Délibération n° 2019-81 du 15 mai 2019 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Déposer une candidature spontanée aux emplois de l'Administration Monégasque » du Secrétariat Général du Gouvernement et de la Direction des Ressources Humaines et de la Formation de la Fonction Publique présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 1.635 du 30 avril 2008 fixant les attributions de la Direction des ressources Humaines et de la Formation de la Fonction Publique ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l'Administration et l'administré ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la demande d'avis déposée par le Ministre d'État, le 23 janvier 2019, concernant la mise en œuvre d'un traitement automatisé ayant pour finalité « Déposer une candidature spontanée aux emplois de l'Administration Monégasque » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 21 mars 2019, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 15 mai 2019 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Direction des Ressources Humaines et de la Formation de la Fonction Publique (DRHFFP) qui « est chargée de procéder au recrutement de l'ensemble des fonctionnaires et agents non titulaires de l'État » conformément aux dispositions de l'Ordonnance Souveraine n° 1.635 du 30 avril 2008 fixant les attributions de la Direction des Ressources Humaines et de la Formation de la Fonction Publique.
Afin de faciliter les démarches des administrés cherchant un emploi et de permettre à la DRHFFP de gérer un catalogue de CVs, l'État souhaite mettre en œuvre un téléservice permettant un dépôt sécurisé de candidatures spontanées.
Ainsi, le traitement automatisé d'informations nominatives objet de la présente est soumis à l'avis de la Commission, conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993\.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Déposer une candidature spontanée aux emplois de l'Administration Monégasque ».
Il concerne les particuliers souhaitant déposer une candidature spontanée aux emplois de l'Administration monégasque.
Aussi, la démarche en ligne mise en place à cette fin a pour fonctionnalités :
- Saisie des informations personnelles et professionnelles sur le candidat ;
- Envoi de pièces justificatives ;
- Envoi de courriels de suivi de candidature aux candidats ;
- Saisie d'informations complémentaires d'une candidature incomplète ;
- Annulation d'une demande par le candidat ;
- Envoi d'un courriel de confirmation de désinscription à la démarche en ligne ;
- Expiration et envoi d'un courriel d'expiration d'accès à la démarche en ligne.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par le consentement des personnes concernées et la réalisation d'un intérêt légitime sans que ne soient méconnus les droits et libertés fondamentaux de la personne concernée.
À cet égard, le responsable de traitement indique que « le consentement est formalisé par l'obligation préalable d'accepter les conditions générales d'utilisation. L'accord des personnes concernées est donc indispensable pour la création du compte sécurisé et pour l'accès à la démarche en ligne ».
L'intérêt légitime trouve son fondement dans la volonté de l'Administration de simplifier la démarche des usagers, et « s'inscrit dans le cadre de l'Ordonnance Souveraine n° 2011‑3413 du 29 août 2011 portant diverses mesures relatives à la relation entre l'Administration et l'administré ».
Enfin, il est précisé que le sondage « sera traité anonymement par la Direction de l'Administration Numérique », chargée notamment d'identifier et d'analyser les attentes des usagers en matière de procédures et d'informations administratives.
La Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993\.
III. Sur les informations traitées
Les informations nominatives traitées sont :
- identité/situation de famille : titre, nom, nom de jeune fille, prénom, date de naissance, lieu de naissance, nationalité, statut de résident ;
- adresses et coordonnées : adresse, email, téléphone ;
- formation, diplôme, vie professionnelle : niveau d'expérience, niveau d'étude, fonction recherchée, niveau de langue, assermentations, diplômes, habilitations, compétences, titulaire de permis de conduire, volonté de postuler en tant que suppléant ou saisonnier ;
- données d'identification électronique : identifiant technique de l'usager ;
- informations temporelles : horodatages, etc. : données d'horodatage ;
- données de connexion : log de connexion de l'usager, données de messagerie de l'usager.
Les informations ont pour origine la personne concernée lors de son adhésion au dispositif, excepté les données d'identification électronique, les informations temporelles et les données de connexion qui proviennent du système.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
IV. Sur les droits des personnes concernées
Sur l'information préalable des personnes concernées
L'information préalable des personnes concernées est réalisée par le biais d'une mention particulière intégrée dans un document d'ordre général accessible en ligne, à savoir les conditions générales d'utilisation de la démarche en ligne que l'usager doit accepter et peut consulter dès l'accès à la démarche.
Ces dernières n'étant pas jointes au dossier, la Commission rappelle que les personnes concernées doivent être informées de manière conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.
Sur l'exercice du droit d'accès, de modification et de mise à jour
Le droit d'accès est exercé par voie postale, par accès en ligne au dossier, ou par courrier électronique auprès de la Direction des Ressources Humaines et de la Formation de la Fonction Publique.
S'agissant de l'exercice du droit d'accès par voie électronique, la Commission considère qu'une procédure devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d'un document d'identité était demandée, la transmission et le traitement de ce document devront faire l'objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d'identité officiels.
Sous cette réserve, elle constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
La Commission constate que le responsable de traitement indique ne communiquer aucune information objet du présent traitement.
Par ailleurs, les accès sont définis comme suit :
- les personnels de la Direction des Ressources Humaines et de la Formation de la Fonction Publique : tous droits ;
- les personnels administratifs de la Direction des Réseaux et Systèmes d'Information (DRSI) ou tiers intervenant pour son compte : tout accès dans le cadre des missions de maintenance, développement des applicatifs nécessaires au fonctionnement du site et de sécurité du site et du système d'information de l'État ;
- les Personnels de la Direction de l'Administration Numérique ou tiers intervenant pour son compte ayant un rôle d'assistance à maîtrise d'ouvrage sur la procédure : tous droits.
En ce qui concerne les prestataires, la Commission rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993 les droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de leur contrat de prestation de service. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission relève par ailleurs que les personnes concernées disposent d'un accès à leur propre compte.
Elle considère enfin que ces accès sont justifiés.
VI. Sur les interconnexions
Le présent traitement fait l'objet d'interconnexions avec les traitements suivants :
- « Gestion du compte permettant aux usagers d'entreprendre des démarches par téléservices », légalement mis en œuvre ;
- « Gérer les habilitations des agents et fonctionnaires de l'État aux téléservices contenus dans le « Guichet Virtuel » », légalement mis en œuvre.
Lesdits traitements ont pour vocation de permettre l'accès sécurisé des usagers à la démarche et de gérer les habilitations des personnels de l'État, dans le respect des cadres fixés dans les délibérations y relatives de la Commission portant avis favorables à leur mise en œuvre.
La Commission relève également que le traitement est interconnecté avec le traitement ayant pour finalité « Gestion des techniques automatisées de communication » aux fins d'utilisation de la messagerie électronique de l'État.
Elle considère que ces interconnexions sont conformes aux exigences légales.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Cependant, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
La Commission relève par ailleurs que les modifications demandées dans ses délibérations n° 2018-173 et n° 2019-37 relativement au renforcement de la politique de mot de passe des comptes des usagers ont été effectuées. Elle lève donc les réserves précédemment formulées.
La Commission rappelle enfin que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII. Sur la durée de conservation
Les données sont conservées 5 ans à compter de leur collecte, excepté les données d'identification électronique, les informations temporelles et les données de connexion qui sont effacées au bout d'un an.
Sur ce point, la Commission considère que la conservation des candidatures spontanées pendant 5 ans constitue une durée trop longue dans la mesure où la situation des personnes ayant fait acte de candidature peut substantiellement évoluer durant cette période.
Aussi elle fixe à deux ans la durée de conservation des informations relatives aux candidats.
Sous cette réserve, la Commission relève que ces délais sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Rappelle que :
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
- les personnes concernées doivent être informées de manière conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993.
Considère qu'une procédure relative au droit d'accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations.
Constate que la politique de mot de passe des comptes des usagers a été renforcée et lève donc les réserves émises dans ses délibérations n° 2018-173 et n° 2019-37.
Fixe à deux ans la durée de conservation des informations relatives aux candidats.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État, du traitement automatisé d'informations nominatives ayant pour finalité « Déposer une candidature spontanée aux emplois de l'Administration Monégasque » du Secrétariat Général du Gouvernement et de la Direction des Ressources Humaines et de la Formation de la Fonction publique.
Le Président de la Commission de
Contrôle des Informations Nominatives.