icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2024‑164 du 11 septembre 2024 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion du site Internet « Cellule Emploi-Jeunes » » exploité par la Direction du Travail, présenté par le Ministre d'État.

  • N° journal 8714
  • Date de publication 27/09/2024
  • Qualité 100%
  • N° de page

Vu la Constitution ;

Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu la loi n° 1.383 du 2 août 2011 pour une Principauté Numérique, modifiée ;

Vu l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré ;

Vu l’Ordonnance Souveraine n° 16.675 du 18 février 2005 portant création de la Direction du Travail ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu la délibération n° 2011‑82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;

Vu la délibération n° 2015‑113 du 18 novembre 2015 de la Commission de Contrôle des Informations Nominatives portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels ;

Vu la délibération n° 2023‑62 du 19 avril 2023 de la Commission de Contrôle des Informations Nominatives portant avis favorable sur la demande présentée par le Ministre d’État relative à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des sites Internet du Gouvernement Princier de Monaco » de la Direction des Services Numériques ;

Vu la demande d’avis déposée par le Ministre d’État le 29 mai 2024 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Gestion du site Internet « Cellule Emploi-Jeunes » » ;

Vu la prorogation du délai d’examen de la présente demande d’autorisation notifiée au responsable de traitement le 26 juillet 2024, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 susmentionnée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 11 septembre 2024 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

Afin de faciliter l’accès à l’emploi des jeunes et permettre aux différents organismes de publier leurs offres d’emplois, de stages et d’alternances, le responsable de traitement a décidé de procéder à la refonte du site Internet « Cellule Emploi-Jeunes ».

Il s’inscrit dans la continuité du traitement ayant pour finalité la « Gestion des sites Internet du Gouvernement Princier » ayant obtenu l’avis favorable de la Commission par délibération n° 2023‑62 en date du 19 avril 2023, mais fait l’objet d’un traitement distinct en raison de ses spécificités.

Le traitement automatisé d’informations nominatives objet de la présente délibération est soumis à l’avis de la Commission conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.

I.   Sur la finalité et les fonctionnalités du traitement

Le responsable de traitement indique que le traitement a pour finalité « Gestion du site Internet « Cellule Emploi-Jeunes » ».

Les personnes concernées sont les personnels de l’Administration, les personnels de l’organisme inscrits sur le site, le personnel des prestataires (intégration et infogérance) et enfin, tout internaute accédant au site.

Enfin, les fonctionnalités sont les suivantes :

- diffuser toute information utile à l’usager concernant des démarches administratives ;

- diffuser les communiqués de presse, communiqués administratifs et des actualités publiées par la Direction de la Communication ;

- diffuser les coordonnées et points de contact ;

- diffuser et gérer des offres d’emplois, de stages et d’alternances pour les jeunes ;

- permettre à la Cellule Emploi-Jeunes d’inscrire des entités, sur demande, sur le site Cellule Emploi-Jeunes ;

- permettre aux usagers d’entrer en contact électroniquement avec des entités de l’Administration au moyen de formulaires de contact et effectuer des demandes d’informations auprès des Services concernés ;

- permettre aux jeunes intéressés par une ou des offres d’entrer en contact avec l’organisme par le biais d’un formulaire de contact ;

- recueillir des avis et opinions des usagers au moyen de sondages anonymes en ligne ;

- rediriger les usagers vers des démarches et services en ligne indépendants du site Cellule Emploi-Jeunes ;

- établir des statistiques de mesures d’audience du site de manière anonymisée.

Il appert, à l’étude du dossier, que le présent traitement met à dispositions des liens vers les pages qui le concerne sur les réseaux sociaux. La Commission en prend acte.

Par ailleurs, il appert des captures d’écran des informations institutionnelles diffusées sur le site Internet qu’en ce qui concerne les démarches administratives que les personnes concernées devront faire pour déclarer leur stage au Service de l’Emploi, il est nécessaire « de fournir la copie d’une pièce d’identité du stagiaire pour les ressortissants de l’Espace Économique Européen ; la copie de la carte de séjour monégasque ou le titre de séjour français pour les ressortissants de pays hors Espace Économique Européen ».

Si la Commission comprend que la gestion des stages ne s’inscrit pas dans la finalité du présent traitement et ainsi, que la collecte n’est pas opérée en son sein, s’agissant uniquement d’une information aux personnes, elle rappelle néanmoins que les modalités de collecte d’une copie d’un document d’identité doivent faire l’objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015‑113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.

Sous cette réserve, la Commission considère que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement

Le présent traitement est justifié par le consentement des personnes concernées ainsi que par un motif d’intérêt public.

Le responsable de traitement précise à cet égard que les formulaires dédiés « sont accessibles par les usagers afin de leur permettre de candidater aux offres d’emplois [...] la démarche de compléter ce type de formulaire est donc à la discrétion de l’internaute qui saisit lui‑même les informations nécessaires au bon traitement de sa demande. L’internaute accepte par biais d’une case à cocher le traitement de ses informations personnelles par la CEJ pour le formulaire de contact et par les entreprises pour les envois de candidature ».

Le traitement est par ailleurs justifié par un motif d’intérêt public, à cet égard le responsable de traitement indique que « la mise à disposition et le développement de sites Internet d’informations au public permet à la Direction du Travail, et plus particulièrement à la Cellule Emploi-Jeunes d’exercer, de manière pertinente et appropriée, la mission dont ils sont investis ». De plus, « la Direction du Travail, est notamment chargée, [...] de l’information, l’orientation, le suivi et le placement des demandeurs d’emploi, ainsi que de l’information des employeurs et des salariés sur l’état de la législation et de la réglementation du travail et sur leurs modalités d’application ».

En outre, le responsable de traitement ajoute que « la Direction du Travail, est notamment chargée, conformément à l’Ordonnance Souveraine n° 16.675 du 18 février 2005 portant création de la Direction du Travail, de l’information, l’orientation, le suivi et le placement des demandeurs d’emploi, ainsi que de l’information des employeurs et des salariés sur l’état de la législation et de la législation et de la réglementation du travail et sur leurs modalités d’application ».

Enfin, le responsable de traitement précise que le présent traitement trouve son fondement dans la volonté de l’Administration de simplifier les démarches des usagers et de fournir une meilleure information au public, ce qui s’inscrit dans le cadre de l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré.

La Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10‑1 et 10‑2 de la loi n° 1.165, modifiée.

III.   Sur les informations nominatives traitées

Les informations nominatives traitées sont :

- identité :

     •  Informations publiques diffusées sur les sites Internet (personnel de l’Administration) : nom, prénom, civilité ;

     •  Formulaire de contact (internaute) : nom, prénom, civilité ;

     •  Formulaire de candidature (internaute) : nom, prénom, civilité ;

     •  Formulaire d’inscription (contact) : nom ;

- adresses et coordonnées : Formulaire de candidature (internaute) : candidature pour un stage/alternance/candidature spontanée ; diplôme actuel et intitulé, diplôme en cours de préparation et intitulé ; établissement du diplôme en préparation ; secteur(s) d’activité ciblé(s) ;

-  informations temporelles :

    •  dans le cadre du formulaire de contact (internaute) : ID de la demande enregistrée en back-office ;

   •  Authentification pour accéder au back‑office (personnel de l’Administration : adresse email, ID d’authentification, adresse IP, mot de passe chiffré ;

- informations temporelles :

     •  dans le cadre du formulaire de contact (internaute) : date et heure d’envoi du formulaire ;

     •  dans le cadre du formulaire de candidature (internaute) : date et heure d’envoi du formulaire ;

     •  dans le cadre du formulaire d’inscription (contact d’entreprise) : date et heure d’envoi du formulaire ;

    •  compte contributeur en back-office : date et heure de création d’un compte, date et heure de modification d’un compte ;

     •  système : logs système ;

     •  Dans le cadre de la traçabilité des connexions en back-office (contributeur), personnel de l’administration : données d’horodatage ;

   •  Dans le cadre de la traçabilité des modifications de contenus via le back-office (contributeur), personnel de l’administration : logs (nom, prénom, données d’horodatage) ;

- formulaire de contact (autres données) : message de l’usager ;

-  formulaire d’inscription spécifique aux écoles (autres données) : commentaire transmis à la CEJ ;

-  formulaire de candidature (autres données) : message de l’internaute candidat ;

- données issues du widget Friendly Captcha : données relatives à l’en-tête de la requête HTTP notamment sur le navigateur de l’utilisateur, origine et site Internet référent, date et heure de la requête, version du widget utilisé, ID du compte administration du site Web de l’Administration, valeur de hachage (cryptage à sens unique) de l’adresse IP entrante (l’adresse IP n’est pas prise en compte, seule la valeur de hachage est enregistrée), nombre de demandes provenant de l’adresse IP (hachée) par période, réponse au problème arithmétique résolu sur l’ordinateur du visiteur ;

- back-office Friendly Captcha : logs du personnel de l’Administration, adresse IP et adresse email du personnel de l’Administration.

La Commission constate que l’origine des informations n’appelle pas d’observation particulière.

En ce qui concerne les commentaires, la Commission rappelle que ces derniers doivent être factuels et ne pas comporter d’appréciations pouvant revêtir un caractère insultant ou discriminant.

Ainsi, la Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément à l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993, modifiée.

IV.   Sur les droits des personnes concernées

  •   Sur l’information préalable des personnes concernées

Le responsable de traitement indique que l’information préalable des personnes concernées est assurée au moyen d’une rubrique propre à la protection des données accessible en ligne à savoir les mentions légales, les conditions générales d’utilisation et une politique cookie.

De plus, il indique que l’information préalable du personnel de l’Administration est assurée par le biais d’une procédure interne accessible en intranet du Gouvernement Princier, à savoir une « Notice d’information relative aux traitements de la Direction des Services Numériques ».

À l’étude des extraits des documents joints par le responsable de traitement, la Commission constate que les mentions d’information précitées sont conformes aux exigences légales.

Enfin la Commission recommande au responsable de traitement d’informer les usagers sur la présence de liens vers des sites externes (dont les réseaux sociaux) dont les modalités d’exploitation et de sécurité ne sont plus de la responsabilité de l’Administration.

  • Sur l’exercice du droit d’accès

Le droit d’accès s’exerce sur place ou par courrier électronique auprès de la Délégation Interministérielle à la Transition du Numérique (DITN) s’agissant des personnels de l’Administration, et auprès du Service de l’Emploi en ce qui concerne les utilisateurs du site.

À cet égard, la Commission prend acte que la communication des informations dans le cadre du droit d’accès est réalisée dans le mois suivant la demande.

S’agissant de l’exercice du droit d’accès par courrier électronique, elle constate par qu’une procédure a été mise en place par le responsable de traitement afin de s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations, et que la collecte de documents d’identité est effectuée conformément à la délibération n° 2015‑113 du 18 novembre 2015 de la Commission portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.

Ainsi, la Commission considère ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.

V. Sur les destinataires et les personnes ayant accès au traitement

  • Sur les destinataires

Le responsable de traitement précise que certaines informations liées aux formulaires de contact sont susceptibles d’être communiquées aux organismes inscrits sur le site, à la Cellule Emploi-Jeunes ainsi qu’aux Services habilités de l’Administration.

La Commission constate que de telles transmissions sont conformes aux exigences légales.

  •   Sur les personnes ayant accès au traitement

Le responsable de traitement indique qu’ont accès au présent traitement :

- le personnel de la Direction du Travail : création, modification, suppression ;

- le personnel de l’Administration (Direction des Services Numériques) : droits inhérents à leur mission de maintenance, de validation et traitement des données pour les Webmasters et enfin de développement des applicatifs nécessaires au fonctionnement et à la sécurité du site ;

- le personnel de l’Administration (Direction des Systèmes d’Information) : tous droits et accès aux données techniques nécessaires à l’exécution de leurs missions liées à la maintenance de l’infrastructure ;

- le personnel de l’éditeur : tous droits pour la TMA ;

- le personnel de l’infogérant : tous droits pour l’infogérance de l’infrastructure.

Considérant les attributions de chacune de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.

En ce qui concerne l’éditeur et l’infogérant, la Commission rappelle toutefois que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993 modifiée, leurs droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de services. De plus, ces derniers sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.

VI.   Sur les rapprochements et interconnexions

Le responsable de traitement indique que le traitement est interconnecté avec les traitements suivants ayant respectivement pour finalité :

- « Gestion des habilitations et des accès au Système d’Information », exploité par la Direction des Systèmes d’Information (DSI) ;

- « Gestion centralisée des accès aux applications du SI », exploité par la Direction des Systèmes d’Information (DSI) ;

- « Gestion des accès à distance au Système d’Information », exploité par la Direction des Systèmes d’Information (DSI) ;

- « Gestion des sites Internet du Gouvernement Princier de Monaco », exploité par la Direction des Systèmes d’Information (DSI).

La Commission constate, par ailleurs, que le présent traitement est interconnecté au traitement ayant pour finalité « Gestion et analyse des évènements du Système d’Information », légalement mis en œuvre par la Direction des Systèmes d’Information (DSI).

Il est également rapproché du traitement « Assistance aux utilisateurs par le Centre de Service de la DSI », exploité par la Direction des Systèmes d’Information (DSI).

La Commission constate, par ailleurs, que le présent traitement est rapproché au traitement ayant pour finalité « Gestion de la messagerie électronique », légalement mis en œuvre par la Direction des Systèmes d’Information (DSI).

La Commission constate que ces traitements ont été légalement mis en œuvre.

Elle considère donc que ces interconnexions et rapprochements sont conformes aux exigences légales.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.

Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

De plus, la copie ou extraction d’informations issues de ce traitement devra être chiffrée sur son support de réception.

La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui‑ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Le responsable de traitement indique que les informations collectées par le biais du formulaire de contact pour les internautes (identité de l’internaute, adresse et coordonnées, ID de la demande enregistrée en back-office, type de requête et message de l’usager) sont conservées 2 ans à compter de la soumission de la demande.

Les informations collectées par le biais du formulaire de candidature (identité de l’internaute et message de l’internaute candidat) sont conservées 6 mois à compter de la candidature. Le responsable de traitement précise par ailleurs, que les informations relatives aux adresses et cordonnées et aux formations-diplômes sont conservées 6 mois à compter du dernier contact avec le candidat, sauf demande de suppression

Les informations collectées par le biais du formulaire d’inscription pour les entreprises (identité, adresses et coordonnées, informations temporelles et commentaires transmis à la CEJ) sont conservées tant que l’information est valide.

En outre, les informations publiques diffusées sur les sites Internet concernant les personnels de l’Administration (identité, adresses et coordonnées) le sont, tant que l’information est valide.

Les informations relatives au contributeur au back-office (identité et données d’identification électronique dans le cadre de l’authentification pour accéder au back-office) sont conservées tant que le compte de l’utilisateur est activé sur le back-office concerné. La date et l’heure de création d’un compte contributeur en back-office ainsi que la date et l’heure de modification d’un compte sont conservées tant que le compte du contributeur en back-office est actif.

Par ailleurs, les logs système sont supprimés à l’issue d’un délai d’un mois, les informations temporelles relatives à la traçabilité des connexions en back-office (données d’horodatage) et celles concernant la traçabilité des modifications de contenus via le back-office (logs) sont conservées 12 mois glissants.

Enfin, il est précisé s’agissant des données issues du widget Friendly Captcha, que « les adresses IP ne sont stockées que sous forme hachées. Les données d’utilisation personnelles sont supprimées dans un délai de 30 jours. Le widget n’installe pas de cookies sur l’ordinateur du visiteur ». De même, concernant le back-office Friendly Catcha « les données des utilisateurs de l’Administration sont stockées dans la base de données sous forme chiffrée. Les adresses IP entrantes des utilisateurs de l’Administration sont uniquement sauvegardées par Friendly Captcha sous forme hachée en utilisant un chiffrage à sens unique ».

La Commission relève que ces délais sont conformes aux exigences légales.

Après en avoir délibéré, la Commission :

Rappelle que :

- les commentaires doivent être factuels et ne pas comporter d’appréciations pouvant revêtir un caractère insultant ou discriminant ;

- les modalités de collecte d’une copie d’un document d’identité doivent faire l’objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015‑113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels ;

- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switch, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;

- la copie ou extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception.

Recommande au responsable de traitement d’informer les usagers sur la présence de liens vers des sites externes (dont les réseaux sociaux) dont les modalités d’exploitation et de sécurité ne sont plus de la responsabilité de l’Administration.

À la condition de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion du site Internet Cellule Emploi-Jeunes ».

Le Président de la Commission de Contrôle des Informations Nominatives.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14