Délibération n° 2023-56 du 19 avril 2023 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Permettre l'exécution des dépenses et des recettes budgétaires de l'État et des entités concernées », exploité par le service du Contrôle Général des Dépenses et la Trésorerie Générale des Finances, présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.383 du 2 août 2011 pour une Principauté numérique, modifiée ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’Ordonnance Souveraine n° 1.972 du 24 mars 1959 instituant un service de Contrôle Général des Dépenses ;
Vu l’Ordonnance Souveraine n° 7.848 du 24 décembre 2019 portant création de la Trésorerie Générale des Finances ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la délibération n° 2021-171 du 21 juillet 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé ayant pour finalité « Gestion des accès dédiés au Système d’Information » de la Direction des Systèmes d’Information, présenté par le Ministre d’État ;
Vu la délibération n° 2018-210 du 19 décembre 2018 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Attribution, calcul et suivi des allocations pour charges de famille » du Service des Prestations Médicales de l’État, présenté par le Ministre d’État ;
Vu la délibération n° 2011-107 du 28 novembre 2011 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des fiches de bénéficiaires » du Contrôle Général des Dépenses, présenté par le Ministre d’État ;
Vu la demande d’avis déposée, par le Ministre d’État, le 3 janvier 2023, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Permettre l’exécution des dépenses et des recettes budgétaires de l’État et des entités concernées » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 3 mars 2023, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 19 avril 2023 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Le Gouvernement entend moderniser l’action de l’État et a pour objectifs dans le cadre du projet « Système d’Information Budgétaire et Comptable » la :
« - mise en place d’une comptabilité générale ;
- mise en place d’une comptabilité analytique ;
- modernisation de la gestion et du pilotage des Finances Publiques afin de mieux appréhender le coût des politiques publiques ;
- mise en place d’un système d’information Budgétaire et Comptable commun permettant d’harmoniser les pratiques internes en termes de préparation budgétaire et d’exécution de la dépense. ».
La première phase du projet concernant la mise en place d’un outil de préparation budgétaire, a déjà fait l’objet d’une formalité légale ayant reçu un avis favorable par délibération n° 2022-43 du 16 mars 2022.
La seconde phase du projet « concerne la mise en place d’un outil d’exécution de la dépense », dont le traitement y afférent est soumis à l’avis de la Commission, conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Permettre l’exécution des dépenses et des recettes budgétaires de l’État et des entités concernées ».
Il concerne les utilisateurs de la solution, à savoir les personnels de l’État et entités, les bénéficiaires individuels ainsi que les tiers fournisseurs.
Les fonctionnalités du traitement sont :
- la gestion de l’exécution de la dépense et des recettes budgétaires ;
- la tenue de la comptabilité générale et analytique ;
- la gestion de la trésorerie ;
- la gestion des immobilisations comptables ;
- la gestion des opérations d’équipement et d’investissements (annuelles et pluriannuelles) ;
- la gestion comptable des marchés ;
- la gestion des référentiels ;
- le suivi comptable des charges du personnel et l’intégration des écritures de la paie ;
- le suivi comptable des charges de sécurité sociale et l’intégration des écritures correspondantes ;
- la dématérialisation des documents à l’intérieur du process d’exécution de la dépense (GED).
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par un motif d’intérêt public.
La Commission relève que ce dernier permet en effet d’engager les dépenses de l’État dans le respect des missions définies par les ordonnances souveraines n° 1.972 du 24 mars 1959 instituant un service du Contrôle Général des Dépenses (CGD) et n° 7.848 du 24 décembre 2019 portant création de la Trésorerie Générale des Finances (TGF).
Le responsable de traitement présente l’outil dont s’agit comme un « workflow » émanant initialement des engagements de dépense des services « métiers » soumis au contrôle du CGD ordonnateur avant consommation de l’engagement par la TGF.
La Commission constate à cet effet que la TGF est chargée, en application de l’article 2 de l’Ordonnance Souveraine n° 7.848 de créer et gérer les comptes bancaires de l’État.
En outre, la Commission constate que le CGD est chargé, en application de l’article 2 de l’Ordonnance Souveraine n° 1.972, de contrôler l’engagement, l’ordonnancement et le paiement des dépenses publiques. Si le CGD apparait dans les schémas de « workflow » dans son rôle de vérification de conformité du certificat de paiement, cette dimension ne ressort pas spécifiquement des fonctionnalités, et ses modalités de mises en œuvre ne sont ainsi pas explicitées. La Commission estime donc à la lecture du dossier que le CGD procède uniquement à une vérification de cohérence comptable des engagements. Elle demande s’il en était autrement, (par exemple si des vérifications étaient effectuées sur la base de pièces issues de traitements « métiers » dont font partie notamment les prestations médicales pour lesquelles l’accès du CGD est limité comme indiqué dans la délibération n° 2018-210), de lui revenir pour avis modificatif sur ce processus. Elle s’interroge enfin sur l’articulation entre le présent traitement, le rôle qui est attribué au CGD et le traitement ayant pour finalité « Gestion des fiches de bénéficiaires » objet de la délibération n° 2011-107, susvisée.
La Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Le responsable de traitement exploite les informations dites « sensibles » protégées par l’article 12 de la loi n° 1.165 suivantes :
- mesures à caractère social : type d’allocation versée, montant.
La Commission constate que cette collecte est justifiée par un motif d’intérêt public puisqu’elle permet au CGD et à la TGF de verser les allocations définies par les politiques publiques.
En outre, sont traitées les informations nominatives suivantes :
- identité : données des utilisateurs de l’outil : nom, prénom ;
- données d’identification électronique : données des utilisateurs : adresse email, login, mot de passe ;
- informations temporelles : logs des utilisateurs ;
- bénéficiaires individuels (salaires, aides, allocations, etc.) : nom, prénom, RIB, montant ;
- tiers fournisseurs (marchés, etc.) : nom, prénom, RIB, adresse email, téléphone, adresse postale, montant ;
- rôle des utilisateurs : rôle des utilisateurs (correspondant à leur fonction dans l’Administration) ;
- données cookies : identifiant de session utilisateur.
À l’étude du dossier, la Commission relève que sont également traitées les informations contenues dans les factures, les avoirs, les certificats de paiement et les ordres de paiement.
À cet égard, la Commission rappelle que le traitement ayant pour objectif la gestion des dépenses et des recettes de l’État, seules peuvent être traitées les informations nominatives pertinentes au regard de la finalité poursuivie.
Elle relève par ailleurs que des pièces jointes peuvent être déposées par l’utilisateur dans l’outil à chaque objet qui sont envoyées directement dans une GED. La Commission constate qu’en pratique un nombre trop important de pièces jointes est demandé notamment pour la création de la fiche du tiers bénéficiaire. Dans le cadre d’un complément d’information demandé au responsable de traitement celui-ci indique que « la formulation de la demande va être ajustée ». La Commission rappelle à cet égard que les utilisateurs doivent être sensibilisés au sujet de la proportionnalité des pièces jointes demandées en se rapportant à l’objet des paiements concernés et s’inquiète, en l’absence de précisions, d’une éventuelle duplication d’informations « métiers » aux seules fins de justification des dépenses pour le CGD (cf. point II sur la licéité du traitement).
Les informations relatives aux mesures à caractère social proviennent des traitements suivants, légalement mis en œuvre :
- « Attribution, calcul et suivi des allocations pour charges de famille » ;
- « Gestion des rentes liées aux accidents de travail et maladies professionnelles » ;
- « Gestion des dossiers des retraités relevant de la Fonction Publique et de statuts particuliers » ;
- « Gestion du paiement des prestations et des aides sociales » ;
- « Gestion des assistants familiaux et des tiers dignes de confiance » ;
- « Décomptes, gestion et remboursement des prestations médicales en nature ».
Les données d’identité, les données d’identification électronique ainsi que celles relatives au rôle des utilisateurs sont renseignées par l’Administrateur de la solution.
Les données concernant les bénéficiaires individuels et les tiers fournisseurs ont pour origine les services concernés.
Les données cookies et les logs des utilisateurs ont pour origine le système.
En ce qui concerne le dépôt de cookies, la Commission constate qu’il s’agit uniquement de cookies techniques.
Le responsable de traitement indique qu’une traçabilité est mise en place dans le présent traitement (log, accès, horodatage ainsi que les consultations, créations, modifications, suppressions de données DB). La Commission en prend acte.
Sous les réserves évoquées au présent point, la Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité poursuivie par le traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
- Sur l’information préalable des personnes concernées
L’information préalable des utilisateurs de l’outil est réalisée par le biais d’une mention communiquée par email à chaque utilisateur concerné au moment de la création du compte.
Celle-ci étant jointe au dossier, la Commission considère que l’information des utilisateurs de l’outil est conforme aux dispositions de l’article 14 de la loi n° 1.165, modifiée.
La Commission constate toutefois que le responsable de traitement ne précise pas comment est réalisée l’information préalable des tiers fournisseurs ainsi que celle des bénéficiaires individuels.
À cet égard, la Commission demande que l’information des tiers fournisseurs et des bénéficiaires individuels soit préalable et conforme aux dispositions de l’article 14 de la loi n° 1.165, modifiée.
- Sur l’exercice du droit d’accès, de modification et de mise à jour
Le droit d’accès est exercé par les personnes concernées par courrier électronique auprès du Service de l’Administration auprès duquel l’utilisateur est rattaché.
S’agissant de l’exercice du droit d’accès par voie électronique, la Commission rappelle qu’une procédure doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agit effectivement de la personne concernée par les informations.
La Commission constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
La Commission prend acte que le responsable de traitement ne communique aucune information à des destinataires.
Par ailleurs, ont accès au traitement :
- les utilisateurs de la Direction / entité concernée : en lecture et/ou écriture et/ou exécution, selon le rôle affecté ;
- les utilisateurs du Contrôle Général des Dépenses : lecture et/ou écriture et/ou exécution, selon le rôle affecté ;
- l’Auditeur du Contrôle Général des Dépenses : lecture seule ;
- les utilisateurs de la Trésorerie Générale des Finances : lecture et/ou écriture et/ou exécution, selon le rôle affecté ;
- les utilisateurs de la Direction du Budget et du Trésor : lecture et/ou écriture et/ou exécution, selon le rôle affecté ;
- les utilisateurs des Établissements Publics et CHPG : lecture et/ou écriture et/ou exécution, selon le rôle affecté ;
- la Direction des Systèmes d’Information : lecture et/ou écriture et/ou exécution dans le cadre de l’administration fonctionnelle de la solution.
Il appert du dossier que certains administrateurs de la DSI ne sont pas soumis aux règles d’accès décrites dans la délibération n° 2021-171, susvisée. La Commission demande donc que la traçabilité et l’imputabilité induites par le traitement relatif aux accès dédiés s’applique indistinctement à l’ensemble des administrateurs de la DSI.
Par ailleurs, la Commission constate qu’il est fait recours à des prestataires. Elle rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993 les droits d’accès de ces derniers doivent être limités à ce qui est strictement nécessaire à l’exécution de leurs contrats de prestation de service. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
Sous la réserve évoquée au présent point, la Commission considère que ces accès sont justifiés.
VI. Sur les rapprochements et les interconnexions avec d’autres traitements
Le responsable de traitement indique que le traitement est interconnecté ou rapproché avec les traitements légalement mis en œuvre suivants :
- « Gestion des habilitations et des accès au Système d’Information », à des fins de sécurité ;
- « Gestion de la messagerie professionnelle », pour permettre l’échange d’emails ;
- « Assistance aux utilisateurs par le Centre de Service de la DSI », pour le suivi des demandes en lien avec le traitement, dont le processus de création suppression des comptes utilisateurs ;
- « Gestion locative » ;
- « Gestion des prêts » ;
- « Attribution, calcul et suivi des allocations pour charges de famille » ;
- « Gestion des rentes liées aux accidents de travail et maladies professionnelles » ;
- « Établir la paie des fonctionnaires et agents de l’État » ;
- « Gestion des dossiers des retraités relevant de la Fonction Publique et de statuts particuliers » ;
- « Aide nationale logement pour les Monégasques » ;
- « Gestion du paiement des prestations et des aides sociales » ;
- « Gestion des assistants familiaux et des tiers de confiance » ;
- « Décomptes, gestion et remboursement des prestations médicales en nature » ;
- « Gestion des accès à distance au Système d’Information du Gouvernement », permettant aux utilisateurs qui le souhaitent d’avoir un accès distant sécurisé à l’application.
Le responsable de traitement indique que le présent traitement est alimenté par des informations contenues dans des fichiers XLS qui sont gérés par les services « métiers ». La Commission relève que ces fichiers contiennent les informations suivantes : nom, prénom, RIB du bénéficiaire ainsi que le montant à régler. La Commission rappelle que tout traitement d’informations nominatives doit faire l’objet de formalités auprès d’elle afin d’être légalement mis en œuvre. Ainsi, si des fichiers « métiers » n’ont pas été soumis à formalité la Commission demande à ce que ces derniers soient régularisés.
Le responsable de traitement précise par ailleurs que le présent traitement n’est pas rapproché ou interconnecté avec les données de la base RH. La Commission en prend acte.
La Commission estime enfin que le présent traitement peut être rapproché ou interconnecté avec tout traitement ayant une incidence budgétaire.
Sous la réserve évoquée au présent point, la Commission considère que ces rapprochements et interconnexions sont conformes aux exigences légales.
VII. Sur la sécurité du traitement et des informations
Nonobstant, les remarques formulées au point V de la présente délibération relatives aux accès des administrateurs de la DSI, les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.
Par ailleurs, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Les informations relatives à l’identité, aux données d’identification électronique et aux rôles des utilisateurs sont conservées pendant le temps d’activité du compte utilisateur et sont anonymisées 3 mois à compter de leur départ.
Les informations temporelles sont conservées 12 mois, tandis que les cookies techniques s’effacent à la fin de chaque session.
Les données relatives aux mesures à caractère social, celles concernant les bénéficiaires individuels et celles se rapportant aux tiers fournisseurs sont conservées pendant 5 exercices comptables. Ces données sont ensuite pré-archivées pendant 5 exercices comptables avant d’être archivées définitivement.
En outre, le responsable de traitement précise, dans le cadre de la demande de complément d’information, que la durée de conservation des données placées dans la GED est de 10 ans actuellement et qu’il attend « les conclusions de la MPAN pour appliquer les durées de conservation qui seront arrêtés ».
La Commission constate donc que l’ensemble des informations objet de la présente demande d’avis sont conservées a minima 10 ans.
Elle rappelle toutefois que conformément à l’article 10-1 de la loi n° 1.165, modifiée, les données ne doivent être conservées que pendant une durée n’excédant pas celle nécessaire à la réalisation de la finalité pour laquelle elles sont collectées.
La Commission estime donc que les durées de conservation des données, relatives aux mesures à caractère social, celles concernant les bénéficiaires individuels et celles se rapportant aux tiers fournisseurs, ainsi que des pièces jointes placées dans la GED, prévues par le responsable de traitement sont excessives.
À cet égard, elle avait demandé dans sa délibération n° 2011‑107 relative au traitement ayant pour finalité « Gestion des fiches de bénéficiaires », qui concerne des catégories de personnes concernées identiques au présent traitement et pour une mission proche, si ce n’est identique, à ce qu’effectue le CGD au sein du présent traitement, « que les informations nominatives des personnes physiques soient supprimées en tenant compte des délais de prescription des recours potentiels des bénéficiaires ou de l’État à leur encontre ». La Commission considère cette analyse comme étant toujours d’actualité.
Aussi, compte tenu des délais de prescription désormais applicables en Principauté, la Commission fixe la durée de conservation de ces données à 5 exercices comptables et/ou 5 ans à compter du dépôt dans la GED.
Après en avoir délibéré, la Commission :
Demande que :
- le responsable de traitement dépose une demande d’avis modificative au présent traitement dans l’hypothèse où le rôle du CGD ne se limite pas à la vérification de la cohérence comptable des engagements ;
- le responsable de traitement lui revienne afin d’expliquer l’interaction entre les missions du CGD définies au sein du présent traitement et celle faisant l’objet de la délibération ayant pour finalité « Gestion des fiches de bénéficiaires » ;
- l’information des tiers fournisseurs et des bénéficiaires individuels soit préalable et conforme aux dispositions de l’article 14 de la loi n° 1.165, modifiée ;
- la traçabilité et l’imputabilité induites par le traitement relatif aux accès dédiés s’applique indistinctement à l’ensemble des administrateurs de la DSI conformément à la procédure décrite dans la délibération n° 2021-171.
Rappelle que :
- seules peuvent être traitées les informations nominatives pertinentes au regard de la finalité poursuivie, et qu’elles doivent être conservées, conformément à l’article 10-1 de la loi n° 1.165, pendant une durée n’excédant pas celle nécessaire à la réalisation de la finalité pour laquelle elles ont été collectées ;
- les utilisateurs doivent être sensibilisés concernant la proportionnalité des pièces jointes demandées en se rapportant à l’objet des paiements concernés ;
- une procédure relative au droit d’accès par voie électronique doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agit effectivement de la personne concernée par les informations ;
- les traitements « métiers » mentionnés dans la présente demande et n’ayant pas été légalement mis en œuvre doivent faire l’objet, s’ils contiennent des informations nominatives, de formalités légales auprès d’elle ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Fixe la durée de conservation de ces données à 5 exercices comptables et/ou 5 ans à compter du dépôt dans la GED.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, du traitement automatisé d’informations nominatives ayant pour finalité « Permettre l’exécution des dépenses et des recettes budgétaires de l’État et des entités concernées ».
Le Président de la Commission de
Contrôle des Informations Nominatives.