Délibération n° 2016-130 du 21 septembre 2016 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des affectations et demandes relatives aux ressources informatiques » présenté par Monaco Telecom SAM.
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe ;
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu le contrat de concession du Service Public des communications électroniques sur le territoire de la Principauté de Monaco du 26 septembre 2011 ;
Vu le cahier des charges relatif à la concession du Service Public des communications électroniques sur le territoire de la Principauté de Monaco signé le 26 septembre 2011 et annexé à l'Ordonnance Souveraine n° 3.560 du 6 décembre 2011 ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la demande d'avis déposée par Monaco Telecom SAM le 12 juillet 2016 concernant la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion des affectations et demandes relatives aux ressources informatiques » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 9 septembre 2016, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 21 septembre 2016 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Monaco Telecom SAM, immatriculée au RCI, est un organisme de droit privé concessionnaire d'un service public. Elle a notamment pour objet « d'assurer dans les relations intérieures et internationales, tous services de télécommunications. A ce titre, elle assure les activités d'opérateur public chargé de l'exploitation du service téléphonique de la Principauté de Monaco […] ».
Dans le cadre de son activité, ce dernier entend maîtriser son parc informatique et les dysfonctionnements pouvant l'affecter.
Aussi, conformément aux dispositions de l'article 7 de la loi n° 1.165 du 23 décembre 1993, il soumet le traitement ayant pour finalité « Gestion des affectations et demandes relatives aux ressources informatiques » à l'avis de la Commission.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « Gestion des affectations et demandes relatives aux ressources informatiques ».
Sont concernés les collaborateurs de Monaco Telecom SAM et ses prestataires qui utilisent l'application.
Les fonctionnalités du traitement sont les suivantes :
- suivi des tickets relatifs aux incidents de production ;
- gestion des matériels ;
- affectation des matériels aux collaborateurs ;
- édition de tableaux de bord statistiques.
Au vu de ces éléments, la Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le traitement est justifié par la réalisation d'un intérêt légitime qui ne méconnaît ni l'intérêt, ni les droits et libertés fondamentaux de la personne concernée.
A cet égard, le responsable de traitement indique que le présent traitement lui permet d'une part de répondre au besoin « de tracer les dysfonctionnements intervenant sur les applications métiers (…) ainsi que sur le matériel (…) », et d'autre part d'effectuer « la gestion du parc et de son affectation ».
La Commission relève qu'il est légitime pour un responsable de traitement d'optimiser ses ressources informatiques et d'améliorer la qualité du système d'information.
Elle considère donc que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi
n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Les informations objets du traitement sont les suivantes :
- identité : nom, prénom, direction métier à laquelle appartient l'utilisateur ;
- adresses et coordonnées : numéro de poste, emplacement dans les locaux ;
- données d'identification électronique : adresse email professionnelle ;
- informations contenues dans les tickets : 1) nom, prénom, adresse email MT, numéro de poste, emplacement dans les locaux
2) type de contrat (nécessaire pour la création de la bonne adresse email professionnelle) 3) historique des personnes ayant effectué des actions sur le ticket ;
- information contenue dans la gestion des affectations du matériel : état de l'équipement si utilisé ou non, dernier utilisateur connecté, utilisateur disposant du matériel : nom, prénom, service, téléphone professionnel, email, type d'utilisateur dans SUPSI, numéro de poste fixe, rôles dont dispose la personne s'il s'agit d'un technicien, numéro de série du matériel, fabricant, date d'acquisition, expiration de la garantie.
Les informations relatives aux utilisateurs ont pour origine l'interconnexion avec le traitement ayant pour finalité « Gestion des habilitations aux systèmes d'information », légalement mis en œuvre.
Par ailleurs, la Commission relève que la création des tickets et les informations y afférentes sont effectuées par les personnes concernées effectuant des demandes d'intervention.
Les informations contenues dans la gestion des affectations du matériel sont inscrites par les techniciens en charge du parc informatique.
De plus, le système lui-même est à l'origine de l'historisation des actions des personnes sur les tickets.
Enfin, la Commission relève que sont exploitées des informations statistiques indiquant notamment l'heure de résolution des tickets, la durée de traitement des demandes, la criticité de la demande et la répartition des tickets.
A cet égard, le responsable de traitement indique que « ces statistiques permettent un suivi et visibilité sur le traitement global des incidents et dysfonctionnement (…) et ne permettent pas la surveillance individuelle des salariés ».
Compte tenu de ces éléments, la Commission considère que les informations traitées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
►Sur l'information des personnes concernées
Le responsable de traitement indique que l'information préalable des personnes concernées est effectuée :
- par une procédure interne accessible en Intranet,
- par une note interne des Ressources Humaines.
A la lecture de la mention d'information portée sur la note interne, la Commission relève que l'information des personnes concernées est valablement effectuée.
Elle rappelle néanmoins que le responsable de traitement doit s'assurer que les prestataires bénéficient de la même information.
► Sur l'exercice du droit d'accès
La Commission observe que le droit d'accès est exercé par voie postale ou par courrier électronique auprès de la Direction des systèmes d'information et hébergement, help desk.
Les droits de modification et de mise à jour des données sont exercés selon les mêmes modalités.
Le délai de réponse est de 30 jours.
La Commission constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.
V. Sur les personnes ayant accès au traitement
La Commission relève qu'aucune communication des informations objet du traitement n'est communiquée à des destinataires.
Les personnes habilitées à avoir accès au traitement sont :
- Les équipes de la Direction Technique de Monaco Telecom SAM dans le cadre de leur activité de traitement des demandes. Elles peuvent consulter et mettre à jour les tickets. Elles peuvent être composées de prestataires sur des missions d'assistance technique ;
- Les demandeurs en consultation, mise à jour et création de leurs propres demandes. Il peut s'agir de prestataires intervenant sur des missions d'assistance technique en interne ;
- L'équipe d'administration dans le cadre de la maintenance en condition opérationnelle des systèmes en consultation. Les membres de cette équipe peuvent être des prestataires sur des missions d'assistance technique.
En ce qui concerne les prestataires, la Commission rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993 les droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de leur contrat de prestation de service. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission considère que les accès au traitement sont conformes aux dispositions légales.
VI. Sur les rapprochements et interconnexions
Le responsable de traitement indique que le présent traitement est interconnecté ou rapproché avec le traitement ayant pour finalité « Gestion des habilitations au système d'information », légalement mis en œuvre.
Cette interconnexion a pour objectif de collecter automatiquement les informations de connexion d'un utilisateur donné afin de l'authentifier lors de la saisie de son login et mot de passe sur l'interface graphique de l'outil.
La Commission relève que cette interconnexion est conforme à sa délibération n° 2013-60 du 28 mai 2013 portant avis favorable au traitement ayant pour finalité « Gestion des habilitations au système d'information », selon laquelle « l'ensemble des traitements automatisés et exploités par Monaco Telecom sont interconnectés avec ce traitement [de gestion des habilitations au système d'information] ».
Par ailleurs, la Commission constate qu'aux termes de sa délibération n° 2013-156, le présent traitement est interconnecté avec celui ayant pour finalité « Gestion des incidents et interventions informatiques ».
Elle considère désormais que les deux traitements peuvent être interconnectés, et que la réserve présente dans sa délibération n° 2013-156 est sur ce point retirée.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation particulière.
Par ailleurs, l'architecture technique du système repose sur des équipements de raccordement (switchs, pare-feux, routeurs) de serveurs et périphériques qui doivent être protégés par un login et un mot de passe réputé fort et les ports non utilisés doivent être désactivés.
La Commission rappelle enfin que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993 les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité de celui-ci au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII. Sur la durée de conservation
Les informations relatives à l'identité, aux adresses et coordonnées, aux données d'identification électronique, et à l'information contenue dans la gestion des affectations du matériel sont conservées jusqu'au départ des personnes concernées de Monaco Telecom SAM.
Celles relatives aux informations contenues dans les tickets, et les statistiques associées, sont supprimées du système 1 an après clôture du ticket.
La Commission considère que ces durées de conservation sont conformes aux exigences légales.
Après en avoir délibéré,
Constate que le traitement ayant pour finalité « Gestion des incidents et interventions informatiques » peut désormais être interconnecté avec le présent traitement.
Rappelle :
- que l'architecture technique du système repose sur des équipements de raccordement (switchs, pare-feux, routeurs) de serveurs et périphériques qui doivent être protégés par un login et un mot de passe réputé fort et que les ports non utilisés doivent être désactivés ;
- que les prestataires doivent bénéficier de la même information que les salariés de Monaco Telecom SAM.
A la condition de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par Monaco Telecom SAM, du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des affectations et demandes relatives aux ressources informatiques ».
Le Président de la Commission
de Contrôle des Informations Nominatives.