Délibération n° 2012-25 du 13 février 2012 de la commission de contrôle des informations nominatives portant avis favorable sur la demande presentée par La Poste Monaco relative à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité «Gestion des erreurs de caisse des guichetiers »
Vu la Constitution ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’arrêté ministériel n° 2010-638 du 23 décembre 2010 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée ;
Vu l’arrêté ministériel n° 2009-383 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée ;
Vu la demande d’avis déposée par La Poste le 16 décembre 2011, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité «Gestion des erreurs de caisse des guichetiers» ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 13 février 2012 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
La Poste, ancienne administration française, opérait sur le territoire monégasque conformément à la Convention douanière franco-monégasque du 18 mai 1963, rendue exécutoire par l’ordonnance souveraine n° 3.042 du 19 août 1963.
Depuis la privatisation de La Poste en mars 2010, ladite convention est devenue caduque. S’est donc alors posée la problématique du fondement juridique de l’activité de La Poste à Monaco.
A ce titre, l’arrêté ministériel n° 2010-638 du 23 décembre 2010 est venu mettre un terme à ce vide juridique, en faisant de La Poste une société privée concessionnaire d’un service public.
Toutefois, en l’absence de convention de concession et d’un cahier des charges y afférent, la Commission considère qu’il convient de se prononcer sur le traitement qui lui est soumis au regard des missions normalement dévolues à un organisme investi d’une telle mission d’intérêt général.
Ainsi, conformément à l’article 7 de la loi n° 1.165, modifiée, La Poste soumet la présente demande d’avis relative à la mise en œuvre d’un traitement ayant pour finalité «Gestion des erreurs de caisse des guichetiers».
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité «Gestion des erreurs de caisse des guichetiers». Sa dénomination est «Erreurs de caisse».
Les fonctionnalités du traitement sont les suivantes :
- établissement des fiches agents affectés au service Guichet ;
- gestion des erreurs de caisse et des erreurs de stocks par agent et par bureau ;
- impression de divers états récapitulatifs ainsi que des états comptables mensuels.
Par ailleurs, à l’analyse du dossier, il appert que ce traitement dispose d’une fonctionnalité complémentaire, à savoir la recherche, par le biais d’un module spécifique, d’éléments dudit traitement selon différents critères, et ce afin de les visualiser, voire de les modifier. Ainsi, la recherche peut être faite par agent sur une période donnée, par date, ou par montant. La Commission en prend donc acte.
Enfin, la Commission relève que les personnes concernées par ce traitement sont les guichetiers de La Poste.
Au vu de ces éléments, la Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la justification du traitement
• Sur la licéité du traitement
Sur le territoire de la Principauté, la Commission constate que La Poste exerce les missions de service public normalement dévolues à un tel organisme. Cela inclut la gestion des activités postales, ainsi que toute activité sous-jacente permettant le bon fonctionnement de ses services - telle que le suivi des erreurs de caisse des guichetiers au sein des différents bureaux postaux de Monaco.
Dans le cadre de ce traitement, La Poste collecte donc des données nominatives relatives aux agents susvisés.
Ainsi, la Commission constate que le traitement est licite, conformément aux exigences légales.
• Sur la justification du traitement
Tout d’abord, le responsable de traitement indique que le traitement est justifié par l’exécution d’un contrat avec la personne concernée. Celle-ci pourrait être applicable dans l’hypothèse où l’agent guichetier est contractuellement tenu par les erreurs de caisse qu’il commet, lesquelles seraient susceptibles d’entrainer une rupture de la relation de travail pour manquement. Toutefois, la Commission ne relève aucun élément dans le dossier au soutien d’une telle justification.
Par ailleurs, aux termes de la demande d’avis, le traitement est justifié par la réalisation d’un intérêt légitime poursuivi par le responsable de traitement, sans que soient méconnus les libertés et droits fondamentaux des personnes concernées.
En effet, la Commission prend acte des indications du responsable de traitement selon lesquelles le traitement « permet le suivi individuel et collectif des erreurs de caisse ». En outre, « l’édition de différents états récapitulatifs permet de suivre l’impact de ces erreurs sur la comptabilité et le chiffre d’affaires de La Poste ».
L’examen du respect des libertés et droits fondamentaux des personnes concernées est exposé au point IV de la présente délibération.
Ainsi, sous réserve du respect de ces droits, la Commission considère que le traitement est justifié, au sens de l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations nominatives objets du présent traitement sont :
- identité : nom, prénom de l’agent guichetier ;
- vie professionnelle : position de travail (grade) ;
- données d’identification électronique : numéro d’identifiant RH, numéro informatique de l’erreur de caisse ;
- données relatives aux erreurs : date, bureau, type d’erreur, montant de l’erreur (sous la forme : excédent, déficit et bilan), motif de régularisation, remarques.
Par ailleurs, à l’analyse du dossier, il appert que sont également collectées les informations suivantes : numéro ou «type» de guichet, numéro d’inventaire, date de régularisation, numéro de fiche, code informatique (code public de l’agent). La Commission en prend donc acte.
L’ensemble de ces données est issu d’une saisie informatique, à l’exception du numéro de fiche, du code public de l’agent, et du numéro informatique de l’erreur de caisse, qui sont automatiquement générés par le système. En outre, le bilan est automatiquement calculé une fois les données relatives à l’excédent et au déficit saisies par l’agent.
Au vu de ces éléments, la Commission considère que les informations collectées sont «adéquates, pertinentes et non excessives» au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV. Sur les droits des personnes concernées
• Sur l’information des personnes concernées
La Commission observe qu’aux termes de la demande d’avis, l’information préalable des personnes concernées est effectuée par le biais d’un affichage, ainsi que d’une procédure interne accessible sur l’Intranet.
Elle relève à cet égard que ces modes d’information sont suffisants pour garantir l’information des agents guichetiers de La Poste, sous réserve que l’ensemble des éléments prévus à l’article 14 de la loi n° 1.165, modifiée, soit mentionné.
Par ailleurs, et d’une manière générale, la Commission recommande la publication d’une rubrique relative à la protection des données personnelles sur le site Internet de La Poste Monaco, permettant d’informer toute personne concernée de l’exploitation de traitements automatisés la concernant, ainsi que de ses droits.
• Sur l’exercice du droit d’accès
La Commission observe que le droit d’accès des personnes concernées à leurs données nominatives peut être exercé par voie postale ou par courrier électronique. A défaut d’indication d’un délai de réponse, elle rappelle que conformément aux dispositions de l’article 15 de la loi n° 1.165, modifiée, celui-ci ne saurait être supérieur à trente jours.
En ce qui concerne les droits de modification ou de suppression des données, ceux-ci peuvent être exercés selon les mêmes modalités.
La Commission constate donc que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions de la loi n° 1.165, modifiée.
V. Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement dans le cadre de leurs attributions sont les personnes suivantes :
- l’agent contrôleur de gestion ;
- le responsable informatique ;
- le prestataire pour la maintenance.
Aux termes de la demande d’avis, ces personnes disposent de tous les droits d’accès (consultation, modification, suppression). En ce qui concerne le prestataire, la Commission rappelle toutefois que conformément aux dispositions de l’article 17 de la loi n° 1.165, modifiée, ses droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service.
Sous cette réserve, la Commission considère que les accès susmentionnés sont justifiés.
VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations n’appellent pas d’observation.
La Commission rappelle néanmoins que conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VII. Sur la durée de conservation
Les données sont conservées pour une durée de deux ans, à l’exception des données relatives à l’identité, au grade ainsi qu’à l’identifiant RH et au code public des agents concernés, lesquelles sont conservées jusqu’au terme de la relation de travail avec La Poste.
La Commission considère que de tels délais sont conformes aux exigences légales.
Après en avoir délibéré,
Rappelle que :
- les droits d’accès dévolus au prestataire doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de maintenance, conformément aux dispositions de l’article 17 de la loi n° 1.165, modifiée ;
- celui-ci est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de l’article 17, susvisé ;
D’une manière générale, recommande la publication d’une rubrique relative à la protection des données personnelles sur le site Internet de La Poste Monaco, permettant d’informer toute personne concernée de l’exploitation de traitements automatisés la concernant, ainsi que de ses droits.
A la condition de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par La Poste Monaco du traitement automatisé d’informations nominatives ayant pour finalité «Gestion des erreurs de caisse des guichetiers».
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’arrêté ministériel n° 2010-638 du 23 décembre 2010 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée ;
Vu l’arrêté ministériel n° 2009-383 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée ;
Vu la demande d’avis déposée par La Poste le 16 décembre 2011, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité «Gestion des erreurs de caisse des guichetiers» ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 13 février 2012 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
La Poste, ancienne administration française, opérait sur le territoire monégasque conformément à la Convention douanière franco-monégasque du 18 mai 1963, rendue exécutoire par l’ordonnance souveraine n° 3.042 du 19 août 1963.
Depuis la privatisation de La Poste en mars 2010, ladite convention est devenue caduque. S’est donc alors posée la problématique du fondement juridique de l’activité de La Poste à Monaco.
A ce titre, l’arrêté ministériel n° 2010-638 du 23 décembre 2010 est venu mettre un terme à ce vide juridique, en faisant de La Poste une société privée concessionnaire d’un service public.
Toutefois, en l’absence de convention de concession et d’un cahier des charges y afférent, la Commission considère qu’il convient de se prononcer sur le traitement qui lui est soumis au regard des missions normalement dévolues à un organisme investi d’une telle mission d’intérêt général.
Ainsi, conformément à l’article 7 de la loi n° 1.165, modifiée, La Poste soumet la présente demande d’avis relative à la mise en œuvre d’un traitement ayant pour finalité «Gestion des erreurs de caisse des guichetiers».
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité «Gestion des erreurs de caisse des guichetiers». Sa dénomination est «Erreurs de caisse».
Les fonctionnalités du traitement sont les suivantes :
- établissement des fiches agents affectés au service Guichet ;
- gestion des erreurs de caisse et des erreurs de stocks par agent et par bureau ;
- impression de divers états récapitulatifs ainsi que des états comptables mensuels.
Par ailleurs, à l’analyse du dossier, il appert que ce traitement dispose d’une fonctionnalité complémentaire, à savoir la recherche, par le biais d’un module spécifique, d’éléments dudit traitement selon différents critères, et ce afin de les visualiser, voire de les modifier. Ainsi, la recherche peut être faite par agent sur une période donnée, par date, ou par montant. La Commission en prend donc acte.
Enfin, la Commission relève que les personnes concernées par ce traitement sont les guichetiers de La Poste.
Au vu de ces éléments, la Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la justification du traitement
• Sur la licéité du traitement
Sur le territoire de la Principauté, la Commission constate que La Poste exerce les missions de service public normalement dévolues à un tel organisme. Cela inclut la gestion des activités postales, ainsi que toute activité sous-jacente permettant le bon fonctionnement de ses services - telle que le suivi des erreurs de caisse des guichetiers au sein des différents bureaux postaux de Monaco.
Dans le cadre de ce traitement, La Poste collecte donc des données nominatives relatives aux agents susvisés.
Ainsi, la Commission constate que le traitement est licite, conformément aux exigences légales.
• Sur la justification du traitement
Tout d’abord, le responsable de traitement indique que le traitement est justifié par l’exécution d’un contrat avec la personne concernée. Celle-ci pourrait être applicable dans l’hypothèse où l’agent guichetier est contractuellement tenu par les erreurs de caisse qu’il commet, lesquelles seraient susceptibles d’entrainer une rupture de la relation de travail pour manquement. Toutefois, la Commission ne relève aucun élément dans le dossier au soutien d’une telle justification.
Par ailleurs, aux termes de la demande d’avis, le traitement est justifié par la réalisation d’un intérêt légitime poursuivi par le responsable de traitement, sans que soient méconnus les libertés et droits fondamentaux des personnes concernées.
En effet, la Commission prend acte des indications du responsable de traitement selon lesquelles le traitement « permet le suivi individuel et collectif des erreurs de caisse ». En outre, « l’édition de différents états récapitulatifs permet de suivre l’impact de ces erreurs sur la comptabilité et le chiffre d’affaires de La Poste ».
L’examen du respect des libertés et droits fondamentaux des personnes concernées est exposé au point IV de la présente délibération.
Ainsi, sous réserve du respect de ces droits, la Commission considère que le traitement est justifié, au sens de l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations nominatives objets du présent traitement sont :
- identité : nom, prénom de l’agent guichetier ;
- vie professionnelle : position de travail (grade) ;
- données d’identification électronique : numéro d’identifiant RH, numéro informatique de l’erreur de caisse ;
- données relatives aux erreurs : date, bureau, type d’erreur, montant de l’erreur (sous la forme : excédent, déficit et bilan), motif de régularisation, remarques.
Par ailleurs, à l’analyse du dossier, il appert que sont également collectées les informations suivantes : numéro ou «type» de guichet, numéro d’inventaire, date de régularisation, numéro de fiche, code informatique (code public de l’agent). La Commission en prend donc acte.
L’ensemble de ces données est issu d’une saisie informatique, à l’exception du numéro de fiche, du code public de l’agent, et du numéro informatique de l’erreur de caisse, qui sont automatiquement générés par le système. En outre, le bilan est automatiquement calculé une fois les données relatives à l’excédent et au déficit saisies par l’agent.
Au vu de ces éléments, la Commission considère que les informations collectées sont «adéquates, pertinentes et non excessives» au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV. Sur les droits des personnes concernées
• Sur l’information des personnes concernées
La Commission observe qu’aux termes de la demande d’avis, l’information préalable des personnes concernées est effectuée par le biais d’un affichage, ainsi que d’une procédure interne accessible sur l’Intranet.
Elle relève à cet égard que ces modes d’information sont suffisants pour garantir l’information des agents guichetiers de La Poste, sous réserve que l’ensemble des éléments prévus à l’article 14 de la loi n° 1.165, modifiée, soit mentionné.
Par ailleurs, et d’une manière générale, la Commission recommande la publication d’une rubrique relative à la protection des données personnelles sur le site Internet de La Poste Monaco, permettant d’informer toute personne concernée de l’exploitation de traitements automatisés la concernant, ainsi que de ses droits.
• Sur l’exercice du droit d’accès
La Commission observe que le droit d’accès des personnes concernées à leurs données nominatives peut être exercé par voie postale ou par courrier électronique. A défaut d’indication d’un délai de réponse, elle rappelle que conformément aux dispositions de l’article 15 de la loi n° 1.165, modifiée, celui-ci ne saurait être supérieur à trente jours.
En ce qui concerne les droits de modification ou de suppression des données, ceux-ci peuvent être exercés selon les mêmes modalités.
La Commission constate donc que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions de la loi n° 1.165, modifiée.
V. Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement dans le cadre de leurs attributions sont les personnes suivantes :
- l’agent contrôleur de gestion ;
- le responsable informatique ;
- le prestataire pour la maintenance.
Aux termes de la demande d’avis, ces personnes disposent de tous les droits d’accès (consultation, modification, suppression). En ce qui concerne le prestataire, la Commission rappelle toutefois que conformément aux dispositions de l’article 17 de la loi n° 1.165, modifiée, ses droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service.
Sous cette réserve, la Commission considère que les accès susmentionnés sont justifiés.
VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations n’appellent pas d’observation.
La Commission rappelle néanmoins que conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VII. Sur la durée de conservation
Les données sont conservées pour une durée de deux ans, à l’exception des données relatives à l’identité, au grade ainsi qu’à l’identifiant RH et au code public des agents concernés, lesquelles sont conservées jusqu’au terme de la relation de travail avec La Poste.
La Commission considère que de tels délais sont conformes aux exigences légales.
Après en avoir délibéré,
Rappelle que :
- les droits d’accès dévolus au prestataire doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de maintenance, conformément aux dispositions de l’article 17 de la loi n° 1.165, modifiée ;
- celui-ci est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de l’article 17, susvisé ;
D’une manière générale, recommande la publication d’une rubrique relative à la protection des données personnelles sur le site Internet de La Poste Monaco, permettant d’informer toute personne concernée de l’exploitation de traitements automatisés la concernant, ainsi que de ses droits.
A la condition de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par La Poste Monaco du traitement automatisé d’informations nominatives ayant pour finalité «Gestion des erreurs de caisse des guichetiers».
Le Président de la Commission
de Contrôle des Informations Nominatives.