Formule les observations suivantes :
|
Responsable du traitement |
Le responsable du traitement est la direction des ressources humaines du ministère de la défense. Le service chargé de la mise en œuvre est la sous-direction de l'action sociale de la direction des ressources humaines du ministère de la défense. |
|
Sur la finalité |
Le système d'information de l'action sociale « SIAS » est l'outil de l'accompagnement social et de la délivrance d'aides et de prestations au profit des ressortissants du ministère de la défense. Il permet de poursuivre les finalités suivantes : - instruire et suivre les demandes des prestations sociales ; - élaborer des statistiques aux fins de pilotage de la politique d'action sociale et du réseau social du ministère de la défense en vue d'améliorer la qualité du service à destination des ressortissants du ministère de la défense ; - gérer les crédits des prestations sociales ainsi que les crédits de gestion à la main des centres territoriaux d'action sociale (CTAS), des directions locales de l'action sociale (DLAS), des centres d'action sociale d'outre-mer (CASOM), et des échelons sociaux interarmées (ESIA). La commission considère les finalités poursuivies comme déterminées, explicites et légitimes conformément aux dispositions de l'article 6 (2°) de la loi Informatique et Libertés du 6 janvier 1978 modifiée en août 2004. |
|
Sur les données traitées |
Dans la mesure où les données collectées dans le cadre des traitements mis en œuvre dans le champ social varient en fonction des particularités des situations sociales rencontrées, du type de prestation ou de l'aide sollicitée ainsi que de la nature des actions individuelles et collectives à accomplir, la commission rappelle que l'ensemble des données visées ci-dessous n'a pas vocation à être systématiquement recueilli. Seules devront être collectées et traitées les données strictement nécessaires à la mise en œuvre de l'accompagnement et du suivi social de la personne concernée. Il appartiendra, le cas échéant, au responsable de traitement de justifier du caractère nécessaire et proportionné des données à caractère personnel pour les besoins du travail poursuivi. Sous ces réserves, et pour répondre aux finalités du traitement « SIAS », peuvent être collectées et traitées les données relatives : - à l'identité : nom, nom de jeune fille, le cas échéant, prénom, date et lieu de naissance, sexe, adresse du domicile, numéro de téléphone du domicile ou numéro de téléphone portable, courriel personnel ou professionnel, identifiant du ministère de la défense ; - à la vie personnelle : situation familiale, nom du conjoint, nom de jeune fille du conjoint, prénom du conjoint, date et lieu de naissance du conjoint, nombre de personnes vivant au sein du foyer familial, composition de la famille, nom et prénom du ou des enfants, date et lieu de naissance du ou des enfants, adresse postale de l'enfant, nom de l'établissement scolaire, type de formation ou études, libellé de la formation ou études, nom de la structure d'accueil de l'enfant, adresse de la structure d'accueil de l'enfant ; - à la vie professionnelle : numéro de téléphone, grade, affectation, armées d'appartenance, autorité d'emploi, organisme et adresse d'affectation, position administrative et statutaire, date d'entrée en service, date de fin prévisible de l'activité, date de départ à la retraite, ancienneté de service, date d'ouverture et de fin de droit aux prestations d'action sociale, catégorie d'ayant droit, catégorie professionnelle, grade ou emploi de la première affectation, première affectation, organisme et adresse de la première affectation, date de la première affectation, numéro de décision de la première affectation, grade d'emploi de l'ancienne affectation, ancienne affectation, organisme et adresse de l'ancienne affectation, date de l'ancienne affectation, numéro de décision de l'ancienne affectation, date de placement en prémutation, date de mutation ; - aux informations d'ordre économique et financier : coordonnées bancaires, nom de l'organisme de sécurité sociale, orgamisme de versement des prestations familiales, code de la mutuelle, nombre de personnes à charge fiscale, quotient familial de la famille, revenu fiscal de référence, revenu fiscal du concubin, ressources mensuelles du foyer, charges mensuelles du foyer, chèque emploi-service universel ; - aux aides et prestations : décision d'accord ou de refus des aides ou prestations, montant des aides accordées ; - aux appréciations sur les difficultés sociales des personnes : motifs d'intervention des assistants du service social et des agents de soutien de l'action sociale, rapport d'évaluation sociale des assistants du service social. Ces données apparaissent pertinentes au regard de la finalité poursuivie, conformément aux dispositions de l'article 6 (3°) de la loi du 6 janvier 1978 modifiée en août 2004. |
|
Sur des destinataires |
Dans les limites de leurs attributions respectives, et chacun pour ce qui le concerne, peuvent accéder aux données enregistrées dans le traitement les personnels chargés de l'instruction et de la gestion des demandes d'aides sociales. Dans le cadre de leurs missions de versement des prestations, et le cas échéant, de contrôle, peuvent être destinataires des données enregistrées dans le traitement, à raison de leurs attributions respectives et dans la limite du besoin d'en connaître, les organismes suivants : - le service parisien de soutien de l'administration centrale ; - l'institution de gestion sociale des armées. La commission estime que ces destinataires présentent un intérêt légitime à connaître de ces données. |
|
Sur l'information et le droit d'accès |
Les personnes concernées sont informées, conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée en août 2004, par : - des mentions légales sur le formulaire de demande de prestations d'action sociale ; - la mise à disposition de supports d'information dédiés au sein des locaux de chacune des antennes d'action sociale du ministère de la défense ; - la publication de l'arrêté au Journal officiel de la République française portant création du traitement. La commission considère que ces modalités d'information des personnes sont satisfaisantes. Les droits d'opposition, d'accès et de rectification prévus aux articles 38, 39 et 40 de la loi précitée s'exercent auprès de la direction des ressources humaines/sous-direction de l'action sociale du ministère de la défense. La commission considère que ces modalités d'exercice des droits des personnes sont satisfaisantes. |
|
Sur les mesures de sécurité |
L'accès à la plate-forme par les agents habilités est sécurisé au moyen du protocole https. Concernant le recours à ce protocole, la commission rappelle qu'elle recommande d'utiliser la version de TLS la plus à jour possible. Des profils d'habilitation définissent les fonctions ou les types d'informations accessibles à un utilisateur. Ceux-ci ainsi que leurs droits respectifs sont spécifiés et documentés de manière détaillée, et prennent en compte les accès différentiés aux informations en fonction du besoin d'en connaître. Les profils sont attribués par les administrateurs fonctionnels de la sous-direction de l'action sociale en fonction des mouvements des personnels, et sur demande des centres territoriaux d'action sociale (CTAS), des directions locales d'action sociale (DLAS), des centres d'action sociale d'outre-mer (CASOM), et des échelons sociaux interarmées (ESIA). La commission rappelle qu'elle recommande que les permissions d'accès soient attribuées pour une durée déterminée, qu'elles soient supprimées pour tout utilisateur n'étant plus habilité et qu'une revue globale des habilitations soit opérée régulièrement. Elle relève ainsi que la politique de mots de passe élaborée par le ministère pourrait nécessiter une mise à jour afin de maintenir sa conformité aux recommandations de la CNIL suite à la publication de sa délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe. La commission prend acte que le ministère travaille à sa mise en œuvre. L'article 5 de l'arrêté prévoit qu'une journalisation des opérations de consultation, création, modification et suppression du traitement est réalisée. La commission prend note de l'engagement du ministère de modifier le projet d'arrêté afin de prévoir une durée de conservation de deux ans qui, au vu de l'impact potentiel sur les personnes concernées, est considérée comme proportionnée par la commission. La commission rappelle qu'elle recommande de réaliser un contrôle des traces de manière automatique, afin de détecter les comportements anormaux et lever des alertes. Des sauvegardes régulières sont réalisées et stockées dans un endroit garantissant leur sécurité et leur disponibilité. La commission tient à rappeler l'importance de tester régulièrement les sauvegardes. Sous réserve des précédentes observations, les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques. |
|
Sur les autres caractéristiques du traitement |
Les données collectées et traitées pour les besoins du suivi social des personnes concernées sont conservées deux ans dans la base active à compter du dernier contact avec la personne ayant fait l'objet de ce suivi. Lorsqu'il existe un recours contre un tiers ou un contentieux, les données sont conservées jusqu'à l'intervention de la décision définitive. A l'expiration de ce délai, les données sont détruites de manière sécurisée ou archivées dans des conditions définies en conformité avec les dispositions du code du patrimoine relatives aux obligations d'archivage des informations du secteur public. La commission considère que cette durée de conservation est pertinente au regard de la finalité poursuivie. |
Autorise, conformément à la présente délibération, le ministère de la défense à mettre en œuvre le traitement susmentionné.