icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2024‑67 du 20 mars 2024 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des outils d'exploitation » exploité par la Direction de l'Éducation Nationale, de la Jeunesse et des Sports (DENJS) présenté par le Ministre d'État.

  • N° journal 8689
  • Date de publication 05/04/2024
  • Qualité 100%
  • N° de page

Vu la Constitution ;

Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu la loi n° 1.334 du 12 juillet 2007 sur l’éducation ;

Vu l’Ordonnance Souveraine n° 5.540 du 19 mars 1975 portant la création de la Direction de l’Éducation Nationale, de la Jeunesse et des Sports ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu la délibération n° 2011‑82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;

Vu la demande d’avis déposée par le Ministre d’État, le 22 novembre 2023, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité la « Gestion des outils d’exploitation » exploité par la Direction de l’Éducation Nationale, de la Jeunesse et des Sports ;

Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 19 janvier 2024, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 20 mars 2024 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

La Direction de l’Éducation Nationale, de la Jeunesse et des Sports (DENJS) souhaite mettre à la disposition des élèves, enseignants et personnels non-enseignants des outils d’exploitation.

Le responsable de traitement précise que les principaux objectifs sont la familiarisation avec les outils et l’apprentissage de l’utilisation mais également l’organisation et le stockage des documents et des données.

Ainsi, ce traitement est soumis à l’avis de la Commission, conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.

I.   Sur la finalité et les fonctionnalités du traitement

Le présent traitement a pour finalité « Gestion des outils d’exploitation ».

Il concerne les élèves, les enseignants, le personnel de direction, ainsi que le personnel non-enseignant des établissements scolaires et de la DENJS (ex. documentalistes, répétiteurs, etc.).

Les fonctionnalités du traitement sont :

-    « Access : création et de gestion de bases de données ;

-    One Drive : stockage de documents avec une fonctionnalité de partage. ».

Elle relève par ailleurs que les fonctionnalités du présent traitement sont réparties entre différentes solutions d’un même prestataire et qu’un compte utilisateur permet à ce dernier de se connecter aux différentes applications. À cet égard, le responsable de traitement a précisé que l’enrôlement des utilisateurs est effectué par le biais du traitement légalement mis en œuvre ayant pour finalité « Gestion et supervision des habilitations et des accès au système d’information de la DENJS » et « qu’une revue annuelle du statut de l’utilisateur est effectuée chaque rentrée scolaire ».

En outre, il appert que l’activation des applications est effectuée selon les besoins identifiés par le responsable de traitement.

À cet égard, la Commission considère que les applications sont mises à disposition des personnes concernées en tenant compte de leur profil (élèves, enseignants, personnel non-enseignant) et de leurs besoins d’utilisation.

Enfin, elle considère que la présente délibération concerne uniquement l’exploitation des fonctionnalités ci-dessus listées. Aussi, dans l’hypothèse où le responsable de traitement souhaite ajouter de nouvelles fonctionnalités au présent traitement, il conviendra de revenir vers la CCIN avec une demande d’avis modificative conformément aux dispositions de l’article 9 de la loi n° 1.165, susvisée.

Sous réserve de ce qui précède, la Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le présent traitement est justifié par un motif d’intérêt public ainsi que par la réalisation d’un intérêt légitime qu’il poursuit et qui ne méconnaît ni l’intérêt ni les droits et libertés fondamentaux des personnes concernées.

Il précise par ailleurs que « l’objectif des outils déployés est de faciliter l’enseignement et l’apprentissage notamment en familiarisant les élèves avec des outils qu’ils seront appelés à utiliser pendant leurs études d’enseignement supérieur et en situation professionnelle ».

Le responsable de traitement indique en outre que « pour les enseignants, l’enjeu est de développer des compétences numériques tout en produisant du contenu pédagogique et didactique sur support numérique ».

Il est également précisé que ces outils constituent, pour l’ensemble du personnel, « des outils d’aide à la gestion et à la production de bases de données, ainsi que du stockage et du partage de documents ».

Enfin, la Commission relève qu’en vertu des dispositions de l’article 13 alinéa 1er de la loi n° 1.334, susvisée, « [l]e Directeur de l’Éducation nationale est le chef du service de l’État institué par Ordonnance Souveraine ayant notamment pour mission : (…). 5°) d’une manière générale, de préparer et concevoir toute mesure d’impulsion ou d’application relative à l’éducation ». Par ailleurs, l’article 39 dispose que « La maîtrise de l’outil informatique et des technologies de l’information et de la communication est enseignée dès la maternelle et jusqu’au terme de la scolarité obligatoire. L’enseignement de leur usage bénéficie de mesures d’accompagnement adaptées de formation et de contrôle permettant d’assurer la sécurité des élèves et notamment la protection des mineurs. (…) ».

La Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10‑1 et 10‑2 de la loi n° 1.165 du 23 décembre 1993.

III.   Sur les informations traitées

Les informations nominatives traitées sont :

-    identité : nom, prénom ;

-    formation-diplômes : établissement, classe, options de formation ;

-    informations temporelles : horodatage et versioning automatique ;

-    données d’identification électronique : identifiant, mot de passe.

Par complément d’information, le responsable de traitement indique que l’outil One Drive permet de stocker des documents. Si ces derniers sont stockés dans l’outil, l’appréhension de leur contenu ne relève pas du présent traitement.

La Commission relève que les informations exploitées par la DENJS sont moins nombreuses que celles soumises par les autres responsables de traitement utilisant les mêmes outils. Ayant sollicité un complément d’informations, la CCIN n’a pas reçu du responsable de traitement des précisions sur des collectes supplémentaires. Aussi elle en prend acte et rappelle que si le responsable de traitement souhaite exploiter d’autres données il conviendra de revenir vers elle avec une demande d’avis modificative du présent traitement conformément aux dispositions de l’article 9 de la loi n° 1.165, modifiée.

Le responsable de traitement indique que les informations ont pour origine les personnes concernées à l’exception de celles relatives à l’établissement, à la classe et aux options de formation qui proviennent du traitement ayant pour finalité « Gestion des dossiers scolaires des élèves inscrits dans les établissements publics de la Principauté ».

La Commission considère que les informations temporelles proviennent du système. En outre, certaines informations sont susceptibles d’avoir pour origine d’autres traitements légalement mis en œuvre tels que ceux ayant pour finalités « Gestion et supervision des habilitations et des accès au système d’information de la DENJS » et « Gestion des dossiers des fonctionnaires et agents de l’État relevant de la Fonction Publique et de statuts particuliers ».

Sous réserve de ce qui précède, la Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.

IV.   Sur les droits des personnes concernées

  •   Sur l’information préalable des personnes concernées

Le responsable de traitement indique que l’information préalable des personnes concernées est assurée au moyen d’un document spécifique, d’une mention particulière intégrée dans un document d’ordre général ainsi que dans le règlement intérieur de l’établissement scolaire concerné.

La Commission n’ayant pas été destinataire desdits documents, elle n’est pas en mesure de se prononcer sur la qualité de l’information dispensée.

À cet égard, elle rappelle que l’ensemble des personnes concernées doit être informé préalablement et conformément à l’article 14 de la loi n° 1.165 du 23 décembre 1993.

En toute fin, elle rappelle que l’information des personnes concernées doit permettre à ces dernières de comprendre l’utilisation autorisée des outils mis à leur disposition en indiquant, par exemple, dans quelle mesure une utilisation privée/personnelle est admise.

Aussi, elle recommande au responsable de traitement, si cela n’est pas déjà fait, de mettre en place une charte d’usage des outils mis à la disposition des personnes concernées.

  •   Sur l’exercice du droit d’accès, de modification et de mise à jour

Le droit d’accès est exercé par les personnes concernées sur place, par voie postale ou par courrier électronique auprès de l’Administration de l’établissement scolaire adressé à l’attention du Délégué à la protection des données de la Direction de l’Éducation Nationale, de la Jeunesse et des Sports (DENJS).

À cet égard, la Commission rappelle que la réponse à ce droit d’accès doit s’exercer dans le mois suivant la réception de la demande.

Elle rappelle en outre, que dans le cadre de l’exercice du droit d’accès par voie électronique une procédure doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agit effectivement de la personne concernée par les informations.

À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015‑113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.

Sous ces conditions, la Commission considère que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.

V. Sur les destinataires et les personnes ayant accès au traitement

Les personnes ayant accès au traitement sont :

-    le personnel de la division informatique de la DENJS : en inscription, modification et maintenance ;

-    le référent DENJS à la protection des données : en consultation ;

-    les utilisateurs (élèves, enseignants, personnel non enseignant) : en consultation et création.

Enfin, le responsable de traitement indique que les employés du prestataire des outils disposent d’un accès à des fins de maintenance. Il précise par ailleurs que ces personnes ne disposent pas d’un accès aux données.

La Commission en prend acte.

Elle rappelle néanmoins que tout accès aux données nominatives par un prestataire localisé dans un pays ne disposant pas d’un niveau de protection adéquat doit préalablement à sa mise en œuvre être soumis à son autorisation.

Ainsi, la Commission invite le responsable de traitement à s’assurer qu’il n’existe effectivement aucun accès aux données par le prestataire.

En conséquence elle subordonne la mise en œuvre du présent traitement à l’absence d’accès aux données par le prestataire.

Sous cette réserve, la Commission considère que ces accès sont justifiés.

VI.   Sur les rapprochements et les interconnexions avec d’autres traitements

Le responsable de traitement indique que le présent traitement est rapproché avec les traitements suivants, légalement mis en œuvre :

-    « Gestion des dossiers scolaires des élèves inscrits dans les établissements publics de la Principauté » ;

-    « Gestion des dossiers des fonctionnaires et agents de l’État relevant de la Fonction Publique et de statuts particuliers » ;

-    « Gestion du parc informatique de la DENJS ».

À cet égard, il précise que les « rapprochements sont effectués annuellement pendant la rentrée des classes pour créer, modifier ou supprimer les profils qui le nécessitent ».

Le responsable de traitement indique par ailleurs, que le traitement est interconnecté avec les traitements suivants, légalement mis en œuvre :

-    « Gestion et supervision des habilitations et des accès au système d’information de la DENJS » ;

-    « Gestion de la politique de filtrages des accès à Internet des établissements scolaires ».

En outre, il appert à l’étude du dossier que le présent traitement est interconnecté avec un traitement relatif à la gestion de la messagerie professionnelle propre au responsable de traitement.

À cet égard, la Commission rappelle que tout rapprochement ou interconnexion ne peut avoir lieu qu’entre des traitements légalement mis en œuvre et demande que celui-ci lui soit soumis dans les plus brefs délais.

Sous cette réserve, elle estime que ces rapprochements et interconnexions sont conformes aux exigences légales.

VII.  Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.

Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Le responsable de traitement indique que les données relatives aux personnes concernées sont conservées pendant l’année scolaire. Il ressort à cet égard des précisions apportées par le responsable de traitement qu’« une revue annuelle du statut de l’utilisateur est effectuée à chaque rentrée scolaire ». La Commission en prend acte.

Toutefois, elle considère que les informations relatives au personnel enseignant et non-enseignant de la DENJS sont susceptibles d’être conservées tant que la personne est habilitée à avoir accès aux outils. Elle fixe en conséquence la durée de conservation.

Le responsable de traitement précise en outre que les documents sont stockés dans l’outil de stockage « pendant la durée de présence de la personne dans l’établissement + 1 an après son départ ». Il est précisé que cette durée de 1 an supplémentaire à vocation de permettre à l’utilisateur d’enregistrer le contenu de son espace. La Commission en prend acte.

Enfin, la Commission relève que les logs de connexion sont conservés « pendant l’année scolaire ». À cet égard, elle rappelle que ces derniers doivent être conservées entre 3 mois minimum et 1 an maximum. Elle fixe donc la durée de conservation de l’ensemble des logs de connexion à 1 an glissant.

Après en avoir délibéré, la Commission :

Prend acte de ce que le responsable de traitement indique que le prestataire n’a aucun accès aux données.

Demande que le traitement relatif à la gestion de la messagerie professionnelle lui soit soumis dans les meilleurs délais.

Rappelle que/qu’en :

-    en cas de collecte d’informations supplémentaires par le responsable de traitement, il conviendra de revenir vers elle avec une demande d’avis modificative du présent traitement conformément aux dispositions de l’article 9 de la loi n° 1.165, modifiée ;

-    l’information de l’ensemble des personnes concernées doit être préalable et conforme à l’article 14 de la loi n° 1.165 du 23 décembre 1993 ;

-    l’information des personnes concernées doit permettre à ces dernières de comprendre l’utilisation autorisée des outils mis à leur disposition en indiquant, par exemple, dans quelle mesure une utilisation privée/personnelle est admise ;

-    la réponse au droit d’accès doit s’exercer dans le mois suivant la réception de la demande ;

-    une procédure relative au droit d’accès par voie électronique doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agisse effectivement de la personne concernée par les informations ;

-    tout accès aux données nominatives par un prestataire localisé dans un pays ne disposant pas d’un niveau de protection adéquat doit préalablement à sa mise en œuvre être soumis à son autorisation ;

-    tout rapprochement ou interconnexion ne peut avoir lieu qu’entre des traitements légalement mis en œuvre ;

-    les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

Fixe :

-    la durée de conservation des informations relatives aux personnels enseignant et non enseignant à la période pendant laquelle la personne est habilitée à avoir accès aux outils ;

-    la durée de conservation des logs de connexion aux différents outils à 1 an glissant.

Subordonne la mise en œuvre du présent traitement à l’absence d’accès aux données par le prestataire.

Sous le bénéfice de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des outils bureautiques » exploité par la Direction de l’Éducation Nationale, de la Jeunesse et des Sports.

Le Président de la Commission de Contrôle
des Informations Nominatives.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14