Délibération n° 2023-80 du 17 mai 2023 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion de la plateforme pour le déploiement et l'exécution de modules applicatifs sous forme de conteneurs » exploité par la Direction des Plateformes et des Ressources Numériques (DPRN) présenté par le Ministre d'État.

Vu la Constitution ;

Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu l’Ordonnance Souveraine n° 7.997 du 12 mars 2020 portant création de la Direction des Plateformes et des Ressources Numériques ;

Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés d’informations nominatives ;

Vu la demande d’avis déposée par le Ministre d’État le 1^er février 2023 concernant la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion de la plateforme pour le déploiement et l’exécution de modules applicatifs sous forme de conteneurs » ;

Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 30 mars 2023, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 17 mai 2023 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

Le responsable de traitement souhaite mettre en œuvre une plateforme « permettant d’accélérer le développement et le déploiement des applications du Gouvernement Princier de Monaco et la création de nouveaux services innovants avec la stratégie « container first » pour accompagner les besoins croissants du programme de transition numérique de Monaco ».

La plateforme permet ainsi :

-  l’orchestration des conteneurs, automatisation et planification (provisionnement, déploiement, mise à l’échelle ;

-  hypervision ;

-  sécurité renforcée ;

-  routage facilité ;

-  standardisation (opérateurs, templates) ;

-  durabilité (résilience, sauvegarde, gestion d’incidents.

Il est précisé par le responsable de traitement que les informations personnelles « sont utilisées uniquement à des fins de création de compte personnel permettant d’accéder aux outils de gestion de la plateforme (…) ».

Ainsi, le traitement y relatif est soumis à l’avis de la Commission, conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.

I. Sur la finalité et les fonctionnalités du traitement

Le traitement a pour finalité « Gestion de la plateforme pour le déploiement et l’exécution de modules applicatifs sous forme de conteneurs ».

Le responsable de traitement précise qu’il concerne les personnels de l’Administration ainsi que les personnels des prestataires assurant la gestion de la plateforme.

Les fonctionnalités du traitement sont :

-  création des comptes utilisateurs (nom, prénom, email) ;

-  connexion des utilisateurs (email, mot de passe) ;

-  modification du compte utilisateur par un administrateur (rôles/droits + nom, prénom, email, mot de passe) ;

-  désactivation du compte utilisateur ;

-  visualisation de l’historique des actions.

Il est précisé qu’il existe 3 niveaux de rôles (super administrateur, administrateur, exploitant) qui « permettent de répartir avec une certaine granularité les droits de gestion de la plateforme ».

La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le présent traitement est justifié par un motif d’intérêt public, citant l’Ordonnance Souveraine n° 7.997 portée au visa de la présente délibération, qui dispose que la DPRN a notamment pour missions « de fédérer et mettre en œuvre des projets à forte composante technologique (cloud, données, internet des objets, jumeau numérique », « de porter la stratégie données et internet des objets du Gouvernement et leur mise en œuvre », « d’apporter une expertise technologique aux directions métiers sur leurs projets de plateformes et de données » et de « porter la refonte du réseau des systèmes d’information du Gouvernement ».

Enfin, la Commission relève que le présent traitement n’a pas vocation à encadrer les éventuelles données nominatives qui seraient présentes au sein des applications développées dans les conteneurs.

Elle considère donc que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.

III. Sur les informations traitées

Les informations nominatives traitées sont :

-  identité : nom, prénom de l’utilisateur de la plateforme ;

-  adresse et coordonnées : email, mot de passe de l’utilisateur de la plateforme ;

-  informations temporelles : logs d’authentification, données d’horodatage.

Les informations relatives à l’identité et aux adresses et coordonnées sont renseignées pour la création du compte via l’Active Directory dédié à la plateforme.

Enfin, les informations temporelles sont produites par le système.

La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.

IV.   Sur les droits des personnes concernées

• Sur l’information préalable des personnes concernées

L’information des personnes concernées est réalisée par le biais d’un mail envoyé à chaque utilisateur lors de la création d’un compte dans la plateforme.

La mention portée dans ledit mail est jointe au dossier, la Commission relève que celle-ci est conforme aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.

• Sur l’exercice du droit d’accès, de modification et de mise à jour

Le droit d’accès est exercé par voie postale ou par le biais d’un formulaire en ligne. La Commission relève qu’entre le formulaire de demande d’avis et la mention jointe en annexe, le service chargé du droit d’accès diffère, étant dans le premier la Direction des Plateformes et des Ressources Numériques et dans la seconde la Délégation Interministérielle chargée de la Transition Numérique - Protection des données.

S’agissant de l’exercice du droit d’accès par voie électronique, la Commission rappelle qu’une procédure doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agit effectivement de la personne concernée par les informations.

La Commission constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.

V. Sur les personnes ayant accès au traitement

Le responsable de traitement indique qu’ont accès au traitement :

-  personnels de l’Administration (DPRN) en charge de la Gestion de la Plateforme ;

-  personnels des prestataires en charge de la Gestion de la plateforme.

Ces catégories de personnes disposent de différents droits suivant leur profil :

-  super Administrateur : tous droits ;

-  administrateur : droits étendus ;

-  exploitant : droits restreints.

La Commission rappelle qu’en ce qui concerne les prestataires, leurs accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de service, conformément à l’article 17 de la loi n° 1.165. De plus, ils sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement.

Elle considère que ces accès sont justifiés.

VI.   Sur les interconnexions avec d’autres traitements

Le responsable de traitement indique que le présent traitement fait l’objet d’une interconnexion avec le traitement légalement mis en œuvre ayant pour finalité « Gestion et analyse des évènements du système d’information » afin de veiller à la traçabilité et à la sécurité des actions effectuées sur le réseau.

Enfin, il est rapproché avec les traitements légalement mis en œuvre suivants :

-  « Gestion de la messagerie professionnelle », afin de permettre aux acteurs du traitement de pouvoir échanger dans le cadre de leurs fonctions ;

-  « Assistance aux utilisateurs par le Centre de Service de la DSI » afin de permettre de remonter un incident sur un des sites ou sur le backoffice.

La Commission constate que cette interconnexion et ces rapprochements sont conformes aux finalités initiales des traitements susvisés.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.

Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

Enfin, la Commission rappelle que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Le responsable de traitement indique que les informations relatives à l’identité et aux adresses et coordonnées sont conservées 12 mois après le retrait de l’habilitation de l’utilisateur tandis que les informations temporelles sont conservées 12 mois glissants.

La Commission constate que cette durée de conservation est conforme aux exigences légales.

Après en avoir délibéré, la Commission :

Constate que le Service auprès duquel s’exerce le droit d’accès diffère entre le formulaire de saisine et l’annexe contenant la mention d’information.

Rappelle que :

-  une procédure relative au droit d’accès par voie électronique doit être mise en place afin que le responsable de traitement puisse s’assurer , en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agit effectivement de la personne concernée par les informations ;

-  les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

À la condition de la prise en compte des éléments qui précèdent,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État du traitement automatisé d’informations nominatives ayant pour finalité « Gestion de la plateforme pour le déploiement et l’exécution de modules applicatifs sous forme de conteneurs »

Le Président de la Commission de Contrôle des Informations Nominatives.