icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2022-55 du 20 avril 2022 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion d'une solution de sauvegarde et d'exploitation des collections et ouvrages du Musée d'Anthropologie Préhistorique de Monaco » exploité par le Musée d'Anthropologie Préhistorique de Monaco présenté par le Ministre d'État.

  • No. Journal 8589
  • Date of publication 06/05/2022
  • Quality 100%
  • Page no.

Vu la Constitution ;

Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 1.446 du 12 juin 2017 relative à la préservation du patrimoine national ;

Vu la loi n° 1.383 du 2 août 2011 pour une Principauté numérique, modifiée ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu l’Ordonnance Souveraine n° 6.830 du 8 mars 2018 portant nomination et titularisation du Directeur du Musée d’Anthropologie Préhistorique ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;

Vu la demande d’avis déposée par le Ministre d’État, le 13 janvier 2022, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Gestion d’une solution de sauvegarde et d’exploitation des collections et ouvrages du Musée d’Anthropologie Préhistorique de Monaco » ;

Vu la prorogation du délai d’examen de la présente demande d’avis, notifiée au responsable de traitement le 11 mars 2022, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 20 avril 2022 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

Le Musée d’Anthropologie Préhistorique, fondé par le Prince Albert Ier, assure la conservation et la valorisation des collections archéologiques de la Principauté. Il favorise également la recherche, les fouilles, les missions archéologiques et l’accueil d’étudiants-chercheurs.

Le responsable de traitement souhaite se doter d’une solution numérique lui permettant d’assurer la sécurité et la confidentialité de sa collection archéologique et de sa bibliothèque d’ouvrages, mais aussi leur gestion, conservation, sauvegarde et exploitation scientifique, tout en améliorant la productivité de ses équipes.

Ainsi, le traitement automatisé d’informations nominatives y afférent est soumis à l’avis de la Commission, conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.

I. Sur la finalité et les fonctionnalités du traitement

Ce traitement a pour finalité « Gestion d’une solution de sauvegarde et d’exploitation des collections et ouvrages du Musée d’Anthropologie Préhistorique de Monaco ».

Il concerne le personnel de l’Administration, les prestataires du Musée dotés d’un poste de travail, les intervenants extérieurs ayant accès à un poste du Gouvernement et le personnel habilité de l’éditeur de la solution.

Le responsable de traitement indique qu’« [U]n intervenant extérieur pourrait être un chercheur ou un lycéen. Un prestataire est sous contrat et pourrait être un intervenant qui resterait 3 mois sous contrat. Dans les deux cas, ils utilisent des PCs du Gouvernement. La différence n’est qu’au niveau du contrat. ».

Les fonctionnalités associées au présent traitement sont :

-  gestion des droits et rôles ;

-  gestion de l’inventaire des ouvrages et des collections ;

-  gestion des entrées et des prêts ;

-  suivi de l’état de conservation ;

-  gestion physique des œuvres ;

-  dossiers/Tâches : possibilité de créer des dossiers et de les assigner comme tâches attribuables aux utilisateurs ;

-  gestion de la documentation annexe ;

-  recherche multicritère.

La Commission considère que la finalité est « déterminée, explicite et légitime » conformément aux termes de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le traitement est justifié par la réalisation d’un intérêt légitime qui ne méconnaît ni l’intérêt, ni les droits et libertés fondamentaux de la personne concernée.

À cet égard, il précise que « la mise en place d’un outil permettant la sauvegarde et l’exploitation des données issues de ses collections archéologiques et archivistiques s’inscrit dans le respect de la loi n° 1.446 du 12 juin 2017 relative à la préservation du patrimoine national appelant aux inventaires et à la sauvegarde des données récoltées ».

Le responsable de traitement énonce, par ailleurs, que le Directeur du Musée d’Anthropologie Préhistorique intervient au sein du Conseil du Patrimoine, lequel a pour mission, d’office ou à la demande du Ministre d’État, « de formuler des propositions de nature à orienter ou à améliorer l’identification, la protection, la préservation, la promotion, la valorisation et la transmission aux générations futures du patrimoine national », d’autant que « le fait de connaître la nature et l’emplacement des collections permet de définir un plan d’urgence en cas de sinistre ».

Il s’inscrit également « dans le cadre de la transition numérique de la Principauté ».

La Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165, modifiée.

III. Sur les informations traitées

Les informations nominatives exploitées aux fins du présent traitement sont :

-  identité : nom et prénom de l’utilisateur ;

-  données d’identification électronique : login, mot de passe, adresse email et identifiant système de l’utilisateur ;

-  informations temporelles et horodatage : mise à jour et historique de la base, date, statut et titre, description de l’action exécutée ;

-  données relatives aux administrateurs et utilisateurs de la solution : login, log de connexion, adresse IP.

Les informations relatives à l’identité, aux login, mot de passe et adresse email ont pour origine la personne concernée.

Les adresses IP, l’identifiant système, les informations temporelles et les données relatives aux administrateurs et aux utilisateurs de la solution sont par ailleurs issues du système.

La Commission considère que les informations ainsi collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.

IV.   Sur les droits des personnes concernées

  • Sur l’information préalable des personnes concernées

L’information préalable des personnes concernées est réalisée par le biais d’un courrier adressé à l’intéressé lors de son enrôlement et d’une mention particulière intégrée dans un document d’ordre général accessible en ligne.

Ces éléments ayant été joints au dossier, la Commission relève que leur contenu est conforme aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.

  • Sur l’exercice du droit d’accès

Le droit d’accès s’exerce par courrier électronique auprès du Musée d’Anthropologie Préhistorique.

À cet égard, la Commission rappelle que la réponse à un droit d’accès doit intervenir dans le mois suivant la réception de la demande.

Enfin, s’agissant de l’exercice du droit d’accès par voie électronique, la Commission considère qu’une procédure devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.

Sous cette réserve, elle constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.

V. Sur les personnes ayant accès au traitement

Le responsable de traitement indique que les personnes ayant accès au traitement sont :

-  les administrateurs métier de solution du Musée d’Anthropologie Préhistorique : en lecture, création, modification, mise à jour et suppression ;

-  l’administrateur back-up de la solution (Direction des Services Numériques) : en lecture, création, modification, mise à jour, suppression dans le cadre de ses missions d’assistance au paramétrage et à la prise en main de la solution ;

-  les utilisateurs du Musée d’Anthropologie Préhistorique (rôle de membre ou de contributeur) : en lecture, création, modification et mise à jour (interface fonctionnelle et accès aux données de son profil) ;

-  le personnel de l’éditeur de la solution : en lecture, création, modification, mise à jour et suppression dans le cadre de ses missions de paramétrage, de maintenance et de support de la solution et conformément aux obligations de confidentialité contractuelles.

Le responsable de traitement précise par ailleurs que « la DSI [Direction des Systèmes d’Information] n’aura pas accès à l’application et aux données métier de la solution », étant précisé que « l’équipe DSI/Exploitation s’assure de la disponibilité des services applicatifs et de la mise à jour de l’infrastructure ».

Considérant les attributions de chacune de ces personnes et, eu égard à la finalité du traitement, les accès susvisés sont justifiés.

En ce qui concerne l’éditeur de la solution et les prestataires dotés d’un poste de travail du Gouvernement, la Commission rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de services. De plus, ces derniers sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.

VI.   Sur les interconnexions

Le responsable de traitement indique que le présent traitement fait l’objet d’un rapprochement avec le traitement « Gestion de la messagerie électronique professionnelle », légalement mis en œuvre.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.

Cependant, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement, au regard des risques présentés par ce traitement et de la nature des données à protéger, devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Les informations sont conservées tant que la personne (l’utilisateur) travaille ou est liée au Musée par un contrat de prestations nécessitant un accès à la solution, à l’exception des données relatives à l’administrateur de la solution qui sont effacées au bout de 12 mois glissants.

La Commission considère que ces délais sont conformes aux exigences légales.

Après en avoir délibéré, la Commission :

Rappelle que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switch, routeurs, pares-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

Considère qu’une procédure relative au droit d’accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations.

Sous le bénéfice de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion d’une solution de sauvegarde et d’exploitation des collections et ouvrages du Musée d’Anthropologie Préhistorique de Monaco ».

Le Président de la Commission de
Contrôle des Informations Nominatives.

 

Print article
Previous article Return to summary Next article

All rights reserved - Monaco 2016
Version 2018.11.07.14