Délibération n° 2022-4 du 19 janvier 2022 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des assistants familiaux et des tiers dignes de confiance » présenté par l'Office de Protection Sociale.
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 335 du 19 décembre 1941 portant création d’un Office d’Assistance Sociale, modifiée ;
Vu la loi n° 918 du 27 décembre 1971 sur les établissements publics ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.279 du 29 décembre 2003 modifiant certaines dispositions de la loi n° 335 du 19 décembre 1941 portant création d’un office d’assistance sociale ;
Vu la loi n° 1.465 du 11 décembre 2018 relative à l’aide à la famille monégasque et à l’aide sociale ;
Vu l’Ordonnance Souveraine n° 5.055 du 8 décembre 1972 sur les conditions d’administration et de gestion administrative et comptable des établissements publics ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’Ordonnance Souveraine n° 5.055 du 8 décembre 1972 sur les conditions d’administration et de gestion, administrative et comptable des établissements publics ;
Vu l’Ordonnance Souveraine n° 5.641 du 14 décembre 2015 portant création d’une Direction de l’Action et de l’Aide Sociales ;
Vu l’Ordonnance Souveraine n° 16.464 du 25 octobre 2004 sur l’organisation et le fonctionnement de l’Office de Protection Sociale ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la demande d’avis déposée par l’Office de Protection Sociale le 28 septembre 2021 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Gestion des assistants familiaux et des tiers dignes de confiance » ;
Vu la prorogation du délai d’examen de ladite demande d’avis notifiée au responsable de traitement le 25 novembre 2021, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 19 janvier 2022 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Aux termes de l’article 1er de la loi n° 335 du 19 décembre 1941 portant création d’un Office d’Assistance Sociale, modifiée, l’Office de Protection Sociale (OPS) est un établissement public autonome ayant « pour mission d’assurer des prestations sociales et de procéder au versement d’allocations financières, pour le compte de l’État, dans des conditions déterminées par ordonnance souveraine, au bénéfice des personnes dont la situation ou les ressources le justifient ».
Le traitement d’informations nominatives objet de la présente délibération est donc soumis à l’avis de la Commission conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Ce traitement a pour finalité « Gestion des assistants familiaux et des tiers dignes de confiance ».
Les personnes concernées sont les assistants familiaux et les tiers de confiance désignés par le Tribunal de Monaco, les enfants et leurs représentants légaux ainsi que le personnel de la DASO (Direction de l’Action et de l’Aide Sociales), agissant pour le compte de l’OPS, chargé de l’instruction de ces dossiers.
Ce traitement a pour objectif « de permettre à l’Office de Protection Sociale (OPS), établissement public monégasque, d’accomplir sa mission de paiement des salariés et/ou indemnités aux assistants familiaux et tiers dignes de confiance, intervenant dans la protection des enfants accueillis, placés sur décision du juge tutélaire ».
La Commission constate ainsi que « Le personnel habilité de la DASO adresse à l’OPS, l’extrait de l’Ordonnance Judiciaire, notifiant le nom de l’assistant familial ou du tiers digne de confiance ainsi que celui de l’enfant confié et la durée du placement » et que dès réception de ce document, l’OPS collecte les données de l’assistant familial afin de procéder à l’établissement du contrat de travail et aux obligations salariales qui en découlent et du « tiers digne de confiance » aux fins de paiement de l’indemnité forfaitaire mensuelle.
Elle relève en outre que « Pour les assistants familiaux, l’Office établit un contrat de travail signé par l’Office et le Salarié et un contrat de travail d’accueil, signé par le Directeur de la DASO, le salarié et son conjoint. L’OPS conserve uniquement le contrat de travail ».
Les fonctionnalités sont ainsi les suivantes :
- gérer le dossier des assistants familiaux ou tiers de confiance ;
- disposer d’information sur les enfants et leurs représentants légaux en lien avec les missions de l’OPS ;
- souscrire les assurances professionnelles obligatoires ;
- établir des attestations de travail et des attestations d’accueil relais ;
- échanger des correspondances liées à la gestion des assistants familiaux et des personnes dignes de confiance ;
- gérer les litiges et contentieux.
Le responsable de traitement indique que « Le traitement permet également, s’agissant des assistants familiaux :
- d’établir leurs contrats de travail ;
- de traiter les salaires, charges et déclarations sociales afférentes ;
- d’affilier ces professionnels au Centre de Médecine Interprofessionnelle des Alpes-Maritimes (CMTI) ;
- de leur permettre de suivre des formations ;
- de licencier les assistants familiaux ».
Il précise enfin que « le traitement permet au personnel habilité de la DASO agissant pour le compte de l’OPS :
- de gérer les accès aux applications informatiques, support du traitement ;
- d’élaborer des comptes rendus budgétaires ;
- de communiquer les informations à l’autorité de Tutelle, le Département des Affaires Sociales et de la Santé, et à la Commission Administrative de l’Office de Protection Sociale ;
- d’établir des statistiques non nominatives ».
La Commission constate ainsi que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le traitement dont s’agit est tout d’abord justifié par le respect d’une obligation légale à laquelle est soumis le responsable de traitement.
À cet égard, ledit responsable de traitement indique que « Les attributions de l’Office de Protection Sociale (OPS) sont fixées par :
- la loi n° 1.279 du 29 décembre 2003 modifiant certaines dispositions de la loi n° 335 du 19 décembre 1941 portant création d’un office d’assistance sociale ;
- la loi n° 918 du 27 décembre 1971 sur les établissements publics ;
- l’Ordonnance Souveraine n° 5.055 du 8 décembre 1972 sur les conditions d’administration et de gestion, administrative et comptable des établissements publics ;
- l’Ordonnance Souveraine n° 16.464 du 25 octobre 2004 sur l’organisation et le fonctionnement de l’Office de Protection Sociale ».
Il précise que « Cet établissement travaille avec le personnel habilité de la DASO. Ils échangent et partagent les informations, strictement nécessaires au traitement des dossiers selon les missions attribuées à la DASO et à l’OPS. Les 2 entités partagent les mêmes locaux ».
Le responsable de traitement déclare par ailleurs que « La collecte et le traitement des informations répondent à une obligation fixée par Ordonnance Souveraine et sont justifiés par les missions légales conférées à l’Office de Protection Sociale ».
Le traitement est également justifié par l’exécution d’un contrat de travail avec la personne concernée, pour les assistants familiaux, et l’application des règles induites comme l’établissement du contrat, l’établissement du bulletin de paie et des déclarations sociales via télétransmission.
Le responsable de traitement justifie également le traitement par un motif d’intérêt public.
À cet égard, il indique que celui-ci « repose sur le respect d’un droit fondamental garanti par la Constitution monégasque en son article 26 qui dispose que « Les Monégasques ont droit à l’aide de l’État en cas d’indigence, chômage, maladie, invalidité, vieillesse et maternité, dans les conditions et formes prévues par la loi » ».
Le responsable de traitement précise que « Se fondant sur ce principe, la loi n° 335 du 19 décembre 1941, modifiée, portant création d’un Office d’Assistance Sociale, la loi n° 918 du 27 décembre 1971 relative aux établissements publics et la loi n° 1.465 du 11 décembre 2018 relative à l’aide à la famille monégasque et à l’aide sociale permettent ainsi de renforcer le modèle social monégasque » qui, « se caractérise par une action publique offrant un niveau élevé de protection sociale de ses nationaux, résidents et travailleurs afin de les protéger contre les différents aléas de la vie ; l’État apporte également une protection aux personnes en situation de besoin par l’embauche d’assistants familiaux par l’Office de Protection Sociale, suite à une décision judiciaire de placement d’un enfant, dans le cadre de la protection de l’enfance ».
Au vu de ce qui précède, la Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations nominatives traitées
Les informations nominatives traitées dans le cadre de ce traitement sont :
- données d’identification :
● pour l’assistant familial et les tiers dignes de confiance : identité (civilité, nom, nom d’usage, prénoms, date et lieu de naissance, nationalité), numéro de sécurité sociale uniquement pour les assistants familiaux, situation familiale, coordonnées personnelles (adresse du domicile, coordonnées téléphoniques et électroniques) ;
● pour les enfants : identité (civilité, nom, nom d’usage, prénom, date et lieu de naissance, nationalité), vie scolaire (classe et lieu de scolarisation de l’enfant) ;
● pour les représentants légaux des enfants placés : civilité, nom, nom d’usage, prénoms, nationalité, date et lieu de naissance ;
- formation, diplômes, vie professionnelle pour l’assistant familial : contrat de travail, copie de l’agrément en cours de validité et diplôme d’État ;
- caractéristiques financières pour l’assistant familial et le tiers de confiance : justificatifs papiers scannés et enregistrés (feuille de présence et justificatifs de paiement tels que les factures autoroutes ou parking), RIB (de l’assistant familial, du tiers digne de confiance, des organismes de collecte d’impôt, taxes et cotisations sociales, CMTI), bulletins de salaires (pour l’assistant familial), cotisation de l’OPS (cotisations, taxes et impôts divers, appel à cotisation), copie des délibérations du Conseil Départemental des Alpes Maritimes précisant le mode de rémunération des assistants familiaux et tiers dignes de confiance ;
- attestations et documents spécifiques remis aux assistants familiaux effectuant un accueil relais : attestation papier établie par l’OPS en faveur de l’assistant familial accueillant un enfant de courte durée (ce document précise le nom, la date et le lieu de naissance de l’enfant, l’identité de l’assistant familial relais, la date de délivrance et de validité de son agrément et la période de placement), le solde de tout compte et certificats de travail, ainsi que l’attestation d’employeur destiné à Pôle Emploi remis à l’assistant familial, à la fin de chaque accueil ;
- données de santé : convocation au CMTI, certificats d’aptitudes ou d’inaptitudes, arrêts maladie et certificats de reprise de travail ;
- mesures à caractère social : extrait de l’Ordonnance du Juge Tutélaire permettant l’instruction du dossier par l’OPS ;
- données d’identification électronique pour les agents de l’OPS : login et mot de passe ;
- informations temporelles : logs de connexion du personnel habilité par la DASO agissant pour l’OPS ;
- identité des agents habilités à avoir accès au traitement : nom, prénom, accès autorisé ;
- éléments de traçabilité des fiches bénéficiaires : date, heure, nom, prénom, action.
Concernant l’extrait de l’Ordonnance du Juge Tutélaire, la Commission prend acte que celui-ci contient l’identité, la date, le lieu de naissance et les coordonnées de l’enfant placé, des parents et/ou représentants légaux, du tiers digne de confiance et de l’assistant familial, les modalités de placement, de droits de visite et d’hébergement ainsi que les dates de début et fin de placement.
Les données d’identification ont pour origine l’assistant familial ou le tiers digne de confiance ainsi que la DASO. Elles permettent d’identifier l’assistant familial, le tiers digne de confiance et l’enfant placé et de procéder aux déclarations sociales auprès des organismes français compétents et au paiement des différentes allocations et primes en faveur de l’assistant familial (montant variant en fonction de l’âge de l’enfant désigné).
Les informations relatives à la formation, aux diplômes et à la vie professionnelle ont pour origine la personne concernée.
La Commission note ainsi que l’agrément en cours de validité est une condition sine qua non à l’embauche de l’assistant familial.
Les caractéristiques financières ont pour origine le salarié, le tiers digne de confiance, le cabinet d’expertise comptable français et le Conseil Départemental des Alpes Maritimes. Elles sont nécessaires à l’établissement des bulletins de paie, à la rémunération de l’assistant familial, au règlement de l’allocation mensuelle du tiers digne de confiance (selon taux forfaitaire), des impôts, taxes et cotisations sociales diverses et à l’adhésion au CMTI.
L’attestation et documents spécifiques remis aux assistants familiaux effectuant un accueil relais ont pour origine le personnel habilité de la DASO (assistant social et éducateur organisant l’accueil relais).
Le responsable de traitement précise à cet effet que l’attestation papier établie par l’OPS est délivrée afin de donner une légitimité à l’assistant familial effectuant l’accueil relais auprès des médecins, de l’école et dans l’hypothèse de tout contrôle inopiné d’une autorité administrative et policière. Le certificat de travail, le solde de tout compte et l’attestation d’employeur destinée à Pôle Emploi sont délivrés à la fin de chaque accueil, afin de permettre au salarié de bénéficier, si les conditions d’octroi le permettent, des aides de Pôle Emploi.
Les données de santé ont pour origine le CMTI et les assistants familiaux. Elles permettent à l’OPS de s’assurer de l’aptitude professionnelle des assistants familiaux, de procéder au paiement du salaire et des déclarations sociales, dans le cadre d’un arrêt maladie/reprise d’activité.
À cet égard, la Commission prend acte que ces « documents sont reçus par voie postale et adressés à l’assistant familial par courriel » et qu’« aucune donnée médicale n’y est indiquée ».
L’extrait de l’Ordonnance du Juge Tutélaire a pour origine le personnel habilité de la DASO (pour l’extrait de l’Ordonnance Judiciaire de placement du mineur et le contrat d’accueil) et est nécessaire à l’embauche de l’assistant familial.
Les données d’identification électronique ont pour origine la DSI pour le login et l’utilisateur pour le mot de passe.
Les logs de connexion et les éléments de traçabilité des fiches bénéficiaires ont pour origine le système.
Enfin, l’identité des agents habilités à avoir accès au traitement a pour origine le responsable de service.
La Commission considère ainsi que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
- Sur l’information préalable des personnes concernées
L’information préalable des personnes concernées est effectuée par le biais d’un document joint au contrat de travail signé entre l’OPS et le salarié.
À l’analyse de ce document joint à la demande, la Commission considère que celui-ci est conforme à l’article 14 de la loi n° 1.165 du 23 décembre 1993.
Concernant l’information préalable des tiers dignes de confiance, des enfants et de leurs représentants légaux, le responsable de traitement indique que les informations exploitées dans le traitement ne sont pas collectées directement auprès des personnes concernées.
Il précise à cet effet que « Les opérations réalisées interviennent dans le prolongement d’une aide ou prestation sociale sollicitée par une personne, plus précisément dans sa phase de paiement ou de contentieux après paiement. Aussi, l’Office de Protection Sociale ne procède pas à l’information des personnes concernées conformément à l’exception prévue à l’article 14 alinéa 2 de la loi n° 1.165 qui dispose que : « Lorsque les informations nominatives ne sont pas collectées directement auprès de la personne concernée, le responsable de traitement ou son représentant doit lui fournir les informations prévues au précédent alinéa, sauf si l’information de la personne concernée a déjà été effectuée, se révèle impossible, ou implique des mesures disproportionnées au regard de l’intérêt de la démarche ou encore si la collecte ou la communication des informations est expressément prévue par les dispositions législatives ou réglementaires » ».
Le responsable de traitement explique en outre que « l’Information des personnes concernées par les traitements de la Direction de l’Action Sanitaire et Sociale intègre dans les destinataires, l’OPS ».
La Commission en prend acte et rappelle au responsable de traitement qu’il lui appartient de s’assurer que les personnes concernées sont effectivement informées de la communication de leurs informations vers le présent traitement.
- Sur l’exercice du droit d’accès, de modification et de mise à jour
Le droit d’accès s’exerce par voie postale ou sur place auprès de l’Office de Protection Sociale.
À cet égard, la Commission rappelle que la réponse à un droit d’accès doit intervenir dans le mois suivant la réception de la demande.
Par ailleurs, à la lecture des pièces jointes au dossier, la Commission constate qu’« un justificatif d’identité pourra être demandé afin de veiller à ne communiquer des données qu’à la personne concernée, à son représentant légal ou à une personne qu’elle aura mandatée à cet effet ».
À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.
Sous ces conditions, la Commission constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.
V. Sur les destinataires et les personnes ayant accès au traitement
- Sur les destinataires
Le responsable de traitement indique que « Les communications d’informations nominatives sont réalisées par rapprochement entre la DASO et l’Office de Protection Sociale (OPS), organisme à la fois employeur et payeur. Dans la limite de leurs attributions légales et chacun pour ce qui les concerne, sont destinataires d’informations nominatives issues du présent traitement, en fonction du type de demande.
- Le cabinet d’expertise comptable français (…), chargé par l’Office de Protection Sociale, de l’établissement des salaires et des déclarations sociales des assistants familiaux auprès des organismes français compétents et pour toute autre mission relative à la gestion des salariés de l’OPS. Cette société effectue notamment les télétransmissions des déclarations sociales mensuelles auprès des organismes compétents.
- La Direction Générale des Finances Publiques (DGFIP), l’URSSAF (Union de Recouvrement des Cotisations de Sécurité Sociale et d’Allocations Familiales), APICIL [organisme de retraite complémentaire] et la Caisse Primaire d’Assurance Maladie (CPAM) sont destinataires des informations nominatives relatives aux assistants familiaux (obligation de la part de l’employeur d’effectuer les déclarations sociales nominatives de ses salariés).
- Le Président, les membres de la Commission Administrative de l’OPS et le Commissaire de Gouvernement délégué auprès de cette instance, réunie deux fois par an, peuvent être destinataires des informations relatives à un assistant familial dans le cadre d’une consultation pour instruction d’un dossier, pour toute demande de dérogation, ou dans le cadre d’une contestation, d’un recours administratif contre une décision rendue, pour transiger sur le traitement d’une situation contentieuse ou pour intenter une action en justice ; il est également destinataire des budgets et statistiques non nominatifs relatifs à cette profession. (…).
- L’assureur auprès duquel l’OPS souscrit une assurance professionnelle en faveur des assistants familiaux, contre tous les dommages qu’elle qu’en soit l’origine, que les mineurs confiés pourraient provoquer et ceux dont ils pourraient être victimes.
- Le Centre de Médecine de Travail Interprofessionnel des Alpes Maritimes est également destinataire des données nominatives des salariés de l’Office, dans le cadre de l’exercice de ses missions. L’OPS renouvelle chaque année son adhésion afin de répondre aux exigences légales et règlementaires en vigueur, notamment le suivi santé au travail des salariés et toutes actions de prévention pour les salariés de l’OPS ».
La Commission prend acte des précisions du responsable de traitement selon lesquelles le cabinet d’expertise comptable est destinataire de la carte d’identité et/ou de la carte de séjour car il a un devoir de conseil auprès de l’OPS. Il doit ainsi s’assurer de la conformité de l’embauche du salarié sur le territoire français où il exerce son activité professionnelle. De plus, il doit saisir sur la DSN (Déclaration Sociale Nominative), nécessaire pour le paiement des cotisations sociales et télétransmise mensuellement, la date de validité de la carte de séjour du salarié s’il y a lieu.
Il appert par ailleurs que la banque peut être destinataire des coordonnées bancaires des comptes sur lesquels sont effectués le paiement du salaire de l’assistant familial, de l’indemnité forfaitaire versée au tiers digne de confiance, des cotisations auprès des organismes de collecte français. De même, Pôle Emploi peut être destinataire des documents spécifiques remis aux assistants familiaux car ces derniers cotisent au chômage et peuvent bénéficier de l’allocation retour à l’emploi.
Au vu de ce qui précède, la Commission considère que ces transmissions sont conformes aux exigences légales.
- Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
- le secrétariat et l’attaché de la DASO agissant pour le compte de l’OPS : création, consultation, modification et suppression de le base courrier ;
- la comptable de la DASO, agissant pour le compte de l’OPS : création, consultation, mise à jour et suppression pour l’établissement des certificats de paiement et des ordres de virement aux fins d’impression, pour contrôle et validation avant paiement par virement bancaire ;
- l’Attaché Principal Hautement Qualifié (binôme de la comptable) : création, consultation, mise à jour et suppression pour l’établissement des certificats de paiement et des ordres de virement aux fins d’impression, pour contrôle et validation avant paiement par virement bancaire ;
- l’Administrateur de la DASO agissant pour le compte de l’OPS : tout accès aux dossiers des assistants familiaux et des tiers de confiance ;
- le Contrôle Général des Dépenses pour le contrôle et la validation des certificats de paiement (Seuls les bulletins de salaires et montant des cotisations leur sont adressés en justificatif avec le certificat de paiement de l’OPS) ;
- les agents habilités de la DSI et toute personne travaillant sous son autorité : accès techniques dans le cadre de leurs missions d’assistance technique et de maintenance.
Concernant ces derniers, la Commission rappelle que les accès effectués aux informations métiers de la DASO par la DSI, ainsi qu’aux sauvegardes, doivent être tracés et conservés et demande qu’un message/une alerte soit envoyé(e) au responsable métier l’informant de cet accès qui sera préalablement justifié ou devra l’être.
De même, elle demande que toute réplication/copie des applications métiers et bases courriers soit autorisée par le responsable de service, tracée par le système et fasse l’objet d’une alerte auprès du responsable métier.
Sous ces conditions, considérant les attributions de chacune de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.
VI. Sur les interconnexions et rapprochements
Le responsable de traitement indique que le présent traitement fait l’objet d’un rapprochement et de trois interconnexions avec les traitements ayant respectivement pour finalité « Gestion des habilitations et des accès au Système d’information », « Gestion des techniques automatisées de communication », « Gestion de la messagerie professionnelle » et « Assistance aux utilisateurs par le Centre de Service de la DSI », légalement mis en œuvre par la Direction des Systèmes d’Information.
La Commission constate que ce rapprochement et ces interconnexions sont conformes aux exigences légales.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations appellent plusieurs informations.
La Commission rappelle ainsi que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
Elle rappelle également que toute communication d’informations confidentielles et/ou sensibles par voie électronique doit être sécurisée.
La Commission rappelle par ailleurs que la copie et l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception.
Elle rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur les durées de conservation
Concernant les données d’identification, les informations relatives à la formation, aux diplômes et à la vie professionnelle pour l’assistant familial, les données de santé et les mesures à caractère social, le responsable de traitement indique « La durée des informations collectées est définie par le référentiel d’archivage en cours de validation par le Département des Affaires Sociales et de la Santé. Cette activité professionnelle s’intègre dans le cadre des mesures d’assistance éducative (Code Civil 317 et suivants) dont fait partie chaque enfant placé. Par conséquent la durée de conservation correspond à l’année en cours d’instruction jusqu’au 18 ans de l’enfant et plus 30 ans ».
Les caractéristiques financières pour l’assistant familial et tiers de confiance ainsi que les attestations et documents spécifiques remis aux assistants familiaux effectuant un accueil relais sont conservés 1 an à l’exception des bulletins de salaire et des paiements de cotisation qui sont conservés 10 ans. Ces derniers sont en effet des pièces comptables annexées aux certificats de paiements qui sont conservés 10 ans.
Les données d’identification électronique et les informations relatives à l’identité des agents habilités à avoir accès au traitement sont conservées tant que la personne est autorisée à avoir accès.
Les logs de connexion sont conservés 180 jours.
Enfin, les éléments de traçabilité des fiches bénéficiaires sont conservés tant que la fiche bénéficiaire existe.
Concernant ces derniers, la Commission demande qu’ils ne soient conservés qu’un an maximum.
Sous cette condition, la Commission considère que ces durées sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Rappelle :
- au responsable de traitement qu’il lui appartient de s’assurer que les personnes concernées sont effectivement informées de la communication de leurs informations vers le présent traitement ;
- que la réponse à un droit d’accès doit intervenir dans le mois suivant la réception de la demande ;
- que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort ;
- que toute communication d’informations confidentielles et/ou sensibles par voie électronique doit être sécurisée ;
- que la copie et l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception.
Demande que :
- les accès effectués aux applications métiers et bases courriers par la DSI ainsi que les sauvegardes de ces accès soient collectés et qu’un message/une alerte soit envoyé(e) au responsable métier l’informant de cet accès qui sera préalablement justifié ou devra l’être ;
- toute réplication/copie des applications métiers et bases courriers soit autorisée par le responsable de service, tracée par le système et fasse l’objet d’une alerte auprès du responsable métier.
Fixe la durée de conservation des éléments de traçabilité à 1 an maximum.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par l’Office de Protection Sociale du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des assistants familiaux et des tiers dignes de confiance ».
Le Président de la Commission de
Contrôle des Informations Nominatives.