Délibération n° 2022-105 du 20 juillet 2022 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion technique des bâtiments publics » exploité par le Service de Maintenance des Bâtiments Publics (SMBP) présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’Ordonnance Souveraine n° 4.683 du 20 janvier 2014 portant création d’un Service de Maintenance des Bâtiments Publics ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’arrêté ministériel n° 2018-613 du 26 juin 2018 relatif aux caractéristiques thermiques des nouveaux bâtiments, des réhabilitations de bâtiments existants et des extensions ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la demande d’avis déposée par le Ministre d’État le 19 mai 2022 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Gestion technique des bâtiments publics » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 15 juillet 2022, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 20 juillet 2022 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Le Service de Maintenance des Bâtiments Publics (SMBP), placé sous l’autorité du Conseiller de Gouvernement-Ministre de l’Équipement, de l’Environnement et de l’Urbanisme, a notamment pour mission de préparer, sur les plans administratifs et techniques, les interventions liées à l’exécution des travaux de grosses réparations, d’amélioration et d’entretien des immeubles relevant du domaine public et du domaine privé de l’État, d’en surveiller l’exécution et de préparer leur règlement.
Il assure par ailleurs « le suivi des consommations des bâtiments, à des fins notamment de développement durable, de limitation des consommations d’eau et d’énergie » et surveille, à cet effet, les équipements et bâtiments (mais non les personnes s’y trouvant) par le biais d’automates.
À cet égard, le responsable de traitement souhaite se doter d’une solution lui permettant d’effectuer la gestion technique des bâtiments publics.
Ainsi, le traitement, objet de la présente délibération, est donc soumis à l’avis de la Commission conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « Gestion technique des bâtiments publics ».
Le responsable de traitement indique que les personnes concernées sont les fonctionnaires et agents de l’État habilités soit, les collaborateurs du SMBP qui accèdent à la solution dans le cadre de leur mission, les personnes habilitées des différents services de l’administration qui souhaitent suivre et gérer les consommations des bâtiments où ils travaillent ainsi que les personnels habilités de la Direction des Systèmes d’Information (DSI).
Le présent traitement permet notamment de gérer les accès à la solution afin de permettre aux utilisateurs d’accéder aux automates et aux équipements selon leur habilitation et de les former.
Le traitement a ainsi pour fonctionnalités :
- de permettre la création des accès à la solution ;
- la création des accès logiques (création, modification, suppression) ;
- le suivi des consommations des bâtiments publics (non nominatif) ;
- la formation des utilisateurs de la solution ;
- l’historisation des actions effectuées sur les automates.
La Commission relève, par ailleurs, que le présent traitement permet également de :
- « surveiller les équipements techniques et automates nécessaires à leur fonctionnement installés dans les bâtiments publics ; (…)
- suivre les consommations des bâtiments publics pour mieux les gérer, identifier et recevoir des alertes des équipements et automates faisant fonctionner les équipements ;
- établir des rapports sur les consommations des bâtiments (non nominatives). ».
Le responsable de traitement précise, en outre, que « la solution ne permet pas de faire des statistiques nominatives, mais des statistiques sur les consommations des bâtiments et services » et qu’il n’« a pas pour objectif de surveiller les personnes concernées ».
La Commission constate ainsi que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par le respect d’une obligation légale à laquelle il est soumis ainsi que par la réalisation d’un intérêt légitime qui ne méconnaît ni l’intérêt, ni les droits et libertés fondamentaux de la personne concernée.
À cet égard, il précise que le présent traitement s’inscrit dans le cadre des missions du SMBP définies par l’Ordonnance Souveraine n° 4.683 du 20 janvier 2014, susvisée.
Il indique ainsi que le SMBP a notamment la mission de « préparer sur les plans administratifs et techniques les interventions liées à l’exécution des travaux de grosses réparations, d’amélioration et d’entretien des immeubles, y compris les équipements techniques, à usage administratif, culturel, cultuel, pénitentiaire ou accessoirement d’habitation relevant du domaine public et du domaine privé de l’État » et d’en surveiller l’exécution.
La Commission relève par ailleurs que le responsable de traitement « est chargé de réaliser et de suivre l’état de la maintenance des bâtiments publics » et notamment de suivre les « consommations de bâtiments à des fins notamment de développement durable, de limitation des consommations d’eau et d’énergie ».
En toute fin, il est précisé que le présent traitement « prend également en considération les règles fixées par la PSSIE et l’AMSN, s’agissant, entre autres, des mesures de sécurité à respecter concernant le système d’information du SMBP » et qu’il permet « de veiller à ce que seules les personnes habilitées aient accès aux applications permettant de surveiller les équipements et de suivre les consommations (non nominatives) des bâtiments publics ».
Au vu de ce qui précède, la Commission considère donc que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.
III. Sur les informations traitées
- identité : nom et prénom de l’utilisateur et nom et prénom de l’administrateur ;
- adresses et coordonnées : email de service, numéro de téléphone des astreintes (pour la gestion des alarmes) ;
- vie professionnelle : fonction ;
- données d’identification électronique : login et mot de passe ;
- informations temporelles : logs de connexion ;
- profil utilisateur : administrateur, installateur, exploitant, invité.
Le responsable de traitement indique que les informations relatives à l’utilisateur ont pour origine le demandeur de l’accès. Celles relatives à l’identité de l’administrateur, à ses coordonnées et sa fonction proviennent, en outre, de la personne concernée ou de la DSI.
Par ailleurs, les données d’identification électronique ont pour origine le SMBP pour le login et les personnes concernées pour le mot de passe.
Enfin, les logs de connexion sont issus du système et les informations relatives au profil des utilisateurs proviennent du SMBP.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.
IV. Sur les droits des personnes concernées
- Sur l’information préalable des personnes concernées
Le responsable de traitement indique que l’information préalable des personnes concernées est assurée par le biais d’un document spécifique.
À l’étude du dossier, il appert que les agents du SMBP sont informés par le biais d’un document interne communiqué à chaque nouvel arrivant et accessible sur un réseau de partage. Les agents ne relevant pas de ce service le sont par le même document adressé par la voie hiérarchique.
À la lecture du document joint au dossier, la Commission constate que l’information préalable est conforme aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.
- Sur l’exercice du droit d’accès des personnes concernées
Le responsable de traitement indique que le droit d’accès s’exerce par voie postale ou par courrier électronique auprès du SMBP.
À cet égard, la Commission rappelle que la réponse à ce droit d’accès doit intervenir dans le mois suivant la réception de la demande.
Par ailleurs, s’agissant de l’exercice du droit d’accès par voie électronique, la Commission précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.
La Commission considère que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.
V. Sur les personnes ayant accès au traitement et les communications d’informations
Les accès sont dévolus comme suit :
- les administrateurs de la solution au sein du SMBP : tout accès ;
- les utilisateurs du SMBP : en consultation et modification ;
- les utilisateurs des autres services de l’Administration (responsables de directions/services et utilisateurs habilités) : en consultation/pilotage des données des locaux qui relèvent du périmètre du service ;
- le personnel de la DSI ou intervenant sous son autorité : à des fins de maintien en condition opérationnelle (MCO) et de maintien en condition de sécurité (MCS), de maintenance et de maintien de l’infrastructure ;
- le prestataire : maintenance et mises à jour des bases de données et applicatif.
En ce qui concerne les prestataires, la Commission rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée, les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de service. De plus, ces derniers sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
Sous réserve de ce qui précède, la Commission considère que ces accès sont justifiés au regard de la finalité du traitement.
VI. Sur les rapprochements et interconnexions avec d’autres traitements
Le responsable de traitement indique que le présent traitement fait l’objet de rapprochements avec les traitements, légalement mis en œuvre, ayant pour finalité « Assistance aux utilisateurs par le Centre de Service de la DSI » et « Sécurisation des accès à distance au SI pour les flottes nomades BYOD et professionnelles ».
En outre, il fait l’objet d’interconnexions avec les traitements, légalement mis en œuvre, ayant pour finalité « Gestion de la messagerie professionnelle », « Gestion des habilitations et des accès au Système d’information » et « Gestion et analyse des évènements du système d’information ».
La Commission considère que ces interconnexions sont conformes aux exigences légales.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.
La Commission rappelle néanmoins que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Le responsable de traitement indique, qu’à l’exception des logs de connexions qui sont conservés 1 an, les informations sont conservées tant que la personne est habilitée à avoir accès.
Après en avoir délibéré, la Commission :
Considère qu’une procédure relative au droit d’accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations.
Rappelle que :
- l’information des personnes concernées doit être conforme à l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux), ainsi que chaque compte utilisateur et administrateur, doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
À la condition de la prise en compte des éléments qui précèdent,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion technique des bâtiments publics ».
Le Président de la Commission de
Contrôle des Informations Nominatives.