icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2020-179 du 16 décembre 2020 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion des services de téléphonie fixe de l'Administration » de la Direction des Plateformes et des Ressources Numériques présenté par le Ministre d'État.

  • N° journal 8520
  • Date de publication 08/01/2021
  • Qualité 100%
  • N° de page

Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 7.997 du 12 mars 2020 portant création de la Direction des Plateformes et des Ressources Numériques ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la demande d'avis déposée par le Ministre d'État le 8 septembre 2020, concernant la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion des services de téléphonie fixe de l'Administration » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 5 novembre 2020, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 16 décembre 2020 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,

Préambule
Dans le cadre de sa mission tendant à « assurer la gestion et l'exploitation des réseaux courant faible internes et étendus et des réseaux téléphoniques communités » (Article 2 point 5 de l'Ordonnance Souveraine n° 7.997 du 12 mars 2020), la Direction des Plateformes et des Ressources Numériques (DPRN) souhaite mettre à la disposition des Agents et des Fonctionnaires de l'État, un service de téléphonie fixe afin de pouvoir joindre et être joints, par ce biais, dans le cadre de leurs fonctions.
Aussi, conformément aux dispositions de l'article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée, le Ministre d'État soumet, à l'avis de la Commission, le traitement susvisé.

I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité la « Gestion des services de téléphonie fixe de l'Administration ».
Il concerne les Fonctionnaires et Agents de l'État, mais également, les prestataires qui travaillent pour le compte des services de l'État et qui disposent d'une ligne fixe, ainsi que tout appelant d'un service de l'Administration.
Les fonctionnalités du traitement sont les suivantes :
- Gestion du matériel de téléphonie fixe ;
- Gestion de l'autocommutateur ;
- Maintenance du parc téléphonique ;
- Gestion de la dotation en matériel informatique ;
- Établissement d'un annuaire connecté aux postes téléphoniques ;
- Établissement des annuaires internes (constitution, édition et diffusion de listes nominatives des utilisateurs des postes téléphoniques par les services à partir des numéros de ligne attribués aux agents desdits services) ;
- Gestion technique de la messagerie téléphonique interne ;
- Établissement de commencement de preuve en cas de litige ;
- Le cas échéant, établissement de documents nécessaires à la compréhension des factures ;
- Établissement de statistiques non nominatives.
Le responsable de traitement précise que concernant les communications externes, les 4 derniers chiffres des numéros appelés sont occultés. En outre, le présent traitement exclut la surveillance des correspondants nominativement identifiés appelés par l'agent.
La Commission relève toutefois qu'un relevé téléphonique détaillé présentant l'intégralité des numéros appelés pourra être demandé à Monaco Télécom (l'opérateur) dans les hypothèses suivantes :
- Lorsque le responsable de service ou le service en charge du contrôle des dépenses constate une utilisation discordante du service de téléphonie au regard de l'utilisation moyenne constatée dans le service, pour comprendre cette utilisation et, le cas échéant, décider des actions à entreprendre (ex. remboursement des dépenses liées à l'utilisation à titre privé du service de téléphonie). À cet égard la Commission rappelle que cette possibilité doit être préalablement portée à la connaissance des personnes concernées.
- En cas de plainte sur réquisition des services judiciaires dans le respect des procédures encadrées par la réglementation.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par la réalisation d'un intérêt légitime sans que ne soient méconnus les droits et libertés fondamentaux des personnes concernées.
À cet égard, il précise que ce traitement permet de « satisfaire aux besoins de fonctionnement des services de l'Administration, de leur permettre d'échanger et de permettre aux usagers de contacter lesdits services ».
De même, le responsable de traitement indique que le traitement s'inscrit dans le cadre des missions confiées à la DPRN, définies par l'Ordonnance Souveraine n° 7.997 du 12 mars 2020 portant la création de cette Direction, plus particulièrement celle consistant à « assurer la gestion et l'exploitation des réseaux courant faible internes et étendus et de réseaux téléphoniques commutés ».
Au regard de ce qui précède, la Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

III. Sur les informations traitées
Les informations nominatives traitées sont :
- Identité : nom et prénom de l'utilisateur de la ligne ;
- Coordonnées : numéro d'annuaire associé à l'agent (c'est‑à‑dire le numéro d'appel téléphonique) ;
- Données d'identification électronique : login et mot de passe des personnes habilitées à avoir accès à la plateforme ;
- Informations temporelles : données d'horodatage ;
- Données de connexion : logs de connexion des personnes habilitées à avoir accès au traitement ;
- Utilisateurs des services de téléphonie : numéro de téléphone appelé vers l'extérieur (pas pour les numéros internes), durée d'appel, date et heure de début et de fin d'appel ;
- Suivi des demandes : numéro de la demande, date, objet, utilisateurs (ancien, nouveau), numéro de bon de prestataire, opération demandée/réalisée, nature de ligne, date de mise en service.
Le responsable de traitement indique que les informations ont pour origine :
- La Direction du service concerné ou la Direction des Ressources Humaines et de la Formation de la Fonction Publique s'agissant du nom et prénom de l'utilisateur de la ligne ;
- Le gestionnaire des réseaux de télécommunication concernant le numéro de téléphone associé à l'agent ;
- Le prestataire, ainsi que la personne concernée pour les login et mot de passe des personnes habilitées à avoir accès à la plateforme ;
- Le système concernant les informations temporelles et celles concernant les utilisateurs des services de téléphonie ;
- Enfin, concernant le suivi des demandes, les informations sont fournies par le service concerné.
La Commission considère que les informations collectées au sein dudit traitement sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément à l'article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

IV. Sur les droits des personnes concernées

  • Sur l'information préalable des personnes concernées

Les personnes concernées sont informées par le biais d'un document spécifique, non joint au dossier.
La Commission rappelle que l'information des personnes concernées doit être conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

  • Sur l'exercice du droit d'accès

L'exercice du droit d'accès est exercé auprès de la DPRN, par voie postale. Les demandes qui lui seront adressées par voie électronique pourront également être acceptées.
La Commission considère qu'une procédure devra être mise en place, pour pallier cette hypothèse et permettre au responsable de traitement de s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations.
Si une copie d'un document d'identité était demandée par le responsable de traitement, la transmission et le traitement de ce document devront faire l'objet de mesures de protection particulières comme rappelée, par la Commission, dans sa délibération n° 2015-116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d'identité officiels.
Enfin, la Commission rappelle que la réponse au droit d'accès doit s'exercer dans le mois suivant la réception de la demande.

V. Sur les destinataires et les personnes ayant accès au traitement

  • Sur les destinataires

Les destinataires du traitement sont :
- Les responsables du service pour la mise à jour des listes téléphoniques de leur service ;
- Tout utilisateur qui visualise, sur son poste téléphonique, l'identité de la personne appelée ou appelant lorsque le téléphone a été associé à une personne physique ;
- Toute personne intéressée pour les numéros de téléphone diffusés par les services selon qu'ils estiment opportuns ou non de les diffuser afin de permettre un accès direct aux agents ;
- Les autorités judiciaires et administratives dans le respect des procédures encadrées par la réglementation, particulièrement le Code de procédure pénale.

  • Sur les personnes ayant accès au traitement

Les personnes habilitées à avoir accès au présent traitement sont les agents de la DPRN, lesquels disposent de tout accès à des fins de maintenance, mise à jour des applicatifs et équipements et maintien en conditions opérationnelle et de sécurité du système, ce qui est nécessaire au « fonctionnement opérationnel des téléphones et du réseau de télécommunication de l'Administration ».
Ont également accès au présent traitement, les personnes agissant pour le compte et sous l'autorité de la DPRN à des fins de création, modification/mise à jour et de consultation. Le responsable de traitement justifie cet accès par le « support au gestionnaire réseau télécommunication pour permettre le fonctionnement des équipements et le maintien des conditions sécurité et opérationnelles ».
Le responsable de traitement indique que ces personnes sont liées à la DPRN par un contrat de confidentialité.
La Commission rappelle, toutefois, que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée, le droit d'accès du prestataire doit être limité à ce qui est strictement nécessaire à l'exécution de son contrat de prestation de service.
De plus, le prestataire est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
Sous réserve de ce qui précède, la Commission considère que ces accès sont justifiés.

VI. Sur les interconnexions
Le responsable de traitement indique que le présent traitement est interconnecté avec celui ayant pour finalité la « Supervision des appels téléphoniques du Centre de Service » légalement mis en œuvre.
De plus, il est indiqué que le traitement est rapproché avec celui ayant pour finalité « Assistance aux utilisateurs par le Centre de Services de la DSI », concomitamment analysé par la Commission.
À l'analyse du dossier, il appert également un rapprochement avec les traitements de messageries professionnelles, légalement mis en œuvre.

VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation particulière.
Cependant, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
En outre, la Commission rappelle que la copie ou l'extraction d'informations issues de ce traitement doit être chiffrée sur son support de réception.
Elle rappelle également que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.

VIII. Sur la durée de conservation
Le responsable de traitement entend conserver les informations relatives au nom et prénom de l'utilisateur de la ligne et au numéro d'annuaire associé à l'agent « tant que la personne est en poste ». En outre, les données d'identification électronique sont conservées « tant que la personne est habilitée à avoir accès à la plateforme ».
Par ailleurs, les informations temporelles sont conservées 1 mois, tandis que les informations relatives aux utilisateurs des services de téléphonie 3 mois.
Enfin, les informations relatives au suivi des demandes sont, quant à elles, conservées 3 ans en lien avec la périodicité des audits.
Après en avoir délibéré, la Commission :
Considère qu'une procédure relative au droit d'accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations.

Rappelle que :
- les personnes concernées doivent être informées de manière conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée, et qu'elles doivent également être préalablement informées de la possibilité pour le responsable de traitement de demander une facture détaillée aux fins éventuellement de refacturation ;
- le droit d'accès du prestataire doit être limité à ce qui est strictement nécessaire à l'exécution de son contrat de prestation de service ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux), ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
- la copie ou l'extraction d'informations issues de ce traitement doit être chiffrée sur son support de réception.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État, du traitement automatisé d'informations nominatives ayant pour finalité la « Gestion des services de téléphonie fixe de l'Administration » de la Direction des Plateformes et des Ressources Numériques.

Le Président de la Commission de Contrôle des Informations Nominatives.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14