Délibération n° 2021-48 du 17 mars 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des accès par badges aux sites spécifiques de l'Administration » exploité par la Direction des Systèmes d'Information (DSI) présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 7.996 du 12 mars 2020 portant création de la Direction des Systèmes d'Information ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'arrêté ministériel n° 2017-56 du 1er février 2017 portant application de l'Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l'Administration et l'administré, modifiée, et son annexe « Politique de Sécurité des Systèmes d'Information de l'État » ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la demande d'avis déposée par le Ministre d'État le 20 novembre 2020 concernant la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion des accès par badges aux sites spécifiques de l'Administration » ;
Vu la prorogation du délai d'examen de ladite demande d'avis notifiée au responsable de traitement le 18 janvier 2021, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 17 mars 2021 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
L'Administration Gouvernementale souhaite mettre en place des badges nominatifs afin d'assurer la sécurité des accès aux locaux de ses différents Services.
Le traitement automatisé d'informations nominatives objet de la présente délibération est donc soumis à l'avis de la Commission conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Ce traitement a pour finalité « Gestion des accès par badges aux sites spécifiques de l'Administration ».
Les personnes concernées sont les fonctionnaires, agents et prestataires de l'Administration accédant aux locaux sécurisés par badge, ainsi que les visiteurs auxquels un badge est attribué.
Enfin, les fonctionnalités sont les suivantes :
- maîtriser les entrées et sorties des locaux situés dans le périmètre (sites spécifiques) ;
- maîtriser l'accès aux locaux/zones identifiés comme faisant l'objet d'une restriction de circulation justifiée par l'activité des personnes qui y travaillent ou la protection des équipements qui y sont localisés ;
- prévenir l'accès et la circulation de personnes non autorisées ou non habilitées selon les zones identifiées ;
- gérer les badges d'accès (création, suspension, suppression) et les accès associés ;
- établir les documents nécessaires à la gestion des badges (ex. liste des personnes autorisées à pénétrer dans chaque zone) ;
- établir des statistiques, reporting, tableaux de bord ;
- conserver une trace des accès aux locaux/ zones réservés ;
- permettre, le cas échéant, la constitution de preuves en cas d'infraction, d'effraction, d'actes malveillants.
La Commission prend acte des précisions du responsable de traitement selon lesquelles les statistiques ne seront pas nominatives.
Elle constate ainsi que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par le respect d'une obligation légale à laquelle il est soumis, ainsi que par la réalisation d'un intérêt légitime, sans que ne soient méconnus les droits et libertés fondamentaux des personnes concernées.
La Commission relève que la mise en place d'un tel outil s'inscrit dans les missions de la Direction des Systèmes d'Information (DSI) telles que prévues à l'article 2 de l'Ordonnance Souveraine n° 7.996 du 12 mars 2020 portant création de cette dernière, qui dispose notamment qu'elle doit assurer la gestion « des contrôles d'accès logiques et physiques ».
Le responsable de traitement précise par ailleurs que le traitement s'inscrit notamment dans le cadre de l'application de mesures physiques demandées par la Politique de Sécurité des Systèmes d'Information de l'État (PSSI), annexée à l'arrêté ministériel n° 2017-56 du 1er février 2017.
La Commission constate ainsi que le traitement dont s'agit répond notamment aux objectifs suivants de cette PSSI :
« - Objectif 9 : Sécurité physique des locaux abritant les systèmes d'information : Inscrire la sécurisation physique des systèmes d'information dans la sécurisation physique des locaux et dans les processus associés.
- Objectif 10 : Sécurité physique des centres informatiques : Dimensionner les protections physiques des centres informatiques en fonction des enjeux liés à la concentration des moyens et données abrités.
- Objectif 11 : Sécurité du système d'information en sûreté : Traiter de manière globale la sécurité des systèmes d'information et de communication qui assurent la sûreté d'un site ».
Le responsable de traitement indique en outre que ce traitement va permettre de « restreindre l'accès aux zones affectées aux services de l'Administration aux seules personnes habilitées, tenant compte de la sensibilité des locaux, des équipements y hébergés ou des activités y exécutées ».
La Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations nominatives traitées
Les informations nominatives traitées sont :
En ce qui concerne les personnes auxquelles un badge est délivré :
- identité : nom, prénom ;
- habilitations : identification des accès (porte), des groupes et des plages horaires d'autorisation ;
- informations temporelles ou horodatage : date et heure d'entrée, date et heure de sortie pour les zones à accès restreint ;
- suivi administratif : date de remise du badge, date de restitution, date et motif de déclaration de perte/vol, statut (actif/inactif) ;
- données d'identification : identifiant de badge, code PIN d'accès (le cas échéant) ;
- logs des lecteurs : données d'horodatage, numéro de badge, identification des lecteurs.
En ce qui concerne les administrateurs/gestionnaires :
- identité : nom, prénom, email ;
- données d'identification électronique administrateur : login, mot de passe ;
- logs de connexion administrateur : IP, données d'horodatage, identifiant de l'administrateur, action réalisée.
Les informations relatives à l'identité et aux habilitations des personnes auxquelles un badge est délivré ont pour origine le responsable de service.
Les informations temporelles ou horodatage et les logs des lecteurs ont pour origine le système.
Le suivi administratif a pour origine le Gestionnaire des accès (DSI) et la personne concernée.
Les données d'identification des personnes auxquelles un badge est délivré ont pour origine le Gestionnaire des accès (DSI).
Par ailleurs, les informations relatives à l'identité des administrateurs/ gestionnaires ont pour origine le responsable de l'entité sous contrôle d'accès.
Les données d'identification électronique administrateur ont pour origine la personne concernée.
Enfin, les logs de connexion administrateur ont pour origine le système.
La Commission considère ainsi que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
- Sur l'information préalable des personnes concernées
L'information préalable des personnes concernées est effectuée par le biais d'une mention sur le document de collecte, à savoir le formulaire de remise de badge.
À l'analyse de ce document, la Commission considère que celui-ci est conforme à l'article 14 de la loi n° 1.165 du 23 décembre 1993.
- Sur l'exercice du droit d'accès, de modification et de mise à jour
Le droit d'accès s'exerce par voie postale auprès de la Direction des Systèmes d'Information.
À cet égard, la Commission rappelle que la réponse à ce droit d'accès doit s'exercer dans le mois suivant la réception de la demande.
V. Sur les destinataires et les personnes ayant accès au traitement
- Sur les destinataires
Le responsable de traitement indique que toute Autorité administrative et judiciaire dans le cadre de ses missions peut être destinataire des informations.
À cet égard, la Commission prend acte des précisions du responsable de traitement selon lesquelles il s'agit « de toute autorité judiciaire, administrative ou policière habilitée en droit interne à ordonner, autoriser ou entreprendre l'exécution de procédures de collecte ou de production d'éléments de preuve se rapportant à des enquêtes ou procédures qui peut être destinataire d'informations issues du présent traitement, dans le cadre des missions qui leur sont légalement ou réglementairement conférées et des garanties mises en place conformément au droit interne ».
La Commission considère donc que ces transmissions sont conformes aux exigences légales.
- Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
- les administrateurs : lecture/consultation, création, modification/mise à jour et suppression ;
- les auditeurs : lecture/consultation ;
- les gestionnaires d'accès (pour le périmètre d'action de leur bâtiment sauf le référentiel accédant) : lecture/consultation, création, modification/mise à jour et suppression ;
- le personnel du prestataire en charge de la maintenance du logiciel et des équipements : lecture/consultation dans le cadre de leurs opérations de maintenance.
Considérant les attributions de chacune de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.
En ce qui concerne le prestataire, la Commission rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993, les droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de son contrat de prestation de service. De plus, ledit prestataire est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
VI. Sur les interconnexions et rapprochements
Le responsable de traitement indique que le présent traitement fait l'objet d'un rapprochement avec un traitement ayant pour finalité « Assistance aux utilisateurs par le Centre de Service de la DSI » et d'une interconnexion avec un traitement ayant pour finalité « Gestion des accès à distance au Système d'Information du Gouvernement ».
La Commission prend acte que ces traitements ont été légalement mis en œuvre.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation particulière.
La Commission rappelle néanmoins que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Elle rappelle que la copie ou l'extraction d'informations issues de ce traitement devra être chiffrée sur son support de réception, conformément à la délibération n° 2010-13 du 3 mai 2010.
La Commission rappelle également que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII. Sur la durée de conservation
Le responsable de traitement indique que les informations relatives à l'identité et les données d'identification des personnes auxquelles un badge est délivré sont conservées tant que la personne est habilitée à avoir accès à la zone + 12 mois après la restitution du badge.
Les habilitations sont conservées tant que la personne est habilitée à avoir accès à la zone et les données d'identification électronique administrateur tant que la personne est habilitée à effectuer ces tâches.
Les informations temporelles ou horodatage sont conservées 12 mois.
Le suivi administratif est conservé 12 mois après la restitution du badge.
Les logs des lecteurs et les logs de connexion administrateur sont conservés 12 mois glissants.
Les informations relatives à l'identité des administrateurs/gestionnaires sont conservées tant que la personne a ce rôle.
Enfin les données d'identification électronique administrateur sont conservées tant que la personne est habilitée à effectuer ces tâches.
À cet égard, la Commission prend acte des précisions du responsable de traitement selon lesquelles ces durées sont liées aux obligations de traçabilité des actions sur le Système d'information et aux impératifs de sécurité entourant le fonctionnement du SI du Gouvernement, tel qu'entendu par les points 4.10.43 et 4.10.45 du PSSIE.
Elle considère donc que ces durées sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Rappelle que :
- la réponse au droit d'accès doit s'exercer dans le mois suivant la réception de la demande ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort ;
- la copie et l'extraction d'informations issues de ce traitement doit être chiffrée sur son support de réception.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par le Ministre d'État du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des accès par badges aux sites spécifiques de l'Administration ».
Le Président de la Commission de Contrôle des Informations Nominatives.