Délibération n° 2012-34 du 19 mars 2012 de la commission de contrôle des informations nominatives portant avis favorable sur la demande présentée par la société monégasque de l’Electricité et du gaz relative à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité «contrôle d’accès par lecteur non biométrique»
Vu la Constitution ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’ordonnance souveraine n° 2.578 du 13 janvier 2010 approuvant le traité de concession de la SMEG, ainsi que ses annexes et cahiers des charges ;
Vu l’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifié ;
Vu le traité de concession du service public de la distribution de l’électricité et du gaz conclu entre la SMEG et la Principauté de Monaco, et entré en vigueur le 1er janvier 2009, accompagné de ses annexes et cahiers des charges ;
Vu la délibération n° 2010-43 de la Commission du 15 novembre 2010 portant recommandation sur les dispositifs de contrôle d’accès sur le lieu de travail mis en œuvre par les personnes physiques ou morales de droit privé ;
Vu la demande d’autorisation déposée par la Société Monégasque de l’Electricité et du Gaz le 24 janvier 2012 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité «Contrôle d’accès par lecteur non biométrique» ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 19 mars 2012 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
La Société Monégasque de l’Electricité et du Gaz (SMEG) est une société anonyme en charge de l’exploitation du service public de la distribution de l’électricité et du gaz, en application du traité de concession, entré en vigueur le 1er janvier 2009, entre la SMEG et la Principauté de Monaco.
Afin d’administrer l’accès à ses locaux et d’assurer la sécurité des biens et des personnes s’y trouvant, la SMEG souhaite procéder à l’installation d’un système de contrôle par badge au sein de son établissement monégasque.
A ce titre, en application de l’article 11-1 de la loi n° 1.165, modifiée, du 23 décembre 1993, concernant la mise en œuvre de traitements automatisés d’informations nominatives à des fins de surveillance, la SMEG soumet la présente demande d’autorisation relative au traitement ayant pour finalité «Contrôle d’accès par lecteur non biométrique».
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité «Contrôle d’accès par lecteur non biométrique».
Les personnes concernées sont «les employés et les prestataires».
Enfin, les fonctionnalités du traitement sont les suivantes :
- gérer et administrer les accès physiques de certains espaces restreints aux personnes autorisées selon leur habilitation (au regard de leur fonction et activité dans l’entreprise) et des plages horaires définies ;
- collecter et enregistrer informatiquement les informations émises lors de la demande d’accès de la part des utilisateurs (numéro de badge présenté, localisation du lecteur et de la porte, date, heure, accès autorisé ou non) ;
- permettre le cas échéant, la constitution de preuves en cas d’infractions ou d’actes frauduleux.
Au vu de ces éléments, la Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la justification du traitement
• Sur la licéité du traitement
L’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée, dispose en son article 2 que la SMEG est un organisme de droit privé concessionnaire d’un service public.
Sa mission est d’assurer la distribution d’énergie électrique et de gaz.
Au regard de cette mission, le traitement ayant pour finalité «contrôle d’accès par lecteur non biométrique» apparaît nécessaire pour assurer la sécurité des personnes et des biens au sein de l’entreprise. Il a pour fondement le contrat de concession assurant un service public.
Par conséquent, elle considère que le traitement est licite au sens de l’article 10-1 de la loi n° 1.165, modifiée.
• Sur la justification
Le responsable de traitement indique que le traitement est justifié par la réalisation d’un intérêt légitime, sans que soient méconnus les libertés et droits fondamentaux des personnes concernées.
A cet égard, la Commission relève que l’installation de ce système de contrôle d’accès a pour but de renforcer la protection des biens et des personnes au sein de la SMEG.
Elle considère donc que le traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Aux termes de la demande d’autorisation, les informations objets du traitement sont les suivantes :
- identité : nom, prénom ;
- vie professionnelle : fonction, plages horaires habituellement autorisées, zones d’accès autorisées ;
- données de l’identification électronique : numéro de badge.
Par ailleurs, il appert que sont également collectées les informations suivantes : logs et horodatage.
La Commission constate que ces informations proviennent du système de gestion des accès aux locaux lui même, ainsi que du fichier «gestion du personnel» de la SMEG, régulièrement déclaré. Ces données sont rentrées manuellement dans les lecteurs non biométriques.
Ainsi, elle estime que les informations traitées sont «adéquates, pertinentes et non excessives» au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV. Sur les droits des personnes concernées
• Sur l’information des personnes concernées
Le responsable de traitement indique que l’information préalable des personnes concernées est effectuée par le biais d’une mention ou clause particulière intégrée dans un document remis à l’intéressé, ainsi que par une procédure interne accessible en Intranet.
Toutefois, ledit document n’étant pas joint à la demande d’autorisation, la Commission rappelle que l’information de la personne concernée doit porter sur :
- l’identité du responsable de traitement ;
- la finalité du traitement ;
- l’identité des destinataires ;
- l’existence d’un droit d’opposition, d’accès et de rectification à l’égard des informations les concernant.
Cette obligation d’information concerne autant les employés que les visiteurs, conformément aux dispositions de la délibération portant Recommandation n° 2010-43, du 15 novembre 2010 sur «les dispositifs de contrôle d’accès sur le lieu de travail mis en œuvre par les personnes physiques ou morales de droit privé».
Sous cette condition, la Commission considère que les modalités d’information préalable sont conformes aux dispositions de l’article 14 de la loi n° 1.165, modifiée.
• Sur l’exercice du droit d’accès
La Commission observe que le droit d’accès est exercé sur place ainsi que par courrier électronique auprès de la Direction Générale de la SMEG. Les droits de modification, mise à jour ou suppression des données sont exercés selon les mêmes modalités.
Par ailleurs, elle constate que le délai de réponse est de 20 jours.
La Commission considère que les modalités d’exercice du droit d’accès ou de suppression sont conformes aux dispositions des articles 15 et suivants de la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
• Sur les destinataires
La Commission constate que le responsable de traitement indique ne pas communiquer les informations objet du présent traitement.
Cependant, elle estime que ces informations sont susceptibles d’être communiquées à la Sûreté Publique dans le cadre d’une enquête judiciaire.
A cet égard, elle rappelle que dans le cadre d’une telle transmission les agents ne pourront avoir accès aux informations objet du traitement, que dans le strict cadre de leurs missions légalement conférées.
Dans ces conditions, la Commission estime qu’une telle transmission est conforme aux dispositions de l’article 17-1 de la loi n° 1.165, modifiée.
• Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
- l’intendant : consultation des données ;
- le Service Juridique de la SMEG : modification consultation des données ;
- les sous-traitants et les prestataires informatiques : accès à la base pour la maintenance et le développement du système.
Considérant les attributions du service et de l’intendant, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.
En ce qui concerne le prestataire, la Commission rappelle toutefois que conformément aux dispositions de l’article 17 de la loi n° 1.165, modifiée, ses droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service. De plus, celui-ci est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de l’article 17, susvisé.
Ainsi, elle considère que les accès au traitement sont conformes aux dispositions légales.
Elle rappelle en outre que la liste nominative des personnes ayant ainsi accès au traitement, et visée à l’article 17-1 de la loi n° 1.165, modifiée, devra être tenue à jour afin de lui être communiquée à première réquisition.
VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VII. Sur la durée de conservation
La Commission relève que les informations nominatives collectées par le système de contrôle d’accès sont conservées pour une durée de 5 ans.
L’article 10-1 de la loi n° 1.165, modifiée, dispose que les informations ne doivent être conservées que pendant une durée n’excédant pas celle nécessaire à la réalisation de la finalité. En l’espèce, cette durée de conservation est excessive eu égard de la finalité du traitement.
La Commission demande à ce que les informations temporelles ou d’horodatage et celles concernant les accès des salariés ne soient pas conservées au delà d’une durée de 3 mois, conformément à sa délibération portant recommandation n° 2010-43 du 15 novembre 2010 sur «les dispositifs de contrôle d’accès sur le lieu de travail mis en œuvre par les personnes physiques ou morales de droit privé».
Après en avoir délibéré,
Demande que les informations temporelles ou d’horodatage et celles concernant les accès des salariés ne soient pas conservées au delà d’une durée de 3 mois ;
Rappelle :
- que la liste nominative des personnes ayant accès au traitement, visée à l’article 17-1 de la loi n° 1.165, modifiée, doit être tenue à jour, et doit pouvoir être communiquée à la Commission à première réquisition ;
- que les droits d’accès des prestataires doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de service et qu’ils sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement ;
- qu’en cas de transmission éventuelle à la Direction de la Sûreté Publique pour enquête, les agents ne pourront avoir accès aux informations objet du traitement, que dans le strict cadre de leurs missions légalement conférées.
A la condition de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives autorise la mise en œuvre, par la Société Monégasque d’Electricité et du Gaz du traitement automatisé d’informations nominatives ayant pour finalité «Contrôle d’accès par lecteur non biométrique».
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’ordonnance souveraine n° 2.578 du 13 janvier 2010 approuvant le traité de concession de la SMEG, ainsi que ses annexes et cahiers des charges ;
Vu l’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifié ;
Vu le traité de concession du service public de la distribution de l’électricité et du gaz conclu entre la SMEG et la Principauté de Monaco, et entré en vigueur le 1er janvier 2009, accompagné de ses annexes et cahiers des charges ;
Vu la délibération n° 2010-43 de la Commission du 15 novembre 2010 portant recommandation sur les dispositifs de contrôle d’accès sur le lieu de travail mis en œuvre par les personnes physiques ou morales de droit privé ;
Vu la demande d’autorisation déposée par la Société Monégasque de l’Electricité et du Gaz le 24 janvier 2012 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité «Contrôle d’accès par lecteur non biométrique» ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 19 mars 2012 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
La Société Monégasque de l’Electricité et du Gaz (SMEG) est une société anonyme en charge de l’exploitation du service public de la distribution de l’électricité et du gaz, en application du traité de concession, entré en vigueur le 1er janvier 2009, entre la SMEG et la Principauté de Monaco.
Afin d’administrer l’accès à ses locaux et d’assurer la sécurité des biens et des personnes s’y trouvant, la SMEG souhaite procéder à l’installation d’un système de contrôle par badge au sein de son établissement monégasque.
A ce titre, en application de l’article 11-1 de la loi n° 1.165, modifiée, du 23 décembre 1993, concernant la mise en œuvre de traitements automatisés d’informations nominatives à des fins de surveillance, la SMEG soumet la présente demande d’autorisation relative au traitement ayant pour finalité «Contrôle d’accès par lecteur non biométrique».
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité «Contrôle d’accès par lecteur non biométrique».
Les personnes concernées sont «les employés et les prestataires».
Enfin, les fonctionnalités du traitement sont les suivantes :
- gérer et administrer les accès physiques de certains espaces restreints aux personnes autorisées selon leur habilitation (au regard de leur fonction et activité dans l’entreprise) et des plages horaires définies ;
- collecter et enregistrer informatiquement les informations émises lors de la demande d’accès de la part des utilisateurs (numéro de badge présenté, localisation du lecteur et de la porte, date, heure, accès autorisé ou non) ;
- permettre le cas échéant, la constitution de preuves en cas d’infractions ou d’actes frauduleux.
Au vu de ces éléments, la Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la justification du traitement
• Sur la licéité du traitement
L’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée, dispose en son article 2 que la SMEG est un organisme de droit privé concessionnaire d’un service public.
Sa mission est d’assurer la distribution d’énergie électrique et de gaz.
Au regard de cette mission, le traitement ayant pour finalité «contrôle d’accès par lecteur non biométrique» apparaît nécessaire pour assurer la sécurité des personnes et des biens au sein de l’entreprise. Il a pour fondement le contrat de concession assurant un service public.
Par conséquent, elle considère que le traitement est licite au sens de l’article 10-1 de la loi n° 1.165, modifiée.
• Sur la justification
Le responsable de traitement indique que le traitement est justifié par la réalisation d’un intérêt légitime, sans que soient méconnus les libertés et droits fondamentaux des personnes concernées.
A cet égard, la Commission relève que l’installation de ce système de contrôle d’accès a pour but de renforcer la protection des biens et des personnes au sein de la SMEG.
Elle considère donc que le traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Aux termes de la demande d’autorisation, les informations objets du traitement sont les suivantes :
- identité : nom, prénom ;
- vie professionnelle : fonction, plages horaires habituellement autorisées, zones d’accès autorisées ;
- données de l’identification électronique : numéro de badge.
Par ailleurs, il appert que sont également collectées les informations suivantes : logs et horodatage.
La Commission constate que ces informations proviennent du système de gestion des accès aux locaux lui même, ainsi que du fichier «gestion du personnel» de la SMEG, régulièrement déclaré. Ces données sont rentrées manuellement dans les lecteurs non biométriques.
Ainsi, elle estime que les informations traitées sont «adéquates, pertinentes et non excessives» au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV. Sur les droits des personnes concernées
• Sur l’information des personnes concernées
Le responsable de traitement indique que l’information préalable des personnes concernées est effectuée par le biais d’une mention ou clause particulière intégrée dans un document remis à l’intéressé, ainsi que par une procédure interne accessible en Intranet.
Toutefois, ledit document n’étant pas joint à la demande d’autorisation, la Commission rappelle que l’information de la personne concernée doit porter sur :
- l’identité du responsable de traitement ;
- la finalité du traitement ;
- l’identité des destinataires ;
- l’existence d’un droit d’opposition, d’accès et de rectification à l’égard des informations les concernant.
Cette obligation d’information concerne autant les employés que les visiteurs, conformément aux dispositions de la délibération portant Recommandation n° 2010-43, du 15 novembre 2010 sur «les dispositifs de contrôle d’accès sur le lieu de travail mis en œuvre par les personnes physiques ou morales de droit privé».
Sous cette condition, la Commission considère que les modalités d’information préalable sont conformes aux dispositions de l’article 14 de la loi n° 1.165, modifiée.
• Sur l’exercice du droit d’accès
La Commission observe que le droit d’accès est exercé sur place ainsi que par courrier électronique auprès de la Direction Générale de la SMEG. Les droits de modification, mise à jour ou suppression des données sont exercés selon les mêmes modalités.
Par ailleurs, elle constate que le délai de réponse est de 20 jours.
La Commission considère que les modalités d’exercice du droit d’accès ou de suppression sont conformes aux dispositions des articles 15 et suivants de la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
• Sur les destinataires
La Commission constate que le responsable de traitement indique ne pas communiquer les informations objet du présent traitement.
Cependant, elle estime que ces informations sont susceptibles d’être communiquées à la Sûreté Publique dans le cadre d’une enquête judiciaire.
A cet égard, elle rappelle que dans le cadre d’une telle transmission les agents ne pourront avoir accès aux informations objet du traitement, que dans le strict cadre de leurs missions légalement conférées.
Dans ces conditions, la Commission estime qu’une telle transmission est conforme aux dispositions de l’article 17-1 de la loi n° 1.165, modifiée.
• Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
- l’intendant : consultation des données ;
- le Service Juridique de la SMEG : modification consultation des données ;
- les sous-traitants et les prestataires informatiques : accès à la base pour la maintenance et le développement du système.
Considérant les attributions du service et de l’intendant, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.
En ce qui concerne le prestataire, la Commission rappelle toutefois que conformément aux dispositions de l’article 17 de la loi n° 1.165, modifiée, ses droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service. De plus, celui-ci est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de l’article 17, susvisé.
Ainsi, elle considère que les accès au traitement sont conformes aux dispositions légales.
Elle rappelle en outre que la liste nominative des personnes ayant ainsi accès au traitement, et visée à l’article 17-1 de la loi n° 1.165, modifiée, devra être tenue à jour afin de lui être communiquée à première réquisition.
VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VII. Sur la durée de conservation
La Commission relève que les informations nominatives collectées par le système de contrôle d’accès sont conservées pour une durée de 5 ans.
L’article 10-1 de la loi n° 1.165, modifiée, dispose que les informations ne doivent être conservées que pendant une durée n’excédant pas celle nécessaire à la réalisation de la finalité. En l’espèce, cette durée de conservation est excessive eu égard de la finalité du traitement.
La Commission demande à ce que les informations temporelles ou d’horodatage et celles concernant les accès des salariés ne soient pas conservées au delà d’une durée de 3 mois, conformément à sa délibération portant recommandation n° 2010-43 du 15 novembre 2010 sur «les dispositifs de contrôle d’accès sur le lieu de travail mis en œuvre par les personnes physiques ou morales de droit privé».
Après en avoir délibéré,
Demande que les informations temporelles ou d’horodatage et celles concernant les accès des salariés ne soient pas conservées au delà d’une durée de 3 mois ;
Rappelle :
- que la liste nominative des personnes ayant accès au traitement, visée à l’article 17-1 de la loi n° 1.165, modifiée, doit être tenue à jour, et doit pouvoir être communiquée à la Commission à première réquisition ;
- que les droits d’accès des prestataires doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de service et qu’ils sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement ;
- qu’en cas de transmission éventuelle à la Direction de la Sûreté Publique pour enquête, les agents ne pourront avoir accès aux informations objet du traitement, que dans le strict cadre de leurs missions légalement conférées.
A la condition de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives autorise la mise en œuvre, par la Société Monégasque d’Electricité et du Gaz du traitement automatisé d’informations nominatives ayant pour finalité «Contrôle d’accès par lecteur non biométrique».
Le Président de la Commission
de Contrôle des Informations Nominatives.