Délibération n° 2022-43 du 16 mars 2022 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Permettre la préparation et l'élaboration du budget de l'État », exploité par la Direction du Budget et du Trésor (DBT), présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.383 du 2 août 2011 pour une Principauté numérique, modifiée ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’Ordonnance Souveraine n° 16.610 du 10 janvier 2015 portant création de la Direction du Budget et du Trésor ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la demande d’avis déposée par le Ministre d’État, le 30 novembre 2021, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Permettre la préparation et l’élaboration du budget de l’État » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 28 janvier 2022, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 16 mars 2022 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Le Gouvernement entend moderniser l’action de l’État et a pour objectifs dans le cadre du projet « Système d’Information Budgétaire et Comptable » la :
- « mise en place d’une comptabilité générale ;
- mise en place d’une comptabilité analytique ;
- modernisation de la gestion et du pilotage des Finances Publiques afin de mieux appréhender le coût des politiques publiques ;
- mise en place d’un système d’information Budgétaire et Comptable commun permettant d’harmoniser les pratiques internes en termes de préparation budgétaire et d’exécution de la dépense ».
C’est dans ce contexte que « la première phase concerne la mise en place d’un outil de préparation budgétaire », dont le traitement y afférent est soumis à l’avis de la Commission, conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Permettre la préparation et l’élaboration du budget de l’État ».
Il concerne les utilisateurs de la solution, à savoir les personnels de l’Administration et de certains établissements publics (CSM, OPS, NMNM).
Les fonctionnalités du traitement sont :
- le processus de dialogue budgétaire pour la préparation des budgets primitif et rectificatif ;
- la préparation et le suivi des phases de pré-arbitrage et arbitrage ;
- le chargement des dépenses spécifiques et contrôles de l’équilibre ;
- la préparation des programmes triennal et décennal ;
- le processus d’ouverture des crédits et de reports de crédits ;
- la préparation du dépôt du projet de loi budgétaire ;
- l’élaboration des restitutions budgétaires officielles à l’exemple du fascicule budgétaire ;
- la gestion des référentiels budgétaires ;
- la création et la gestion des droits des utilisateurs ;
- permettre l’accès sécurisé à la solution.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par un motif d’intérêt public.
À cet égard, la Commission constate qu’il appartient en application de l’article 3 de l’Ordonnance Souveraine n° 16.610 du 10 janvier 2005 portant création de la Direction du Budget et du Trésor de préparer et établir le budget de l’État, lui-même prévu au titre IV de la Constitution.
Il résulte des éléments du dossier que le présent traitement permet en outre de moderniser et harmoniser l’action de l’État en la matière.
La Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Les informations nominatives traitées sont :
- identité : nom des utilisateurs : nom, prénom ;
- données d’identification électronique : données des utilisateurs : adresse mail, login, mot de passe ;
- informations temporelles : logs des utilisateurs ;
- rôle des utilisateurs : rôle des utilisateurs (correspondant à leur fonction dans l’Administration) ;
- données cookies : identifiant de session utilisateur.
En ce qui concerne le dépôt de cookies, le responsable de traitement indique se conformer aux dispositions de la loi n° 1.383 du 2 août 2011 pour une Principauté numérique, en mettant à disposition une rubrique « politique de cookies ». La Commission constate des éléments communiqués au dossier qu’il n’y a que des dépôts de cookies techniques et aucun dépôt de cookies de profil utilisateur ou cookies tiers.
Les données sont renseignées par l’Administrateur de la solution selon les règles déterminées pour la création des utilisateurs et la définition de leurs rôles, excepté pour les informations temporelles et les données cookies qui sont produites par le système.
Enfin, les informations budgétaires sont produites par les personnels habilités et suivent un workflow de validation.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
- Sur l’information préalable des personnes concernées
L’information préalable des personnes concernées est réalisée par le biais d’une mention communiquée par email à chaque utilisateur concerné.
Celle-ci étant jointe au dossier, la Commission constate que l’information des personnes concernées est conforme aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.
â Sur l’exercice du droit d’accès, de modification et de mise à jour
Le droit d’accès est exercé par les personnes concernées par voie postale, sur place ou par courrier électronique auprès du Service de l’Administration auprès duquel l’utilisateur est rattaché.
La Commission constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
La Commission prend acte que le responsable de traitement ne communique aucune information à des destinataires.
Par ailleurs, ont accès au traitement :
- les agents des services de l’Administration préparant le budget de leur Service : lecture, écriture, validation, pour leur service (configurable par entité) ;
- les responsables de service de l’Administration : lecture, écriture, validation pour leur service (configurable par entité) ;
- les personnes habilitées de chaque Département de l’Administration : lecture, écriture, validation pour leur Département et les services dont dépendent ce Département (configurable par entité) ;
- la Direction du Budget et du Trésor : lecture, écriture, validation pour l’ensemble des services de l’Administration et de certains établissements publics (CSM, OPS, NMNM) ;
- les personnels habilités de la Direction des Systèmes d’Information : en administration et maintenance ;
- profil « Auditeur » : en lecture seule.
La Commission constate qu’il est fait recours à des prestataires. Elle rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993 les droits d’accès de ces derniers doivent être limités à ce qui est strictement nécessaire à l’exécution de leurs contrats de prestation de service. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission considère que ces accès sont justifiés.
VI. Sur les rapprochements et les interconnexions avec d’autres traitements
Le responsable de traitement indique que le traitement est interconnecté ou rapproché avec les traitements légalement mis en œuvre suivants :
- « Gestion de la messagerie professionnelle », pour permettre l’échange de mails ;
- « Assistance aux utilisateurs par le Centre de Service de la DSI », pour le suivi des demandes en lien avec le traitement, dont le processus de création suppression des comptes utilisateurs ;
- « Gestion des habilitations et des accès au système d’information », à des fins de sécurité ;
- « Gestion des accès à distance au Système d’information du Gouvernement », permettant aux utilisateurs qui le souhaitent d’avoir un accès distant sécurisé à l’application à partir de leur équipement.
À l’analyse des éléments du dossier, ces rapprochements et interconnexions sont conformes aux finalités initiales.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.
Cependant, il convient de préciser que la copie ou l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception.
Enfin les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Les informations relatives à l’identité, aux données d’identification électronique et aux rôles des utilisateurs sont conservées pendant le temps d’activité du compte utilisateur et sont anonymisées 3 mois à compter de leur départ.
Les informations temporelles sont conservées 12 mois, tandis que les cookies techniques s’effacent à la fin de chaque session.
La Commission estime que ces durées de conservation sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Rappelle que :
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
- la copie ou l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, du traitement automatisé d’informations nominatives ayant pour finalité « Permettre la préparation et l’élaboration du budget de l’État ».
Le Président de la Commission
de Contrôle des Informations Nominatives.