icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-list-thumbnails icon-thumbnails

Délibération n° 2017-168 du 20 septembre 2017 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des ressources humaines hors paie de Monaco Telecom, Monaco Telecom International et Monaco Telecom Services » présenté par Monaco Telecom S.A.M.

  • N° journal 8350
  • Date de publication 06/10/2017
  • Qualité 100%
  • N° de page

Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu le Contrat de Concession du Service Public des communications électroniques sur le territoire de la Principauté de Monaco du 26 septembre 2011 ;
Vu le Cahier des Charges relatif à la Concession du Service Public des communications électroniques sur le territoire de la Principauté de Monaco signé le 26 septembre 2011, annexé à l'Ordonnance Souveraine n° 3.560 du 6 décembre 2011 ;
Vu le Cahier des Charges de l'avenant à la Concession du Service Public des communications électroniques et ses annexes, annexés à l'Ordonnance Souveraine n° 6.186 du 12 décembre 2016 ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la délibération n° 2015-113 du 18 novembre 2015 de la Commission de Contrôle des Informations Nominatives portant recommandation sur la collecte et la conservation de la copie de documents d'identité officiels ;
Vu la demande d'avis reçue le 24 mai 2017 concernant la mise en œuvre par Monaco Telecom S.A.M. d'un traitement automatisé ayant pour finalité « Gestion des ressources humaines hors paie » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 20 juillet 2017, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 20 septembre 2017 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
MONACO TELECOM SAM, immatriculée au RCI, est un organisme de droit privé concessionnaire d'un service public. Elle a notamment pour objet « d'assurer dans les relations intérieures et internationales, tous services de télécommunications. À ce titre, elle assure les activités d'opérateur public chargé de l'exploitation du service téléphonique de la Principauté de Monaco […] ».
Cette société a reçu un avis favorable à la mise en œuvre d'un traitement ayant une finalité similaire et intitulé « ARAGON eRH » par délibération n° 2013-152\. Les modalités d'exploitation ayant évolué, Monaco Telecom SAM souhaite aujourd'hui remplacer le traitement initial par le présent traitement.
La Commission en prend acte.
Ainsi, ce dernier est soumis à l'avis de la commission conformément à l'article 7 de la loi n°1.165 du 23 décembre 1993.
I.        Sur la finalité et les fonctionnalités du traitement
Ce traitement a pour finalité « Gestion des ressources humaines hors paie ».
Le responsable de traitement indique que les personnes concernées sont les salariés de Monaco Telecom SAM (MT), ainsi que ceux de sa filiale Monaco Telecom International (MTI) et de Monaco Telecom Services SARL (MTS) qui ne disposent pas de leurs propres services de ressources humaines.
Enfin, les fonctionnalités sont les suivantes :
-         gestion et suivi des congés, absences et heures supplémentaires du personnel ;
-         établissement et mise à jour du dossier administratif du salarié et de sa fiche de poste : situation professionnelle, historique de carrière au sein de la société, compétences et diplômes ;
-         gestion des annuaires internes et des organigrammes ;
-         gestion des trombinoscopes ;
-         gestion des déclarations d'accident du travail et de maladie professionnelle, suivi administratif des visites médicales obligatoires des salariés ;
-         gestion des compétences et des évaluations professionnelles du salarié : gestion des entretiens d'évaluation et des appréciations des aptitudes professionnelles sur la base de critères objectifs, saisie des observations et souhaits formulés par le salarié ;
-         gestion du suivi des embauches, renouvellements et fins de contrat, conformément à la législation monégasque ;
-         gestion des formations : suivi des demandes de formation et des périodes de formation effectuées ;
-         établissement de listes de salariés permettant de répondre à des besoins de gestion administrative ou à des obligations de nature légale ou réglementaire ;
-         établissement d'états statistiques ;
-         gestion des notes de frais.
La Commission rappelle toutefois que tout traitement d'informations nominatives doit avoir une finalité « déterminée, explicite et légitime » aux termes de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
En l'espèce, la finalité du présent traitement doit être plus explicite c'est-à-dire être plus claire et précise s'agissant de l'objectif du traitement, à savoir gérer les ressources humaines pour l'ensemble des trois entités précitées.
Par conséquent, elle modifie la finalité comme suit : « Gestion des ressources humaines hors paie de Monaco Telecom, Monaco Telecom International et Monaco Telecom Services ».
La Commission constate ainsi que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II.       Sur la licéité et la justification du traitement
Le traitement est justifié par certaines obligations légales, l'exécution du contrat de travail ainsi que la réalisation d'un intérêt légitime, sans que ne soient méconnus ni l'intérêt, ni les droits et libertés fondamentaux des personnes concernées.
À cet égard, la Commission observe que la centralisation des données de ressources humaines permet une gestion optimisée et une plus grande transparence envers les collaborateurs.
Comme l'indique le responsable de traitement, ceux-ci bénéficient d'un droit constant de visualisation et de modification de leurs données administratives en ligne.
Ce traitement permet en outre la bonne gestion des carrières des collaborateurs en application des contrats de travail, mais aussi de la loi n° 629 du 17 juillet 1957 tendant à réglementer les conditions d'embauchage et de licenciement en Principauté, de l'Ordonnance-loi n° 677 du 2 décembre 1959 sur la durée du travail, de la loi n° 739 du 16 mars 1963 sur le salaire, ainsi que de la loi n° 800 du 18 février 1966 régissant la rémunération et les conditions de travail relatives aux jours fériés légaux.
Par ailleurs, elle relève que la personne concernée consent à la collecte de sa photo.
Au vu de ces éléments, la Commission considère que le traitement est justifié, conformément à l'article 10-2 de la loi n° 1.165, modifiée.
III.      Sur les informations nominatives traitées
Les informations nominatives traitées sont :
-         identité : (1) Matricule entreprise, matricule CCSS et caisses complémentaires du collaborateur, matricule SS France ; (2) Civilité, nom, prénoms, nom de jeune fille, prénom usuel, date et lieu de naissance type et numéro de pièce d'identité, photo, nationalité, statut marital ; (3) noms, prénoms et date de naissance des enfants et du conjoint. Statut marital ;
-         adresses et coordonnées : numéro de voie, nom de voie, complément, code postal, ville, numéro de téléphone privé, nom, prénom, téléphone et lien de parenté du contact en cas d'urgence ;
-         formation/ diplômes/ vie professionnelle : (1) Diplômes obtenus avec l'année et le lieu d'obtention, parcours professionnel, poste occupé et compétences, nom du supérieur hiérarchique, plan de formation prévu pour le collaborateur et formations effectuées, dates d'entrée et de sortie de la société, type de contrat et convention collective, ancienneté dans la société, ancienneté dans la profession, motif de départ de la société, début et fin de période d'essai, temps partiel, statut télétravail, rythme horaire contractuel, lieu de travail, Direction, département, pôle et service d'appartenance, habilitations, fonctions sécuritaires, heures supplémentaires, travail en heures spécifiques effectuées ; (2) Statut de travailleur handicapé, données d'invalidité, accidents du travail, de trajet ou maladie professionnelle, conclusion de la visite médicale du travail, dates des visites médicales ;
-         caractéristiques financières : mode de paiement, IBAN/BIC, nom de la banque, perception de titre restaurant ;
-         consommation de biens et services : carte d'abonnement et de fidélité pour les transports ; affectation d'équipements professionnels (téléphone, ordinateur, voiture), numéro d'immatriculation des véhicules ; solde de jours de congés, historique des absences et type d'absences, moyen de transport, situation militaire, planning des absences ;
-         données d'identification électronique : adresse électronique MT, numéro de badge, numéro de téléphone fixe et portable professionnel ;
-         mesures à caractère social : délégués du personnel (collège, groupe, fonction, heures de délégation) ; membres du fonds social (appartenance) ;
-         évaluation collaborateur : notation et évaluation annuelle (EAD).
À l'analyse du dossier, la Commission relève que sont également collectés le justificatif de situation fiscale pour les français résidents en Principauté, la photocopie de la pièce d'identité, de la carte de séjour, du permis de conduire, la dernière fiche de paie du dernier employeur. Elle en prend donc acte. Elle rappelle à cet égard que la collecte du permis de conduire doit être justifiée eu égard au poste concerné, et demande à ce que les modalités de collecte et de conservation des documents d'identité soient effectuées conformément à sa délibération n° 2015-113 portant sur ceux-ci.
Les informations relatives à la première catégorie de données d'identité, les données de consommation de biens et services, les données d'identification électronique, les mesures à caractère social, ont pour origine la Direction des Ressources Humaines.
L'évaluation du collaborateur est saisie par le manager de la personne concernée.
Certaines données proviennent directement des collaborateurs. Il s'agit de la seconde catégorie des données d'identité et de situation de famille, de l'adresse et des coordonnées, des informations relatives aux diplômes, à la formation ainsi qu'à la vie professionnelle du collaborateur,  et des caractéristiques financières.
Les données visées dans la catégorie « Formation/diplômes/ vie professionnelle » peuvent également avoir pour origine la Médecine du Travail.
Enfin, il convient de relever que les données renseignées dans la rubrique « Mesures à caractère social », relatives aux délégués du personnel et aux membres du fonds social, ne sont pas des données sensibles au sens de l'article 12 de la loi n° 1.165 du 23 décembre 1993\. Dès lors, elles ne nécessitent pas de justification particulière quant à leur collecte.
Au vu de ces éléments, et considérant les dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993, la Commission estime que les informations traitées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement.
Elle rappelle toutefois que le responsable de traitement devra être vigilant et ne pas collecter de données relatives à la santé, soumises aux dispositions de l'article 12 de la loi n° 1.165, modifiée, et souligne en particulier que la nature des handicaps, des maladies ou autres motifs médicaux liés aux absences, ne devront en aucun cas faire l'objet d'un traitement, qu'il soit automatisé ou non.
IV.      Sur les droits des personnes concernées
        Sur l'information préalable des personnes concernées
L'information préalable des personnes concernées, à savoir les collaborateurs, est effectuée par le biais d'une mention particulière intégrée dans un document d'ordre général accessible en ligne.
Le document n'ayant pas été joint au dossier, la Commission n'est pas en mesure de vérifier s'il comporte les dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993.
La Commission rappelle que les personnes concernées doivent être informées conformément aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993.
        Sur l'exercice du droit d'accès, de modification et de mise à jour
Les droits des personnes concernées peuvent être exercés par un accès en ligne des collaborateurs à leurs données administratives, ou par une demande adressée par voie postale, courrier électronique ou formulée sur place auprès du service compétent de MONACO TELECOM SAM.
À cet égard, la Commission rappelle que la réponse à ce droit d'accès doit intervenir dans le mois suivant la réception de la demande.
Par ailleurs, s'agissant de l'exercice du droit d'accès par voie électronique, la Commission considère qu'une procédure devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d'un document d'identité était demandée, la transmission et le traitement de ce document devront faire l'objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d'identité officiels.
La Commission constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.
V.       Sur les personnes ayant accès au traitement
        Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
-         le département des ressources humaines : en inscription, modification et mise à jour ;
-         les collaborateurs : en mise à jour et consultation pour les données le concernant ;
-         les managers : en consultation pour certaines données concernant leurs collaborateurs et en mise à jour ;
-         les personnes habilitées de la Direction Systèmes d'information : en inscription, modification, mise à jour et consultation.
La Commission souligne que les accès des personnels de la DSI devront s'effectuer strictement dans le cade de leurs tâches d'exploitation.
Ainsi, considérant les attributions de chacune de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.
La Commission souligne qu'en cas de recours à des prestataires, leurs accès doivent être limités à ce qui est strictement nécessaire à l'exécution de leur contrat de prestation de service, conformément à l'article 17 de la loi n° 1.165\. De plus ils sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement.
VI.      Sur les rapprochements et interconnexions
Le responsable de traitement indique que le présent traitement fait l'objet de rapprochements avec les traitements suivants :
-         « Gestion des titres restaurant de MT et MTI », légalement mis en œuvre, pour la prise en compte des choix des personnes souhaitant en bénéficier et des évènements affectant leur délivrance ;
-         « Gestion des notes de frais des collaborateurs », légalement mis en œuvre, aux fins de fournir les informations d'organigramme et mettre à jour le fichier de saisie de note de frais.
Il est également interconnecté avec le traitement ayant pour finalité « Gestion paie », légalement mis en œuvre, pour la prise en compte dans les salaires des heures supplémentaires et des congés.
Par ailleurs, la Commission relève que le traitement est également interconnecté avec le traitement ayant pour finalité « Gestion des habilitations au système d'information » légalement mis en œuvre, afin de gérer les personnes habilitées à accéder au présent traitement.
VII.     Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation particulière.
Cependant, les personnes habilitées de la Direction des Systèmes d'Information doivent disposer d'un identifiant et d'un mot de passe nominatifs leur permettant d'effectuer leurs tâches d'exploitation.
De plus, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
La Commission rappelle également que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII.    Sur la durée de conservation
Les données objets du traitement sont conservées 5 ans après le terme contractuel, c'est-à-dire après la fin de la relation de travail avec le collaborateur.
La Commission rappelle qu'aux termes de l'arrêté ministériel n° 2016-501 du 5 aout 2016 relatif aux modalités de déclaration simplifiée des traitements automatisés d'informations nominatives relatifs à la gestion administrative des salariés (bien que Monaco Telecom ne soit pas éligible à ce type de formalité), il est estimé comme proportionné les durées de conservation suivantes :
« Les informations collectées dans le cadre des traitements prévus au présent arrêté ne peuvent, sauf dispositions législatives ou réglementaires contraires, être conservées au-delà de la période d'emploi de la personne concernée.
Les informations relatives aux sujétions particulières ouvrant droits à congés spéciaux ou à un crédit d'heures de délégation ne peuvent être conservées au-delà de la période de sujétion du salarié concerné.
Au-delà, ces informations collectées peuvent être archivées sur un support informatique distinct et à accès très limité, conformément aux règles applicables en matière d'archivage ».
Aussi, elle demande à ce que les informations gardées pendant 5 ans après le départ du salarié soient conservées en respect d'une politique d'archivage restreignant l'accès auxdites informations.
Par ailleurs, en ce qui concerne les délégués du personnel, la Commission estime que les listes des délégués du personnel peuvent être conservées en archive active cinq ans à compter de la fin de chaque mandat, avant d'être conservées sur support distinct à des fins historiques.
Après en avoir délibéré, la Commission :
Prend acte que le présent traitement  se substitue au traitement dénommé « ARAGON eRH ».
Modifie la finalité du traitement par : « Gestion des ressources humaines hors paie de Monaco Telecom, Monaco Telecom International et Monaco Telecom Services ».
Constate que :
-         sont exploitées les informations suivantes : justificatif de situation fiscale pour les français résidents en Principauté, la photocopie de la pièce d'identité, de la carte de séjour, du permis de conduire, la dernière fiche de paie du dernier employeur ;
-         le traitement est interconnecté avec le traitement ayant pour finalité « Gestion des habilitations au système d'information » légalement mis en œuvre, afin de gérer les personnes habilitées à accéder au présent traitement.
Considère qu'une procédure relative au droit d'accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations.
Rappelle que :
-         la collecte d'informations relatives au permis de conduire doit être justifiée eu égard au poste concerné ;
-         les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort ;
-         les informations collectées dans le cadre du présent traitement conservées 5 ans au-delà de la période d'emploi de la personne concernée soient conservées sur un support à accès limité, en archive intermédiaire ;
-         le responsable de traitement doit veiller à ne pas collecter de données relatives à la santé, soumises aux dispositions de l'article 12 de la loi n° 1.165 du 23 décembre 1993, et que la nature des handicaps, les maladies ou autres motifs médicaux liés aux absences, ne devront en aucun cas faire l'objet d'un traitement, qu'il soit automatisé ou non.
Demande que :
-         les personnes habilitées de la Direction des Systèmes d'Information disposent d'un identifiant et d'un mot de passe nominatifs leur permettant d'effectuer leurs tâches d'exploitation ;
-         les modalités de collecte et de conservation des documents d'identité soient effectuées conformément à sa délibération n° 2015-113 relative à ces derniers.
Fixe la durée de conservation des listes des délégués du personnel en archive active à cinq ans à compter de la fin de chaque mandat, avant de pouvoir être conservées sur support distinct à des fins historiques.
À la condition de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à  la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des ressources humaines hors paie de Monaco Telecom, Monaco Telecom International et Monaco Telecom Services » par Monaco Telecom SAM.

Le Président de la Commission
de Contrôle des Informations Nominatives.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2017.10.16.10.1