Délibération n° 2012-75 du 14 mai 2012 de la commission de contrôle des informations nominatives portant avis favorable sur la demande présentée par le ministre d’etat relative à la mise en œuvre, par la Direction de la Sûreté Publique, du traitement automatisé d’informations nominatives ayant pour finalité «Gestion des habilitations informatiques».
Vu la Constitution ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’ordonnance souveraine du 13 novembre 2006 relative à l’organisation et au fonctionnement de la Direction de la Sûreté Publique, modifiée par l’ordonnance souveraine n° 3.717 du 28 mars 2012 ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la demande d’avis déposée par le Ministre d’Etat le 6 mars 2012 concernant la mise en œuvre par la Direction de la Sûreté Publique d’un traitement automatisé ayant pour finalité «Gestion des habilitations informatiques» ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 14 mai 2012 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
Aux termes de l’article 1er de l’ordonnance souveraine du 13 novembre 2006 relative à l’organisation et au fonctionnement de la Direction de la Sûreté Publique, modifiée, «La Direction de la Sûreté Publique est chargée, sous l’autorité du Ministre d’Etat et du Conseiller de Gouvernement pour l’Intérieur, d’assurer les missions de préservation de la sécurité et de tranquillité publiques, de renseignement et d’information. Elle assure également les missions de police judiciaire, dans les conditions définies par la loi».
Dans ce cadre, la Direction de la Sûreté Publique (DSP) exploite un traitement automatisé d’informations nominatives ayant pour finalité «Gestion des habilitations informatiques».
Conformément aux dispositions de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives, le Ministre d’Etat soumet ce traitement à l’avis de la Commission.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité «Gestion des habilitations informatiques». La dénomination du traitement est : «Tableau de bord des applications».
Les personnes concernées sont «les fonctionnaires de police et les attachés administratifs affectés à la DSP».
Le traitement a pour fonctionnalités de :
- gérer les habilitations informatiques des personnels de la DSP pour les applications écrites sous PROGRESS ;
- permettre aux fonctionnaires d’accéder à un «Tableau de bord» leur indiquant les traitements auxquels ils sont habilités à avoir accès, et par là même y accéder ;
- choisir un mot de passe individuel renouvelable tous les 6 mois minimum ;
- solliciter une intervention technique du Service Informatique.
Au vu de ces éléments, la Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
Le responsable de traitement indique en outre que ce traitement est mis en relation avec «les applications écrites sous PROGRESS et utilisées par la DSP», qui regroupent plusieurs traitements automatisés d’informations nominatives soumis à la Commission, ou objets de demandes d’avis concomitantes à la présente.
La Commission observe en effet que le traitement permet de gérer les habilitations d’accès à l’ensemble des traitements automatisés exploités via la plateforme PROGRESS par la DSP. Il agit donc en tant que filtre préalable à l’accès auxdits traitements.
A cet égard, la Commission considère qu’il n’existe donc pas d’interconnexion ou de mise en relation au sens de l’article 1er de la loi n° 1.165, modifiée. En effet, ce filtre ne permet pas l’interaction entre les données nominatives exploitées au sein de plusieurs traitements, mais autorise simplement, en amont, les accès auxdites informations.
II. Sur l’article 11 de la loi n° 1.165, modifiée
La Commission relève que le traitement objet de la présente délibération ne contient pas de donnée dont la communication aux personnes concernées, dans le cadre de l’exercice de leur droit d’accès, porterait atteinte à la sécurité publique.
La publicité de l’existence d’un tel traitement, de par son inscription au répertoire public des traitements, ne porte pas non plus atteinte à la sécurité publique. Il s’agit en effet d’un traitement couramment exploité par les responsables de traitement du secteur public ou privé, à des fins de confidentialité et de sécurité du système d’information.
Par ailleurs, la Commission constate que ce traitement ne porte pas sur des «infractions, condamnations ou mesures de sûreté», et n’a pas «pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté».
Enfin, le responsable de traitement ne justifie pas de l’applicabilité des dispositions de l’article 11 au traitement dont s’agit.
Au vu de l’ensemble de ces éléments, la Commission considère que ledit traitement ne relève pas des dispositions de l’article 11 de la loi n° 1.165, modifiée.
III. Sur la licéité et la justification du traitement
• Sur la licéité
Aux termes de l’article 17 de la loi n° 1.165, modifiée, «le responsable de traitement ou son représentant est tenu de prévoir des mesures techniques ou d’organisation appropriées pour protéger les informations nominatives contre (…) l’accès non autorisé (…). Les mesures mises en œuvre doivent assurer un niveau de sécurité adéquat au regard des risques présentés par le traitement et de la nature des données à protéger».
Eu égard à la nature intrinsèquement sensible des données de police, la Commission considère que les habilitations mises en place dans le cadre du traitement objet de la présente délibération constituent une mesure technique et organisationnelle adéquate et nécessaire au regard des exigences de l’article 17, susvisé.
Au vu de ces éléments, elle considère que le traitement est licite, conformément à l’article 10-1 de la loi n° 1.165, modifiée.
• Sur la justification du traitement
Le responsable de traitement indique que ce traitement est justifié par «un motif d’intérêt public».
A cet égard, il précise que «ce traitement a pour objet de gérer les différentes habilitations informatiques de la DSP, lesquelles sont liées aux missions confiées aux personnels de la DSP».
La Commission considère qu’il appartient au Directeur de la Sûreté Publique, agissant en tant que Chef de Service, de déterminer des profils d’habilitation pour les accès aux traitements d’informations nominatives exploités par sa Direction.
C’est ce que confirme l’article 1-4 de l’ordonnance souveraine n° 765 du 13 novembre 2006, modifiée, qui dispose que «Seuls les personnels dûment et spécialement habilités par le Directeur de la Sûreté Publique peuvent accéder aux données figurant dans les traitements d’informations nominatives susmentionnés. L’habilitation précise les traitements auxquels elle autorise l’accès».
De plus, la Commission rappelle que l’article 2 de l’ordonnance susvisée liste les différentes divisions existantes au sein de la Direction de la Sûreté Publique. Bien que leurs missions respectives ne soient pas explicitement décrites dans ce texte, la Commission considère néanmoins essentiel que les personnels de chacune de ces divisions aient accès aux traitements strictement nécessaires à l’accomplissement de leurs missions au sein desdites divisions, dans le respect des textes légaux et réglementaires en vigueur.
Au vu de ces éléments, la Commission considère donc que le traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
IV. Sur les informations traitées
Les informations objets du présent traitement sont les suivantes :
- Identité : nom, prénom, identifiant du fonctionnaire ;
- Traitements DSP : nom des traitements pour lesquels le fonctionnaire bénéficie d’une habilitation ;
- Panne informatique : nom du fonctionnaire, coordonnées du bureau où la panne est signalée ; description.
Le responsable de traitement indique que l’ensemble de ces données ont pour origine le Service Informatique.
Toutefois, la Commission relève que dans la mesure où les habilitations sont attribuées par le Directeur de la Sûreté Publique, il convient de considérer que les données relatives à l’identité du fonctionnaire, ainsi qu’aux habilitations conférées, ont pour origine ce dernier - et non le Service Informatique qui exécute techniquement les instructions d’habilitation du Directeur.
La Commission relève que ces informations sont «adéquates, pertinentes et non excessives» au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
V. Sur les droits des personnes concernées
La Commission constate que le responsable de traitement ne fournit aucun élément concernant les mesures mises en place pour informer les personnes concernées de l’existence du traitement ainsi que de leurs droits, comme exigé par l’article 14 de la loi n° 1.165, modifiée.
Elle observe également qu’aucune modalité n’est mentionnée pour l’exercice de leurs droits d’accès et de modification, en application des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
A l’examen du dossier, elle relève toutefois que le fonctionnaire habilité peut consulter son «Tableau de bord», qui comprend la liste de tous les traitements auxquels il est habilité à avoir accès.
La Commission rappelle toutefois, comme indiqué au point II de la présente délibération, que le traitement n’entre pas dans le cadre des traitements visés à l’article 11 de la loi dont s’agit.
Par conséquent, les dispositions de l’article 14 alinéa 3, qui exonèrent le responsable de traitement de l’obligation d’information des personnes concernées, ne sont pas applicables en l’espèce.
La Commission demande donc à ce que le responsable de traitement prenne toutes les mesures requises par la loi aux fins d’informer les personnes concernées du traitement de leurs informations nominatives, ainsi que des modalités d’exercice de leurs droits, conformément aux dispositions susvisées.
VI. Sur les destinataires des informations
Le responsable de traitement n’indique aucun destinataire des données exploitées dans le cadre du traitement.
La Commission en prend donc acte.
VII. Sur les personnes ayant accès au traitement
Le responsable de traitement indique que «le Service Informatique possède une habilitation permettant de créer un compte associé à un fonctionnaire, de lui attribuer un identifiant et un mot de passe temporaire, et de lui ouvrir les accès déterminés en fonction des missions auxquelles il doit répondre».
Par ailleurs, chaque fonctionnaire dispose également d’un accès en consultation à son «Tableau de bord», qui comporte l’ensemble des traitements pour lesquels il a reçu une habilitation d’accès.
Enfin, considérant qu’il revient au Directeur de la Sûreté Publique d’attribuer les habilitations à son personnel, la Commission considère que ce dernier dispose nécessairement d’un accès au traitement. Elle en prend donc acte.
Au vu de ces éléments, et des attributions des personnes susvisées, la Commission considère que lesdits accès sont justifiés, et donc conformes aux dispositions de la loi n° 1.165, modifiée.
Elle rappelle toutefois que les droits d’accès au traitement (habilitations) devraient être attribués à un poste et non à un individu. Cependant à titre exceptionnel, des accès peuvent être ouverts à un individu en particulier, sur le fondement d’une mission ponctuelle et temporaire.
VIII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations n’appellent pas d’observation.
La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
IX. Sur la durée de conservation
Le responsable de traitement indique que la durée de conservation des informations relatives à l’identité du fonctionnaire ainsi qu’à ses habilitations est «lié[e] à l’affectation du fonctionnaire».
A cet égard, la Commission considère effectivement nécessaire de conserver les données d’habilitation tant que le fonctionnaire concerné est susceptible d’utiliser les traitements auxquels il lui est donné accès dans le cadre de l’accomplissement de ses missions.
Concernant les données relatives aux pannes informatiques, la Commission constate que les données sont conservées pendant 1 an. Elle estime que cette durée de conservation est conforme aux exigences légales.
Après en avoir délibéré,
Relève que ce traitement n’est pas soumis aux dispositions de l’article 11 de la loi n° 1.165, modifiée ;
Demande que le responsable de traitement prenne toutes les mesures requises par la loi aux fins d’informer les personnes concernées du traitement de leurs informations nominatives, ainsi que des modalités d’exercice de leurs droits, conformément aux dispositions de l’article 14 de la loi n° 1.165, modifiée ;
A la condition de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable sur la demande présentée par le Ministre d’Etat relative à la mise en œuvre par la Direction de la Sûreté Publique du traitement automatisé d’informations nominatives ayant pour finalité «Gestion des habilitations informatiques».
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’ordonnance souveraine du 13 novembre 2006 relative à l’organisation et au fonctionnement de la Direction de la Sûreté Publique, modifiée par l’ordonnance souveraine n° 3.717 du 28 mars 2012 ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la demande d’avis déposée par le Ministre d’Etat le 6 mars 2012 concernant la mise en œuvre par la Direction de la Sûreté Publique d’un traitement automatisé ayant pour finalité «Gestion des habilitations informatiques» ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 14 mai 2012 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
Aux termes de l’article 1er de l’ordonnance souveraine du 13 novembre 2006 relative à l’organisation et au fonctionnement de la Direction de la Sûreté Publique, modifiée, «La Direction de la Sûreté Publique est chargée, sous l’autorité du Ministre d’Etat et du Conseiller de Gouvernement pour l’Intérieur, d’assurer les missions de préservation de la sécurité et de tranquillité publiques, de renseignement et d’information. Elle assure également les missions de police judiciaire, dans les conditions définies par la loi».
Dans ce cadre, la Direction de la Sûreté Publique (DSP) exploite un traitement automatisé d’informations nominatives ayant pour finalité «Gestion des habilitations informatiques».
Conformément aux dispositions de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives, le Ministre d’Etat soumet ce traitement à l’avis de la Commission.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité «Gestion des habilitations informatiques». La dénomination du traitement est : «Tableau de bord des applications».
Les personnes concernées sont «les fonctionnaires de police et les attachés administratifs affectés à la DSP».
Le traitement a pour fonctionnalités de :
- gérer les habilitations informatiques des personnels de la DSP pour les applications écrites sous PROGRESS ;
- permettre aux fonctionnaires d’accéder à un «Tableau de bord» leur indiquant les traitements auxquels ils sont habilités à avoir accès, et par là même y accéder ;
- choisir un mot de passe individuel renouvelable tous les 6 mois minimum ;
- solliciter une intervention technique du Service Informatique.
Au vu de ces éléments, la Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
Le responsable de traitement indique en outre que ce traitement est mis en relation avec «les applications écrites sous PROGRESS et utilisées par la DSP», qui regroupent plusieurs traitements automatisés d’informations nominatives soumis à la Commission, ou objets de demandes d’avis concomitantes à la présente.
La Commission observe en effet que le traitement permet de gérer les habilitations d’accès à l’ensemble des traitements automatisés exploités via la plateforme PROGRESS par la DSP. Il agit donc en tant que filtre préalable à l’accès auxdits traitements.
A cet égard, la Commission considère qu’il n’existe donc pas d’interconnexion ou de mise en relation au sens de l’article 1er de la loi n° 1.165, modifiée. En effet, ce filtre ne permet pas l’interaction entre les données nominatives exploitées au sein de plusieurs traitements, mais autorise simplement, en amont, les accès auxdites informations.
II. Sur l’article 11 de la loi n° 1.165, modifiée
La Commission relève que le traitement objet de la présente délibération ne contient pas de donnée dont la communication aux personnes concernées, dans le cadre de l’exercice de leur droit d’accès, porterait atteinte à la sécurité publique.
La publicité de l’existence d’un tel traitement, de par son inscription au répertoire public des traitements, ne porte pas non plus atteinte à la sécurité publique. Il s’agit en effet d’un traitement couramment exploité par les responsables de traitement du secteur public ou privé, à des fins de confidentialité et de sécurité du système d’information.
Par ailleurs, la Commission constate que ce traitement ne porte pas sur des «infractions, condamnations ou mesures de sûreté», et n’a pas «pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté».
Enfin, le responsable de traitement ne justifie pas de l’applicabilité des dispositions de l’article 11 au traitement dont s’agit.
Au vu de l’ensemble de ces éléments, la Commission considère que ledit traitement ne relève pas des dispositions de l’article 11 de la loi n° 1.165, modifiée.
III. Sur la licéité et la justification du traitement
• Sur la licéité
Aux termes de l’article 17 de la loi n° 1.165, modifiée, «le responsable de traitement ou son représentant est tenu de prévoir des mesures techniques ou d’organisation appropriées pour protéger les informations nominatives contre (…) l’accès non autorisé (…). Les mesures mises en œuvre doivent assurer un niveau de sécurité adéquat au regard des risques présentés par le traitement et de la nature des données à protéger».
Eu égard à la nature intrinsèquement sensible des données de police, la Commission considère que les habilitations mises en place dans le cadre du traitement objet de la présente délibération constituent une mesure technique et organisationnelle adéquate et nécessaire au regard des exigences de l’article 17, susvisé.
Au vu de ces éléments, elle considère que le traitement est licite, conformément à l’article 10-1 de la loi n° 1.165, modifiée.
• Sur la justification du traitement
Le responsable de traitement indique que ce traitement est justifié par «un motif d’intérêt public».
A cet égard, il précise que «ce traitement a pour objet de gérer les différentes habilitations informatiques de la DSP, lesquelles sont liées aux missions confiées aux personnels de la DSP».
La Commission considère qu’il appartient au Directeur de la Sûreté Publique, agissant en tant que Chef de Service, de déterminer des profils d’habilitation pour les accès aux traitements d’informations nominatives exploités par sa Direction.
C’est ce que confirme l’article 1-4 de l’ordonnance souveraine n° 765 du 13 novembre 2006, modifiée, qui dispose que «Seuls les personnels dûment et spécialement habilités par le Directeur de la Sûreté Publique peuvent accéder aux données figurant dans les traitements d’informations nominatives susmentionnés. L’habilitation précise les traitements auxquels elle autorise l’accès».
De plus, la Commission rappelle que l’article 2 de l’ordonnance susvisée liste les différentes divisions existantes au sein de la Direction de la Sûreté Publique. Bien que leurs missions respectives ne soient pas explicitement décrites dans ce texte, la Commission considère néanmoins essentiel que les personnels de chacune de ces divisions aient accès aux traitements strictement nécessaires à l’accomplissement de leurs missions au sein desdites divisions, dans le respect des textes légaux et réglementaires en vigueur.
Au vu de ces éléments, la Commission considère donc que le traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
IV. Sur les informations traitées
Les informations objets du présent traitement sont les suivantes :
- Identité : nom, prénom, identifiant du fonctionnaire ;
- Traitements DSP : nom des traitements pour lesquels le fonctionnaire bénéficie d’une habilitation ;
- Panne informatique : nom du fonctionnaire, coordonnées du bureau où la panne est signalée ; description.
Le responsable de traitement indique que l’ensemble de ces données ont pour origine le Service Informatique.
Toutefois, la Commission relève que dans la mesure où les habilitations sont attribuées par le Directeur de la Sûreté Publique, il convient de considérer que les données relatives à l’identité du fonctionnaire, ainsi qu’aux habilitations conférées, ont pour origine ce dernier - et non le Service Informatique qui exécute techniquement les instructions d’habilitation du Directeur.
La Commission relève que ces informations sont «adéquates, pertinentes et non excessives» au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
V. Sur les droits des personnes concernées
La Commission constate que le responsable de traitement ne fournit aucun élément concernant les mesures mises en place pour informer les personnes concernées de l’existence du traitement ainsi que de leurs droits, comme exigé par l’article 14 de la loi n° 1.165, modifiée.
Elle observe également qu’aucune modalité n’est mentionnée pour l’exercice de leurs droits d’accès et de modification, en application des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
A l’examen du dossier, elle relève toutefois que le fonctionnaire habilité peut consulter son «Tableau de bord», qui comprend la liste de tous les traitements auxquels il est habilité à avoir accès.
La Commission rappelle toutefois, comme indiqué au point II de la présente délibération, que le traitement n’entre pas dans le cadre des traitements visés à l’article 11 de la loi dont s’agit.
Par conséquent, les dispositions de l’article 14 alinéa 3, qui exonèrent le responsable de traitement de l’obligation d’information des personnes concernées, ne sont pas applicables en l’espèce.
La Commission demande donc à ce que le responsable de traitement prenne toutes les mesures requises par la loi aux fins d’informer les personnes concernées du traitement de leurs informations nominatives, ainsi que des modalités d’exercice de leurs droits, conformément aux dispositions susvisées.
VI. Sur les destinataires des informations
Le responsable de traitement n’indique aucun destinataire des données exploitées dans le cadre du traitement.
La Commission en prend donc acte.
VII. Sur les personnes ayant accès au traitement
Le responsable de traitement indique que «le Service Informatique possède une habilitation permettant de créer un compte associé à un fonctionnaire, de lui attribuer un identifiant et un mot de passe temporaire, et de lui ouvrir les accès déterminés en fonction des missions auxquelles il doit répondre».
Par ailleurs, chaque fonctionnaire dispose également d’un accès en consultation à son «Tableau de bord», qui comporte l’ensemble des traitements pour lesquels il a reçu une habilitation d’accès.
Enfin, considérant qu’il revient au Directeur de la Sûreté Publique d’attribuer les habilitations à son personnel, la Commission considère que ce dernier dispose nécessairement d’un accès au traitement. Elle en prend donc acte.
Au vu de ces éléments, et des attributions des personnes susvisées, la Commission considère que lesdits accès sont justifiés, et donc conformes aux dispositions de la loi n° 1.165, modifiée.
Elle rappelle toutefois que les droits d’accès au traitement (habilitations) devraient être attribués à un poste et non à un individu. Cependant à titre exceptionnel, des accès peuvent être ouverts à un individu en particulier, sur le fondement d’une mission ponctuelle et temporaire.
VIII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations n’appellent pas d’observation.
La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
IX. Sur la durée de conservation
Le responsable de traitement indique que la durée de conservation des informations relatives à l’identité du fonctionnaire ainsi qu’à ses habilitations est «lié[e] à l’affectation du fonctionnaire».
A cet égard, la Commission considère effectivement nécessaire de conserver les données d’habilitation tant que le fonctionnaire concerné est susceptible d’utiliser les traitements auxquels il lui est donné accès dans le cadre de l’accomplissement de ses missions.
Concernant les données relatives aux pannes informatiques, la Commission constate que les données sont conservées pendant 1 an. Elle estime que cette durée de conservation est conforme aux exigences légales.
Après en avoir délibéré,
Relève que ce traitement n’est pas soumis aux dispositions de l’article 11 de la loi n° 1.165, modifiée ;
Demande que le responsable de traitement prenne toutes les mesures requises par la loi aux fins d’informer les personnes concernées du traitement de leurs informations nominatives, ainsi que des modalités d’exercice de leurs droits, conformément aux dispositions de l’article 14 de la loi n° 1.165, modifiée ;
A la condition de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable sur la demande présentée par le Ministre d’Etat relative à la mise en œuvre par la Direction de la Sûreté Publique du traitement automatisé d’informations nominatives ayant pour finalité «Gestion des habilitations informatiques».
Le Président de la Commission
de Contrôle des Informations Nominatives.