Délibération n° 2021-58 du 17 mars 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion de l'enseignement à distance dispensé aux élèves traditionnels de l'Académie Rainier III » exploité par l'Académie de Musique et de Théâtre, Fondation Prince Rainier III, Conservatoire de la Ville de Monaco présenté par la Commune de Monaco.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 959 du 24 juillet 1974 sur l’organisation communale, modifiée ;
Vu l’Ordonnance Souveraine n° 1.649 du 3 octobre 1934 créant l’Académie de Musique, modifiée ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la demande d’avis déposée par le Maire de Monaco, le 23 décembre 2020, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Gestion de l’enseignement à distance dispensé aux élèves traditionnels de l’Académie Rainier III » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 19 février 2021, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 17 mars 2021 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Lors de la rentrée académique de septembre 2020, la Mairie de Monaco a été contrainte, à la suite d’un rapport d’expertise, de fermer les locaux de l’Académie Rainier III pour toute l’année scolaire 2020/2021.
La Mairie de Monaco et la Direction de l’Académie Rainier III se sont dès lors mobilisées pour assurer la continuité de l’enseignement musical en mettant en œuvre un enseignement à distance pour les élèves dits traditionnels, c’est-à-dire inscrits à l’Académie, indépendamment de leur cursus scolaire, lequel dépend de l’Éducation Nationale.
Aucune solution n’a en effet pu être trouvée pour le maintien de l’ensemble des cours en présentiel.
Le présent traitement automatisé d’informations nominatives est ainsi soumis à l’avis de la Commission, conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Gestion de l’enseignement à distance dispensé aux élèves traditionnels de l’Académie Rainier III ».
Il concerne le personnel administratif dûment habilité (Directeur de l’Académie, adjoint au Directeur, responsable des études, attaché et employé de bureau, mais également personnel enseignant et élèves « traditionnels » de l’Académie).
Les fonctionnalités du traitement sont :
- « La création de comptes utilisateurs et la gestion des habilitations en fonction du profil (personnel enseignant / personnel administratif) ;
- La création de la classe (nom de la classe) associant le professeur et les élèves (en tant qu’invités) pour chacune des classes et la création de cours de type individuel associant le professeur à un élève (en tant qu’invité) ;
- L’ajout de fichiers pour les partager avec les élèves ;
- L’organisation et la tenue d’un cours à distance via visio-conférence ou audioconférence, avec possibilité de partager des documents pour soutenir le cours ;
- L’organisation et la tenue des réunions pédagogiques ou bien entre les professeurs et l’équipe administrative (visio-conférence / audioconférence) avec possibilité de partager des documents ».
Le responsable de traitement précise que « la fonction d’enregistrement des cours, bien qu’existante dans l’outil, n’est pas utilisée » et que, « les invités n’ont pas le droit de lancer des conversations privées », ces derniers ayant « le droit de parler uniquement dans le chat de l’équipe dans laquelle ils sont membres, c’est-à-dire durant le cours à distance pour poser des questions au professeur ».
La Commission constate néanmoins que l’outil de chat n’est pas bloqué et peut conduire à l’enregistrement de conversations, lesquelles sont conservées dans un historique accessible à l’équipe (la classe concernée).
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par le consentement de la personne concernée, ainsi que par la réalisation d’un intérêt légitime, sans que ne soient méconnus les droits et libertés fondamentaux des personnes concernées.
Il précise que « l’Académie Rainier III veille à recevoir le consentement des représentants légaux des élèves pour ouvrir les droits à l’enseignement à distance aux élèves. En effet, seuls les élèves dûment autorisés par leur représentant légal à recevoir un enseignement à distance pourront obtenir un accès sur Microsoft Teams », étant précisé qu’« en cas de refus, l’élève ne pourra pas poursuivre son cursus ».
La Commission relève que le présent traitement vaut pour l’année scolaire 2020/2021 en raison de la situation exceptionnelle rencontrée par l’Académie Rainier III (indisponibilité du bâtiment liée à des travaux d’envergure). En revanche, elle rappelle qu’une réévaluation de cette base légale devra être effectuée, une fois que les travaux au sein de l’Académie auront été effectués, à l’issue de l’année scolaire, notamment dans l’hypothèse où ce traitement viendrait à se pérenniser.
Par ailleurs, s’agissant de l’intérêt légitime, la Commission relève que les travaux d’envergure qui doivent être effectués dans le bâtiment qui abritait, jusqu’à présent l’Académie Rainier III, ont conduit à la fermeture temporaire de ses locaux pour l’année scolaire 2020/2021. L’intérêt légitime se justifie dès lors par la volonté de maintenir la continuité de l’enseignement musical, mais également par la difficulté de rechercher des locaux de substitution adéquats dans un contexte de crise sanitaire liée à la pandémie de COVID-19.
La Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Les informations nominatives traitées sont les suivantes :
- Identité : nom/prénom des utilisateurs ;
- Adresses et coordonnées : email de l’enseignant et du personnel administratif crée spécialement pour TEAMS et email du représentant légal de l’élève ;
- Formation-Diplômes, vie-professionnelle : équipe (équivaut à la classe) ;
- Données d’identification électronique : login / mot de passe ;
- Informations temporelles et horodatages : informations de connexion, horodatages de début et de fin du cours à distance et des conversations ;
- Image et voix : l’image et la voix des personnes concernées sont traitées durant la tenue des cours à distance ;
- Présentiel : statut : disponible / occupé / ne pas déranger / de retour dans quelques instants / absent / en communication (…).
Le responsable de traitement précise qu’aucun appel n’est effectué pour contrôler la présence des élèves. Les parents doivent avertir l’Académie de l’absence de l’élève, comme ils le feraient pour les cours en présentiel.
Par ailleurs, il est interdit de procéder à l’enregistrement des cours dispensés à distance.
Comme précédemment évoqué, la Commission relève que l’outil permettant le chat n’est pas bloqué et que les conversations font l’objet d’un archivage.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
- Sur l’information préalable des personnes concernées
L’information préalable des personnes concernées est réalisée par le biais d’une mention sur le document de collecte, d’un document spécifique et d’un courrier adressé à l’intéressé.
Plus précisément, le responsable de traitement indique que le personnel enseignant est informé par un courrier du Directeur de l’Académie, lequel contient un coupon de réponse par lequel l’enseignant reconnaît avoir été informé du traitement le concernant.
Les élèves traditionnels sont, quant à eux, informés par un courrier du Maire, lequel contient une mention spécifique relative au traitement, ainsi qu’une demande d’autorisation préalable qui vise à recueillir le consentement de leurs représentants légaux.
La Commission considère que les modalités d’information préalable sont conformes aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.
S’agissant de l’enregistrement des conversations et de leur archivage durant l’année scolaire augmentée de 3 mois, la Commission note qu’un complément d’information a été adressé aux personnes concernées et rappelle que celui-ci doit être conforme aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993.
- Sur l’exercice du droit d’accès, de modification et de mise à jour
Le droit d’accès est exercé par les personnes concernées par voie postale auprès du DPO de la Mairie de Monaco.
La Commission rappelle que la réponse à ce droit d’accès doit s’exercer dans le mois suivant la réception de la demande.
V. Sur les destinataires et les personnes ayant accès au traitement
La Commission constate que le responsable de traitement ne communique aucune information à d’autres destinataires que les interlocuteurs concernés.
Par ailleurs, ont accès au traitement :
- Cinq personnels administratifs de l’Académie Rainier III à savoir la Directrice, la Directrice adjointe, la Responsable des Études, l’Attachée et l’Employé de Bureau. Ces personnes disposent de tous les droits : d’inscription, de modification, de consultation ;
- Quatre personnes du Service Informatique afin qu’elles puissent intervenir en tant que support. Ces personnes peuvent administrer les équipes sans avoir accès à ce qui se passent au sein d’elles, n’y ayant pas été intégrées.
Concernant la maintenance de l’outil, un contrat va être passé avec un prestataire externe qui assurera les tâches d’administrateur de support niveau 1 (centre de service). Ce dernier disposera de « tout accès dans le cadre de leurs missions de support et maintenance ».
Le responsable de traitement précise enfin qu’ont également accès au traitement, les utilisateurs qui se scindent en deux groupes :
- Le personnel enseignant : il ne peut uniquement accéder qu’aux informations qui concernent sa classe et ses élèves pour ce qui est des cours collectifs. S’agissant des cours individuels, les professeurs sont en mesure de créer des équipes qui correspondent à un élève associé à une matière ;
- Les élèves ne peuvent accéder qu’au cours qui leur est dispensé.
En ce qui concerne le prestataire externe, la Commission rappelle que, conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993 modifiée, les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de services.
De plus, ledit prestataire est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission considère que ces accès sont justifiés.
VI. Sur les rapprochements et les interconnexions avec d’autres traitements
Le responsable de traitement indique que le traitement est rapproché avec les traitements suivants :
- « Gestion des élèves de l’Académie Rainier III », légalement mis en œuvre ;
- « Gestion administrative de l’Académie Rainier III », légalement mis en œuvre, aux fins d’échanges entre les utilisateurs et plus généralement sur les tickets ;
À la lecture du dossier, il appert un rapprochement avec traitement ayant pour finalité : « Gestion des techniques automatisées d’information et de communication » légalement mis en œuvre.
Le responsable de traitement indique que ces rapprochements lui ont permis d’informer les représentants légaux des élèves traditionnels, ainsi que le personnel enseignant de la mise en place de l’enseignement à distance, cette information ayant été effectuée par publipostage de courriers.
La Commission considère que ces rapprochements sont conformes aux exigences légales.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.
Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Les données sont conservées trois mois au-delà de l’année scolaire en cours, à l’exception des informations temporelles qui sont conservées 12 mois.
La Commission considère que ces durées sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Rappelle que :
- le fondement légal sur lequel se base en partie le présent traitement, à savoir le consentement des personnes concernées, devra être réévalué à l’issue de l’année scolaire, période à laquelle il est indiqué que les travaux au sein de l’Académie Rainier III auront été effectués ;
- la réponse au droit d’accès doit s’exercer dans le mois suivant la réception de la demande ;
- conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993 modifiée, les prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par la Mairie de Monaco, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion de l’enseignement à distance dispensé aux élèves traditionnels de l’Académie Rainier III ».
Le Président de la Commission de Contrôle des Informations Nominatives.