Délibération n° 2022-7 du 19 janvier 2022 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre de la modification du traitement automatisé d'informations nominatives ayant pour finalité « Téléservice de dépose document » présenté par la Caisse de Compensation des Services Sociaux.
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’Ordonnance-loi n° 397 du 27 septembre 1944 portant création d’une caisse de compensation des services sociaux de la Principauté de Monaco ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la délibération n° 2020-153 du 18 novembre 2020 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion du régime de prestations familiales en faveur des travailleurs indépendants » présenté par la Caisse d’Assurance Maladie, accident et maternité des Travailleurs Indépendants ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la demande d’avis déposée par la Caisse de Compensation des Services Sociaux le 6 octobre 2021 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Téléservice de dépose document » ;
Vu la prorogation du délai d’examen de la présente demande d’autorisation notifiée au responsable de traitement le 3 décembre 2021, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 susvisée ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Caisse de Compensation des Services Sociaux (CCSS) est un organisme de droit privé investi d’une mission d’intérêt général au sens de l’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée.
Par délibération n° 2020-153 relative à la « Gestion du régime de prestations familiales en faveur des travailleurs indépendants », la Commission avait relevé « à la lecture du dossier qu’un nouveau téléservice a été créé durant la crise sanitaire COVID-19 et en raison des mesures de confinement afin de permettre « aux assurés d’envoyer des documents directement via leur Espace Personnel » » et avait alors demandé « au responsable de traitement de le lui soumettre dans les plus brefs délais ».
Aussi, la CCSS, responsable du traitement, soumet à l’avis de la Commission, conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993, un téléservice permettant à ses assurés de lui envoyer des documents directement via leur espace personnel.
Son utilisation est en outre rendue possible aux relations entre la Caisse Autonome des retraites (CAR), la Caisse d’Assurance Maladie, accident et maternité des Travailleurs Indépendants (CAMTI) et la CARTI, et leurs affiliés respectifs. La dépose de document est accessible après que l’allocataire se soit connecté à son espace personnel dans les conditions prévues par le traitement légalement mis en œuvre ayant pour finalité « Téléservices aux assurés ».
I. Sur les informations nominatives traitées
Ce traitement a pour finalité « Téléservice de dépose document ».
Les assurés, leurs ayants-droit, et les attributaires de prestations. La Commission relève que sont concernés de manière incidente les personnels de la CCSS, CAR, CAMTI, CARTI.
Les fonctionnalités sont :
- permettre aux assurés disposant d’un espace personnel d’accéder à un téléservice de dépose de document via l’onglet « espace documentaire » ;
- permettre le dépôt sécurisé par les assurés des divers documents nécessaires à leur relation avec la CCSS, tels que les feuilles de soins, les pièces justificatives en lien avec un dossier allocataire ou un dossier retraite, les justificatifs d’état civil ou demandes de changement d’adresse ;
- ouvrir à l’assuré des champs « commentaire » ;
- notifier à l’assuré le dépôt effectif du document et lui permettre d’éditer un accusé de réception ;
- transmettre le document déposé au service concerné ;
- permettre aux agents de la CCSS de notifier à l’assuré des observations liées à un problème de dépôt de document ;
- établir des statistiques par service destinataire.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le traitement est justifié par le consentement de la personne concernée, un motif d’intérêt public et la réalisation d’un intérêt légitime, sans que ne soient méconnus ni l’intérêt, ni les droits et libertés fondamentaux des personnes concernées.
Si la Commission relève que la justification liée à l’intérêt public ne lui paraît pas pertinente, elle constate que le traitement permet une facilitation d’usage pour les assurés, notamment en période de pandémie, et que l’utilisation du téléservice est laissée à la discrétion de l’assuré qui peut choisir de l’utiliser, ou de transmettre ses documents par d’autres moyens.
La Commission considère donc que le traitement est licite et justifié, conformément aux articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations nominatives traitées
Les informations collectées sont :
- identité : nom d’usage, prénom, date de naissance de l’assuré ;
- numéro d’assuré social : numéro attribué par les Caisses Sociales de Monaco ;
- adresse et coordonnées : adresse électronique ;
- données relatives aux documents déposés : typologie du document et prestation concernée (permet la transmission au service concerné), commentaires (objet de l’envoi), nom du document déposé, données d’horodatage (date et heure de dépôt) ;
- logs de connexion : logs des administrateurs et des utilisateurs.
Les informations relatives à l’identité proviennent de l’interconnexion avec le traitement ayant pour finalité « Gestion de l’immatriculation des salariés ».
Le numéro CCSS est renseigné par la personne concernée.
Le traitement ayant pour finalité « Téléservices aux assurés » transmet les adresses mail.
Les données relatives aux documents déposés sont fournies par l’assuré.
Enfin, l’horodatage de dépose de document et la collecte de logs de connexion sont assurés par le système.
La Commission considère que les informations traitées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165.
IV. Sur les droits des personnes concernées
- Sur l’information préalable des personnes concernées
Le responsable de traitement indique que l’information préalable s’effectue par le biais d’une mention sur le document de collecte, une rubrique propre à la protection des données accessible en ligne, ainsi qu’une mention particulière intégrée dans un document d’ordre général accessible en ligne.
Ces documents n’ayant pas été joints à la demande d’avis, la Commission rappelle que ceux-ci doivent impérativement comporter l’ensemble des mentions prévues à l’article 14 de la loi n° 1.165 du 23 décembre 1993.
- Sur l’exercice du droit d’accès, de modification et de mise à jour
Le droit d’accès s’exerce par un accès en ligne à son dossier, par voie postale, par courrier électronique ou sur place.
À cet égard, la Commission rappelle que la réponse à ce droit d’accès doit s’exercer dans le mois suivant la réception de la demande.
S’agissant de l’exercice du droit d’accès par voie électronique, la Commission considère qu’une procédure devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.
La Commission constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.
V. Sur les personnes ayant accès au traitement
Le responsable de traitement n’indique pas de destinataire aux informations collectées.
Par ailleurs, les personnes habilitées à avoir accès au traitement peuvent retirer des documents et interagir avec l’assuré par le biais de demandes (commentaires). Les Services suivants disposent d’un accès dédié sur un dossier spécifique qui concerne uniquement leur domaine d’activité : service immatriculation, social, prestations familiales, prestations médicales, liquidation des retraites, contrôle médical, agence comptable.
Par ailleurs à l’analyse du dossier, il appert que :
- les assurés disposent d’un accès au traitement à partir de leur espace personnel ;
- les administrateurs du service informatique disposent d’un accès au traitement dans le cadre de la maintenance.
Considérant les attributions de chacune de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.
VI. Sur les interconnexions et rapprochements
Le responsable de traitement indique que le présent traitement fait l’objet d’interconnexions et rapprochements avec les traitements légalement mis en œuvre ayant pour finalités :
- « Téléservices aux assurés » ;
- « Gestion du recouvrement » ;
- « Gestion des immatriculations des salariés » ;
- « Gestion des prestations familiales » ;
- « Gestion des prestations médicales » ;
- « Gestion des retraites » ;
- « Gestion du contrôle médical et dentaire ».
Outre l’interconnexion technique nécessaire avec le traitement ayant pour finalité « Téléservices aux assurés » afin d’accéder à la dépose document, ce dernier « est utilisé pour plusieurs domaines d’activités » et les informations ainsi transmises par les assurés sont portées dans les traitements dans lesquels elles sont traitées.
De plus à l’analyse du dossier il appert une interconnexion avec :
- le traitement ayant pour finalité « Gestion des accès aux systèmes d’information opérés par les caisses sociales » ;
- un traitement lié à la messagerie électronique.
Concernant ce dernier traitement la Commission relève qu’il n’est pas légalement mis en œuvre et demande donc qu’il lui soit soumis dans les meilleurs délais.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
La Commission rappelle néanmoins que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Elle rappelle également que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Le responsable de traitement indique que les informations sont conservées 1 an.
La Commission considère que ces durées sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Lève sa demande de saisine formulée dans sa délibération n° 2020-153 relativement au présent traitement.
Considère qu’une procédure relative au droit d’accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations.
Rappelle que :
- les personnes concernées doivent être informées conformément aux dispositions de l’article 14 de la loi n° 1.165, modifiée ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Demande que le traitement lié à la messagerie électronique lui soit soumis dans les meilleurs délais.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par la Caisse de Compensation des Services Sociaux, du traitement automatisé d’informations nominatives ayant pour finalité « Téléservice de dépose documents ».
Le Président de la Commission de Contrôle des Informations Nominatives.