icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails
Voir le site en Anglais
MENU
Français | Anglais
  • Avis et Communiqués
  • Autres

Délibération n° 2016-159 du 16 novembre 2016 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gérer les habilitations des agents et fonctionnaires de l'Etat aux téléservices contenus dans le « Guichet Virtuel » afin de permettre le suivi des demandes des Usagers par les personnes autorisées » exploité par la Direction de l'Administration Electronique et de l'Information aux Usagers et présenté par le Ministre d'Etat.

  • N° journal 8307
  • Date de publication 09/12/2016
  • Qualité 100%
  • N° de page

Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'ordonnance souveraine n° 3.121 du 11 février 2011 portant création de la Direction de l'Administration Electronique et de l'Information aux Usagers ;
Vu l'ordonnance souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l'administration et l'administré, et son rapport de présentation ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la demande d'avis déposée par le Ministre d'Etat, le 29 juillet 2016, concernant la mise en œuvre d'un traitement automatisé ayant pour finalité « Gérer les habilitations et le suivi des demandes des téléservices permettant l'exécution de démarches administratives de façon dématérialisée » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 28 septembre 2016, conformément à l'article 19 de l'ordonnance souveraine n° 2.230 du 19 juin 2009 susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 16 novembre 2016 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
En 2011, le Ministre d'Etat a mis en œuvre le traitement ayant pour finalité « Gestion du compte permettant aux usagers d'entreprendre des démarches par téléservices », qui permet aux usagers de créer un compte unique utilisé comme point d'entrée à différents téléservices de l'Administration qui ont été mis en œuvre séparément.
Ce compte va désormais aussi pouvoir se connecter à un « guichet unique » regroupant des téléservices de plusieurs entités de l'Administration en en rationalisant le fonctionnement.
Afin de gérer les connexions des fonctionnaires et agents de l'Etats aux téléservices présents sur le « Guichet Virtuel », le Ministre d'Etat souhaite mettre en œuvre le présent traitement permettant de gérer leurs habilitations.
Ainsi, le traitement automatisé d'informations nominatives objet de la présente est soumis à l'avis de la Commission, conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Gérer les habilitations et le suivi des demandes des téléservices permettant l'exécution des démarches administratives de façon dématérialisée ».
Il concerne tous les agents de l'Etat habilités. La Commission relève que sont également concernés les fonctionnaires.
Ce « back office générique » va permettre aux agents et fonctionnaires de l'Etat :
- « d'accéder aux demandes effectuées par les usagers ;
- d'intéragir avec ces demandes (en changer le statut notamment) ;
- d'indiquer aux usagers la nécessité de transmettre des informations ou des pièces complémentaires ;
- de transmettre un avis de recevabilité, d'acceptation, ou de refus, le cas échéant ».
De cette nécessité découlent les fonctionnalités suivantes :
- « la gestion des habilitations des agents et fonctionnaires de l'Etat pour accéder aux demandes relatives à une ou plusieurs démarches ;
- la gestion des demandes effectuées au guichet ou par courrier ».
Par ailleurs, la Commission constate que la finalité du traitement doit être déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
Aussi, elle estime que la finalité du présent traitement doit être reformulée et la modifie en conséquence comme suit : « Gérer les habilitations des agents et fonctionnaires de l'Etat aux téléservices contenus dans le « Guichet Virtuel » afin de permettre le suivi des demandes des usagers par les personnes autorisées ».
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par le consentement des personnes concernées et la réalisation d'un intérêt légitime poursuivi par le responsable de traitement qui ne méconnaît ni l'intérêt, ni les droits et libertés fondamentaux des personnes concernées.
En ce qui concerne le consentement, la Commission relève qu'en l'espèce, il ne s'agit pas d'une justification adéquate, s'agissant du choix par l'Etat d'habiliter les agents et fonctionnaires placés sous son Autorité aux téléservices relevant de leurs fonctions.
Par ailleurs, la Commission relève qu'il est de l'intérêt légitime de l'Etat de mettre en place cette solution qui permet in fine d'améliorer les processus de simplification des démarches des usagers tels que recherchés par l'ordonnance souveraine n° 3.413 du 29 août 2011.
Enfin, il est indiqué dans le dossier que les habilitations envisagées sur les différents téléservices présents sur le « Guichet Virtuel » sont conformes à celles indiquées dans le traitement ayant pour finalité « Gestion des techniques automatisées de communication », légalement mis en œuvre.
La Commission considère donc que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Les informations nominatives traitées sont :
- identité : titre, nom, prénom de l'agent ou du fonctionnaire ;
- données d'identification électronique : matricule de l'agent ou du fonctionnaire ;
- données de connexion : données d'horodatage, logs de connexion ;
- données liées au suivi des demandes des usagers : liste des demandes affectées à l'agent et date de modification de statut ou d'affectation des demandes.
Les informations ont pour origine le système lui-même.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
IV. Sur les droits des personnes concernées
• Sur l'information préalable des personnes concernées
L'information préalable des personnes concernées est réalisée à partir d'une procédure interne accessible en Intranet.
La Commission relève qu'il s'agit de la Charte informatique des services de l'Etat qui expose les droits et les devoirs des utilisateurs des systèmes d'information de l'Etat.
Celle-ci ne s'analyse pas en une information des personnes concernées au sens de l'article 14 de la loi n° 1.165 du 23 décembre 1993 quant à l'exploitation d'un traitement déterminé.
La Commission demande donc que l'information des personnes concernées soit valablement effectuée.
• Sur l'exercice du droit d'accès, de modification et de mise à jour
Le droit d'accès est exercé par courrier électronique. Le délai de réponse est de 30 jours.
Les droits de modification et de mise à jour des données sont réalisés par voie postale ou par courrier électronique.
La Commission constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
La Commission constate qu'il n'y a pas de destinataires des informations objets du présent traitement.
Les accès sont définis comme suit :
- les personnels administratifs de la Direction Informatique ou tiers intervenant pour son compte : tout accès dans le cadre des missions de maintenance, développement des applicatifs nécessaires au fonctionnement du site et de sécurité du site et du système d'information de l'Etat ;
- les Personnels de la Direction de l'Administration Electronique et de l'Information aux Usagers ou tiers intervenant pour son compte ayant un rôle d'assistance à maîtrise d'ouvrage sur la procédure ;
- les personnels administratifs habilités de chaque entité de l'Administration responsable du traitement des demandes recueillies par la démarche en ligne correspondante.
En ce qui concerne les prestataires, la Commission rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993 les droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de leur contrat de prestation de service. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission considère que ces accès sont justifiés.
VI. Sur les interconnexions
Le présent traitement sera interconnecté avec les téléservices qui seront rattachés au « Guichet Virtuel », et qui feront l'objet de formalités auprès de la Commission par les Services concernés.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Toutefois, l'architecture technique du système repose sur des équipements de raccordement (switchs, routeurs, pare-feux) de serveurs et périphériques qui doivent être protégés par un login et un mot de passe réputé fort et les ports non utilisés doivent être désactivés.
La Commission rappelle enfin que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII.     Sur la durée de conservation
Les informations nominatives collectées seront conservées :
- tant que l'agent est en activité en ce qui concerne les informations relatives à l'identité, aux données d'identification électronique et aux données indirectement nominatives ;
- 1 an à compter de leur collecte en ce qui concerne les données de connexion.
La Commission considère que ces durées de conservation sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Constate que les fonctionnaires sont concernés par le présent traitement.
Modifie la finalité comme suit : « Gérer les habilitations des agents et fonctionnaires de l'Etat aux téléservices contenus dans le « Guichet Virtuel » afin de permettre le suivi des demandes des usagers par les personnes autorisées ».
Demande que les personnes concernées soient informées de manière conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993.
Rappelle que :
- les traitements concernés par les téléservices qui seront ajoutés au « Guichet Virtuel » devront être soumis à formalités par les Services de l'Etat concernés ;
- les équipements de raccordement (switch, routeurs, pare-feux) serveurs et périphériques doivent être protégés par un login et un mot de passe réputé fort et que les ports non utilisés doivent être désactivés.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'Etat, du traitement automatisé d'informations nominatives ayant pour finalité « Gérer les habilitations des agents et fonctionnaires de l'Etat aux téléservices contenus dans le « Guichet Virtuel » afin de permettre le suivi des demandes des usagers par les personnes autorisées ».

Le Président de la Commission
de Contrôle des Informations Nominatives.

Visualiser le journal
au format PDF 989,21 kB
Télécharger le journal
au format PDF 989,21 kB
Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14