Délibération n° 2024‑107 du 15 mai 2024 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion du télétravail au Conseil National » présenté par la Présidence du Conseil National.
Vu la Constitution ;
Vu la Convention de sauvegarde des Droits de l’Homme et des Libertés fondamentales du Conseil de l’Europe du 4 novembre 1950, et notamment son article 10 ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 771 du 25 juillet 1964 sur l’organisation et le fonctionnement du Conseil National, modifiée ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la délibération n° 2011‑82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la demande d’avis déposée par la Présidence du Conseil National le 31 janvier 2024 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Gestion du télétravail au Conseil National » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 28 mars 2024, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 15 mai 2024 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Le Conseil National est une Institution publique consacrée par la Constitution, ainsi que par la loi n° 771 du 25 juillet 1964, modifiée, susvisée.
Ses Services relèvent de l’autorité hiérarchique de la Présidence du Conseil National, dont le fonctionnement est défini par un Règlement Intérieur soumis au contrôle du Tribunal Suprême.
Ainsi, le Conseil National revêt le statut d’autorité publique au sens de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives.
Le Conseil National souhaite mettre en place le télétravail permettant aux permanents du Conseil National, ainsi qu’aux stagiaires et aux suppléants de pouvoir télétravailler.
Ledit traitement, objet de la présente délibération, est donc soumis à l’avis de la Commission conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « Gestion du télétravail au Conseil National ».
Les personnes concernées sont l’ensemble des permanents du Conseil National composé des fonctionnaires et agents de l’État, ainsi que les stagiaires et les suppléants.
Enfin, les fonctionnalités de ce traitement sont les suivantes :
- fourniture du matériel informatique fourni par le service informatique du Conseil National ;
- identifier, authentifier et accéder au compte/profil ;
- permettre l’accès au système informatique via un VPN du Conseil National ;
- permettre un accès distant à la messagerie professionnelle ;
- récolte de l’historique des données ;
- récolte de données anonymisées à des fins statistiques.
La Commission prend acte que la récolte de l’historique des données permet au responsable de traitement de « mettre en évidence d’éventuelles tentatives malveillantes : position géographique de la connexion ; d’éloignement trop important de Monaco ou du territoire des Alpes-Maritimes, ou des heures trop décalées avec les heures légales du travail ».
À cet égard, le responsable de traitement indique « qu’il n’y a aucun blocage horaire a priori, l’information saisie permet une investigation uniquement a posteriori. ».
Au vu de ce qui précède, la Commission considère ainsi que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par la réalisation d’un intérêt légitime qu’il poursuit sans que ne soient méconnus ni l’intérêt, ni les libertés et droits fondamentaux de la personne concernée.
En outre, il précise que le présent traitement est également justifié par le consentement des personnes concernées.
Ainsi, il souligne que le télétravail « est mis en place à la demande du Secrétariat Général. Il peut aussi être mis en place à la demande écrite d’un collaborateur fait à son responsable ».
À cet égard, il ajoute que « le fonctionnaire ou l’agent de l’État peut à tout moment demander par écrit la fin de ce régime de travail particulier. La loi limite le temps de télétravail aux deux tiers du temps légal de travail ».
Enfin, le responsable de traitement indique ce traitement « permet aux permanents du Conseil National, ainsi qu’aux stagiaires et aux suppléants de pouvoir télétravailler conformément au statut des fonctionnaires de l’État et des dispositions statutaires relatives aux agents de l’État ».
Au vu de ce qui précède, la Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10‑1 et 10‑2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Les informations traitées sont les suivantes :
- identité : nom, prénom, service ;
- données d’identification électronique : login ;
- données d’identification électronique : mot de passe ;
- type d’accès : profil (prestataire/usager), type de service (full accès), zone d’entrée (interne/externe), plage horaire, durée de validité.
Les informations relatives à l’identité sont issues du fichier des Ressources humaines.
Les données d’identification électronique collectées proviennent soit du système informatique soit du compte de l’utilisateur.
Enfin, les types d’accès ont uniquement pour origine le système.
La Commission considère ainsi que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
> Sur l’information préalable des personnes concernées
Le responsable de traitement indique que l’information préalable des personnes concernées est effectuée par le biais de la « Charte informatique du Conseil National ».
À l’étude de la charte informatique jointe au dossier, la Commission considère que l’information préalable des personnes concernées est conforme aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993.
> Sur l’exercice du droit d’accès
Le responsable de traitement indique que le droit d’accès s’exerce par courrier électronique auprès du Secrétaire Général du Conseil National.
Il précise que la réponse à ce droit d’accès intervient dans le mois suivant la réception de la demande.
S’agissant de l’exercice du droit d’accès par voie électronique, la Commission constate qu’une procédure a été mise en place afin que le responsable de traitement puisse s’assurer en cas de doute que l’expéditeur du courriel est effectivement la personne concernée par les informations.
Elle prend acte par ailleurs que la transmission et le traitement de la copie de la pièce d’identité se font conformément à sa délibération n° 2015‑116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.
La Commission considère donc que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.
V. Sur les destinataires et les personnes ayant accès au traitement
> Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
- les personnes chargées de la gestion du personnel : le Secrétaire Général du Conseil National, la Secrétaire Générale Adjointe et la responsable des ressources humaines ;
- les informaticiens : le DSI et son adjoint, le RSSI et le responsable de la maintenance informatique : tous droits dans l’exploitation et la sécurité du SI du Conseil National ;
- les prestataires informatiques : tous droits dans le cadre de leurs opérations de maintenance (sous le contrôle d’un membre de l’équipe informatique de l’Institution).
Considérant les attributions de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.
En ce qui concerne les prestataires, la Commission rappelle toutefois que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de service. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
VI. Sur les rapprochements et les interconnexions
Le responsable de traitement indique que le traitement fait l’objet de trois rapprochements avec les traitements suivants ayant respectivement pour finalité la « Gestion des habilitations au Système Informatique du Conseil National », la « Gestion administrative des Fonctionnaires et Agents de l’État et assimilés du Conseil National » et la « Gestion dynamique des horaires, des congés, des présences et des absences au Conseil National ».
La Commission constate que ces traitements ont été légalement mis en œuvre.
Elle considère donc que ces rapprochements sont conformes aux exigences légales.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
La Commission rappelle toutefois que la copie ou l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception.
Enfin, elle rappelle que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur les durées de conservation
Le responsable de traitement indique que les informations relatives à l’identité, aux données d’identification électronique du système informatique et aux types d’accès sont conservées le temps que la personne est habilitée.
Par ailleurs, les données d’identification électronique de l’utilisateur sont conservées 6 mois.
La Commission considère que ces durées sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Rappelle que la copie ou l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception.
À la condition de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Président du Conseil National, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion du télétravail au Conseil National ».
Le Président de la Commission
de Contrôle des Informations Nominatives.