icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails
Switch to French
MENU
French | English
  • Avis et Communiqués
  • Déliberations-Décisions CCIN

Délibération n° 2021-9 du 20 janvier 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Candidature en BTS ou DCG » exploité par la Direction de l'Éducation Nationale, de la Jeunesse et des Sports présenté par le Ministre d'État.

  • No. Journal 8525
  • Date of publication 12/02/2021
  • Quality 100%
  • Page no.

Vu la Constitution ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 826 du 14 août 1967 relative à l'enseignement, modifiée ;
Vu l'Ordonnance Souveraine n° 3.505 du 1er mars 1966 portant création d'une direction de l'éducation nationale, d'un service des affaires culturelles et d'un service des congrès ;
Vu l'Ordonnance Souveraine n° 5.540 du 19 mars 1975 portant création de la direction de l'éducation nationale, de la jeunesse et des sports ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l'Administration et l'administré ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la demande d'avis déposée par le Ministre d'État le 13 octobre 2020 concernant la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « S'inscrire en BTS ou DCG » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 10 décembre 2020, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 20 janvier 2021 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,

Préambule

La Direction de l'Éducation Nationale, de la Jeunesse et des Sports (ci-après, la DENJS) souhaite mettre à la disposition de candidats un téléservice afin de leur permettre de candidater en ligne pour une inscription en BTS ou en Diplôme de Comptabilité Générale (DCG).
Conformément aux dispositions de l'article 7 de la loi n° 1.165 du 23 décembre 1993 modifiée, le Ministre d'État soumet ainsi, à l'avis de la Commission, le traitement ayant pour finalité « S'inscrire en BTS ou DCG ».

I. Sur la finalité et les fonctionnalités du traitement

Le présent traitement a pour finalité « S'inscrire en BTS ou DCG ».
Il concerne les agents traitants, les candidats à l'inscription, ainsi que les responsables légaux de ces derniers.
La démarche en ligne, mise à la disposition des candidats, a notamment pour fonctionnalités :
- la saisie des informations sur l'admission souhaitée ;
- la saisie des informations sur le candidat et sur son parcours précédent ;
- la saisie d'informations sur les responsables légaux des candidats ;
- l'import de pièces justificatives ;
- l'annulation d'une candidature ;
- l'envoi d'un courriel de confirmation/ou d'annulation de candidature ;
- l'envoi d'un courriel de confirmation de désinscription à la démarche en ligne ;
- l'export d'un fichier Excel comprenant toutes les déclarations et informations anonymisées par les agents ayant les droits nécessaires pour effectuer cette action.
Le responsable de traitement précise, par ailleurs, que « la création du compte usager se fait via Login » et que « Le téléservice récupère l'adresse email grâce à ce compte ».
Il est également précisé qu'« un lien vers un questionnaire de satisfaction anonyme est mis à disposition des usagers », étant précisé que « les réponses seront traitées anonymement par la Direction des Services Numériques afin de remplir sa mission ».
La Commission souligne cependant que le présent traitement a pour objet de candidater à l'admission en BTS ou en DCG, et non de s'y inscrire.
Par conséquent, la Commission modifie la finalité comme suit : « Candidature en BTS ou DCG ».

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le présent traitement est justifié par le consentement des personnes concernées, par le respect d'une obligation légale à laquelle il est soumis et par la réalisation d'un intérêt légitime qu'il poursuit et qui ne méconnaît ni l'intérêt, ni les droits et libertés fondamentaux des personnes concernées.
À cet égard, il précise que le consentement des personnes concernées est formalisé par un acte positif clair matérialisé par le biais d'une case à cocher mentionnant « J'accepte que mes données personnelles soient traitées dans le cadre du téléservice « S'inscrire en BTS ou DCG » », ainsi que par l'acceptation préalable des conditions générales d'utilisation du téléservice, indispensable pour la création du compte sécurisé et pour l'accès à la démarche en ligne.
Le téléservice est, par ailleurs, justifié par le respect d'une obligation légale à laquelle le responsable de traitement est soumis. Ce dernier se rapportant aux dispositions de l'article 2 de l'Ordonnance Souveraine n° 3.505 du 1er mars 1966 portant création d'une direction de l'éducation nationale qui dispose que :
« la direction de l'éducation nationale est chargée :
- de l'organisation et de l'administration de l'enseignement public primaire, secondaire, technique et supérieur (…) ».
En outre, l'intérêt légitime trouve son fondement dans la volonté de l'Administration de simplifier les démarches administratives des administrés en leur permettant de déposer leur déclaration sans se déplacer et sans autre démarche, ce qui s'inscrit dans le cadre de l'Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l'Administration et l'administré.
La Commission rappelle que conformément aux dispositions de l'article 42 de l'Ordonnance Souveraine susvisée « (…) la création d'un téléservice ne saurait toutefois avoir pour effet de supprimer la possibilité pour l'usager, d'accomplir les démarches, formalités ou paiements qui en sont l'objet par des voies autres qu'électroniques ».
Enfin, le responsable de traitement indique que le sondage effectué par la Direction des Services Numériques, dans le cadre de sa mission découlant de l'Ordonnance Souveraine n° 7.955 du 12 mars 2020, sera traité anonymement.
Au regard de ce qui précède, la Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165, modifiée.

III. Sur les informations traitées

Les informations traitées sont :
- Identité, situation de famille : titre, nom et prénom du demandeur ; nom, nom de jeune fille, prénom, date de naissance, lieu de naissance, nationalité du candidat ; situation familiale, responsable, nom d'usage, nom de jeune fille et prénom des premier et deuxième responsables.
- Adresses et coordonnées : adresse, téléphone portable et email du candidat ; adresse, téléphone portable, email et téléphone professionnel des premier et deuxième responsables.
- Formation-diplômes : formation, activité, établissement, société, diplôme obtenu (ces informations sont demandées pour l'année en cours et pour les années N-1, N-2, N-3 et N-4) ; profession des premier et deuxième responsables.
- Données d'identification électronique : identifiant technique de l'usager et adresse email du demandeur.
- Informations temporelles : données d'horodatage.
- Données de connexion : logs de connexion et données de messagerie de l'usager.
- Autre : Admission : formation, niveau, langue vivante A, langue vivante B.
Pièces justificatives : lettre de motivation, CV, bulletin scolaire de l'année en cours, bulletin scolaire de l'année précédente, attestation de travail, attestation de responsabilité civile, copie du diplôme de baccalauréat, notes du baccalauréat, décision de jugement en ce qui concerne la garde de l'enfant, lettre d'accord des parents.
Concernant ces deux dernières catégories de données, la Commission souligne qu'elles ne pourront concerner que les candidats mineurs ou faisant l'objet d'une mesure de protection spécifique.
Elle constate en plus que les logs de connexion et les données de messagerie des agents traitant les dossiers sont également collectés par le responsable de traitement et en prend acte.
Les informations ont pour origine la personne concernée, à l'exception des données d'identification électronique, des informations temporelles et des données de connexion qui proviennent du système et du module web de la démarche en ligne.
La Commission considère que les informations ainsi collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément à l'article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.

IV. Sur les droits des personnes concernées

* Sur l'information préalable des personnes concernées
L'information préalable des personnes concernées est réalisée par le biais d'une mention particulière intégrée dans un document d'ordre général accessible en ligne, à savoir les conditions générales d'utilisation du téléservice.
À la lecture de l'extrait de celles-ci-joint au dossier, la Commission constate que les mentions d'information sont conformes aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.
* Sur l'exercice du droit d'accès
Le droit d'accès est exercé par la personne concernée sur place, par voie postale, par accès en ligne au dossier (en cliquant sur un lien hypertexte intégré dans les conditions générales d'utilisation du téléservice) ou par courrier électronique adressé à la DENJS.
S'agissant de l'exercice du droit d'accès par voie de courrier électronique, la Commission rappelle qu'une procédure devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations.
Elle précise à cet effet que si une copie d'un document d'identité était demandée, la transmission et le traitement de ce document devront faire l'objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015-116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d'identité officiels.
Sous cette réserve, elle constate que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993, modifiée.

V. Sur les destinataires et les personnes ayant accès au traitement

* Sur les destinataires
La Commission constate que la DENJS peut communiquer, à la Direction des Services Numériques un sondage anonymisé en lien avec le présent traitement.
* Sur les personnes ayant accès au traitement
Le responsable de traitement indique que les personnes habilitées à avoir accès au traitement sont le personnel de l'Administration.
Après analyse des éléments communiqués, la Commission relève qu'ont plus particulièrement accès au traitement :
- les personnels de la DENJS : traitement des demandes, saisie des demandes courriers, validation administrative des demandes, gestion de l'application ;
- les personnels de la Direction des Systèmes d'Information (DSI) ou tiers intervenant pour son compte : dans le cadre des missions de maintenance, développement des applicatifs nécessaires au fonctionnement du site et de sécurité du site et du système d'information de l'État ;
- les personnels de la Direction des Services Numériques (DSN) ou tiers intervenant pour son compte ayant un rôle d'assistance à maîtrise d'ouvrage sur la procédure.
La Commission relève que de plus en plus de traitements métiers ou de téléservices font l'objet d'interventions de Directions supports qui administrent ou créent les solutions. Ces Directions supports sont décrites comme disposant d'accès aux traitements concernés.
Elle rappelle que ces dernières n'ont pas à avoir accès en continu à l'information métier, dont la sensibilité peut varier en fonction des Services concernés. Elle demande donc que les accès soient restreints au strict besoin d'en connaitre et que les interventions de supports soient effectuées selon des modalités définies conformes aux règles de l'art.
En ce qui concerne les tiers intervenant pour le compte de la DSI et de la DSN, la Commission rappelle que, conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993 modifiée, les droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de leur contrat de prestation de services.
De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission relève, par ailleurs, que les candidats disposent d'un accès en consultation à leur propre compte ainsi qu'une zone « texte libre » pour compléter leur dossier de candidature voire un dépôt de « pièces jointes ».
Elle considère que ces accès sont justifiés.

VI. Sur les interconnexions

Le présent traitement fait l'objet d'interconnexions avec les traitements suivants :
- « Gestion du compte permettant aux usagers d'entreprendre des démarches par téléservices », légalement mis en œuvre ;
-  « Gérer les habilitations des agents et fonctionnaires de l'État aux téléservices contenus dans le « Guichet Virtuel », légalement mis en œuvre.
Le responsable de traitement indique également que le traitement est interconnecté avec les traitements de messagerie professionnelle, légalement mis en œuvre par l'État.
Lesdits traitements ont pour vocation de permettre l'accès sécurisé des usagers à la démarche et de gérer les habilitations des personnels de l'État, dans le respect des cadres fixés dans les délibérations y relatives de la Commission portant avis favorables à leur mise en œuvre.
La Commission considère que ces interconnexions sont conformes aux exigences légales.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation particulière.
Cependant, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
La Commission rappelle néanmoins que, conformément à l'article 17 de la loi n° 1.165 modifiée, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement, au regard des risques présentés par ce traitement et de la nature des données à protéger, devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.

VIII. Sur la durée de conservation

Les informations nominatives sont conservées deux ans à partir du dépôt de la demande, excepté les données d'identification électronique et les données de connexion qui sont effacées au bout d'un an et les informations temporelles au bout de trois mois.
Le responsable de traitement justifie la durée de conservation par la « nécessité pour la DENJS de conserver lesdites données dans le cadre de la gestion des dossiers scolaires des élèves et pour un meilleur suivi de ces derniers concernant leur inscription en BTS ou DCG pendant le temps du cursus de deux ans, prévu pour la formation en question ».
La Commission relève que ces délais sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Modifie la finalité comme suit : « Candidature en BTS ou DCG ».
Constate que les mentions d'information sont conformes aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.

Rappelle que :
- les personnels des Directions supports, qui administrent ou créent les solutions, n'ont pas à avoir accès en continu à l'information métier, dont la sensibilité peut varier en fonction des Services concernés. Les accès doivent en effet être restreints au strict besoin d'en connaitre, les interventions de supports devant être effectuées selon des modalités définies conformes aux règles de l'art ;
- conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, les prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switch, routeurs, pares-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Considère qu'une procédure relative au droit d'accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État, du traitement automatisé d'informations nominatives ayant pour finalité « Candidature en BTS ou DCG ».

Le Président de la Commission de Contrôle des Informations Nominatives.

View journal
in PDF format 1.73 MB
Download journal
in PDF format 1.73 MB
Print article
Previous article Return to summary Next article

All rights reserved - Monaco 2016
Version 2018.11.07.14