icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2016-13 du 20 janvier 2016 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des dossiers scolaires des élèves inscrits dans les établissements publics de la Principauté » de la Direction de l’Education Nationale, de la Jeunesse et des Sports présenté par le Ministre d’Etat

  • No. Journal 8264
  • Date of publication 12/02/2016
  • Quality 96.43%
  • Page no. 348
Vu la Constitution ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu la loi n° 826 du 14 août 1967 sur l’enseignement ;
Vu l’ordonnance souveraine n° 5.540 du 19 mars 1975 portant création de la Direction de l’Education Nationale, de la Jeunesse et des Sports ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la demande d’avis déposée par le Ministre d’Etat le 6 novembre 2015 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Gestion des dossiers scolaires des élèves inscrits dans les établissements scolaires de la Principauté » ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 20 janvier 2016 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Direction de l’Education Nationale, de la Jeunesse et des Sports (DENJS) exploite le traitement ayant pour finalité « Gestion des dossiers scolaires des élèves inscrits dans les établissements scolaires de la Principauté », valablement mis en œuvre le 17 février 2003 et modifié pour la dernière fois le 20 juillet 2005.
Le logiciel permettant d’effectuer le suivi des élèves ayant changé suite à la migration informatique vers PRONOTE, les fonctionnalités ont beaucoup évolué et la DENJS entend aujourd’hui remplacer le traitement initial par le présent traitement.
Ce dernier, objet de la présente délibération, est soumis à l’avis de la Commission conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « Gestion des dossiers scolaires des élèves inscrits dans les établissements publics de la Principauté ».
Les personnes concernées sont les élèves, les responsables de ces derniers (parents d’élèves, tuteurs légaux), les enseignants, les personnels administratifs et d’encadrement de la DENJS, ainsi que les personnels de santé (psychologues scolaires, infirmières).
Les fonctionnalités du traitement sont les suivantes :
• « Gestion de la vie scolaire :
- état civil des élèves, responsables, enseignants, personnels administratifs et d’encadrement ;
- emploi du temps ;
- absences, retards ;
- notes, appréciations, sanctions, diplômes et certificats ;
- PAI (projet d’accueil individualisé) ;
- PRI (protocole de restauration individualisé) ;
- sorties scolaires ;
- sorties pluriannuelles des élèves ;
• Editions périodiques de relevés de notes, de bulletins, de certificats de scolarité et de radiation ;
• Suivi médical des élèves (accès limité aux infirmières, données cryptées) :
- Gestion des passages à l’infirmerie ;
• Etablissement de statistiques anonymes ;
• Messagerie interne à chaque établissement accessible à l’ensemble des utilisateurs ;
• Accès Web pour les parents, les élèves, les enseignants ».
Au vu de ces éléments, la Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la justification du traitement
• Sur la licéité du traitement
La Commission relève que la Direction de l’Education Nationale, de la Jeunesse et des Sports a été instaurée par l’ordonnance souveraine n° 5.540 du 19 mars 1975 portant création de la Direction de l’Education Nationale, de la Jeunesse et des Sports.
En outre, la loi n° 1.334 du 12 juillet 2007 sur l’éducation précise les missions relevant de l’enseignement obligatoire.
L’article 13 de celle-ci dispose « le directeur de l’éducation nationale est le chef du service de l’Etat, institué par ordonnance souveraine, ayant notamment pour mission :
1°) d’organiser la bonne administration de l’enseignement public primaire, secondaire, technique et supérieur ;
2°) de surveiller l’enseignement privé ;
3°) de contrôler la vie matérielle et morale desdits établissements ;
4°) de coordonner l’orientation scolaire ;
5°) d’une manière générale, de préparer et concevoir toute mesure d’impulsion ou application relative à l’enseignement ».
A cet égard, la Commission constate qu’il relève des prérogatives de la DENJS de piloter la gestion des dossiers scolaires des élèves inscrits dans les établissements scolaires publics de la Principauté.
La Commission considère donc que le traitement est licite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
• Sur la justification
Le responsable de traitement indique que le traitement est justifié par le respect d’une obligation légale à laquelle il est soumis, à un motif d’intérêt public et à la réalisation d’un intérêt légitime, sans que ne soient méconnus ni l’intérêt, ni les droits et libertés des personnes concernées.
A cet égard, la Commission relève qu’aux termes de l’article 1er de la loi n° 1.334, susvisée, « L’éducation est un service public national. L’Etat est garant de l’organisation et du contenu des enseignements, de la définition et de la délivrance des diplômes, du recrutement et de la gestion des personnels qui relèvent de sa responsabilité, de la répartition des moyens, de la régulation de l’ensemble du système éducatif, du contrôle et de l’évaluation des politiques éducatives ».
Aussi elle constate qu’il est légitime pour la DENJS de rationaliser la gestion des obligations liées à la vie scolaire au sein d’un traitement dédié.
La Commission considère donc que le traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations objets du traitement sont les suivantes :
- identité : nom, prénom, sexe, lieu et date de naissance ;
- situation de famille : responsables légaux et lien de parenté avec l’enfant ;
- adresses et coordonnées : adresse, code postal, ville, pays ;
- formation-diplômes-vie professionnelle : profession des responsables ;
- données de santé : passages à l’infirmerie, ordonnances médicales ;
- organismes d’assurance maladie et complémentaire santé : matricule de sécurité sociale, nom de la caisse sociale, numéro de contrat, nom de la mutuelle ;
- situation scolaire : emplois du temps, absences, retards, notes, appréciations, sanctions, réussite aux tests et aux examens (DNB, ASSR, LPC).
Les informations collectées ont pour origine le formulaire d’inscription en ce qui concerne l’identité, la situation de famille, les adresses et coordonnées et la formation-diplôme-vie professionnelle des personnes concernées.
S’agissant des informations relatives à l’identité des enseignants, des personnels administratifs et d’encadrement, elles ont pour origine la Direction des Ressources Humaines et de la Formation de la Fonction Publique.
La collecte de données médicales, qui ont pour origine les fiches signalétiques transmises par les familles, est justifiée au sens de l’article 12 de la loi n° 1.165 par le responsable de traitement en ce que :
- le traitement relève d’une personne morale de droit public, d’une autorité publique, d’un organisme de droit privé investi d’une mission d’intérêt général ou concessionnaire d’un service public, et, un motif d’intérêt public justifie le traitement de ces données ;
- le traitement est nécessaire aux fins de médecine préventive, des diagnostics médicaux, de l’administration de soins, de médications ou de la gestion des services de santé et de prévoyance sociale, ou dans l’intérêt de la recherche. Il est effectué par un praticien de la santé soumis au secret professionnel ou par une autre personne également soumise à une obligation de secret.
A cet égard, la Commission relève que la présence de l’infirmerie est obligatoire dans tous les établissements scolaires et qu’il est ainsi nécessaire de conserver le suivi médical des élèves. Les fiches signalétiques sont transmises directement par les responsables légaux.
Par ailleurs, le responsable de traitement précise que les données de santé bénéficient d’un accès protégé et limité aux infirmières, et sont cryptées.
Enfin, la Commission constate à l’analyse du dossier que les accès administrateurs sont journalisés, c’est-à-dire qu’ils font l’objet de logs de connexion horodatés.
La Commission considère donc que les informations traitées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV. Sur les droits des personnes concernées
• Sur l’information des personnes concernées
Le responsable de traitement indique que l’information préalable des personnes concernées est effectuée par une mention sur le document de collecte en ce qui concerne les élèves et leurs représentants et par le biais d’un affichage en ce qui concerne les personnels.
Toutefois, seule la mention portée à l’attention des élèves et responsables a été jointe au dossier. Celle-ci indique qu’ « en application de l’article 14 de la loi du 23/12/1993, vous disposez d’un droit de rectification », et ne comporte donc pas toutes les mentions obligatoires au titre de l’article dont s’agit.
La Commission demande donc à ce que toutes les personnes concernées soient valablement informées de leurs droits de manière conforme aux dispositions de l’article 14 de la loi n° 1.165, modifiée.
• Sur l’exercice du droit d’accès
La Commission observe que le droit d’accès est exercé par le biais d’un accès en ligne au dossier, sur place, par voie postale ou encore par téléphone auprès de la DENJS ou par le biais des établissements scolaires concernés.
Les droits de modification et de mise à jour des données sont exercés par voie postale ou sur place.
Le délai de réponse est de 15 jours.
La Commission constate ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
• Sur les destinataires
Les informations relatives à l’identité, à la situation de famille, aux adresses et coordonnées sont communiquées au rectorat de Nice, à l’organisme de restauration, au Service des Prestations Médicales de l’Etat ou aux Caisses Sociales ainsi qu’au prestataire de service pour la mise en œuvre de la messagerie professionnelle des enseignants.
La Commission estime que de telles transmissions sont conformes aux dispositions de l’article 17-1 de la loi n° 1.165, modifiée.
• Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
• En accès création, modification pour les personnels administratifs des établissements scolaires :
- les chefs d’établissement ;
- les adjoints ;
- les secrétariats des établissements scolaires concernés.
• En accès pour mise à jour :
- les enseignants ;
- les conseillers d’éducation ;
- les surveillants ;
- les personnels à l’accueil des établissements ;
- les infirmières ;
- le coordinateur des activités périscolaires ;
- la personne chargée du suivi des programmes pédagogiques.
• En accès en seule consultation :
- les personnels de la DENJS en lien avec leurs missions ;
- les intendants ;
- les gestionnaires ;
- les conseillers d’orientation ;
- les assistantes sociales ;
- les psychologues scolaires ;
- les élèves et leurs responsables pour l’accès à leurs comptes.
La Commission relève que les prestataires disposent d’accès pour la maintenance.
Considérant les attributions de ces catégories de destinataires et eu égard à la finalité du traitement, les accès susvisés sont justifiés.
En ce qui concerne les prestataires, la Commission rappelle toutefois que conformément aux dispositions de l’article 17 de la loi n° 1.165, modifiée, leurs droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de service. De plus, ceux-ci sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de l’article 17, susvisé.
Ainsi, elle considère que les accès au traitement sont conformes aux dispositions légales.
VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
Cependant, la connexion au portail Web n’est pas sécurisée : connexion http. Aussi, la Commission demande à ce que tous les accès provenant de l’Internet soient sécurisés.
De même, tout envoi par courriel d’informations confidentielles et/ou sensibles issues du présent traitement devra être chiffré ou sécurisé par un mot de passe réputé fort.
Par ailleurs, l’architecture du système repose sur des équipements (switchs, pare-feux) de serveurs et périphériques qui doivent être protégés par un login et un mot de passe réputé fort et les ports non utilisés doivent être désactivés.
La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité de celui-ci au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VII. Sur la durée de conservation
La Commission relève que les informations collectées sont conservées un an en base active et 24 ans en archives.
Les données relatives à la journalisation et à la traçabilité user/admin ne devront pas être conservées plus d’un an.
La Commission considère que la durée de conservation est conforme aux exigences légales.
Après en avoir délibéré,
Rappelle que les serveurs et périphériques doivent être protégés par un login et un mot de passe réputé fort et les ports non utilisés doivent être désactivés ;
Constate qu’une journalisation et une traçabilité user/admin est effectuée ;
Demande que :
- cette journalisation ne soit pas conservée plus d’un an à partir de sa collecte ;
- tout envoi par courriel d’informations confidentielles et/ou sensibles issues du présent traitement devra être chiffré ou sécurisé par un mot de passe réputé fort ;
- tous les accès provenant de l’Internet soient sécurisés ;
- toutes les personnes concernées soient valablement informées de leurs droits de manière conforme aux dispositions de l’article 14 de la loi n° 1.165, modifiée.
A la condition de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’Etat, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des dossiers scolaires des élèves inscrits dans les établissements publics de la Principauté ».


Le Président de la Commission
de Contrôle des Informations Nominatives.
Print article
Previous article Return to summary Next article

All rights reserved - Monaco 2016
Version 2018.11.07.14