du droit d’accès par voie électronique, une procédure doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agit effectivement de la personne concernée par les informations.
À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015‑113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.
Sous ces conditions, la Commission considère que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
Les personnes ayant accès au traitement sont :
- le personnel de la division informatique de la DENJS : en inscription, modification et maintenance ;
- le référent DENJS à la protection des données : en consultation ;
- les utilisateurs (élèves, enseignants, personnel non enseignant) : en consultation et création.
Enfin, le responsable de traitement indique que les employés du prestataire des outils disposent d’un accès à des fins de maintenance. Il précise par ailleurs que ces personnes ne disposent pas d’un accès aux données.
La Commission en prend acte.
Elle rappelle néanmoins que tout accès aux données nominatives par un prestataire localisé dans un pays ne disposant pas d’un niveau de protection adéquat doit préalablement à sa mise en œuvre être soumis à son autorisation.
Ainsi, la Commission invite le responsable de traitement à s’assurer qu’il n’existe effectivement aucun accès aux données par le prestataire.
En conséquence elle subordonne la mise en œuvre du présent traitement à l’absence d’accès aux données par le prestataire.
Sous cette réserve, la Commission considère que ces accès sont justifiés.
VI. Sur les interconnexions et rapprochements avec d’autres traitements
Le responsable de traitement indique que le présent traitement est rapproché avec les traitements suivants, légalement mis en œuvre :
- « Gestion des dossiers scolaires des élèves inscrits dans les établissements publics de la Principauté » ;
- « Gestion des dossiers des fonctionnaires et agents de l’État relevant de la Fonction Publique et de statuts particuliers » ;
- « Gestion du parc informatique de la DENJS ».
À cet égard, il précise que ces « rapprochements sont effectués annuellement pendant la rentrée des classes pour créer, modifier ou supprimer les profils qui le nécessitent ».
Le responsable de traitement indique par ailleurs que le traitement est interconnecté avec les traitements suivants, légalement mis en œuvre :
- « Gestion et supervision des habilitations et des accès au système d’information de la DENJS » ;
- « Gestion de la politique de filtrage des accès à Internet des établissements scolaires ».
En outre, la Commission a pris acte qu’une demande d’avis spécifique lui sera adressée concernant la gestion de la messagerie professionnelle propre au responsable de traitement.
À cet égard, elle rappelle que tout rapprochement ou interconnexion ne peut avoir lieu qu’entre des traitements légalement mis en œuvre et demande que celui-ci lui soit soumis dans les plus brefs délais.
Sous cette réserve, la Commission estime que ces rapprochements et interconnexions sont conformes aux exigences légales.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
Cependant, la Commission rappelle que les ports non utilisés doivent être désactivés et que les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Le responsable de traitement indique que les données relatives aux personnes concernées sont conservées pendant l’année scolaire. Il ressort à cet égard des précisions apportées par le responsable de traitement qu’« une revue annuelle du statut de l’utilisateur est effectuée à chaque rentrée scolaire ». La Commission en prend acte.
Toutefois, elle considère que les informations relatives au personnel enseignant et non-enseignant de la DENJS sont susceptibles d’être conservées tant que la personne est habilitée à avoir accès aux outils. Elle fixe en conséquence la durée de conservation.
Enfin, la Commission relève que les logs de connexion sont conservés « pendant l’année scolaire ». À cet égard, elle rappelle que ces derniers doivent être conservées entre 3 mois minimum et 1 an maximum. Elle fixe donc la durée de conservation de l’ensemble des logs de connexion à 1 an glissant.
Après en avoir délibéré, la Commission :
Prend acte de ce que le responsable de traitement indique que le prestataire n’a aucun accès aux données.
Demande que le traitement relatif à la gestion de la messagerie professionnelle lui soit soumis dans les meilleurs délais.
Rappelle que/qu’en :
- en cas de collecte d’informations supplémentaires par le responsable de traitement, il conviendra de revenir vers elle avec une demande d’avis modificative du présent traitement conformément aux dispositions de l’article 9 de la loi n° 1.165, modifiée ;
- l’information de l’ensemble des personnes concernées doit être préalable et conforme à l’article 14 de la loi n° 1.165 du 23 décembre 1993 ;
- l’information des personnes concernées doit permettre à ces dernières de comprendre l’utilisation autorisée des outils mis à leur disposition en indiquant, par exemple, dans quelle mesure une utilisation privée/personnelle est admise ;
- la réponse au droit d’accès doit s’exercer dans le mois suivant la réception de la demande ;
- une procédure relative au droit d’accès par voie électronique doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agisse effectivement de la personne concernée par les informations ;
- tout accès aux données nominatives par un prestataire localisé dans un pays ne disposant pas d’un niveau de protection adéquat doit préalablement à sa mise en œuvre être soumis à son autorisation ;
- tout rapprochement ou interconnexion ne peut avoir lieu qu’entre des traitements légalement mis en œuvre ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Fixe :
- la durée de conservation des informations relatives aux personnels enseignant et non enseignant à la période pendant laquelle la personne est habilitée à avoir accès aux outils ;
- la durée de conservation des logs de connexion aux différents outils à 1 an glissant.
Subordonne la mise en œuvre du présent traitement à l’absence d’accès aux données par le prestataire.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des outils de productivité » exploité par la Direction de l’Éducation Nationale, de la Jeunesse et des Sports.
Le Président de la Commission de Contrôle
des Informations Nominatives.