Délibération n° 2022-3 du 19 janvier 2022 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion du paiement des prestations et des aides sociales » présenté par l'Office de Protection Sociale.
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 335 du 19 décembre 1941 portant création d’un Office d’Assistance Sociale, modifiée ;
Vu la loi n° 918 du 27 décembre 1971 sur les établissements publics ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.279 du 29 décembre 2003 modifiant certaines dispositions de la loi n° 335 du 19 décembre 1941 portant création d’un office d’assistance sociale ;
Vu la loi n° 1.465 du 11 décembre 2018 relative à l’aide à la famille monégasque et à l’aide sociale ;
Vu l’Ordonnance Souveraine n° 5.055 du 8 décembre 1972 sur les conditions d’administration et de gestion administrative et comptable des établissements publics ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’Ordonnance Souveraine n° 5.641 du 14 décembre 2015 portant création d’une Direction de l’Action et de l’Aide Sociales ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la demande d’avis déposée par l’Office de Protection Sociale le 28 septembre 2021 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Gestion du paiement des prestations et des aides sociales » ;
Vu la prorogation du délai d’examen de ladite demande d’avis notifiée au responsable de traitement le 25 novembre 2021, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 19 janvier 2022 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Aux termes de l’article 1er de la loi n° 335 du 19 décembre 1941, l’Office de Protection Sociale (OPS) est un établissement public autonome ayant « pour mission d’assurer des prestations sociales et de procéder au versement d’allocations financières, pour le compte de l’État, dans des conditions déterminées par ordonnance souveraine, au bénéfice des personnes dont la situation ou les ressources le justifient ».
Le traitement d’informations nominatives objet de la présente délibération est donc soumis à l’avis de la Commission conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Ce traitement a pour finalité « Gestion du paiement des prestations et des aides sociales ».
Les personnes concernées sont les bénéficiaires des prestations et aides sociales ainsi que les agents habilités de la DASO (Direction de l’Action et de l’Aide Sociales).
Ce traitement a pour objectif « de permettre à l’Office de Protection Sociale, établissement public chargé du versement des aides sociales, administré par une Commission Administrative, d’exercer sa mission d’organisme payeur des prestations sociales décidées par l’État ».
Les fonctionnalités sont ainsi les suivantes :
- permettre au personnel habilité de la DASO agissant pour le compte de l’OPS d’avoir accès aux applications informatiques mises en place pour la gestion des prestations et aides sociales, afin de saisir, contrôler, valider et procéder aux paiements et prestations et aides sociales accordées par la DASO ;
- transférer et partager les données strictement nécessaires au traitement des dossiers entre les 2 entités, la Direction de l’Action et de l’Aide Sociale (service instructeur des demandes) et l’Office de Protection Sociale (service payeur) ;
- historiser les paiements, assurer le suivi administratif et financier des dossiers (paiement, recours, contentieux) ;
- consulter les fiches bénéficiaires ;
- échanger des correspondances avec les bénéficiaires et/ou ayants droit et/ou représentant légal, obligés alimentaires, études notariales et tribunal dans le cadre des recours ;
- procéder au paiement des factures de la Direction du Budget et Trésor relatives aux salaires et charges des personnes en insertion socio professionnelle, travailleurs handicapés sur des postes en surnombre et des auxiliaires de vie, des factures de l’AMAPEI (Association Monégasque pour l’Aide et la Protection des Enfants Inadaptés) correspondant aux salaires et charges des travailleurs handicapés et des factures de la Mairie, relatives aux salaires des auxiliaires de vie, des auxiliaires de puériculture, des travailleurs handicapés en milieu ordinaire du travail et des personnes en insertion socio-professionnelle ;
- établir des tableaux de bord (exécution budgétaire, budget prévisionnel, études) et des statistiques non nominatives ;
- revaloriser annuellement le montant des prestations et allocations servies par la DASO (prestation d’autonomie, allocation des personnes attributaires du statut handicapé, AHV (Allocation Handicap Vieillesse), allocation mensuelle de retraite, tickets services, etc.) ;
- procéder aux appels d’offres pour la passation des marchés dont le montant est supérieur à 160 000 euros, établir des contrats et avenants relatifs à ces marchés ;
- gérer les contentieux (indus, trop perçu, recours de l’OPS contre le bénéficiaire revenu à meilleure fortune, recours sur succession, requêtes diverses auprès du tribunal de Monaco) ;
- élaborer le rapport de clôture des comptes annuels, les budgets primitifs et rectificatifs accompagnés des comptes rendus budgétaires ;
- transférer à la Commission Administrative de l’Office de Protection Sociale, à la Commission Consultative des Établissements des Marchés Publics et à la Cour Supérieure des Comptes les informations nécessaires à leurs missions.
La Commission constate ainsi que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le traitement dont s’agit est tout d’abord justifié par le respect d’une obligation légale à laquelle est soumis le responsable de traitement.
À cet égard, le responsable de traitement indique que « Les attributions de l’Office de Protection Sociale (OPS) sont fixées par :
- la loi n° 1.279 du 29 décembre 2003 modifiant certaines dispositions de la loi n° 335 du 19 décembre 1941 portant création d’un office d’assistance sociale ;
- la loi n° 918 du 27 décembre 1971 sur les établissements publics ;
- l’Ordonnance Souveraine n° 5.055 du 8 décembre 1972 sur les conditions d’administration et de gestion, administrative et comptable des établissements publics ».
Il précise qu’« À cela s’ajoutent l’Ordonnance Souveraine n° 5.641 du 14 décembre 2015 portant création de la Direction de l’Action et de l’Aide Sociale et la loi n° 1.465 du 11 décembre 2018 relative à l’aide à la famille monégasque et à l’aide sociale, qui précisent les fonctions de l’Office de Protection Sociale dans le cadre de dispositions légales et réglementaires relevant de ses domaines de compétence ».
La Commission relève que le traitement « permet la mise en application des engagements de l’État portant sur la gestion administrative et financière des prestations et aides sociales et de procéder au versement d’allocations financières, pour le compte de l’État, liquidées sur le budget de l’Office de Protection Sociale, dans les conditions déterminées par Ordonnance Souveraine, au bénéfice des personnes dont la situation ou les ressources le justifient ».
Elle constate que ce traitement « lui permet également d’exercer son droit de recours jusqu’à concurrence de cinq années de secours (prescription légale), avec le bénéfice à son profit et de plein droit de l’assistance judiciaire soit contre les bénéficiaires de prestations ou d’allocations si on leur reconnait ou s’il leur revient des ressources suffisantes (retour à meilleure fortune) soit contre toutes personnes ou sociétés tenues de l’obligation d’assistance ».
La Commission note par ailleurs que l’OPS « est habilité à procéder aux appels d’offre, soumis à contrôle et validation de la Commission Consultative des Marchés des Établissements Publics, pour la passation des marchés dont le montant est supérieur à 160 000 euros et à établir des contrats et avenants relatifs à ces marchés ».
Le responsable de traitement justifie également le traitement par un motif d’intérêt public.
À cet égard, il indique que celui-ci « repose sur le respect d’un droit fondamental garanti par la Constitution monégasque en son article 26 qui dispose que « Les Monégasques ont droit à l’aide de l’État en cas d’indigence, chômage, maladie, invalidité, vieillesse et maternité, dans les conditions et formes prévues par la loi » ».
Le responsable de traitement précise que « Se fondant sur ce principe, la loi n° 335 du 19 décembre 1941, modifiée, portant création d’un Office d’Assistance Sociale, la loi n° 918 du 27 décembre 1971 relative aux établissements publics et la loi n° 1.465 du 11 décembre 2018 relative à l’aide à la famille monégasque et à l’aide sociale permettent ainsi de renforcer le modèle social monégasque » qui, « se caractérise par une action publique offrant un niveau élevé de protection sociale de ses nationaux, résidents et travailleurs afin de les protéger contre les différents aléas de la vie ; l’État apporte également une protection aux personnes aux personnes en situation de besoin par l’octroi de différentes aides sociales. L’aide sociale, fondée sur le principe d’assistance, constitue à Monaco comme ailleurs, un droit à l’essentiel ».
Enfin, le traitement de données est justifié par « la réalisation d’un intérêt légitime, celui de pouvoir répondre à sa mission dans les meilleures conditions et dans le respect des droits des personnes formalisés par des textes transparents et clairs quant aux informations nécessaires pour répondre à leur demande ».
Le responsable de traitement précise par ailleurs qu’« À terme, avec l’accord du requérant, des éléments concernant sa situation financière et celle de son foyer pourront être sollicités auprès des services de l’administration monégasque ».
La Commission considère donc que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations nominatives traitées
Le responsable de traitement indique à titre liminaire que « Les informations exploitées dans le traitement ne sont pas exploitées directement auprès des personnes concernées. Les opérations de paiement ou de contentieux après paiement réalisées par l’Office de Protection Sociale interviennent dans le prolongement d’une aide, prestation sollicitée par une personne, dans le cadre des missions comptables et budgétaires de l’OPS ».
Ainsi, les informations nominatives traitées dans le cadre de ce traitement sont :
- Pour la gestion des paiements
- caractéristiques financières : factures de la Direction du Budget et du Trésor (salaires et charges sociales des personnes en insertion socio-professionnelle, des travailleurs handicapés sur des postes en surnombre, en milieu ordinaire du travail et des auxiliaires de vie scolaire), de l’AMAPEI, (salaires et charges des travailleurs handicapés en atelier protégé) et factures de la Mairie relatives aux salaires des auxiliaires de vie, des auxiliaires de puériculture, des travailleurs handicapés en milieu ordinaire du travail et des personnes en insertion socio-professionnelle, toutes factures susceptibles d’être prises en charge au titre d’une aide sociale notifiée ou d’un plan d’aide notifié par la CEH (Commission d’Évaluation du Handicap) accordée par la DASO (hôpitaux, maisons de retraite et établissements spécialisés, entreprises prestataires de services d’aides à la personne), RIB des bénéficiaires des prestations et aides sociales accordées par la DASO, des sociétés prestataires et des établissements d’accueil spécialisés et de santé, notification de la DASO de payer des allocations, des aides sociales et/ou un plan d’aide.
La Commission prend acte des précisions du responsable de traitement selon lesquelles ces informations sont nécessaires « à l’instruction des dossiers, au paiement des allocations, des aides sociales et des factures des prestataires et établissements divers ».
Ces informations ont pour origine la Direction du Budget et Trésor, l’APAMEI, la Mairie, les hôpitaux, les établissements de soins et d’accueil spécialisés, les maisons de retraite et les entreprises prestataires de service d’aide à la personne.
- Pour la gestion des litiges et dans le cadre de l’exercice de son droit de recours
Le responsable de traitement indique que « Les informations ne sont traitées QUE dans le cas de litige ou de recours » et que « Dans la majeure partie des cas, sans litige, les données suivantes ne sont donc pas traitées » :
- identité du demandeur et des personnes vivant au foyer : civilité, nom, nom d’usage, prénoms, date et lieu de naissance, nationalité, numéro matricule, date d’arrivée à Monaco, situation familiale, nombre de personnes dans le foyer, nombre d’enfants, nombre de personnes à charge, adresse du domicile, coordonnées téléphoniques et électroniques, lien de parenté avec le demandeur, photocopie de la carte d’identité ou de la carte de séjour, carte d’étudiant ou certificat de scolarité, extrait de la copie de l’ordonnance de jugement (séparation, divorce, placement sous protection judiciaire) ;
- identité des obligés alimentaires : civilité, nom, nom d’usage, prénoms, date et lieu de naissance, nationalité, lien avec le demandeur, situation familiale, adresse du domicile, coordonnées téléphoniques et électroniques, photocopie de la carte d’identité ou de la carte de séjour.
La Commission prend acte des précisions du responsable de traitement selon lesquelles ces informations sont nécessaires pour « permettre l’identification du demandeur, de son foyer et de ses obligés alimentaires permettant à l’OPS d’échanger des informations et d’exercer son droit de recours sur succession ou retour à meilleure fortune ».
Elle note par ailleurs que « les cartes d’identité ou cartes de séjour du demandeur et des membres du foyer, les cartes d’étudiant ou les certificats de scolarité sont photocopiés et scannés en noir et blanc » et que les « données sont barrées ».
La Commission relève en outre que « Seul l’extrait de la copie de l’ordonnance de séparation de corps ou du jugement de divorce pour les personnes séparées ou divorcées notifiant les données nécessaires à l’instruction du dossier, est collecté et conservé à cette fin ».
Ces informations ont pour origine la DASO.
Enfin, en plus de l’ensemble des données mentionnées précédemment, le responsable de traitement indique qu’« Au regard des missions confiées à l’Office de Protection Sociale, ce dernier peut être amené à collecter d’autres informations, dès lors qu’elles s’avèrent nécessaires au traitement du paiement ou remboursement d’une prestation ou aide sociale ou dans le cadre d’un recours à l’encontre d’un bénéficiaire revenu à meilleure à fortune ou d’un contentieux ».
À cet égard, la Commission prend acte que « Ces informations peuvent être des éléments de salaire perçus et non communiqués par l’intéressé aux fins de contrôle et si cela s’avère indispensable. Le versement des prestations sociales étant conditionné aux revenus déclarés, l’OPS peut être amené à interroger la Fonction Publique et/ou la Direction du Budget et du Trésor, avec l’accord de l’intéressé notifié sur le formulaire de demande d’aide sociale. Ce type de demande est sporadique. L’OPS peut également interroger les Caisses Sociales de Monaco, afin de connaître la prise en charge légale d’un usager qui bénéficierait à tort d’une prise en charge au titre de l’aide médicale de l’État ».
- Données techniques
- Données d’identification électronique : login et mot de passe ;
- informations temporelles : logs de connexion des personnes habilitées à avoir accès au traitement ;
- identité des agents habilités à avoir accès au traitement : nom, prénom, accès autorisé ;
- éléments de traçabilité des fiches bénéficiaires : date, heure, nom, prénom, action.
Les données d’identification électronique ont pour origine la DSI pour le login et l’utilisateur pour le mot de passe.
Les logs de connexion et les éléments de traçabilité des fiches bénéficiaires ont pour origine le système.
Enfin, l’identité des agents habilités à avoir accès au traitement a pour origine le responsable de service.
La Commission considère ainsi que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
- Sur l’information préalable des personnes concernées
Le responsable de traitement indique que les informations exploitées dans le traitement ne sont pas collectées directement auprès des personnes concernées.
Il précise à cet effet que « Les opérations réalisées interviennent dans le prolongement d’une aide ou prestation sociale sollicitée par une personne, plus précisément dans sa phase de paiement ou de contentieux après paiement. Aussi, l’Office de Protection Sociale ne procède pas à l’information des personnes concernées conformément à l’exception prévue à l’article 14 alinéa 2 de la loi n° 1.165 qui dispose que : « Lorsque les informations nominatives ne sont pas collectées directement auprès de la personne concernée, le responsable de traitement ou son représentant doit lui fournir les informations prévues au précédent alinéa, sauf si l’information de la personne concernée a déjà été effectuée, se révèle impossible, ou implique des mesures disproportionnées au regard de l’intérêt de la démarche ou encore si la collecte ou la communication des informations est expressément prévue par les dispositions législatives ou réglementaires » ».
Le responsable de traitement explique en outre que « l’Information des personnes concernées par les traitements de la Direction de l’Action Sanitaire et Sociale intègre dans les destinataires, l’OPS ».
La Commission en prend acte et rappelle au responsable de traitement qu’il lui appartient de s’assurer que les personnes concernées sont effectivement informées de la communication de leurs informations vers le présent traitement.
- Sur l’exercice du droit d’accès, de modification et de mise à jour
Le droit d’accès s’exerce sur place ou par voie postale auprès de l’Office de Protection Sociale.
À cet égard, la Commission rappelle que la réponse à un droit d’accès doit intervenir dans le mois suivant la réception de la demande.
Sous cette condition, elle constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.
V. Sur les destinataires et les personnes ayant accès au traitement
- Sur les destinataires
Le responsable de traitement indique que « Dans la limite de leurs attributions légales et chacun pour ce qui le concerne, sont destinataires d’informations nominatives issues du présent traitement, en fonction du type de demande :
- La Direction de l’Action et de l’Aide Sociales, pour l’instruction d’un dossier complexe, permettant la mise en œuvre d’actions d’information auprès du Département de tutelle, aux fins de dérogation au bénéfice des demandeurs ;
- Le Président, les membres de la Commission Administrative de l’Office et le Commissaire de Gouvernement délégué auprès de cette instance, réunie deux fois par an, sont destinataires des budgets, rapport de clôture des comptes de l’OPS, des réévaluations des montants des allocations et aides sociales et des données nominatives, pour transiger sur le traitement d’un dossier sur lequel l’avis de la Commission est requis (contentieux) ;
- Les études notariales, les avocats et le tribunal de Monaco peuvent disposer des données nominatives nécessaires à cette fin dans le cadre de l’exercice de son droit de recours sur succession et à l’encontre d’un bénéficiaire revenu à meilleure fortune (…) ;
- Les Caisses de Sécurité Sociale : Caisses Sociales de Monaco, Service des Prestations Médicales de l’État, caisses d’assurances maladie étrangères, assureurs privés ; l’Office de Protection Sociale peut contacter ces organismes afin de connaître la fin et/ou le début des droits du demandeur auprès de leurs services. L’Office peut adresser le décompte des sommes à recevoir de leur organisme dans l’hypothèse où le demandeur aurait bénéficié à tort d’une prise en charge au titre de l’AME (contentieux) ;
- Les Hôpitaux, établissements de santé, maisons de retraite, praticiens et auxiliaires médicaux, pharmacies. L’Office de Protection Sociale peut leur communiquer le numéro matricule, le taux et la période de prise en charge financière ».
La Commission relève par ailleurs à l’étude du dossier que la Direction du Budget et du Trésor est destinataire de l’ordre de virement signé par l’Agent comptable de l’OPS et du RIB pour tout paiement supérieur à 50 000 euros par bénéficiaire.
Au vu de ce qui précède, elle considère que ces transmissions sont conformes aux exigences légales.
- Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
- la comptable de la DASO agissant pour le compte de l’OPS : création, consultation et mise à jour des applications OPS (tableaux de bord, base courrier, logiciel compte, logiciel de virement), consultation et mise à jour de la fiche bénéficiaire de la DASO ;
- l’Attaché Principal Hautement Qualifié (binôme de la comptable) : création, consultation et mise à jour des applications OPS (tableaux de bord, base courrier, logiciel compte, logiciel de virement), consultation de la fiche bénéficiaire de la DASO ;
- les Attachés, le contrôleur et les Chefs de bureaux de la DASO : création, consultation, mise à jour et suppression des applications OPS (tableaux de bord, base courrier, logiciel compte, logiciel de virement), consultation de la fiche bénéficiaire de la DASO ;
- le Directeur de l’OPS : consultation de la fiche bénéficiaire ;
- le Directeur de la DASO et l’adjoint au Directeur : consultation de la fiche bénéficiaire ;
- l’Administrateur de la DASO : consultation de la fiche bénéficiaire, accès aux applications OPS métier dans le cadre des missions qui lui sont dévolues ;
- le chef de bureau, l’attaché et la secrétaire-sténodactylographe de la DASO agissant pour le compte de l’OPS : consultation de la fiche bénéficiaire, création, consultations, modification et suppression de la base courrier ;
- le Contrôle Général des Dépenses pour le contrôle et la validation des certificats de paiement (Seuls les bulletins de salaires et montant des cotisations leur sont adressés en justificatif avec le certificat de paiement de l’OPS. Ces documents validés sont ensuite retournés à l’OPS. La comptable de la DASO, agissant pour le compte de I’OPS, génère un fichier qui est communiqué à l’agent comptable et à la Direction du Budget et trésor (si le montant des virements est supérieur à 50 000 euros par bénéficiaire) aux fins de signature) ;
- les agents habilités de la DSI et toute personne travaillant sous son autorité : accès techniques (pas d’accès aux données) dans le cadre de leurs missions d’assistance technique et de maintenance.
Concernant ces derniers, la Commission rappelle que les accès effectués aux informations métiers de la DASO par la DSI, ainsi qu’aux sauvegardes, doivent être tracés et conservés et demande qu’un message/une alerte soit envoyé(e) au responsable métier l’informant de cet accès qui sera préalablement justifié ou devra l’être.
De même, elle demande que toute réplication/copie des applications métiers et bases courriers soit autorisée par le responsable de service, tracée par le système et fasse l’objet d’une alerte auprès du responsable métier.
Sous ces conditions, considérant les attributions de chacune de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.
VI. Sur les interconnexions et rapprochements
Le responsable de traitement indique que le présent traitement fait l’objet de quatre rapprochements avec les traitements ayant respectivement pour finalité « Gestion de l’Aide Médicale de l’État », « Gestion de l’aide à la souscription d’une assurance complémentaire santé », « Gestion et suivi des statuts et prestations attribuées aux personnes handicapées » et « Gestion des dossiers de prestations d’autonomie », légalement mis en œuvre par la Direction de l’Action et de l’Aide Sociales.
Il indique que le traitement fait également l’objet d’un rapprochement et de trois interconnexions avec les traitements ayant respectivement pour finalité « Gestion des habilitations et des accès au Système d’information », « Gestion des techniques automatisées de communication », « Gestion de la messagerie professionnelle » et « Assistance aux utilisateurs par le Centre de Service de la DSI », légalement mis en œuvre par la Direction des Systèmes d’Information.
La Commission constate que ces interconnexions et rapprochements sont conformes aux exigences légales.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations appellent plusieurs informations.
La Commission rappelle ainsi que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
Elle rappelle également que toute communication d’informations confidentielles et/ou sensibles par voie électronique doit être sécurisée.
La Commission rappelle par ailleurs que la copie et l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception.
Elle rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur les durées de conservation
Le responsable de traitement indique que les caractéristiques financières sont conservées le temps de « l’année en cours d’instruction du dossier et l’année précédente. Passé ces délais, ces documents seront détruits ».
Il indique par ailleurs que les données collectées pour la gestion des litiges et dans le cadre de l’exercice du droit de recours de l’OPS, sont conservées « l’année en cours d’instruction du dossier plus 10 ans. Les prestations susceptibles de faire l’objet d’un recours sur succession sont récupérables sur les cinq dernières années de secours (prescription légale), ces éléments seraient conservés après le décès de la personne et jusqu’au recouvrement de la créance, partielle ou totale et jusqu’à deux ans après la clôture du recours, en cas d’éventuelles contestations ; Au-delà ces documents seraient détruits ».
Les données d’identification électronique et les informations relatives à l’identité des agents habilités à avoir accès au traitement sont conservées tant que la personne est autorisée à avoir accès.
Les logs de connexion sont conservés 180 jours.
Enfin, les éléments de traçabilité des fiches bénéficiaires sont conservés tant que la fiche bénéficiaire existe.
Concernant ces derniers, la Commission demande qu’ils ne soient conservés qu’un an maximum.
Sous cette condition, la Commission considère que ces durées sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Rappelle :
- au responsable de traitement qu’il lui appartient de s’assurer que les personnes concernées sont effectivement informées de la communication de leurs informations vers le présent traitement ;
- que la réponse à un droit d’accès doit intervenir dans le mois suivant la réception de la demande ;
- que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort ;
- que toute communication d’informations confidentielles et/ou sensibles par voie électronique doit être sécurisée ;
- que la copie et l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception.
Demande que :
- les accès effectués aux applications métiers et bases courriers par la DSI ainsi que les sauvegardes de ces accès soient collectés et qu’un message/une alerte soit envoyé(e) au responsable métier l’informant de cet accès qui sera préalablement justifié ou devra l’être ;
- toute réplication/copie des applications métiers et bases courriers soit autorisée par le responsable de service, tracée par le système et fasse l’objet d’une alerte auprès du responsable métier.
Fixe la durée de conservation des éléments de traçabilité à 1 an maximum.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par l’Office de Protection Sociale du traitement automatisé d’informations nominatives ayant pour finalité « Gestion du paiement des prestations et des aides sociales ».
Le Président de la Commission de
Contrôle des Informations Nominatives.