icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2020-163 du 18 novembre 2020 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des cantines des établissements scolaires » exploité par la Direction de l'Éducation Nationale, de la Jeunesse et des Sports et présenté par le Ministre d'État.

  • No. Journal 8516
  • Date of publication 11/12/2020
  • Quality 100%
  • Page no.

Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 918 du 27 décembre 1971 sur les établissements publics ;
Vu la loi n° 1.334 du 12 juillet 2007 sur l'éducation ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 3.505 du 1er mars 1966 portant création d'une Direction de l'Éducation Nationale, d'un Service des Affaires Culturelles et d'un Service des Congrès ;
Vu l'Ordonnance Souveraine n° 5.540 du 19 mars 1975 portant création de la Direction de l'Éducation Nationale, de la Jeunesse et des Sports ;
Vu l'Ordonnance Souveraine n° 7.995 du 12 mars 2020 portant création de la Direction des Services Numériques ;
Vu l'Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l'Administration et l'administré ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la délibération n° 2015-113 du 18 novembre 2015 de la Commission de Contrôle des Informations Nominatives portant recommandation sur la collecte et la conservation de la copie de documents d'identité officiels ;
Vu la demande d'avis déposée par le Ministre d'État le 13 août 2020 concernant la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion des cantines des établissements scolaires » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 12 octobre 2020, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 12 octobre 2020, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 18 novembre 2020 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,

Préambule
La Direction de l'Éducation Nationale, de la Jeunesse et des Sports (DENJS) souhaite, dans le cadre de l'Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l'Administration et l'administré, proposer un outil dématérialisé de gestion de cantine des établissements scolaires, permettant aux familles de payer en ligne les repas consommés dans les établissements scolaires publics monégasques.
Aussi, le traitement automatisé d'informations nominatives objet de la présente délibération est soumis à l'avis de la Commission conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « Gestion des cantines des établissements scolaires ».
Les personnes concernées sont les enfants scolarisés, les responsables légaux et l'adulte (enseignants ou personnel de la DENJS).
Les fonctionnalités sont les suivantes :
- création d'un compte utilisateur (administration) ;
- création d'une fiche élève ;
- création d'une fiche responsable ;
- gestion des passages ;
- gestion des calendriers de passages à la cantine ;
- génération des factures et historique ;
- paiement des repas : prélèvements bancaires, paiement par carte bancaire, paiement en espèce et paiement par chèque ;
- gestion du Portail Famille.
Au vu de ces éléments, la Commission constate que la finalité du traitement est déterminée, explicite et légitime, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

II. Sur la licéité et la justification du traitement
Le traitement est tout d'abord justifié par le consentement des personnes concernées formalisé par « un acte positif clair » consistant en l'acceptation des conditions générales d'utilisation du logiciel par le biais d'une case à cocher les informant que la connexion au logiciel de gestion de la cantine permet le traitement des données personnelles les concernant.
À l'examen de l'extrait de la Charte Utilisateur, la Commission observe que « les informations nominatives collectées dans le cadre de l'outil de gestion de la cantine ont un caractère obligatoire » et qu'à défaut de leur renseignement « des mentions obligatoires (…) l'accès au logiciel de gestion de la cantine ne pourra être ouvert ».
À cet égard, elle observe toutefois, à l'étude du courrier adressé aux représentants légaux des élèves que « conformément à l'article 43 de l'Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l'Administration et l'administré, la création de ce service numérique n'a pas pour effet de supprimer la possibilité de recevoir les factures par voie papier » et que « pour les familles ne disposant pas de connexion Internet, elles sont invitées à se rapprocher de la Gestionnaire ou de l'Intendant de l'établissement scolaire ».
Le responsable de traitement justifie également le traitement par la réalisation d'un intérêt légitime.
À cet égard, il indique que « le traitement permet à la DENJS de faciliter les échanges avec les responsables légaux des élèves en proposant un outil de gestion dématérialisé de gestion des repas et de paiement en ligne ».
La Commission considère ainsi que le traitement est justifié, conformément aux dispositions de l'article 10-2 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

III. Sur les informations traitées
Les informations traitées sont les suivantes :
- identité :
• élève : nom, prénom, date de naissance ;
• responsable légal : nom, prénom, lien de parenté ;
- dresses et coordonnées :
• responsable légal : adresse email, adresse postale ;
- formation-diplômes :
• élève : établissement scolaire, date d'entrée et date de sortie de l'établissement, classe ;
- passage à la cantine :
• élève : présences et absences de l'élève ;
- caractéristiques financières :
• payeur : coordonnées bancaires, mandant SEPA, historique des règlements, moyens de paiements, factures, soldes, coûts des repas, informations de communication des notifications de factures et de relances, tarifs des repas ;
- données d'identification électronique :
• élève : identifiant, unique badge ;
- informations temporelles : logs et traçabilité.
Le responsable de traitement indique que les informations ont pour origine le traitement « Gestion des dossiers scolaires des élèves inscrits dans les établissements publics de la Principauté » dénommé « PRONOTE » et la saisie manuelle en cours d'années par la gestionnaire établissement scolaire.
Les logs de connexion et les éléments de traçabilité ont pour origine le système.
La Commission considère que les informations collectées au sein dudit traitement sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément à l'article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

IV. Sur les droits des personnes concernées

  • Sur l'information des personnes concernées

Le responsable de traitement indique que l'information préalable des personnes concernées est assurée au moyen d'une rubrique propre à la protection des données accessible en ligne.
Il appert par ailleurs à l'étude du dossier que l'information des personnes concernées est également effectuée par un courrier adressé aux représentants légaux des élèves.
À la lecture des documents joints en annexe, la Commission constate que l'information préalable est conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

  • Sur l'exercice du droit d'accès

Le droit d'accès s'exerce sur place ou par voie postale auprès de l'établissement scolaire dans lequel l'enfant est inscrit.
À cet égard, le responsable de traitement indique qu' « un justificatif d'identité, en noir et blanc, pourra être demandé au requérant ».
À ce titre, la Commission précise que si une copie d'un document d'identité était demandée, la transmission et le traitement de ce document devront faire l'objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d'identité officiels.
Sous cette réserve, elle constate que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

V. Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
- le personnel de la Direction de l'Éducation Nationale, de la Jeunesse et des Sports (DENJS) : en lecture, en consultation et en paramétrage ;
- le personnel de la Direction des Systèmes d'Information (DSI) ou les tiers intervenants : en lecture et en paramétrage ;
- le personnel de la Direction des Services Numériques (DSN) ou les tiers intervenants : en lecture et en configuration.
La Commission relève par ailleurs que les personnes concernées disposent d'un accès à leur propre compte.
Elle considère que ces accès sont justifiés.

VI. Sur les rapprochements et interconnexions avec d'autres traitements
Le responsable de traitement indique que le présent traitement fait l'objet de rapprochement avec le traitement ayant pour finalité « Gestion des dossiers scolaires des élèves inscrits dans les établissements publics de la Principauté » dénommé « PRONOTE », légalement mis en œuvre.
Le responsable de traitement indique également que le traitement est interconnecté avec les messageries professionnelles, légalement mises en œuvre par l'État.

VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation particulière.
La Commission rappelle toutefois que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Elle rappelle également que les communications d'informations doivent être sécurisées en tenant compte de la nature des informations transmises.
La Commission rappelle enfin que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.

VIII. Sur la durée de conservation
Les données sont conservées 5 ans après la dernière facture, excepté les logs de connexion et les éléments de traçabilité qui sont conservés 1 an.
La Commission considère que ces durées sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :

Rappelle que :
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
- les communications d'informations doivent être sécurisées en tenant compte de la nature des informations transmises.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État, du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des cantines des établissements scolaires ».

Le Président de la Commission de Contrôle des Informations Nominatives.

Print article
Previous article Return to summary Next article

All rights reserved - Monaco 2016
Version 2018.11.07.14