Délibération n° 2023-102 du 19 juillet 2023 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre de la modification du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des accès par badges aux sites spécifiques de l'Administration » exploité par la Direction des Systèmes d'Information (DSI) présentée par le Ministre d'État.
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.545 du 20 avril 2023 portant approbation de la ratification de l'Accord entre le Grand-Duché de Luxembourg et la Principauté de Monaco concernant l'hébergement de données et de systèmes d'information ;
Vu l'Ordonnance Souveraine n° 7.996 du 12 mars 2020 portant création de la Direction des Systèmes d'Information ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'arrêté ministériel n° 2017-56 du 1er février 2017 portant application de l'Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l'Administration et l'administré, modifiée, et son annexe « Politique de Sécurité des Systèmes d'Information de l'État » ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la délibération n° 2021-48 du 17 mars 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des accès par badges aux sites spécifiques de l'Administration » ;
Vu la demande d'avis déposée par le Ministre d'État le 20 avril 2023 concernant la mise en œuvre de la modification d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion des accès par badges aux sites spécifiques de l'Administration » ;
Vu la prorogation du délai d'examen de ladite demande d'avis notifiée au responsable de traitement le 16 juin 2023, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 19 juillet 2023 portant examen du traitement automatisé susvisé.
La Commission de Contrôle des Informations Nominatives,
Préambule
Par délibération n° 2021-48 du 17 mars 2021, la Commission a émis un avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des accès par badges aux sites spécifiques de l'Administration », exploité par la Direction des Systèmes d'Information (DSI) et présenté par le Ministre d'État.
L'Administration Gouvernementale souhaite modifier ce traitement afin d'étendre son périmètre aux locaux de l'e-ambassade qui seront localisés au Luxembourg et d'ajouter des nouvelles données collectées et de nouveaux rapprochements.
La finalité, la licéité et la justification du traitement, les droits des personnes concernées et les destinataires sont inchangés.
Le traitement automatisé d'informations nominatives objet de la présente délibération est soumis à l'avis de la Commission conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993\.
I. Sur les nouvelles personnes concernées par le traitement
Le responsable de traitement indique que les collaborateurs de la société en charge de la sécurité des locaux de l'e-ambassade pour la délivrance et la restitution des badges sont désormais également concernés par le traitement dont s'agit.
Il précise que cette société pourra « remettre un badge à une personne autorisée/habilitée par le gouvernement à avoir accès à la zone e-ambassade, afin qu'elle puisse exécuter une action sur une période déterminée. ».
À cet égard, la Commission prend acte que l'e-ambassade est un « data center dans lequel seront installés des équipements de la Principauté de Monaco » et que « Personne ne travaillera de manière permanente dans ces locaux ».
Elle note en outre qu'« un accord bilatéral a été signé entre la Principauté Monaco et le Grand-Duché de Luxembourg le 15 juillet 2021, avant d'être voté par l'Assemblée Nationale Luxembourgeoise le 28 novembre 2022. ».
Elle constate que la loi n° 1.545 du 20 avril 2023 portant approbation de la ratification dudit Accord a été adoptée par le Conseil National le 13 avril 2023.
II. Sur les nouvelles informations traitées
Le responsable de traitement indique que pour l'e-ambassade, à savoir pour les personnes qui se présentent dans les locaux du data center, « les mêmes informations seront traitées. À l'accueil, des badges prénumérotés seront disponibles pour les agents de la société de sécurité (…) prêts à être attribués aux visiteurs selon les procédures établies avec le Gouvernement. ».
Il précise toutefois que pour toutes les personnes auxquelles un badge est délivré dans le cadre du présent traitement, l'email et le téléphone sont désormais collectés.
Ces informations ont pour origine la personne concernée ou son supérieur hiérarchique et sont conservées tant que la personne est habilitée à avoir accès à la zone + 12 mois après la restitution du badge.
Par ailleurs, le responsable du traitement indique que les informations relatives à l'identité et aux habilitations ont désormais pour origine le responsable de service et le gestionnaire des badges de l'e-ambassade et que le suivi administratif a pour origine le Gestionnaire des accès (DSI, société de sécurité pour l'e-ambassade) et la personne concernée.
La Commission considère ainsi que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
III. Sur les nouveaux rapprochements
Le responsable de traitement indique que le traitement dont s'agit fait désormais l'objet de deux nouveaux rapprochements avec les traitements ayant respectivement pur finalité « Vidéosurveillance des locaux spécifiques de l'Administration » légalement mis en œuvre, et « Vidéoprotection de l'e-ambassade ».
Ce dernier traitement n'ayant fait l'objet d'aucune formalité auprès d'elle, la Commission demande que celui-ci lui soit soumis dans les plus brefs délais.
IV. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation particulière.
La Commission rappelle néanmoins que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Elle rappelle que la copie ou l'extraction d'informations issues de ce traitement devra être chiffrée sur son support de réception, conformément à la délibération n° 2010-13 du 3 mai 2010.
La Commission rappelle également que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
Après en avoir délibéré, la Commission :
Rappelle que la copie ou l'extraction d'informations issues de ce traitement devra être chiffrée sur son support de réception.
Demande que le traitement ayant pour finalité « Vidéoprotection de l'e-ambassade » lui soit soumis dans les plus brefs délais.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par le Ministre d'État de la modification du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des accès par badges aux sites spécifiques de l'Administration ».
Le Président de la Commission de Contrôle des Informations Nominatives.