icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2021-277 du 15 décembre 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des rentes liées aux accidents du travail et maladies professionnelles » du Service des Prestations Médicales de l'État (SPME) présenté par le Ministre d'État.

  • N° journal 8572
  • Date de publication 07/01/2022
  • Qualité 100%
  • N° de page

Vu la Constitution ;

Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu la loi n° 975 du 12 juillet 1975 portant statut des fonctionnaires de l’État, modifiée ;

Vu la loi n° 1.228 du 10 juillet 2000 portant statut des greffiers ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu l’Ordonnance Souveraine n° 231 du 3 octobre 2005 portant création d’un Service des Prestations Médicales de l’État ;

Vu l’Ordonnance Souveraine n° 8.017 portant statut des militaires de la force publique ;

Vu l’Ordonnance Souveraine n° 8.011 du 12 mars 2020 relative à l’octroi des prestations médicales aux fonctionnaires et agents de l’État et de la Commune ;

Vu la demande d’avis présentée le 20 août 2021 par le Ministre d’État, concernant la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des rentes liées aux accidents du travail et maladies professionnelles » du Service des Prestations Médicales de l’État ;

Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 18 octobre 2021, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 15 décembre 2021 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

L’Ordonnance Souveraine n° 231 du 3 octobre 2005 portant création d’un Service des Prestations Médicales (SPME) de l’État dispose que ce dernier est notamment chargé « de gérer les prestations accordées par l’État au titre de l’assurance maladie, et maternité, de l’assurance accident du travail, de l’assurance invalidité, des prestations familiales et autres avantages sociaux y afférents ».

Il est ainsi confié au SPME la mission de gérer les rentes liées aux accidents du travail et maladies professionnelles.

Aussi, le Ministre d’État soumet à l’avis de la Commission, conformément aux dispositions de l’article 7 de la loi n° 1.165 du 23 décembre 1993, le traitement y afférent.

I. Sur la finalité et les fonctionnalités du traitement

Le traitement a pour finalité la « Gestion des rentes liées aux accidents du travail et maladies professionnelles ».

Le responsable de traitement précise qu’il concerne les bénéficiaires SPME, à savoir les fonctionnaires et agents de l’État et des statuts particuliers, mais également de manière incidente les fonctionnaires et agents du SPME en charge des dossiers.

Les fonctionnalités ouvertes aux bénéficiaires SPME sont :

-  identification du bénéficiaire d’une rente ;

-  détermination du montant de la rente ;

-  gestion des suspensions de rente ;

-  suivi de l’historique des évolutions des rentes ;

-  gestion des correspondances avec les bénéficiaires ;

-  transfert des montants à la TGF pour paiement des bénéficiaires ;

-  identification des agents du SPME ayant effectué des actions ;

-  rapport : liste des rentes à des fins de vérification interne (adéquation) ;

-  statistiques non nominatives (nombre de rentiers par an, nombre de rentier par service).

La Commission considère que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement

Il est indiqué que le traitement est justifié par le respect d’une obligation légale, le consentement des personnes concernées et la réalisation d’un intérêt légitime.

À titre liminaire, la Commission relève que l’Ordonnance Souveraine n° 231 du 3 octobre 2005 portant création d’un Service des Prestations Médicales (SPME) de l’État dispose que ce dernier est chargé « de gérer les prestations accordées par l’État au titre de l’assurance maladie, et maternité, de l’assurance accident du travail, de l’assurance invalidité, des prestations familiales et autres avantages sociaux y afférents ».

En outre, l’Ordonnance Souveraine n° 8.011 du 12 mars 2020 relative à l’octroi des prestations médicales aux fonctionnaires et agents de l’État et de la Commune vient préciser en son article 116 que « Lorsque le fonctionnaire ou l’agent de l’État, victime d’un accident du travail, est atteint d’une incapacité partielle permanente, il lui est alloué une rente sur avis de la Commission Médicale des Congés de Maladie et des Invalidités.

Cette Commission est également compétente pour émettre un avis sur la révision de la rente ou sa suspension.

L’attribution d’une rente, sa révision ou sa suspension est notifiée par la Direction des Ressources Humaines et de la Formation de la Fonction Publique au fonctionnaire ou à l’agent de l’État concerné. ».

En outre, l’article 118 de ladite Ordonnance dispose que « Le montant de la rente d’accident du travail est fonction du taux d’incapacité partielle permanente et du traitement de la victime.

Le calcul et le paiement, par trimestre et à terme échu, de cette rente sont assurés par le Service des Prestations Médicales de l’État à compter de la date de consolidation de la blessure ou de l’état de santé du fonctionnaire ou de l’agent.

La rente est incessible et insaisissable. ».

Enfin, l’article 125 précise que ce régime est applicable aux maladies professionnelles en prévoyant que « Les dispositions particulières en matière d’accidents du travail visées par la présente ordonnance sont étendues aux maladies professionnelles. ».

Aussi, la Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.

III. Sur les informations traitées

Le responsable de traitement exploite les informations dites « sensibles » protégées par l’article 12 de la loi n° 1.165 suivantes :

-  données de santé : taux d’IPP.

Le responsable de traitement indique que cette collecte répond à une obligation légale, précisant qu’aux termes de l’article 55 de la loi n° 975 du 12 juillet 1975 portant statut des fonctionnaires de l’État, « Lorsque l’intéressé est atteint d’une incapacité permanente ne justifiant pas sa mise à la retraite pour invalidité, il lui est alloué une rente dont le montant, calculé comme en matière d’accidents du travail, est fonction du taux d’incapacité (…) ». L’IPP permet donc le calcul de la rente qui sera versée au fonctionnaire.

Les informations nominatives traitées sont :

-  identité, situation de famille : numéro de dossier, matricule SPME, civilité, nom, nom d’usage, prénom, date de naissance, date de décès, nationalité  ;

-  adresses et coordonnées : adresse du domicile ;

-  vie professionnelle : service, statut (fonctionnaire, auxiliaire) ;

-  caractéristiques financières : n° unique du bénéficiaire de versement, salaire annuel, taux d’IPP, montant de la rente, date des échéances et paiements, historique des virements ;

-  date de suivi : date de l’accident, date de consolidation, date d’effet, date de rachat, suspension et motif de suspension de rente ;

-  référentiel : salaire minimum, taux et majoration, coefficients ;

-  suivi des courriers : trame des courriers et date d’envoi, nom et fonction du signataire ;

-  observations : éléments factuels en lien avec le dossier.

Les informations relatives à l’identité, aux adresses et à la vie professionnelle ont pour origine le traitement du SPME ayant pour finalité « Immatriculation au service des prestations médicales de l’État ». Le numéro de dossier est attribué par incrémentation automatique de l’application.

En ce qui concerne les informations financières, le numéro unique de bénéficiaire est fourni par le CGD, le taux d’IPP par l’avis de la Commission médicale et les montants et dates d’échéances des rentes sont calculés par l’application.

En outre, la date de l’accident provient de la déclaration d’accident du travail, la date de consolidation et la date d’effet sont communiquées par la Commission médicale. L’application informe de la date de rachat.

Le référentiel est issu des textes réglementaires.

Les courriers et les observations sont faits par les Agents du SPME. En ce qui concerne les observations, la Commission rappelle qu’elles doivent se limiter à des éléments factuels en lien avec le dossier. Elle appelle l’attention du responsable de traitement sur la qualité des informations qui peuvent y être inscrites et préconise qu’une sensibilisation des personnels soit effectuée, et une revue régulière des mentions inscrites.

De plus, la Commission estime que le motif de suspension de la rente, qui est connu de la seule Commission médicale, n’a pas à être renseigné dans le présent traitement. À cet égard, elle a entendu les précisions du responsable de traitement lui indiquant qu’il s’agit d’une rubrique de type « observation » pour suivre les suspensions techniques des rentes (complément d’information nécessaire pour traiter la rente, arrêt de travail en lien avec le motif de la rente, sans en connaitre la teneur, etc.) et qu’elle ne contient en aucun cas des données médicales.

Enfin, sont traitées les informations suivantes des Agents du SPME, issues du système d’authentification :

-  identité : matricule ;

-  vie professionnelle : fonction ;

-  statut : actions (création d’un dossier, modification), date et heure.

La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.

IV. Sur les droits des personnes concernées

  • Sur l’information préalable des personnes concernées

Le responsable de traitement indique que l’information préalable des personnes concernées est effectuée par le biais d’un document spécifique et d’une rubrique propre à la protection des données accessible en ligne. Il précise d’une part qu’il s’agit d’« une circulaire interne qui reprend les traitements exploités par le SPME », et d’autre part d’« une notice d’information intégrée sur le site Internet du Gouvernement Princier dans la rubrique « Relations avec l’Administration »/protection des droits ».

La Commission constate que les personnes concernées ne sont pas directement informées lors de la constitution de leur dossier mais doivent, pour espérer connaître leurs droits, accéder par de multiples renvois disponibles sur le site Internet du Gouvernement à une mention d’information dédiée. Elle estime que cette modalité d’information n’est pas conforme aux dispositions de l’article 14 de la loi n° 1.165. Elle rappelle enfin que la mention doit comporter tous les éléments listés audit article.

  • Sur l’exercice du droit d’accès, de modification et de mise à jour

Le responsable de traitement indique que le droit d’accès est exercé par voie postale, sur place ou courrier électronique auprès du Service des Prestations Médicales de l’État.

À cet égard, la Commission rappelle que la réponse à ce droit d’accès doit intervenir dans le mois suivant la réception de la demande par le responsable de traitement et que les informations couvertes par le secret liant l’avocat à son client ne pourront pas être transmises à des tiers non habilités.

S’agissant de l’exercice du droit d’accès par voie électronique, la Commission considère qu’une procédure devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur de la demande est effectivement la personne concernée par les informations. Elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières, comme rappelé dans sa Délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents officiels d’identité.

Sous ces réserves, la Commission constate ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.

V. Sur les destinataires et les personnes ayant accès au traitement

  • Sur les destinataires

La Commission relève que le responsable de traitement n’indique pas communiquer d’informations objets du présent traitement à des destinataires.

La Commission relève toutefois que la Direction du Budget et du Trésor (DBT) est destinataire des calculs de rente pour vérification des calculs effectués par les SPME. Dès lors, la DBT est amenée à connaitre le taux d’IPP des personnes concernées. La Commission demande donc que la transmission de cette information soit effectuée de manière sécurisée, à un nombre restreint de personne nominativement désignées, et qu’une fois le calcul approuvé l’information soit supprimée au sein de la DBT.

Enfin, les mandats sont envoyés au Contrôle Général des Dépenses puis transmis à la Trésorerie Générale des Finances.

  • Sur les accès au traitement

Le responsable de traitement indique qu’ont accès au traitement :

-  les personnels habilités du SPME : tout accès dans le cadre de la gestion des rentes ;

-  les personnels administratifs de la Direction des Systèmes d’Information (ou tiers agissant pour son compte ou sous son autorité).

Elle rappelle que les agents de la DSI n’ont pas à avoir accès en continu à l’information métier, dont la sensibilité peut varier en fonction des Services concernés. Elle demande donc que les accès soient restreints au strict besoin d’en connaitre et que les interventions de supports soient effectuées selon des modalités définies conformes aux règles de l’art.

En ce qui concerne les tiers intervenant pour le compte de la DSI, la Commission rappelle que, conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993 modifiée, les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de services.

Elle relève par ailleurs que les bénéficiaires pourront accéder à leur propre compte.

La Commission considère que ces accès sont justifiés.

VI. Sur les interconnexions avec d’autres traitements

Le responsable de traitement indique que le présent traitement fait l’objet d’interconnexions avec les traitements de l’État légalement mis en œuvre ayant pour finalités :

-  « Gestion des habilitations et des accès au Système d’information » afin de disposer des éléments permettant aux agents de l’État de se connecter au réseau afin d’exécuter leurs missions selon leurs profils ;

-  « Gestion et analyse des évènements du système d’information » à des fins de traçabilité et de sécurité ;

-  « Immatriculation au service des prestations médicales de l’État », permettant de connaître l’assuré.

Il est également rapproché avec les traitements légalement mis en œuvre suivants de l’État :

-  « Gestion de la messagerie professionnelle », afin de permettre aux acteurs du traitement de pouvoir échanger dans le cadre de leurs fonctions ;

-  « Gestion des fiches de bénéficiaires » exploité par le CGD, pour récupérer le numéro CGD nécessaire aux paiements.

Il est également interconnecté avec le traitement légalement mis en œuvre par les Caisses Sociales de Monaco ayant pour finalité « Gestion des accès au système d’information opérés par les Caisses Sociales », permettant à ses agents de se connecter au réseau afin d’exécuter leurs missions selon leurs profils.

La Commission relève que ces interconnexions et rapprochements sont conformes aux exigences légales.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.

Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

Enfin, la Commission rappelle que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Les données sont conservées 5 ans à compter de la date de décès.

À cet égard, la Commission estime cette durée conforme aux exigences légales.

Après en avoir délibéré, la Commission :

Demande que :

-  les personnes concernées soient informées de leurs droits directement lors de la constitution de leur dossier, une mention d’information peu accessible sur le site Internet du Gouvernement ne remplissant pas les conditions légales ;

-  la mention d’information comporte l’ensemble des éléments requis par l’article 14 de la loi n° 1.165, modifiée ;

-  les rubriques « informations » et « motif » fassent l’objet d’une attention particulière quant à la qualité des informations qui y sont renseignées ;

-  la transmission des calculs pour vérification à la DBT soit sécurisée, s’effectue à destination d’un nombre restreint de personnes nominativement désignées, et que les informations soient supprimées au sein de la DBT après vérification desdits calculs.

Rappelle que :

-  les agents de la DSI n’ont pas à avoir accès en continu à l’information métier, dont la sensibilité peut varier en fonction des Services concernés ;

-  les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

Considère qu’une procédure relative au droit d’accès par voie électronique doit être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courrier électronique est effectivement la personne concernée par les informations.

À la condition de la prise en compte des éléments qui précèdent,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des rentes liées aux accidents du travail et maladies professionnelles » du Service des Prestations Médicales de l’État.

Le Président de la Commission de Contrôle des Informations Nominatives.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14