icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2020-183 du 16 décembre 2020 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Assistance aux utilisateurs par le Centre de Service de la DSI » exploité par la Direction des Systèmes d'Information (DSI) présenté par le Ministre d'État.

  • N° journal 8520
  • Date de publication 08/01/2021
  • Qualité 100%
  • N° de page

Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 7.996 du 12 mars 2020 portant création de la Direction des Systèmes d'Information ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la délibération n° 2019-114 du 17 juillet 2019 portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des habilitations et des accès au système d'information » exploité par la Direction des Réseaux et des Systèmes d'Information présenté par le Ministre d'État ;
Vu la demande d'avis déposée par le Ministre d'État, le 8 septembre 2020 concernant la mise en œuvre d'un traitement automatisé ayant pour finalité l'« Assistance aux utilisateurs par le Centre de Service de la DSI » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 5 novembre 2020, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 16 décembre 2020 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,

Préambule
L'Administration souhaite mettre à disposition des fonctionnaires, agents de l'État et prestataires qui disposent d'un terminal, un traitement permettant la création de tickets de demandes (qui permettent notamment aux Service de faire des demandes d'enrôlement des personnels sur des outils déterminés) ou d'incidents auprès du Centre de Service (CDS), afin qu'ils puissent être traités ou résolus.
Ainsi, ce dernier est soumis à l'avis de la Commission, conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Assistance aux utilisateurs par le Centre de Service de la DSI ».
Il concerne les fonctionnaires et agents de l'État, ainsi que les prestataires et utilisateurs dotés d'un poste de travail du Gouvernement.
Les fonctionnalités du traitement sont :
- Gestion des comptes et profils des utilisateurs et personnes habilitées à avoir accès à l'outil ;
- Suivi des demandes par l'utilisateur ;
- Gestion des tickets de demande ou d'incident par le Centre de Service ;
- Suivi des actions des agents de la DSI sollicités pour solutionner la demande ;
- Identification des difficultés/problèmes/solutions ;
- Établissement de rapports, bilans, statistiques et exports génériques ou nominatifs ;
- Suivi des activités du Centre de Service et de la qualité de service rendu aux utilisateurs ;
- Établissement d'une base de connaissance et d'un FAQ ;
- Diffusion de procédures et documentations internes à la DSI ou destinées aux utilisateurs ;
- Conservation des actions réalisées à des fins de compréhension des incidents/demandes ;
- Conservation des actions effectuées à des fins de preuve en cas de contentieux.
En ce qui concerne l'établissement de statistiques, le responsable de traitement précise que ces « rapports permettent notamment de disposer d'éléments sur les montées en charge des agents affectés au CDS, sur les besoins de renfort selon les horaires des demandes ou les sujets traités, sur les besoins en formation ou en profil spécifique selon les sujets, sur la qualité de service du CDS selon les délais de réponse, d'exécution … Les éléments reçus de la téléphonie sont ainsi utilisés en corrélation avec le présent traitement pour identifier le temps d'attente au téléphone des utilisateurs, le nombre d'appel entrant non pris, le temps passé avec les agents pour répondre à une demande…de manière générale mais également par collaborateur. Ils peuvent également être utilisés afin d'échanger avec les agents sur leurs difficultés, leurs résultats, leur efficacité, ou en tant qu'élément d'évaluation dors des échanges avec les responsables d'équipes ».
À cet égard, la Commission relève que les statistiques ont dans le présent traitement un objectif de suivi qualité de la prestation avec la prise en compte de la charge de travail attribuée, couplée au traitement du Centre d'appel du CDS.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par le respect d'une obligation légale à laquelle il est soumis, ainsi que par la réalisation d'un intérêt légitime, sans que ne soient méconnus les droits et libertés fondamentaux des personnes concernées.
La Commission relève que la mise en place d'un tel outil s'inscrit dans les missions de la DSI telles que prévues à l'article 2 de l'Ordonnance Souveraine n° 7.996 du 12 mars 2020 portant création de cette dernière, qui dispose notamment qu'elle doit « fournir un centre de support aux utilisateurs sur les outils informatiques ».
Il est en outre précisé, en ce qui concerne la justification par une obligation légale, que le traitement doit être notamment conforme à la politique de sécurité des systèmes d'information de l'État, annexée à l'arrêté ministériel n° 2017-56 du 1er février 2017, et utilisé conformément à la Charte des systèmes d'information et la Charte Administrateur de l'Administration.
Il est également précisé que l'intérêt légitime poursuivi est « de mettre à disposition une organisation, des outils et des compétences destinés à répondre aux besoins des utilisateurs du SI du Gouvernement afin de leur permettre d'exercer leurs fonctions et leurs missions dans les meilleures conditions ».
La Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

III. Sur les informations traitées
Les informations nominatives traitées sont :
En ce qui concerne les utilisateurs :
- identité : nom, prénom, matricule, photographie (facultative) ;
- vie professionnelle : langue, lieu de travail (identifiant administratif) ;
- ressources professionnelles : type de ressource et identifiant de la ressource (ex. ordinateur, moniteur, logiciels installés) ;
- coordonnées professionnelles : téléphone, email, autre téléphone ;
- identifiant électronique : identifiant (login) ;
- log de connexion de la dernière connexion : données d'horodatage de la dernière connexion (date, heure), DN de l'utilisation, prénom, nom, identifiant administratif du service de rattachement) ;
- information temporelle : date et heure de mise à jour du profil ;
- description de l'incident/de la demande : titre, évaluation de l'urgence/caractère/impact (de très basse à très haute), demande de suivi par courriel, description.
En ce qui concerne le suivi de tickets : ID de la demande, nom-prénom du demandeur, date et type d'opération (réception, ouverture, prise en compte, affectation, intervention, modification, temps de résolution, urgence/caractère, statut, ressources associées, description des actions.
En ce qui concerne les agents de la DSI intervenants dans le process de gestion des tickets :
- identité : nom, prénom ;
- vie professionnelle : groupe de techniciens, fonction et niveau ;
- suivi de process : catégorie, priorité, validation/réalisation/fermeture/clôture ;
- logs de connexion : source (ticket ou système), ID de la demande, date, service (ticket ou connexion), identifiant et adresse IP de la personne qui s'est connectée au système, durée de connexion, actions réalisées (création, mise à jour …) ;
- log de connexion des agents du CDS : log routeur et les logs ouverture de flux.
En ce qui concerne les rédacteurs de documentation :
- identité : nom, prénom ;
- horodatage : ID du document, date et heure de création et de mise à jour des documents.
Les données d'identité, de vie professionnelle, coordonnées professionnelles, identifiant électronique et de ressources professionnelles sont renseignées par les personnes habilitées de la DSI, et peuvent être complétées par l'intéressé (photographie, autre téléphone, description des demandes).
Les autres informations sont créées par le système.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

IV. Sur les droits des personnes concernées

  • Sur l'information préalable des personnes concernées

L'information préalable des personnes concernées est réalisée par le biais d'un document spécifique.
Ce dernier n'étant pas joint au dossier, la Commission rappelle que l'information des personnes concernées doit être conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

  • Sur l'exercice du droit d'accès, de modification et de mise à jour

Le droit d'accès est exercé par les personnes concernées par voie postale auprès de la Direction des Systèmes d'Information, ou par le biais d'un accès en ligne à son dossier.
À cet égard, la Commission rappelle que la réponse à ce droit d'accès doit s'exercer dans le mois suivant la réception de la demande.

V. Sur les destinataires et les personnes ayant accès au traitement
La Commission constate que le responsable de traitement ne communique aucune information à des destinataires.

Par ailleurs, ont accès au traitement :
- Les agents habilités de la DSI et toute personne travaillant sous son autorité : accès dans le cadre de leurs missions en inscription, modification, suppression/anonymisation ;
- Les utilisateurs sous un « profil selfservice » : accès en consultation, inscription, modification s'agissant de leurs informations et du suivi de leur(s) demande(s).
La Commission constate qu'il est fait recours à des prestataires. Elle rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée, les droits d'accès de ces derniers doivent être limités à ce qui est strictement nécessaire à l'exécution de leurs contrats de prestation de service. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission considère que ces accès sont justifiés.

VI. Sur les rapprochements et les interconnexions avec d'autres traitements
Le responsable de traitement indique que le traitement est interconnecté avec les traitements suivants :
- « Gestion des habilitations et des accès au Système d'information », légalement mis en œuvre, aux fins de synchronisation du compte ;
- Les traitements de « Gestion de la messagerie professionnelle », légalement mis en œuvre, aux fins d'échanges entre les utilisateurs et plus généralement sur les tickets ;
- « Gestion du parc informatique », concomitamment analysé, afin de connaitre les équipements mis à disposition de l'utilisateur.
En outre, il est rapproché avec les traitements de :
- « Gestion des outils de communications instantanées » légalement mis en œuvre, afin si nécessaire d'initier un partage d'écran avec l'utilisateur ;
- « Supervision des appels téléphoniques du Centre de Service », légalement mis en œuvre, afin de justifier de la mobilisation longue d'un Agent du CDS sur une problématique via le téléphone. À cet égard, conformément à la justification des données statistiques exposée en rubrique 4, la Commission rappelle que l'utilisation de données statistiques à des fins de contrôle qualité formation doit être effectuée conformément à l'encadrement exposé dans sa délibération n° 2020-147 du 28 octobre 2020 portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Supervision des appels téléphoniques du Centre de Service ».
Enfin, ce traitement est rapproché avec l'ensemble des traitements légalement mis en œuvre qui s'appuient sur le Centre de Service comme mécanisme d'enrôlement.
À l'analyse des éléments du dossier, ces rapprochements et interconnexions sont conformes aux finalités initiales.

VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
La Commission rappelle enfin que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.

VIII. Sur la durée de conservation
Les données sont conservées :
- 6 mois après la suppression du compte « habilitation » de l'utilisateur, excepté la photo qui peut être supprimée à tout moment par l'utilisateur, les « logs de connexion de la dernière connexion » qui s'effacent à chaque nouvelle connexion (toutefois, les logs de la dernière connexion sont supprimés 6 mois après la suppression du compte « habilitation »), les informations temporelles qui s'effacent lors des nouvelles mises à jour ;
- 5 ans en base active à compter de la clôture du ticket et ensuite 5 ans en base archive sous une forme nominative (utilisateur et agent DSI) en ce qui concerne les demandes et le suivi des tickets ;
- 12 mois glissants en ce qui concerne les logs de connexion des agents de la DSI, 7 mois en ce qui concerne ceux du Centre de service ;
- Tant que le document est utile et reste dans la base, en ce qui concerne les informations relatives au rédacteur de documentation.
À cet égard, la Commission relève que la durée de conservation de 6 mois après la suppression du compte « habilitation » est justifiée par la synchronisation des comptes utilisateurs du traitement ayant pour finalité « Gestion des habilitations et des accès au Système d'information » et du présent traitement.
Aussi, elle rappelle que la durée des comptes « habilitation » validée dans sa délibération n° 2019-114 du 17 juillet 2019 est de « 90 jours après le départ de l'intéressé en ce qui concerne l'identité, les adresses et coordonnées, la vie professionnelle » et au départ de la personne concernée en ce qui concerne les informations relatives aux données d'identification électronique. Dès lors, ces délais doivent être appliqués au présent traitement.
De plus, la Commission estime que la conservation de manière nominative des tickets en base archive est disproportionnée, et demande que les tickets soient supprimés ou anonymisés à l'issue du délai de 5 ans en base active.
Par ailleurs, la Commission constate que les données statistiques ne font pas l'objet d'un encadrement de leur durée de conservation. Conformément à sa délibération n° 2020-147 du 28 octobre 2020 portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Supervision des appels téléphoniques du Centre de Service », elle fixe leur durée à 6 mois.
Sous cette réserve, la Commission considère que ces durées sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :

Rappelle que :
- les personnes concernées doivent être informées de manière conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

Fixe les durées de conservation comme suit :
- des données statistiques à 6 mois ;
- à « 90 jours après le départ de l'intéressé en ce qui concerne l'identité, les adresses et coordonnées, la vie professionnelle » et au départ de la personne concernée en ce qui concerne les informations relatives aux données d'identification électronique, conformément à sa délibération n° 2019-114 ;
- de manière nominative à 5 ans en base active, charge au responsable de traitement de supprimer ou d'anonymiser ces derniers à l'issue de ce délai.
Considère que l'utilisation des données statistiques à des fins de contrôle qualité et de formation doit être effectuée conformément à sa délibération n° 2020-147 du 28 octobre 2020 portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Supervision des appels téléphoniques du Centre de Service ».
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État, du traitement automatisé d'informations nominatives ayant pour finalité « Assistance aux utilisateurs par le Centre de Service de la DSI » exploité par la Direction des Systèmes d'Information (DSI).

Le Président de la Commission de Contrôle des Informations Nominatives.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14