icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2013-60 du 28 mai 2013 de la Commission de Contrôle des Informations Nominatives portant avis favorable sur la demande présentée par Monaco Télécom SAM relative à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité «Gestion des habilitations au système d’information»

  • N° journal 8127
  • Date de publication 28/06/2013
  • Qualité 98%
  • N° de page 1274
Vu la Constitution ;

Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;

Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;

Vu l’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée ;

Vu le cahier des charges relatif à la concession du service public des communications électroniques sur le territoire de la Principauté de Monaco signé le 26 septembre 2011 et annexé à l’ordonnance souveraine n° 3.560 du 6 décembre 2011 ;

Vu la demande d’avis déposée par Monaco Telecom SAM le 15 mars 2013 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité «Gestion des habilitations au système d’information» ;

Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 14 mai 2013, conformément à l’article 19 de l’ordonnance souveraine n° 2.230, susmentionnée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 28 mai 2013 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives

Préambule

Monaco Télécom SAM, immatriculée au RCI, est un organisme de droit privé concessionnaire d’un service public. Elle a notamment pour objet «d’assurer dans les relations intérieures et internationales, tous services de télécommunications. A ce titre, elle assure les activités d’opérateur public chargé de l’exploitation du service téléphonique de la Principauté de Monaco […]».

Afin d’administrer la gestion de l’authentification et des autorisations informatiques, Monaco Télécom SAM souhaite procéder à l’installation d’un système permettant de définir les habilitations au système d’information.

A ce titre, en application de l’article 7 de la loi n° 1.165 du 23 décembre 1993 concernant la mise en œuvre de traitements automatisés d’informations nominatives par des responsables de traitements concessionnaires d’un service public, ladite société soumet la présente demande d’avis relative au traitement ayant pour finalité «Gestion des habilitations au système d’information».

I. Sur la finalité et les fonctionnalités du traitement

Le traitement a pour finalité «Gestion des habilitations au système d’information».

Les personnes concernées sont «les collaborateurs MT et les prestataires».

La Commission prend acte que les collaborateurs de MTI et M&I ne sont pas concernés par ce traitement. S’ils devaient y avoir accès, il appartiendra au responsable de traitement d’effectuer une demande d’avis modificative en ce sens.

Enfin, les fonctionnalités du traitement sont les suivantes :

Dans le cadre de la gestion de l’authentification et des autorisations :

- la gestion des mouvements collaborateurs ;
- la création des comptes bureautique utilisateurs ;
- la mise à jour de ces mêmes comptes dans le cadre des changements d’informations administratives (ex : mariage) ou de mobilités internes et de promotions (changement de service, d’habilitations) ;
- la désactivation temporaire de comptes d’utilisateurs ;
- la suppression de comptes d’utilisateurs ;
- l’administration des listes de diffusions emails ;
- l’administration des relations en termes d’organigramme hiérarchique ;
- la sauvegarde des photos d’identités employés (trombinoscope) ;
- assurer la protection des personnes et des biens à l’intérieur des sites techniques de Monaco Télécom qui hébergent des données et des systèmes sensibles.

Dans le cadre des autorisations d’accès distants au réseau du système d’information Monaco Télécom :

- la gestion des profils d’accès distants en fonction des droits déclarés dans l’Active Directory ;
- la gestion de la configuration du routage des sessions d’utilisateurs connecté via accès distant ;
- la visualisation des traces d’exécution (toutes les tentatives de connexion, leur origine, les identifiants concernés, l’heure de la tentative et le résultat de la tentative).

Toutefois, la Commission relève que les fonctionnalités ayant pour objectif «la sauvegarde des photos d’identité employés (trombinoscope)» et d’«assurer la protection des personnes et des biens à l’intérieur des sites techniques de Monaco Télécom qui hébergent des données et des systèmes sensibles» ne sont pas conformes avec la finalité du présent traitement, visant à gérer l’attribution des accès informatiques aux collaborateurs de Monaco Télécom.

Par conséquent, elle exclut ces fonctionnalités de ce traitement.

La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.

II. Sur la licéité et la justification du traitement

La Commission observe que le traitement est justifié par la réalisation d’un intérêt légitime poursuivi par Monaco Télécom SAM.

A cet égard, elle relève que cela permet de donner accès aux outils informatiques nécessaires à la réalisation du travail pour lequel le collaborateur ou le prestataire a été recruté.

Par ailleurs, elle constate que ce traitement contribue à la sécurisation du système informationnel de ladite société conformément à l’article 17 de la loi n° 1.165, modifiée.

Ainsi, la Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165, modifiée.

III. Sur les informations traitées

Les informations objets du traitement sont les suivantes :

- identité : nom, prénom, initiales, genre, bureau, photo ;
- adresses et coordonnées : site de travail, localisation du bureau ;
- formation - diplômes - vie professionnelle : intitulé de poste, direction, responsable, type et durée du contrat ;
- consommation de biens et services : groupes de privilèges auxquels le collaborateur appartient, applications bureautiques et informatiques souhaitées ;
- données d’identification électronique : email professionnel, date d’expiration du compte, politique d’expiration du compte, identification du répertoire de stockage personnel du collaborateur, numéro de «Ioken» pour le VPN, mot de passe.

Les informations collectées relatives à l’identité proviennent du collaborateur ainsi que des ressources humaines.

Cependant, la Commission ayant exclu la fonctionnalité relative à «la sauvegarde des photos d’identité employés (trombinoscope)», elle exclut également la photo.

Les informations relatives aux «adresses et coordonnées» ont pour origine les ressources humaines et les administrateurs du système informatique et celles concernant la «formation - diplômes - vie professionnelle» proviennent des ressources humaines.

Enfin, les catégories d’informations «consommation de biens et services» et «données d’identification électronique» ont pour origine les administrateurs du système informatique.

La Commission considère que les informations traitées sont «adéquates, pertinentes et non excessives» au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.

IV. Sur les droits des personnes concernées

• Sur l’information des personnes concernées

L’information préalable des personnes concernées est effectuée par le biais d’une mention sur le document de collecte, annexé à la présente demande d’avis.

La Commission considère que les modalités d’information préalable sont conformes aux dispositions de l’article 14 de la loi n° 1.165, modifiée.

• Sur l’exercice du droit d’accès

Les droits d’accès, de modification, mise à jour et de suppression sont exercés par courrier électronique et sur place auprès de la Direction des Ressources Humaines de Monaco Télécom SAM.

Le délai de réponse est de 30 jours.

La Commission considère ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.

V. Sur les personnes ayant accès au traitement

Les personnes habilitées à avoir accès au traitement sont les effectifs de la Direction des Systèmes d’Information et Hébergement (DSIH), et plus précisément :

- le helpdesk (support bureautique) ;
- les administrateurs des systèmes ;
- les ingénieurs exploitant les applications ;
- la Direction des Ressources Humaines (dans le cadre de la réconciliation des données, c’est-à-dire pour vérifier que la liste ne contient que des personnes devant y figurer).

Par ailleurs, il appert de l’analyse du dossier que le prestataire technique a également accès au traitement à des fins de maintenance du système.

Ainsi, considérant les attributions de chacune de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés, conformément aux dispositions légales.

En ce qui concerne le prestataire, la Commission rappelle toutefois que conformément aux dispositions de l’article 17 de la loi n° 1.165, modifiée, ses accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service.

VI. Sur les interconnexions

Le responsable de traitement indique que l’ensemble des traitements automatisés et exploités par Monaco Télécom sont interconnectés avec ce traitement qui est le point de contrôle des habilitations d’accès au système d’information. Sur ce point, la Commission rappelle que seuls les traitements légalement mis en œuvre peuvent être mis en relation avec le traitement objet de la présente demande d’avis.

Il précise également qu’un rapprochement est effectué avec le traitement relatif à la «Gestion du personnel» dans le cadre des échanges d’informations pour l’activation et désactivation des accès informatiques. La Commission constate que ce traitement a fait l’objet d’un récépissé de déclaration ordinaire en date du 6 janvier 2003. Toutefois, elle recommande vivement au responsable de traitement de s’assurer de la conformité de ce traitement aux dispositions de la loi n° 1.165 du 23 décembre 1993, modifiée.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.

La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Les informations sont conservées durant toute la relation contractuelle avec le salarié, et sont supprimées un mois après la fin du contrat de travail.

La Commission considère que cette durée de conservation est conforme aux exigences légales.

Après en avoir délibéré,

Exclut :

- les fonctionnalités ayant pour objectif «la sauvegarde des photos d’identité employés (trombinoscope)» et d’«assurer la protection des personnes et des biens à l’intérieur des sites techniques de Monaco Télécom qui hébergent des données et des systèmes sensibles»

- la collecte de la photo ;

Rappelle que :

- seuls les traitements légalement mis en œuvre peuvent être mis en relation avec le traitement objet de la présente demande d’avis ;

- les accès du prestataire doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service ;

Recommande vivement au responsable de traitement de s’assurer de la conformité du traitement automatisé relatif à la «Gestion des ressources humaines» aux dispositions de la loi n° 1.165 du 23 décembre 1993, modifiée ;

A la condition de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par Monaco Télécom SAM, du traitement automatisé d’informations nominatives ayant pour finalité «Gestion des habilitations au système d’information».

Le Président de la Commission
de Contrôle des Informations Nominatives.
Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14