icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2024-5 du 17 janvier 2024 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre de la modification du traitement automatisé d'informations nominatives ayant pour finalité « Vidéoprotection des locaux spécifiques de l'Administration » exploitée par la Direction des Systèmes d'Information (DSI) et présentée par le Ministre d'État.

  • No. Journal 8680
  • Date of publication 02/02/2024
  • Quality 100%
  • Page no.

Vu la Constitution ;

Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu l’Ordonnance Souveraine n° 7.996 du 12 mars 2020 portant création de la Direction des Systèmes d’Information ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu l’arrêté ministériel n° 2022-331 du 13 juin 2022 portant application de l’article 23 de la loi n° 1.435 du 8 novembre 2016 relative à la lutte contre la criminalité technologique, fixant les mesures de sécurité des systèmes d’information de l’État, et son annexe « Règles de sécurité applicables aux systèmes d’information des services exécutifs de l’État » ;

Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;

Vu la délibération n° 2021-157 du 21 juillet 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Vidéoprotection des locaux spécifiques de l’Administration » ;

Vu la demande d’avis déposée par le Ministre d’État le 23 novembre 2023 concernant la mise en œuvre de la modification d’un traitement automatisé d’informations nominatives ayant pour finalité « Vidéoprotection des locaux spécifiques de l’Administration » ;

La Commission de Contrôle des Informations Nominatives,

Préambule

Par délibération n° 2021-157 du 21 juillet 2021, la Commission a émis un avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Vidéoprotection des locaux spécifiques de l’Administration », exploité par la Direction des Systèmes d’Information (DSI) et présenté par le Ministre d’État.

L’Administration Gouvernementale souhaite modifier ce traitement afin d’étendre le périmètre de ce traitement à d’autres locaux.

La finalité, les fonctionnalités, les informations nominatives traitées, les destinataires, la sécurité et les durées de conservation sont inchangés.

Le traitement automatisé d’informations nominatives objet de la présente délibération est donc soumis à l’avis de la Commission conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.

I.  Sur la licéité et la justification du traitement

Le responsable de traitement indique que le présent traitement est toujours justifié par le respect d’une obligation légale à laquelle il est soumis, ainsi que par la réalisation d’un intérêt légitime, sans que ne soient méconnus les droits et libertés fondamentaux des personnes concernées.

Il précise toutefois que l’obligation réglementaire du responsable du traitement, à savoir gérer la sécurité de l’accès aux locaux des Services de l’Administration Gouvernementale afin de protéger les accès aux systèmes d’information de l’État, repose désormais sur la Politique de Sécurité des Systèmes d’Information de l’État (PSSIE), annexée à l’arrêté ministériel n° 2022-331 du 13 juin 2022.

La Commission constate ainsi que les obligations décrites dans cette PSSIE, sont déclinées par objectif :

-    « Axe 3.5 : Sécurité physique des locaux abritant les systèmes d’information : Prendre en compte la sécurisation physique des systèmes d’information dans la sécurisation physique des locaux et dans les processus associés.

-    Axe 3.6 : Sécurité physique des centres informatiques : Dimensionner les protections physiques des centres informatiques en fonction des enjeux liés à la concentration des moyens et données abrités, et, traiter de manière globale la sécurité des systèmes d’information et de communication qui assurent la sûreté d’un site.

-    Axe 4.7 : Sécurité du système d’information en sûreté : Traiter de manière globale la sécurité des systèmes d’information et de communication qui assurent la sûreté d’un site ».

Le responsable de traitement indique en outre que l’intérêt légitime poursuivi est la « protection des personnes, des biens et des ressources informatiques dont il a la charge ».

La Commission prend acte que l’objectif de ce dispositif n’est pas de surveiller le travail ou le temps de travail des salariés puisque « Le traitement est destiné à protéger des accès/ des portes qui ne sont pas censés être utilisés au quotidien (hors accueil), comme les portes de sortie de secours, les accès monte-charge ».

Enfin, elle relève que les caméras ne sont pas mobiles et que les fonctionnalités zoom et micro ne sont pas activées.

La Commission rappelle toutefois que, conformément à sa délibération n° 2021-157 du 21 juillet 2021, les caméras ne doivent filmer que les espaces exploités par le responsable de traitement.

Sous cette condition, elle considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.

II. Sur les droits des personnes

  •   Sur l’information préalable des personnes concernées

L’information préalable des personnes concernées est effectuée par le biais d’un affichage.

À l’analyse de ce document, la Commission considère que les modalités d’information préalable des personnes sont conformes aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993.

Elle rappelle par ailleurs que cet affichage doit garantir une information visible, lisible et claire de la personne concernée et être apposé à chaque entrée de l’établissement.

Sous cette condition, la Commission considère que les modalités d’information préalable des personnes sont conformes aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993.

  •   Sur l’exercice du droit d’accès, de modification et de mise à jour

Le responsable de traitement indique que la demande de droit d’accès s’exerce par voie postale auprès de la Délégation Interministérielle chargée de la Transition Numérique (DITN).

Il précise toutefois que la réponse à ce droit d’accès s’effectue sur place.

La Commission constate ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.

III.  Sur les personnes ayant accès au traitement

Les personnes habilitées à avoir accès au traitement sont :

-    le personnel de l’accueil d’un des sites : consultation au fil de l’eau et en différé du flux vidéo d’une caméra de son site ;

-    le personnel habilité de la DSI : tous droits dans le cadre de ses opérations de maintenance ;

-    la direction via une demande auprès du personnel habilité de la DSI : consultation au fil de l’eau et en différé, extraction ;

-    le prestataire : tous droits, à l’exception de l’extraction, dans le cadre de la maintenance.

-    chaque gestionnaire des accès : accès en tant qu’administrateur de la plateforme, chacun sur le périmètre du bâtiment qui lui est affecté (aucun accès aux données).

Considérant les attributions de chacune de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.

La Commission constate par ailleurs qu’aucun accès distant (tablettes, smartphones, etc.) n’est utilisé sur le réseau de vidéosurveillance.

En ce qui concerne le prestataire, elle rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service. De plus, ledit prestataire est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.

IV.  Sur les interconnexions et rapprochements

Le responsable de traitement indique que le présent traitement fait l’objet de quatre interconnexions avec les traitements ayant respectivement pour finalité :

-    « Gestion de la messagerie électronique professionnelle » ;

-    « Gestion des accès dédiés au Système d’information du Gouvernement » ;

-    « Gestion et analyse des évènements du système d’information » ;

-    « Gestion des accès par badges aux sites spécifiques de l’Administration ».

Il précise en outre que le traitement fait désormais également l’objet de deux rapprochements avec les traitements ayant respectivement pour finalité :

-    « Assistance aux utilisateurs par le Centre de Service de la DSI » ;

-    « Gestion d’un outil de partage et de conservation sécurisés de documents ».

La Commission prend acte que ces traitements ont été légalement mis en œuvre et considère que ceux‑ci sont conformes aux exigences légales.

Après en avoir délibéré, la Commission :

Constate qu’aucun accès distant (tablettes, smartphones, etc.) n’est utilisé sur le réseau de vidéosurveillance.

Rappelle que :

-    les caméras ne doivent filmer que les espaces exploités par le responsable de traitement ;

-    l’affichage doit garantir une information visible, lisible et claire de la personne concernée et être apposé à chaque entrée de l’établissement.

Sous le bénéfice de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, de la modification du traitement automatisé d’informations nominatives ayant pour finalité « Vidéoprotection des locaux spécifiques de l’Administration ».

Le Président de la Commission de
Contrôle des Informations
Nominatives.

Print article
Previous article Return to summary Next article

All rights reserved - Monaco 2016
Version 2018.11.07.14