Délibération n° 2024-85 du 17 avril 2024 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion électronique des circuits documentaires, du courrier et des archives du Conseil National » présenté par la Présidence du Conseil National.
Vu la Constitution ;
Vu la Convention de sauvegarde des Droits de l’Homme et des Libertés fondamentales du Conseil de l’Europe du 4 novembre 1950, et notamment son article 10 ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 771 du 25 juillet 1964 sur l’organisation et le fonctionnement du Conseil National, modifiée ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la demande d’avis déposée par la Présidence du Conseil National le 31 janvier 2024 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Gestion électronique des circuits documentaires, du courrier et des archives du Conseil National » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 28 mars 2024, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 17 avril 2024 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Le Conseil National est une Institution publique consacrée par la Constitution, ainsi que par la loi n° 771 du 25 juillet 1964, susvisée.
Ses Services relèvent de l’autorité hiérarchique du Président du Conseil National, dont le fonctionnement est défini par un Règlement Intérieur soumis au contrôle du Tribunal Suprême.
Ainsi, le Conseil National revêt le statut d’Autorité publique au sens de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives.
Le Conseil National souhaite mettre en œuvre un système informatisé qui centralise l’ensemble des courriers reçus et émis, afin de les traiter et de les archiver. Les courriers confidentiels seront également gérés par cette « application ». Au même titre que pour le courrier, les archives du Conseil National sont concernées par ce traitement.
Ledit traitement, objet de la présente délibération, est donc soumis à l’avis de la Commission conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « Gestion électronique des circuits documentaires, du courrier et des archives du Conseil National ».
Les personnes concernées sont les Conseillères Nationales et les Conseillers Nationaux, les permanents du Conseil National (fonctionnaires et agents de l’État) et enfin les suppléants et stagiaires.
Enfin, le responsable de traitement indique que les fonctionnalités sont les suivantes :
- gestion des paramètres de comptes utilisateurs selon leurs droits, profils et appartenance à des groupes utilisateurs (création, modification, désactivation, suppression) ;
• gestion des mobilités internes et externes (mutations internes/modifications, départs ou mutations externes/radiation) ;
• gestion des mots de passe réputés forts (mots de passe provisoire et réinitialisations des mots de passe, mais aucune lisibilité des mots de passe utilisateurs par l’administrateur du système informatique) ;
• gestion des points de contrôle et de sécurité (SI) : maîtrise des profils de gestion de la GED ;
• gestion des autorisations d’accès aux contenus ;
• traçabilité des actions réalisées dans la GED ;
• temporalité sur le traitement des tâches ;
• supervision des accès aux applications : journalisation des accès, collecte et enregistrement des évènements système (logs) pour une traçabilité des accès utilisateurs aux applications et aux données ;
• Extractions et copies possibles sur un support distinct protégé desdites données en prévision d’une demande de communication des Autorités administratives ou judiciaires compétentes ;
- gestion des durées d’utilités de traitement des archives : conservation, confidentialité, anonymisation et destruction ;
- intégration des documents scannés, emails ou fichiers ;
- notifications de tâches via la messagerie professionnelle ;
- échanges de documents électroniques intra et inter services ;
- gestion de modèles ;
- utilisation d’un parapheur électronique pour consulter, annoter ;
- planification des réponses et mise en évidence des dates d’échéance ;
- classement et indexation des documents ;
- workflows - représente le suivi de la chaîne de traitement du document ;
- lecture, rédaction, corrections, validations, diffusions ;
- acceptation, refus, délégations et traitement des tâches ;
- établissement de statistiques génériques (ex. nombre de courriers, statut, objet de mail, tâches demandées).
Il appert par ailleurs, que ce traitement a également pour fonctionnalités le traitement et l’archivage de tous les courriers reçus et émis.
Au vu de ce qui précède, la Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le traitement est justifié par la réalisation d’un intérêt légitime, sans que ne soient méconnus ni l’intérêt, ni les droits et libertés fondamentaux de la personne concernée.
Il précise à cet égard que ce traitement permet de répondre « aux besoins de suivi, de contrôle dans la gestion des délais de réponse et des circuits documentaires de rédaction des réponses ou de toutes autres suites à donner par l’Institution ».
Par ailleurs, il souligne que « la Constitution et la loi imposent au Conseil National de s’acquitter de ses missions administratives, législatives et politiques » et que « cet outil est nécessaire à la bonne gestion et à la bonne organisation des services ».
La Commission prend enfin acte que le Conseil National souhaite permettre avec ce cycle de traitement documentaire « l’enregistrement et la datation des courriers reçus, de traitement et suivi des réponses et des courriers expédiés : rédaction-correction-validation-datation-communication-expédition et des délais de réponses des courriers, ainsi que de la bonne conservation des Archives numériques du Conseil National ».
Au vu de ce qui précède, la Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Les informations traitées sont les suivantes :
- identité : prénom, nom, fonction, service ;
- adresses et coordonnées : adresse électronique du Conseil National, numéro de poste téléphonique interne ;
- données d’identification électronique : login et mot de passe ;
- informations temporelles : horodatages, etc. : log de connexion, opération réalisée (création, modification, suppression), ID dates, postes de travail et objet de l’évènement ;
- tâches : informer, rédiger, corriger, valider, signer ;
- types de données contenues dans la GED : courriers officiels entre Institutions, courriers administratifs, circulaires et notes administratives, textes législatifs et règlementaires, contrats, devis et factures, requêtes d’administrés contenant les informations nominatives relatives à la situation personnelle des administrés.
Le responsable de traitement indique que les informations relatives à l’identité, aux adresses et coordonnées ainsi que les tâches sont issues du fichier des Ressources humaines et du fichier des élus.
En ce qui concerne les informations relatives aux types de données contenues dans la GED, ces dernières proviennent des personnes concernées.
Les informations temporelles et le login ont pour origine le système.
La Commission considère ainsi que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
> Sur l’information préalable des personnes concernées
Le responsable de traitement indique que l’information préalable des personnes concernées est effectuée par le biais de la « Charte informatique du Conseil National » et par le biais d’un message d’information publié sur le site Internet du Conseil National dans l’onglet « Contact ».
À cet égard, la Commission rappelle que l’information préalable doit être conforme à l’article 14 de la loi n° 1.165 du 23 décembre 1993.
> Sur l’exercice du droit d’accès
Le responsable de traitement indique que le droit d’accès s’exerce par voie postale et par courrier électronique auprès du Secrétaire Général du Conseil National.
Il précise que la réponse à ce droit d’accès intervient dans le mois suivant la réception de la demande.
S’agissant de l’exercice du droit d’accès par voie électronique, la Commission constate qu’une procédure a été mise en place afin que le responsable de traitement puisse s’assurer en cas de doute que l’expéditeur du courriel est effectivement la personne concernée par les informations.
Elle prend acte par ailleurs que la transmission et le traitement de la copie de la pièce d’identité se font conformément à sa délibération n° 2015-116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.
La Commission considère donc que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.
V. Sur les destinataires et les personnes ayant accès au traitement
> Sur les destinataires
Le responsable de traitement indique que les informations sont susceptibles d’être communiquées à la Direction de la Sûreté Publique dans le cadre de ses missions légalement conférées.
La Commission considère que ces communications sont conformes aux exigences légales.
> Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
- les informaticiens : le DSI, son adjoint, le RSSI, et le responsable de la maintenance informatique qui ont la charge de la gestion et de la sécurité du système informatique du Conseil National ont accès à l’ensemble des fichiers, leurs actions se font avec des logins nominatifs et leurs actions sont horodatées. Ils ont un accès total à la GED et aux contenus : tous droits ;
- les prestataires informatiques : tous droits dans le cadre de leurs opérations de maintenance ;
- les gestionnaires de tâches : il s’agit des personnes en charge de l’enregistrement du courrier, des devis, des factures et des autres documents, c’est-à-dire les secrétaires, le comptable et les chefs de pôles. Ces personnes ont la capacité de verser des documents et gérer les droits d’accès correspondants ;
- les utilisateurs : consultation, modification, suppression ;
- les archivistes : tous droits dans les fonctions d’archivage.
En ce qui concerne les prestataires, la Commission rappelle toutefois que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de service. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
Considérant les attributions de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.
VI. Sur les rapprochements et les interconnexions
Le responsable de traitement indique que le présent traitement fait l’objet de rapprochements avec tous les autres traitements d’informations nominatives du Conseil National liés à ce dernier, notamment avec les traitements suivants ayant respectivement pour finalité :
- « Gestion du fichier des Conseillères Nationales et des Conseillers Nationaux » ;
- « Gestion administrative des Fonctionnaires et Agents de l’État et assimilés du Conseil National ;
- « Gestion de la messagerie professionnelle du Conseil National ».
La Commission prend acte que ces traitements ont été légalement mis en œuvre et considère que ces rapprochements sont conformes aux exigences légales.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
La Commission rappelle également que les ports non utilisés doivent être désactivés et les serveurs, périphériques, Équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Enfin, elle rappelle que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur les durées de conservation
Le responsable de traitement indique que les informations relatives à l’identité aux adresses et coordonnées sont conservées le temps que la personne est habilitée.
En outre, les données d’identification électronique sont conservées 24 h après la fin de l’affectation.
Les informations relatives aux tâches sont conservées le temps de leur traitement.
Par ailleurs, le responsable de traitement précise que les informations relatives aux types de données contenues dans la GED sont conservées le temps de leur traitement puis archivées.
À cet égard il précise que « la politique d’archivage assure un suivi de la non modification des documents produits en externe et gérer par la GED. Les processus de suivis du traitement et des tâches sont clôturés et donc effacés à la clôture du document ou du dossier auquel il est lié. La politique d’archivage des documents impose un double critère de clôture : fin de la mandature, afin d’assurer une continuité dans le processus de la politique de l’institution, puis à la fin du document ou du dossier. L’archivage répond à la politique documentaire du Conseil National ».
Enfin, les informations temporelles sont conservées 1 an.
La Commission considère que ces durées sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Rappelle que l’information préalable des personnes concernées doit impérativement être effectuée conformément à l’article 14 de la loi n° 1.165.
À la condition de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Président du Conseil National, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion électronique des circuits documentaires, du courrier et des archives du Conseil National ».
Le Président de la Commission de Contrôle
des Informations Nominatives.