Délibération n° 2012-18 du 23 janvier 2012 de la commission de contrôle des informations nominatives portant avis favorable sur la demande d’avis présentée par la poste relative à la mise en œuvre du traîtement automatisé d’informations nominatives ayant pour finalité «suivi des émissions de chèques, des virements et des opérations postales en cours d’encaissement»
Vu la Constitution ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’arrêté ministériel n° 2010-638 du 23 décembre 2010 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée ;
Vu l’arrêté ministériel n° 2009-383 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée ;
Vu la demande d’avis déposée par La Poste le 25 novembre 2011 concernant la mise en œuvre d’un traitement automatisé ayant pour finalité «Suivi des émissions de chèques, des virements et des opérations postales en cours d’encaissement» ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 23 janvier 2012 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
La Poste, ancienne administration française, opérait sur le territoire monégasque conformément à la Convention douanière franco-monégasque du 18 mai 1963, rendue exécutoire par l’ordonnance souveraine n° 3.042 du 19 août 1963.
Depuis la privatisation de La Poste en mars 2010, ladite convention est devenue caduque. S’est donc alors posée la problématique du fondement juridique de l’activité de La Poste à Monaco.
A ce titre, l’arrêté ministériel n° 2010-638 du 23 décembre 2010 est venu mettre un terme à ce vide juridique, en faisant de La Poste une société privée concessionnaire d’un service public.
Toutefois, en l’absence de convention de concession et d’un cahier des charges y afférent, la Commission considère qu’il convient de se prononcer sur le traitement qui lui est soumis au regard des missions normalement dévolues à un organisme investi d’une telle mission d’intérêt général.
Ainsi, conformément à l’article 7 de la loi n° 1.165, modifiée, La Poste soumet la présente demande d’avis relative à la mise en œuvre d’un traitement ayant pour finalité «Suivi des émissions de chèques, des virements et des opérations postales en cours d’encaissement».
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité «Suivi des émissions de chèques, des virements et des opérations postales en cours d’encaissement». Sa dénomination est «CCP».
Les fonctionnalités du traitement sont les suivantes :
- suivi de comptabilité des opérations d’émission de chèques ;
- suivi des virements effectués par les services de La Poste afin de régler ses fournisseurs ;
- suivi des opérations postales en attente de règlement comptable par certains des clients de La Poste.
Par ailleurs, à l’analyse du dossier, la Commission constate que ce traitement permet également l’impression d’états récapitulatifs d’opérations.
Enfin, elle observe que les personnes concernées par ce traitement sont les bénéficiaires de chèques de banque, ainsi que les fournisseurs bénéficiaires de virements provenant des services de La Poste. Par ailleurs, sont également concernés par le traitement certains clients spécifiques de La Poste disposant de décaissements en attente (Gouvernement, Palais, etc.). La Commission relève que les deux agents du service Comptabilité de La Poste, mentionnés dans la demande d’avis, ne sont pas des personnes concernées au sens de l’article 1er de la loi n° 1.165, modifiée, leurs informations nominatives n’étant pas exploitées dans le cadre du traitement.
Au vu de ces éléments, la Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la justification du traitement
• Sur la licéité du traitement
Sur le territoire de la Principauté, la Commission constate que La Poste exerce les missions de service public normalement dévolues à un tel organisme. Cela inclut la gestion des activités postales ainsi que toute activité sous-jacente permettant le bon fonctionnement des services de La Poste à Monaco - telle que la gestion du compte courant de La Poste qui constitue le traitement objet de la présente délibération.
Dans le cadre de ce traitement, La Poste collecte certaines données nominatives afférentes au suivi des diverses opérations objets de ce compte.
Ainsi, la Commission constate que le traitement est licite, conformément aux exigences légales.
• Sur la justification du traitement
Le responsable de traitement indique que le traitement est justifié par la réalisation d’un intérêt légitime poursuivi par La Poste, sans que soient méconnus les libertés et droits fondamentaux des personnes concernées.
En effet, la Commission relève que le traitement permet de faciliter le suivi des opérations liées au compte courant de La Poste. De plus, aux termes de la demande d’avis, le responsable de traitement indique que le traitement «[permet] de vérifier rapidement les opérations en cas de réclamation d’un client», ainsi que «de relancer éventuellement [la] clientèle» pour ce qui est des décaissements en attente.
L’examen du respect des libertés et droits fondamentaux des personnes concernées est exposé au point IV de la présente délibération.
Par conséquent, sous réserve du respect de ces droits, la Commission considère que le traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations nominatives objets du présent traitement sont :
- données relatives à la saisie des chèques : numéro de chèque, date, bureau de La Poste émetteur, montant, nom et prénom du bénéficiaire (ou raison sociale s’il s’agit d’une société) ;
- données relatives à la saisie d’un virement bancaire : numéro de virement, date, montant, raison sociale de la société bénéficiaire ;
- données relatives à la saisie d’un décaissement en attente : date, bureau de La Poste, identification du client débiteur, montant, nature de l’opération (affranchissement, colis, chronopost, etc.) ;
- pointage : pointage des opérations lors de la réception du relevé de compte ;
- numéro d’ordre : numéro d’enregistrement de l’opération (compteur).
L’ensemble des informations objets du traitement est issu d’une saisie informatique par les agents du Service comptabilité de La Poste, à l’exception du numéro d’ordre qui est automatiquement généré par le système. Les informations ainsi collectées proviennent notamment du chèque émis par La Poste, ou du carnet de virements.
Au vu de ces éléments, la Commission estime que les informations collectées sont «adéquates, pertinentes et non excessives» au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV. Sur les droits des personnes concernées
• Sur l’information des personnes concernées
La Commission observe qu’aux termes de la demande d’avis, l’information préalable des personnes concernées est effectuée par le biais d’un affichage, ainsi que d’une procédure interne accessible sur l’Intranet.
Elle relève toutefois que ces modalités d’information ne permettent pas d’informer les personnes concernées de l’existence d’un traitement d’informations nominatives les concernant, ainsi que de leurs droits, comme exigé par l’article 14 de la loi n° 1.165, modifiée.
Par conséquent, la Commission demande à ce que soit prévu un autre mode d’information des personnes concernées :
- Pour ce qui est des clients et fournisseurs de La Poste, cela pourrait par exemple prendre la forme d’un courrier les informant de l’ensemble des traitements automatisés les concernant ainsi que de leurs droits. Les reçus papier délivrés aux clients émettant des chèques pourraient également contenir une mention d’information conforme aux exigences de l’article 14, susvisé ;
- En ce qui concerne les personnes qui ne sont ni clientes ni fournisseurs de La Poste, telles que les bénéficiaires de chèques ou de virements de La Poste, la Commission recommande la publication d’une rubrique relative à la protection des données personnelles sur le site Internet de La Poste Monaco.
• Sur l’exercice du droit d’accès
La Commission observe que le droit d’accès des personnes concernées à leurs données nominatives peut être exercé par voie postale ou par courrier électronique. A défaut d’indication d’un délai de réponse, elle rappelle que conformément aux dispositions de l’article 15 de la loi n° 1.165, modifiée, celui-ci ne saurait être supérieur à trente jours.
En ce qui concerne les droits de modification ou de suppression des données, ceux-ci peuvent être exercés selon les mêmes modalités.
La Commission constate donc que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions de la loi n° 1.165, modifiée.
V. Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement dans le cadre de leurs attributions sont les personnes suivantes :
- les agents du service Comptabilité de La Poste ;
- le responsable informatique ;
- le prestataire pour la maintenance.
Aux termes de la demande d’avis, ces personnes disposent de tous les droits (consultation, modification, suppression). En ce qui concerne le prestataire, la Commission rappelle toutefois que conformément aux dispositions de l’article 17 de la loi n°1.165, modifiée, ses droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service.
Sous cette réserve, la Commission considère que les accès susmentionnés sont justifiés.
VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations n’appellent pas d’observation.
La Commission rappelle néanmoins que conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VII. Sur la durée de conservation
Les données sont conservées pour une durée de deux ans.
La Commission considère qu’un tel délai est conforme aux exigences légales.
Après en avoir délibéré :
Rappelle que :
- les droits d’accès dévolus au prestataire doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de maintenance, conformément aux dispositions de l’article 17 de la loi n° 1.165, modifiée ;
- celui-ci est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de l’article 17, susvisé ;
Demande que conformément aux exigences de l’article 14 de la loi n° 1.165, modifiée, l’information préalable des personnes concernées soit correctement assurée :
- par le biais d’un courrier adressé aux clients et aux fournisseurs de La Poste faisant état, notamment, de l’existence de ce traitement ainsi que de leurs droits. Une mention portée sur les reçus papier délivrés aux clients émettant des chèques pourrait également être envisagée ;
- par le biais d’une rubrique relative à la protection des données accessibles sur le site Internet de La Poste Monaco pour informer les bénéficiaires du traitement ainsi que de leurs droits.
D’une manière générale, recommande :
- l’envoi d’un courrier aux clients et fournisseurs de La Poste faisant état de l’ensemble des traitements exploités par La Poste les concernant, et les informant de leurs droits, conformément à l’article 14, susvisé ;
- la publication d’une rubrique relative à la protection des données personnelles sur le site Internet de La Poste Monaco, permettant d’informer toutes les personnes concernées qui ne sont ni clientes ni fournisseurs de La Poste ;
A la condition de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par La Poste Monaco du traitement automatisé d’informations nominatives ayant pour finalité «Suivi des émissions de chèques, des virements et des opérations postales en cours d’encaissement».
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’arrêté ministériel n° 2010-638 du 23 décembre 2010 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée ;
Vu l’arrêté ministériel n° 2009-383 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée ;
Vu la demande d’avis déposée par La Poste le 25 novembre 2011 concernant la mise en œuvre d’un traitement automatisé ayant pour finalité «Suivi des émissions de chèques, des virements et des opérations postales en cours d’encaissement» ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 23 janvier 2012 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
La Poste, ancienne administration française, opérait sur le territoire monégasque conformément à la Convention douanière franco-monégasque du 18 mai 1963, rendue exécutoire par l’ordonnance souveraine n° 3.042 du 19 août 1963.
Depuis la privatisation de La Poste en mars 2010, ladite convention est devenue caduque. S’est donc alors posée la problématique du fondement juridique de l’activité de La Poste à Monaco.
A ce titre, l’arrêté ministériel n° 2010-638 du 23 décembre 2010 est venu mettre un terme à ce vide juridique, en faisant de La Poste une société privée concessionnaire d’un service public.
Toutefois, en l’absence de convention de concession et d’un cahier des charges y afférent, la Commission considère qu’il convient de se prononcer sur le traitement qui lui est soumis au regard des missions normalement dévolues à un organisme investi d’une telle mission d’intérêt général.
Ainsi, conformément à l’article 7 de la loi n° 1.165, modifiée, La Poste soumet la présente demande d’avis relative à la mise en œuvre d’un traitement ayant pour finalité «Suivi des émissions de chèques, des virements et des opérations postales en cours d’encaissement».
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité «Suivi des émissions de chèques, des virements et des opérations postales en cours d’encaissement». Sa dénomination est «CCP».
Les fonctionnalités du traitement sont les suivantes :
- suivi de comptabilité des opérations d’émission de chèques ;
- suivi des virements effectués par les services de La Poste afin de régler ses fournisseurs ;
- suivi des opérations postales en attente de règlement comptable par certains des clients de La Poste.
Par ailleurs, à l’analyse du dossier, la Commission constate que ce traitement permet également l’impression d’états récapitulatifs d’opérations.
Enfin, elle observe que les personnes concernées par ce traitement sont les bénéficiaires de chèques de banque, ainsi que les fournisseurs bénéficiaires de virements provenant des services de La Poste. Par ailleurs, sont également concernés par le traitement certains clients spécifiques de La Poste disposant de décaissements en attente (Gouvernement, Palais, etc.). La Commission relève que les deux agents du service Comptabilité de La Poste, mentionnés dans la demande d’avis, ne sont pas des personnes concernées au sens de l’article 1er de la loi n° 1.165, modifiée, leurs informations nominatives n’étant pas exploitées dans le cadre du traitement.
Au vu de ces éléments, la Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la justification du traitement
• Sur la licéité du traitement
Sur le territoire de la Principauté, la Commission constate que La Poste exerce les missions de service public normalement dévolues à un tel organisme. Cela inclut la gestion des activités postales ainsi que toute activité sous-jacente permettant le bon fonctionnement des services de La Poste à Monaco - telle que la gestion du compte courant de La Poste qui constitue le traitement objet de la présente délibération.
Dans le cadre de ce traitement, La Poste collecte certaines données nominatives afférentes au suivi des diverses opérations objets de ce compte.
Ainsi, la Commission constate que le traitement est licite, conformément aux exigences légales.
• Sur la justification du traitement
Le responsable de traitement indique que le traitement est justifié par la réalisation d’un intérêt légitime poursuivi par La Poste, sans que soient méconnus les libertés et droits fondamentaux des personnes concernées.
En effet, la Commission relève que le traitement permet de faciliter le suivi des opérations liées au compte courant de La Poste. De plus, aux termes de la demande d’avis, le responsable de traitement indique que le traitement «[permet] de vérifier rapidement les opérations en cas de réclamation d’un client», ainsi que «de relancer éventuellement [la] clientèle» pour ce qui est des décaissements en attente.
L’examen du respect des libertés et droits fondamentaux des personnes concernées est exposé au point IV de la présente délibération.
Par conséquent, sous réserve du respect de ces droits, la Commission considère que le traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations nominatives objets du présent traitement sont :
- données relatives à la saisie des chèques : numéro de chèque, date, bureau de La Poste émetteur, montant, nom et prénom du bénéficiaire (ou raison sociale s’il s’agit d’une société) ;
- données relatives à la saisie d’un virement bancaire : numéro de virement, date, montant, raison sociale de la société bénéficiaire ;
- données relatives à la saisie d’un décaissement en attente : date, bureau de La Poste, identification du client débiteur, montant, nature de l’opération (affranchissement, colis, chronopost, etc.) ;
- pointage : pointage des opérations lors de la réception du relevé de compte ;
- numéro d’ordre : numéro d’enregistrement de l’opération (compteur).
L’ensemble des informations objets du traitement est issu d’une saisie informatique par les agents du Service comptabilité de La Poste, à l’exception du numéro d’ordre qui est automatiquement généré par le système. Les informations ainsi collectées proviennent notamment du chèque émis par La Poste, ou du carnet de virements.
Au vu de ces éléments, la Commission estime que les informations collectées sont «adéquates, pertinentes et non excessives» au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV. Sur les droits des personnes concernées
• Sur l’information des personnes concernées
La Commission observe qu’aux termes de la demande d’avis, l’information préalable des personnes concernées est effectuée par le biais d’un affichage, ainsi que d’une procédure interne accessible sur l’Intranet.
Elle relève toutefois que ces modalités d’information ne permettent pas d’informer les personnes concernées de l’existence d’un traitement d’informations nominatives les concernant, ainsi que de leurs droits, comme exigé par l’article 14 de la loi n° 1.165, modifiée.
Par conséquent, la Commission demande à ce que soit prévu un autre mode d’information des personnes concernées :
- Pour ce qui est des clients et fournisseurs de La Poste, cela pourrait par exemple prendre la forme d’un courrier les informant de l’ensemble des traitements automatisés les concernant ainsi que de leurs droits. Les reçus papier délivrés aux clients émettant des chèques pourraient également contenir une mention d’information conforme aux exigences de l’article 14, susvisé ;
- En ce qui concerne les personnes qui ne sont ni clientes ni fournisseurs de La Poste, telles que les bénéficiaires de chèques ou de virements de La Poste, la Commission recommande la publication d’une rubrique relative à la protection des données personnelles sur le site Internet de La Poste Monaco.
• Sur l’exercice du droit d’accès
La Commission observe que le droit d’accès des personnes concernées à leurs données nominatives peut être exercé par voie postale ou par courrier électronique. A défaut d’indication d’un délai de réponse, elle rappelle que conformément aux dispositions de l’article 15 de la loi n° 1.165, modifiée, celui-ci ne saurait être supérieur à trente jours.
En ce qui concerne les droits de modification ou de suppression des données, ceux-ci peuvent être exercés selon les mêmes modalités.
La Commission constate donc que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions de la loi n° 1.165, modifiée.
V. Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement dans le cadre de leurs attributions sont les personnes suivantes :
- les agents du service Comptabilité de La Poste ;
- le responsable informatique ;
- le prestataire pour la maintenance.
Aux termes de la demande d’avis, ces personnes disposent de tous les droits (consultation, modification, suppression). En ce qui concerne le prestataire, la Commission rappelle toutefois que conformément aux dispositions de l’article 17 de la loi n°1.165, modifiée, ses droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service.
Sous cette réserve, la Commission considère que les accès susmentionnés sont justifiés.
VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations n’appellent pas d’observation.
La Commission rappelle néanmoins que conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VII. Sur la durée de conservation
Les données sont conservées pour une durée de deux ans.
La Commission considère qu’un tel délai est conforme aux exigences légales.
Après en avoir délibéré :
Rappelle que :
- les droits d’accès dévolus au prestataire doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de maintenance, conformément aux dispositions de l’article 17 de la loi n° 1.165, modifiée ;
- celui-ci est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de l’article 17, susvisé ;
Demande que conformément aux exigences de l’article 14 de la loi n° 1.165, modifiée, l’information préalable des personnes concernées soit correctement assurée :
- par le biais d’un courrier adressé aux clients et aux fournisseurs de La Poste faisant état, notamment, de l’existence de ce traitement ainsi que de leurs droits. Une mention portée sur les reçus papier délivrés aux clients émettant des chèques pourrait également être envisagée ;
- par le biais d’une rubrique relative à la protection des données accessibles sur le site Internet de La Poste Monaco pour informer les bénéficiaires du traitement ainsi que de leurs droits.
D’une manière générale, recommande :
- l’envoi d’un courrier aux clients et fournisseurs de La Poste faisant état de l’ensemble des traitements exploités par La Poste les concernant, et les informant de leurs droits, conformément à l’article 14, susvisé ;
- la publication d’une rubrique relative à la protection des données personnelles sur le site Internet de La Poste Monaco, permettant d’informer toutes les personnes concernées qui ne sont ni clientes ni fournisseurs de La Poste ;
A la condition de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par La Poste Monaco du traitement automatisé d’informations nominatives ayant pour finalité «Suivi des émissions de chèques, des virements et des opérations postales en cours d’encaissement».
Le Président de la Commission
de Contrôle des Informations Nominatives.