icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2024‑169 du 11 septembre 2024 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion des registres des habilitations des administrateurs du système d'information de l'Administration » exploité par le Secrétariat Général du Gouvernement présenté par le Ministre d'État.

  • No. Journal 8714
  • Date of publication 27/09/2024
  • Quality 100%
  • Page no.

Vu la Constitution ;

Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu la loi n° 1.435 du 8 novembre 2016 relative à la lutte contre la criminalité technologique ;

Vu la loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale ;

Vu l’Ordonnance Souveraine n° 5.840 du 13 mai 2016 portant création du Secrétariat Général du Gouvernement ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu l’arrêté ministériel n° 2022‑331 du 13 juin 2022 portant application de l’article 23 de la loi n° 1.435 du 8 novembre 2016 relative à la lutte contre la criminalité technologique, fixant les mesures de sécurité des systèmes d’information de l’État ;

Vu l’arrêté ministériel n° 2016‑622 du 17 octobre 2016 portant application de l’article 3 de la loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale ;

Vu la délibération n° 2011‑82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;

Vu la demande d’avis déposée par le Ministre d’État, le 21 mai 2024 concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Gestion des registres des habilitations des administrateurs du système d’information de l’Administration » ;

Vu la prorogation du délai d’examen de la présente demande d’avis, notifiée au responsable de traitement le 18 juillet 2024, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 11 septembre 2024 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

En application des dispositions légales applicables au Gouvernement en matière de sécurité informatique, ce dernier doit mettre en place diverses mesures techniques et organisationnelles, dont la tenue des registres des habilitations des administrateurs du système d’information de l’Administration.

Ainsi, ce traitement est soumis à l’avis de la Commission conformément aux dispositions de l’article 7 de la loi n° 1.165 du 23 décembre 1993.

I.   Sur la finalité et les fonctionnalités du traitement

Le présent traitement a pour finalité « Gestion des registres des habilitations des administrateurs du système d’information de l’Administration ».

Il concerne les fonctionnaires et agents de l’Administration ayant des droits d’administration sur le système d’information, les prestataires sous contrat avec l’Administration ayant des droits d’administration, les Chefs de Service responsables de Système d’Information du Gouvernement ainsi que le référent habilitation ou toute personne habilitée.

Le présent traitement a pour fonctionnalités :

- identifier les administrateurs susceptibles d’être désignés et habilités ;

- vérifier l’identité des administrateurs ;

- tenir, mettre à jour et valider le registre des habilitations ;

- garder un historique des administrateurs ;

- saisir le Département de l’Intérieur pour la procédure d’enquête administrative ;

- mettre à disposition le registre en cas de demande des Autorités compétentes et de contrôles inopinés ;

- procéder au renouvellement des habilitations expirées.

Le responsable de traitement précise que la procédure définie dans la présente demande d’avis « peut évoluer avec le temps, notamment selon les retours d’expérience des services. Toutefois, les informations traitées seront identiques, tout comme le souci de préserver la confidentialité des informations traitées ».

À cet égard, la Commission rappelle que conformément à l’article 9 de la loi n° 1.165 toute modification intervenant dans l’un des éléments énoncés à l’article 8 du même texte doit faire l’objet d’une demande d’avis modificative auprès d’elle.

Enfin, le responsable de traitement indique que l’objectif de la présente demande d’avis est « de fixer un cadre commun relatif à la gestion du registre des habilitations des Administrateurs. Si le processus de gestion envisagé par la suite par les Directions/Services de l’Administration sort de ce cadre, il leur appartiendra d’établir une demande d’avis adaptée ». La Commission en prend acte.

La Commission constate que la finalité du présent traitement est « déterminée, explicite et légitime » conformément aux termes de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le présent traitement est justifié par le respect d’une obligation légale à laquelle il est soumis.

Il indique que celui‑ci s’inscrit dans les missions confiées au Secrétariat Général du Gouvernement (SGG) telles que définies à l’article 2 de l’Ordonnance Souveraine n° 5.840 du 13 mai 2013. Ainsi, le SGG est notamment chargé « d’animer et de coordonner l’activité des Directions, Services et autres entités placés sous l’autorité directe du Ministre d’État ou à vocation interministérielle ».

En outre, le responsable de traitement explique que le traitement s’inscrit dans le cadre du respect des obligations imposées par la Politique de Sécurité du Système d’Information de l’État (PSSIE) telle qu’annexée à l’arrêté ministériel n° 2022‑331 du 13 juin 2022 portant application de l’article 23 de la loi n° 1.435 du 8 novembre 2016 relative à la lutte contre la criminalité technologique fixant les mesures de sécurité des systèmes d’information de l’État.

En effet, le point 4.10.20. DEXP-HABILIT-ADMIN dudit texte fait référence à l’habilitation des administrateurs et prévoit que celle‑ci « s’effectue conformément à l’article 7 du présent arrêté. Le nombre des personnes habilitées pour des opérations d’administration doit être connu et validé par l’autorité d’homologation ».

La Commission relève, à cet égard que l’article 8 et non l’article 7 de l’arrêté ministériel n° 2022‑331 susmentionné dispose que :

« Les administrateurs sont individuellement désignés et dûment habilités par le chef de service responsable de l’administration du système d’information après enquête administrative conformément aux dispositions de l’arrêté ministériel n° 2016‑622 du 17 octobre 2016 portant application de l’article 3 de la loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale, modifié.

L’habilitation visée au précédent alinéa est renouvelée tous les trois ans dans les mêmes conditions.

Le chef de service tient à jour un registre des personnes habilitées ainsi que de leurs accès privilégiés et de leurs droits spécifiques. ».

Par ailleurs, en ce qui concerne l’enquête administrative, le responsable de traitement indique qu’elle est menée par la Direction de la Sûreté Publique (DSP) sur saisine du Département de l’Intérieur et qu’elle s’inscrit dans le cadre de l’article 3 de la loi n° 1.430 du 13 juillet 2016 susmentionnée qui dispose en son premier alinéa que « Le Directeur de la Sûreté Publique procède, sur instructions du Ministre d’État ou du Conseiller de Gouvernement-Ministre de l’Intérieur, préalablement aux actes ou décisions administratives d’autorités compétentes dont la liste est fixée par arrêté ministériel, à des enquêtes aux fins de vérifier que des personnes physiques ou morales concernées par ces actes ou décisions, présentent des garanties appropriées et que leurs agissements ne sont pas incompatibles avec ceux‑ci. ».

L’article 1er de l’arrêté ministériel n° 2016‑622 du 17 octobre 2016 portant application de l’article 3 de la loi n° 1.430 dresse une liste des catégories d’actes et de décisions administratives donnant lieu à des enquêtes conformément aux dispositions du premier alinéa de l’article 3 de la loi n° 1.430 du 13 juillet 2016 :

« Les catégories d’actes et de décisions administratives donnant lieu à des enquêtes, conformément aux dispositions du premier alinéa de l’article 3 de la loi n° 1.430 du 13 juillet 2016, sont les suivantes :

1. délivrance et renouvellement des permis de travail et des autorisations d’embauchage ;

2. recrutement des fonctionnaires et agents publics ou préposés des services publics ;

3. autorisation d’exercice d’activités économiques et juridiques prévues par les lois et règlements ;

4. autorisation d’exercice de professions, emplois, activités et fonctions réglementés par les lois et règlements ;

5. délivrance et renouvellement d’habilitations, agréments, missions, permis, licences et certificats prévus par les lois et règlements ;

6. décisions relevant de l’application des articles 15 et 16 de la Constitution ;

7. application de la réglementation relative aux armes, aux chiens dangereux et aux activités de sécurité privée ;

8. police des rassemblements publics et manifestations présentant un risque d’atteinte à l’ordre public ou à la sécurité des personnes ou des biens ;

9. acquisition de la nationalité par déclaration ;

10. refoulement ou expulsion du territoire de la Principauté ;

11. application de la réglementation relative aux jeux de hasard, en matière de contrôle des accès aux salles de jeux. ».

Dès lors, il s’infère des points 2. et 5. de l’article précité que les nouveaux entrants dans l’Administration sous le statut contractuel sont à la fois soumis à une enquête administrative dans le cadre du recrutement ainsi qu’à une enquête avant la délivrance de l’habilitation. Elle relève à cet égard que la personne concernée est ainsi susceptible de faire l’objet de 2 enquêtes administratives simultanées au moins lors du recrutement, du deuxième renouvellement (au bout de 3 ans) et du troisième renouvellement (au bout de 6 ans) si la pratique et les règles standards de l’Administration sont respectées. Il est néanmoins possible que la qualité de ces enquêtes soit identique et que les personnes concernées ne soient en réalité concernées que par une seule procédure.

À cet égard, la Commission constate qu’aucun dossier relatif au traitement des informations nominatives dans le cadre des enquêtes administratives ne lui a été soumis par la Direction de le Sûreté Publique (DSP), qui lui permettrait de disposer d’éléments d’appréciation. Aussi, elle demande que le traitement relatif aux enquêtes administratives effectuées par la DSP en application de l’article 3 susmentionné lui soit soumis dans les plus brefs délais.

Par ailleurs, le responsable de traitement indique que le service « reçoit un courrier du [Département de l’Intérieur] validant ou pas l’habilitation de l’administrateur » après réalisation de l’enquête. Il explique que le service « ne connaîtra pas la raison pour laquelle l’habilitation n’a pas été délivrée. En cas de refus d’habilitation, les conséquences de ce refus à l’égard de l’administrateur dépendront de ses missions : par exemple, le refus pourrait engendrer un arrêt de mission, une redéfinition des missions ou une procédure administrative ».

En outre, la Commission constate qu’un refus d’habilitation pourrait dans certains cas conduire à adopter des mesures administratives à l’encontre de la personne concernée. Dès lors, elle considère que cette dernière doit être en mesure de connaître ses droits et notamment la possibilité d’exercer un droit d’accès indirect qu’elle peut exercer auprès de la CCIN sur les informations détenues par la DSP.

La Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10‑1 et 10‑2 de la loi n° 1.165 du 23 décembre 1993.

III.   Sur les informations traitées

Les informations traitées dans le cadre du présent traitement sont :

     Les données relatives à l’administrateur :

- identité : nom, prénom, date de naissance, nationalité ;

- coordonnées : adresse email ;

- vie professionnelle : qualité (interne, externe, prestataire), division/thématique ;

- données relatives aux accès : début d’accès, fin d’accès ;

- données relatives à l’habilitation : statut de l’habilitation (nouvel arrivant, dossier en cours de préparation, dossier prêt pour envoi, habilitation demandée avec procédure en cours, habilitation validée), début d’habilitation, fin d’habilitation, nombre de jours avant la fin de l’habilitation.

Les données relatives au Chef de Service (données contenues dans le courrier) :

- identité : nom, prénom, signature ;

- coordonnées : adresse email.

En outre, il appert à l’analyse du dossier que le registre des habilitations comprend en plus des données précédemment listées des informations relatives au/à :

- système d’Information et aux droits d’administration : le SI administré, briques administrées (accès privilégiés), les droits d’administration ; et

- l’habilitation (la date de vérification de l’identité de l’administrateur).

De plus, le responsable de traitement indique qu’est également traité le courrier du Département d’Intérieur suite à l’enquête effectuée. La Commission en prend acte.

Le responsable de traitement précise par ailleurs que la date de naissance et la nationalité « sont collectées au moment de la vérification de l’identité et sont inscrites directement dans la pièce jointe au courrier à destination » du Département de l’Intérieur (DINT). Ainsi, ces informations sont collectées « afin de permettre à la DSP de réaliser l’enquête administrative auprès de l’Autorité compétente dans le pays concerné » et ne figurent pas dans les registres des habilitations. La Commission en prend acte.

Par ailleurs, en ce qui concerne la « fin d’habilitation » des administrateurs, le responsable de traitement indique que cela correspond à la date du début d’habilitation + 3 ans.

Le responsable de traitement indique que les informations relatives à l’administrateur ont pour origine :

- l’administrateur lui‑même en ce qui concerne les données d’identité ;

- le Chef de Service (responsable hiérarchique) pour les droits d’administration et les données relatives aux accès ;

- le référent habilitation pour les données relatives à l’habilitation.

Les données relatives au Chef de Service proviennent du Chef de Service lui‑même.

La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993, modifiée.

IV.   Sur les droits des personnes concernées

  •    Sur l’information préalable des personnes concernées

L’information préalable des administrateurs déjà en poste au Gouvernement, pour lesquels l’habilitation doit être régularisée / ou en cas de renouvellement d’habilitation, est réalisée par email ainsi que par le biais de la notice d’information de la Direction des Systèmes d’Information (DSI).

Le responsable de traitement précise en ce qui concerne la mention envoyée par email qu’il procède à un nouvel envoi aux administrateurs pour lesquels l’habilitation est sur le point d’expirer et pour lesquels un renouvellement d’habilitation doit être demandé.

À la lecture des documents joints au dossier, la Commission constate que les administrateurs déjà en poste sont informés de manière conforme aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.

Par ailleurs, le responsable de traitement indique que l’information préalable des administrateurs qui arrivent au Gouvernement (pour lesquels une habilitation doit être demandée) est assurée de manière différente selon que la personne concernée est interne ou externe à l’Administration.

Ainsi, les personnes internes à l’Administration sont informées par la publication de l’avis de recrutement. Le responsable de traitement ayant joint la mention d’information au dossier, la Commission constate qu’elle est conforme aux dispositions de l’article 14 de la loi susvisée.

S’agissant de l’information préalable des personnes externes à l’Administration, le responsable de traitement précise qu’elle est assurée par une clause dans l’expression des besoins ainsi que par une clause dans le cadre du renouvellement global des marchés multi attributaires.

À la lecture des documents joints, la Commission constate qu’ils sont conformes aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.

  •   Sur l’exercice du droit d’accès

Le responsable de traitement indique que le droit d’accès s’exerce par voie postale, par courrier électronique adressé à la Délégation Interministérielle chargée de la Transition Numérique (DITN) ainsi que par le biais d’un formulaire en ligne dédié permettant de contacter le Service de protection des données.

Elle rappelle également que la réponse à ce droit d’accès doit s’exercer dans le mois suivant la réception de la demande.

S’agissant de l’exercice du droit d’accès par voie électronique, elle rappelle, en outre, qu’une procédure doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agisse effectivement de la personne concernée par les informations.

À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015‑113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.

Sous ces conditions, la Commission considère que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.

V. Sur les destinataires et les personnes ayant accès au traitement

  •   Sur les destinataires

Le responsable de traitement indique que les informations objet du présent traitement sont transmises au Département de l’Intérieur (DINT) ainsi qu’à la Direction de la Sûreté Publique (DSP).

La Commission considère que ces communications sont justifiées au regard de la finalité du présent traitement.

  •   Sur les personnes ayant accès au traitement

Les accès sont définis comme suit :

- le Chef de Service responsable du système d’information et, le cas échéant, son adjoint : a la responsabilité du registre : en inscription, création, modification et suppression ;

- le référent habilitation (ou toute personne dûment habilitée par le Chef de Service) : en charge de recueillir les informations, vérifier l’identité de l’administrateur, tenir et mettre à jour le registre des habilitations des administrateurs du système d’information : en inscription, modification, consultation et suppression ;

- le Responsable de la Sécurité du Système d’Information (RSSI) : dans le cadre de ses missions de responsable de la sécurité du système d’information afin de réaliser des contrôles inopinés : accès en lecture uniquement.

La Commission considère que ces accès sont justifiés au regard du présent traitement.

VI.   Sur les rapprochements et les interconnexions

Le responsable de traitement indique que le présent traitement fait l’objet de rapprochements avec les traitements légalement mis en œuvre suivants :

- « Gestion d’un outil de partage et de conservation sécurisés de documents » afin de permettre de conserver et de partager le registre des habilitations des administrateurs du système d’information de la DSI aux seules personnes qui ont le besoin d’en connaître et de manière sécurisée ;

- « Gestion des techniques automatisées de communication » afin de permettre la conservation des correspondances à destination du Département de l’Intérieur dans la base courrier.

Par ailleurs, le présent traitement est rapproché avec un traitement relatif à la gestion de la messagerie professionnelle légalement mis en œuvre afin de permettre les échanges entre la personne concernée par une demande d’habilitation et le Chef de Service.

La Commission considère que ces rapprochements sont conformes aux exigences légales.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.

Cependant, il convient de préciser que les communications d’informations doivent être sécurisées en tenant compte de la nature des informations transmises.

En outre, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui‑ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Le responsable de traitement indique que l’ensemble des informations sont conservées 5 ans après le départ de l’administrateur habilité ou 5 ans après la fin de l’habilitation qui n’a pas été renouvelée.

Il indique que cette durée de conservation correspond au délai de prescription de droit commun conformément à l’article 2044 du Code civil et précise qu’elle « se justifie par le besoin de conserver ses données à des fins de preuve ou en cas d’enquête ou tout autre forme de recours pouvant être réalisé ».

À cet égard, la Commission considère que cette durée de conservation est disproportionnée au regard de l’article 10‑1 de la loi n° 1.165. En effet, les informations du présent traitement n’ont pas pour finalité d’être conservées à des fins probatoire. L’article 8 de l’arrêté ministériel n° 2022‑331 permet d’avoir un suivi à jour des personnes habilitées et de la durée de validité desdites habilitations et n’a pas pour objectif de « disposer d’un historique des administrateurs afin d’être en capacité d’aller vérifier le statut qu’un administrateur avait, à un moment T ». Ainsi, la Commission fixe la durée de conservation de ces informations à 1 an à compter de la fin de l’habilitation.

En outre, le responsable de traitement indique qu’en cas de refus d’habilitation, les informations sont conservées « jusqu’à la réception du refus d’habilitation ». La Commission en prend acte.

Après en avoir délibéré, la Commission :

Considère que la personne concernée doit être en mesure de connaître ses droits et notamment la possibilité d’exercer un droit d’accès indirect auprès de la CCIN sur le traitement de la DSP relatif aux enquêtes administratives préalables à l’habilitation.

Demande que le traitement relatif aux enquêtes administratives effectuées en application de l’article 3 de la loi n° 1.430 lui soit soumis dans les plus brefs délais.

Rappelle que :

- la réponse à ce droit d’accès doit s’exercer dans le mois suivant la réception de la demande ;

- une procédure relative au droit d’accès par voie électronique doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agisse effectivement de la personne concernée par les informations ;

- les communications d’informations doivent être sécurisées en tenant compte de la nature des informations transmises ;

- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

Fixe la durée de conservation des informations relatives à l’administrateur habilité à 1 an après la fin de l’habilitation.

Sous le bénéfice de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des registres des habilitations des administrateurs du système d’information de l’Administration ».

Le Président de la Commission de Contrôle des Informations Nominatives.

Print article
Previous article Return to summary Next article

All rights reserved - Monaco 2016
Version 2018.11.07.14