Délibération n° 2020-188 du 16 décembre 2020 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Mise à disposition de la Direction des Travaux Publics d'une solution de Gestion Électronique Documentaire », exploité par la Direction des Travaux Publics présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 6.902 du 7 octobre 2016 portant création d'une Direction des Travaux Publics ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés d'informations nominatives ;
Vu la demande d'avis déposée par le Ministre d'État, le 1er décembre 2020, concernant la mise en œuvre d'un traitement automatisé ayant pour finalité la « Mise à disposition de la Direction des Travaux Publics d'une solution de Gestion Électronique Documentaire » ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 16 décembre 2020 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Afin « de permettre à la Direction des Travaux Publics (DTP) une meilleure gestion de ses projets », l'Administration souhaite mettre à disposition de celle-ci un outil numérique permettant notamment « la gouvernance des documents échangés entre les différentes parties prenantes ainsi que le stockage électronique des documents opération par opération ».
Ainsi, le traitement y relatif est soumis à l'avis de la Commission, conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Mise à disposition de la Direction des Travaux Publics d'une solution de Gestion Électronique Documentaire ».
Il concerne les fonctionnaires et agents de la DTP dont certains seront administrateurs fonctionnels, et les prestataires externes de celle-ci.
Les fonctionnalités du traitement sont :
- Gestion d'un espace de travail collaboratif entre les différentes parties prenantes d'un chantier géré par la DTP ;
- Gestion des annuaires relatifs aux chantiers gérés par la DTP ;
- Stockage électronique centralisé des documents relatifs à un chantier géré par la DTP ;
- Classification automatique des documents relatifs à un chantier géré par la DTP ;
- Partage de documents entre les différentes parties prenantes d'un chantier géré par la DTP ;
- Contrôle de la publication et de la diffusion des documents relatifs à un chantier géré par la DTP ;
- Suivi des chantiers gérés par la DTP ;
- Dématérialisation des communications entre les différentes parties prenantes d'un chantier géré par la DTP ;
- Gestion des habilitations ;
- Création des comptes utilisateurs ;
- Gestion des droits applicatifs (accès aux informations et documents, actions de validation de documents) ;
- Traçabilité.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par le respect d'une obligation légale ainsi que par la réalisation d'un intérêt légitime, sans que ne soient méconnus ni l'intérêt, ni les droits et libertés fondamentaux de la personne concernée.
Il est indiqué d'une part que le traitement s'inscrit dans le cadre des missions prévues par l'Ordonnance Souveraine n° 6.092 du 7 octobre 2016 portant création d'une Direction des Travaux Publics, qui est notamment chargée « des missions de maîtrise d'ouvrage publique, de la programmation technique à la réception des travaux (…), de faire réaliser, piloter et gérer l'ensemble des études et travaux nécessaires pour les opérations placées sous sa responsabilité (…), de contrôler le respect de la qualité des ouvrages, des coûts et des délais de livraison (…) ».
D'autre part, il est précisé qu'il est de « l'intérêt légitime de l'Administration de veiller à la bonne réalisation et au pilotage des projets de construction en Principauté. En ce sens, le présent traitement permet effectivement d'atteindre l'objectif poursuivi par l'Administration d'assurer ses missions de maîtrise d'ouvrage publique, de programmation jusqu'à la réception des travaux réalisés sur le territoire de la Principauté ».
La Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.
III. Sur les informations traitées
Le responsable de traitement indique que les informations nominatives traitées sont :
- identité : nom, prénom ;
- adresses et coordonnées : cordonnées professionnelles : adresse postale (facultatif), numéro de téléphone (facultatif), adresse électronique ;
- vie professionnelle : employeur actuel, service/département actuel (facultatif), fonction actuelle (facultatif) ;
- données d'identification électronique : login (adresse de messagerie) ;
- informations temporelles : logs d'utilisation : connexion, suivi des modifications (workflow et visas).
La Commission constate toutefois la possibilité d'inscrire des commentaires dans des espaces dédiés.
Elle rappelle que ces derniers doivent être proportionnés à la finalité recherchée et strictement encadrés.
Les informations relatives à l'identité, aux adresses et coordonnées et à la vie professionnelle sont communiquées par les personnes concernées.
Les données d'identification électronique sont données par l'Administrateur fonctionnel.
Enfin, les informations temporelles sont générées par le système.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.
IV. Sur les droits des personnes concernées
- Sur l'information préalable des personnes concernées
L'information préalable des personnes concernées est effectuée par le biais d'une rubrique propre à la protection des données accessible en ligne, par un courrier remis à l'intéressé, ainsi que par l'engagement contractuel avec les prestataires afin de leur signifier leur obligation d'informer valablement leurs salariés.
L'ensemble de ces documents ayant été joint, la Commission constate que l'information de l'ensemble des personnes concernées est effectuée conformément à l'article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.
- Sur l'exercice du droit d'accès, de modification et de mise à jour
Le droit d'accès est exercé par voie postale ou par courrier électronique auprès de la Direction des Travaux Publics.
À cet égard, la Commission rappelle que la réponse à ce droit d'accès doit s'exercer dans le mois suivant la réception de la demande.
Par ailleurs, s'agissant de l'exercice du droit d'accès par voie électronique, la Commission considère qu'une procédure devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d'un document d'identité était demandée, la transmission et le traitement de ce document devront faire l'objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d'identité officiels.
V. Sur les destinataires et les personnes ayant accès au traitement
Le responsable de traitement indique qu'il n'y a pas de communication d'informations à des tiers destinataires.
Les accès sont en outre définis comme suit :
- Personnels de l'Administration, en gestion des utilisateurs si le membre de la DTP est administrateur fonctionnel, ou en accès à son propre compte si utilisateur ;
- Éditeur de la solution en support technique dans le cadre de ses missions.
En ce qui concerne le recours à des prestataires, la Commission rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée, les droits d'accès de ces derniers doivent être limités à ce qui est strictement nécessaire à l'exécution de leurs contrats de prestation de service. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
Sous ces réserves, la Commission considère que ces accès sont justifiés.
VI. Sur les rapprochements et interconnexions
Le responsable de traitement n'indique aucun rapprochement ou interconnexion avec le présent traitement. Toutefois, il appert de la lecture du dossier une interconnexion avec les traitements messageries professionnelles, légalement mis en œuvre, aux fins d'échange sur la plateforme.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
La Commission rappelle enfin que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII. Sur la durée de conservation
Les informations temporelles sont conservées sur une période de 12 mois glissants.
Les autres informations sont conservées tant que la personne concernée dispose d'un compte sur le traitement en lien avec ses missions.
La Commission considère que ces durées de conservation sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Considère qu'une procédure relative au droit d'accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations.
Rappelle que :
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
- les commentaires doivent être proportionnés à la finalité recherchée et strictement encadrés.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État, du traitement automatisé d'informations nominatives ayant pour finalité « Mise à disposition de la Direction des Travaux Publics d'une solution de Gestion Électronique Documentaire » exploité par la Direction des Travaux Publics.
Le Président de la Commission de Contrôle des Informations Nominatives.