Délibération n° 2012-48 du 2 avril 2012 de la commission de contrôle des informations nominatives portant avis favorable sur la demande présentée par la sociéte monégasque de l’Electricite et du gaz relative à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité «Contrôle d’accès par reconnaissance du réseau veineux d’un doigt»
Vu la Constitution ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’ordonnance souveraine n° 2.578 du 13 janvier 2010 approuvant le traité de concession de la SMEG, ainsi que ses annexes et cahiers des charges ;
Vu l’arrêté ministériel n° 2009-382 du 31 juillet 2009, modifiée, portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993 ;
Vu le traité de concession du service public de la distribution de l’électricité et du gaz conclu entre la SMEG et la Principauté de Monaco, et entré en vigueur le 1er janvier 2009, accompagné de ses annexes et cahiers des charges ;
Vu la délibération n° 2011-32 de la Commission du 11 avril 2011 portant recommandation sur certains dispositifs biométriques reposant sur la reconnaissance du réseau veineux des doigts de la main et ayant pour finalité le contrôle de l’accès aux locaux sur le lieu de travail, mis en œuvre par les personnes physiques ou morales de droit privé ;
Vu la demande d’autorisation déposée par la SMEG le 24 janvier 2012 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité «Contrôle d’accès par reconnaissance du réseau veineux d’un doigt» ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 2 avril 2012 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
La Société Monégasque de l’Electricité et du Gaz (SMEG) est une société anonyme en charge de l’exploitation du service public de la distribution de l’électricité et du gaz, en application du traité de concession, entré en vigueur le 1er janvier 2009, entre la SMEG et la Principauté de Monaco.
Afin d’administrer l’accès à ses locaux et d’assurer la sécurité des biens et des personnes s’y trouvant, la SMEG souhaite procéder à l’installation d’un système de contrôle d’accès biométrique au sein de son établissement monégasque.
A ce titre, en application de l’article 11-1 de la loi n° 1.165, modifiée, du 23 décembre 1993, concernant la mise en œuvre de traitements automatisés d’informations nominatives comportant des données biométriques nécessaires au contrôle de l’identité des personnes, la SMEG soumet la présente demande d’autorisation relative au traitement ayant pour finalité «Contrôle d’accès par reconnaissance du réseau veineux d’un doigt».
I. Sur la finalité et les fonctionnalités du traitement
Ce traitement a pour finalité « Contrôle d’accès par reconnaissance du réseau veineux d’un doigt », la dénomination du traitement est «Biovein».
Les personnes concernées sont les employés et les prestataires.
Enfin, les fonctionnalités du traitement sont les suivantes :
- gérer et administrer les accès physiques de certains espaces restreints aux personnes autorisées selon leur habilitation (au regard de leur fonction et activité dans l’entreprise) et des plages horaires définies ;
- collecter et enregistrer informatiquement les informations émises lors de la demande d’accès de la part des utilisateurs ;
- permettre le cas échéant, la constitution de preuves en cas d’infractions ou d’actes frauduleux.
Au vu de ces éléments, la Commission constate que les fonctionnalités du traitement sont conformes aux termes de la délibération n° 2011-32 du 11 avril 2011, susvisée, et que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la justification du traitement
• Sur la licéité du traitement
Pour être licite, la Commission rappelle qu’un traitement mis en œuvre à des fins de surveillance et comportant des données biométriques nécessaires au contrôle de l’identité des personnes, au sens de l’article 11-1 de la loi n° 1.165, modifiée, doit être « nécessaire à la poursuite d’un objectif légitime essentiel » du responsable de traitement.
Le responsable de traitement déclare que la mise en place de ce contrôle d’accès limité à certaines zones limitativement désignées et particulièrement sensibles, a pour but d’assurer la sécurisation vis-à-vis d’intrus et des conséquences fonctionnelles sur la fourniture d’énergies aux clients de la Principauté et d’une manière plus générale d’assurer la sécurité des biens et des personnes qui y travaillent.
Au regard de cette mission, le traitement ayant pour finalité «Contrôle d’accès par reconnaissance du réseau veineux d’un doigt» apparaît nécessaire pour assurer la sécurité des personnes et des biens au sein de l’entreprise, mais également pour assurer la sécurité de la distribution d’énergies en Principauté. Il a pour fondement le contrat de concession assurant un service public.
Ainsi, si la Commission agrée que le recours par la SMEG à un système biométrique de contrôle d’accès constitue a priori un objectif légitime essentiel au sens de l’article 11-1 précité, il convient toutefois que les libertés et droits des personnes concernées soient protégés.
A ce titre, elle prend acte de la déclaration de la SMEG précisant que «le dispositif exclut l’utilisation de cette donnée à des fins de gestion des horaires et des temps de présence des employés. Ce dispositif ne saurait être détourné de sa finalité en conduisant notamment à un contrôle permanent et inopportun des employés».
Par ailleurs, la Commission porte une attention toute particulière quant à l’exploitation des données biométriques des individus.
En l’espèce, il apparait que les données nominatives sont collectées uniquement à des fins de contrôle d’accès, dans une perspective de sécurité des biens, des personnes et de la continuité du service public.
Par conséquent, elle considère que le traitement est licite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée et aux termes de la délibération n° 2011-32 du 11 avril 2011.
• Sur la justification
La SMEG indique que le traitement est justifié par :
- le consentement des personnes concernées ;
- l’exécution d’un contrat ou de mesures précontractuelles avec les personnes concernées ; et
- la réalisation d’un intérêt légitime poursuivi par le responsable de traitement, sans pour autant méconnaître les libertés et droits fondamentaux des individus.
En premier lieu, la Commission observe que les collaborateurs ainsi que les intervenants externes se soumettent aux règles de sécurité et d’accès aux locaux imposées par la SMEG. Dans ce cadre, en particulier, les données biométriques des individus ne sont pas traitées à l’insu des personnes concernées, mais uniquement après que ceux-ci aient fait la démarche de faire enregistrer leurs gabarits. Par conséquent, la Commission considère que le traitement est justifié par le consentement des personnes concernées.
En second lieu, la Commission relève que l’exploitation des informations nominatives des personnes concernées dans le cadre du présent traitement constitue une condition préalable et nécessaire à l’exécution par celles-ci de leurs missions ou prestations de travail. En effet, en cas de refus du traitement de ses données nominatives, la personne concernée ne sera pas admise à pénétrer dans les locaux de la SMEG, ou dans certaines zones limitativement identifiées à circulation restreinte. Par conséquent, la Commission constate que le traitement est justifié par l’exécution de mesures précontractuelles avec les personnes concernées.
En troisième et dernier lieu, la SMEG indique que ce traitement est justifié par la réalisation d’un intérêt légitime, sans pour autant que soient méconnus les libertés et droits fondamentaux des individus. Ce dispositif ne serait être utilisé à des fins de gestion des horaires ou du temps de travail. La SMEG a eu recours à ce dispositif en considération d’un enjeu spécifique ayant trait à l’intégrité physique des personnes ainsi qu’à l’intégrité des biens et installations dont la dégradation ou le détournement à des fins frauduleuses aurait des conséquences graves et irréversibles pour l’entreprise et au delà.
La Commission considère donc que le traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
La Commission relève que les informations nominatives objets du présent traitement sont :
- identité : nom, prénom, service, fonction, plages horaires habituellement autorisées, zones d’accès autorisées ;
- données d’identification électronique : date et heure de passage à une zone à accès restreint, identification du point de passage ;
- données biométriques : empreintes veineuses.
Les informations relatives à l’identité proviennent du fichier «gestion du personnel» de la SMEG, régulièrement déclaré.
Par ailleurs, les données d’identification électroniques, c’est-à-dire celles relatives aux accès, proviennent du système lui-même.
Enfin, les données biométriques sont issues du système d’enrôlement de l’empreinte veineuse, dont l’enregistrement s’effectue uniquement sur les terminaux de lecture-comparaison, à l’exclusion de tout enregistrement dans une base de données.
Ainsi, la Commission considère que les informations collectées sont «adéquates, pertinentes et non excessives», conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV. Sur les droits des personnes concernées
• Sur l’information des personnes concernées
Le responsable de traitement indique que l’information préalable des personnes concernées est effectuée par le biais d’une mention ou clause particulière intégrée dans un document remis à l’intéressé, ainsi que par une procédure interne accessible en Intranet.
Toutefois, ledit document n’étant pas joint à la demande d’autorisation, la Commission rappelle que l’information de la personne concernée qu’elle soit employée ou prestataire doit être conforme aux dispositions de l’article 14 de la loi n° 1.165, modifiée.
Sous cette condition, la Commission considère que les modalités d’information préalable sont conformes aux exigences légales.
• Sur l’exercice du droit d’accès
La Commission observe que le droit d’accès est exercé sur place ainsi que par courrier électronique auprès de la Direction Générale de la SMEG. Les droits de modification, mise à jour ou suppression des données sont exercés selon les mêmes modalités.
Par ailleurs, elle constate que le délai de réponse est de 20 jours.
La Commission considère que les modalités d’exercice du droit d’accès ou de suppression sont conformes aux dispositions des articles 15 et suivants de la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
• Sur les destinataires
La Commission constate que le responsable de traitement indique ne pas communiquer les informations objets du présent traitement.
Cependant, elle estime que ces informations sont susceptibles d’être communiquées à la Direction de la Sûreté Publique dans le cadre d’une enquête judiciaire.
A cet égard, elle rappelle que dans le cadre d’une telle transmission les agents ne pourront avoir accès aux informations objet du traitement, que dans le strict cadre de leurs missions légalement conférées, en application de l’article 17-1 de la loi n° 1.165, modifiée.
• Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
- l’intendant : consultation des données ;
- le Service Juridique SMEG : modification, consultation des données ;
- les sous-traitants et les prestataires informatiques : accès à la base pour la maintenance et développement du système.
Considérant les attributions du service et de l’intendant, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.
En ce qui concerne le prestataire, la Commission rappelle toutefois que conformément aux dispositions de l’article 17 de la loi n° 1.165, modifiée, ses droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service. De plus, celui-ci est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de l’article 17, susvisé.
Ainsi, elle considère que les accès au traitement sont conformes aux dispositions légales.
Elle appelle toutefois l’attention du responsable de traitement sur le fait que conformément aux dispositions de l’article 17-1 de la loi n° 1.165, modifiée, la liste nominative des personnes ayant accès au traitement doit être tenue à jour, et doit pouvoir être communiquée à la Commission à première réquisition.
VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations n’appellent pas d’observation.
La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VII. Sur la durée de conservation des données
La Commission relève que les informations nominatives collectées par le système de contrôle d’accès sont conservées pour une durée de 5 ans après la résiliation du contrat de travail.
Cependant, conformément à la délibération n° 2011-32 du 11 avril 2011, susvisée, la durée de conservation relative aux informations temporelles ou d’horodatage ne doit pas excéder 3 mois à compter de leur collecte. Par ailleurs, les données biométriques doivent être supprimées dès le départ de l’employé ou dès la fin du contrat de prestation de service avec le prestataire.
Ainsi, la Commission demande à ce que les durées de conservation soient restreintes aux délais précités.
Après en avoir délibéré,
Rappelle :
- que les mentions relatives à l’information préalable des personnes concernées employés ou prestataires devront être conformes aux exigences de l’article 14 de la loi n° 1.165, modifiée ;
- que l’exploitation de données à des fins de contrôle d’accès sur le lieu de travail ne saurait donner lieu à des pratiques abusives portant atteinte aux droits des employés, des déléguées du personnel et des délégués syndicaux ; et d’autre part, que ces données ne sauraient être détournées de la finalité pour laquelle elles ont été initialement collectées ;
- que les droits d’accès des prestataires doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de service et qu’ils sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement ;
- qu’en cas de transmission éventuelle à la Direction de la Sureté Publique pour enquête, les agents ne pourront avoir accès aux informations objet du traitement, que dans le strict cadre de leurs missions légalement conférées.
Demande que :
- les informations temporelles ou d’horodatage afférentes aux accès des personnes concernées ne soient pas conservées plus de 3 mois, et que le gabarit du réseau veineux soit supprimé dès le départ de l’employé de la SMEG ou dès la fin du contrat de prestation de service avec le prestataire.
- la liste nominative des personnes ayant accès au traitement, visée à l’article 17-1 de la loi n° 1.165, modifiée, soit tenue à jour et puisse lui être communiquée à première réquisition ;
A la condition de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives autorise la mise en œuvre par la Société Monégasque de l’Electricité et du Gaz du traitement automatisé d’informations nominatives ayant pour finalité «Contrôle d’accès par reconnaissance du réseau veineux d’un doigt».
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’ordonnance souveraine n° 2.578 du 13 janvier 2010 approuvant le traité de concession de la SMEG, ainsi que ses annexes et cahiers des charges ;
Vu l’arrêté ministériel n° 2009-382 du 31 juillet 2009, modifiée, portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993 ;
Vu le traité de concession du service public de la distribution de l’électricité et du gaz conclu entre la SMEG et la Principauté de Monaco, et entré en vigueur le 1er janvier 2009, accompagné de ses annexes et cahiers des charges ;
Vu la délibération n° 2011-32 de la Commission du 11 avril 2011 portant recommandation sur certains dispositifs biométriques reposant sur la reconnaissance du réseau veineux des doigts de la main et ayant pour finalité le contrôle de l’accès aux locaux sur le lieu de travail, mis en œuvre par les personnes physiques ou morales de droit privé ;
Vu la demande d’autorisation déposée par la SMEG le 24 janvier 2012 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité «Contrôle d’accès par reconnaissance du réseau veineux d’un doigt» ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 2 avril 2012 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
La Société Monégasque de l’Electricité et du Gaz (SMEG) est une société anonyme en charge de l’exploitation du service public de la distribution de l’électricité et du gaz, en application du traité de concession, entré en vigueur le 1er janvier 2009, entre la SMEG et la Principauté de Monaco.
Afin d’administrer l’accès à ses locaux et d’assurer la sécurité des biens et des personnes s’y trouvant, la SMEG souhaite procéder à l’installation d’un système de contrôle d’accès biométrique au sein de son établissement monégasque.
A ce titre, en application de l’article 11-1 de la loi n° 1.165, modifiée, du 23 décembre 1993, concernant la mise en œuvre de traitements automatisés d’informations nominatives comportant des données biométriques nécessaires au contrôle de l’identité des personnes, la SMEG soumet la présente demande d’autorisation relative au traitement ayant pour finalité «Contrôle d’accès par reconnaissance du réseau veineux d’un doigt».
I. Sur la finalité et les fonctionnalités du traitement
Ce traitement a pour finalité « Contrôle d’accès par reconnaissance du réseau veineux d’un doigt », la dénomination du traitement est «Biovein».
Les personnes concernées sont les employés et les prestataires.
Enfin, les fonctionnalités du traitement sont les suivantes :
- gérer et administrer les accès physiques de certains espaces restreints aux personnes autorisées selon leur habilitation (au regard de leur fonction et activité dans l’entreprise) et des plages horaires définies ;
- collecter et enregistrer informatiquement les informations émises lors de la demande d’accès de la part des utilisateurs ;
- permettre le cas échéant, la constitution de preuves en cas d’infractions ou d’actes frauduleux.
Au vu de ces éléments, la Commission constate que les fonctionnalités du traitement sont conformes aux termes de la délibération n° 2011-32 du 11 avril 2011, susvisée, et que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la justification du traitement
• Sur la licéité du traitement
Pour être licite, la Commission rappelle qu’un traitement mis en œuvre à des fins de surveillance et comportant des données biométriques nécessaires au contrôle de l’identité des personnes, au sens de l’article 11-1 de la loi n° 1.165, modifiée, doit être « nécessaire à la poursuite d’un objectif légitime essentiel » du responsable de traitement.
Le responsable de traitement déclare que la mise en place de ce contrôle d’accès limité à certaines zones limitativement désignées et particulièrement sensibles, a pour but d’assurer la sécurisation vis-à-vis d’intrus et des conséquences fonctionnelles sur la fourniture d’énergies aux clients de la Principauté et d’une manière plus générale d’assurer la sécurité des biens et des personnes qui y travaillent.
Au regard de cette mission, le traitement ayant pour finalité «Contrôle d’accès par reconnaissance du réseau veineux d’un doigt» apparaît nécessaire pour assurer la sécurité des personnes et des biens au sein de l’entreprise, mais également pour assurer la sécurité de la distribution d’énergies en Principauté. Il a pour fondement le contrat de concession assurant un service public.
Ainsi, si la Commission agrée que le recours par la SMEG à un système biométrique de contrôle d’accès constitue a priori un objectif légitime essentiel au sens de l’article 11-1 précité, il convient toutefois que les libertés et droits des personnes concernées soient protégés.
A ce titre, elle prend acte de la déclaration de la SMEG précisant que «le dispositif exclut l’utilisation de cette donnée à des fins de gestion des horaires et des temps de présence des employés. Ce dispositif ne saurait être détourné de sa finalité en conduisant notamment à un contrôle permanent et inopportun des employés».
Par ailleurs, la Commission porte une attention toute particulière quant à l’exploitation des données biométriques des individus.
En l’espèce, il apparait que les données nominatives sont collectées uniquement à des fins de contrôle d’accès, dans une perspective de sécurité des biens, des personnes et de la continuité du service public.
Par conséquent, elle considère que le traitement est licite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée et aux termes de la délibération n° 2011-32 du 11 avril 2011.
• Sur la justification
La SMEG indique que le traitement est justifié par :
- le consentement des personnes concernées ;
- l’exécution d’un contrat ou de mesures précontractuelles avec les personnes concernées ; et
- la réalisation d’un intérêt légitime poursuivi par le responsable de traitement, sans pour autant méconnaître les libertés et droits fondamentaux des individus.
En premier lieu, la Commission observe que les collaborateurs ainsi que les intervenants externes se soumettent aux règles de sécurité et d’accès aux locaux imposées par la SMEG. Dans ce cadre, en particulier, les données biométriques des individus ne sont pas traitées à l’insu des personnes concernées, mais uniquement après que ceux-ci aient fait la démarche de faire enregistrer leurs gabarits. Par conséquent, la Commission considère que le traitement est justifié par le consentement des personnes concernées.
En second lieu, la Commission relève que l’exploitation des informations nominatives des personnes concernées dans le cadre du présent traitement constitue une condition préalable et nécessaire à l’exécution par celles-ci de leurs missions ou prestations de travail. En effet, en cas de refus du traitement de ses données nominatives, la personne concernée ne sera pas admise à pénétrer dans les locaux de la SMEG, ou dans certaines zones limitativement identifiées à circulation restreinte. Par conséquent, la Commission constate que le traitement est justifié par l’exécution de mesures précontractuelles avec les personnes concernées.
En troisième et dernier lieu, la SMEG indique que ce traitement est justifié par la réalisation d’un intérêt légitime, sans pour autant que soient méconnus les libertés et droits fondamentaux des individus. Ce dispositif ne serait être utilisé à des fins de gestion des horaires ou du temps de travail. La SMEG a eu recours à ce dispositif en considération d’un enjeu spécifique ayant trait à l’intégrité physique des personnes ainsi qu’à l’intégrité des biens et installations dont la dégradation ou le détournement à des fins frauduleuses aurait des conséquences graves et irréversibles pour l’entreprise et au delà.
La Commission considère donc que le traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
La Commission relève que les informations nominatives objets du présent traitement sont :
- identité : nom, prénom, service, fonction, plages horaires habituellement autorisées, zones d’accès autorisées ;
- données d’identification électronique : date et heure de passage à une zone à accès restreint, identification du point de passage ;
- données biométriques : empreintes veineuses.
Les informations relatives à l’identité proviennent du fichier «gestion du personnel» de la SMEG, régulièrement déclaré.
Par ailleurs, les données d’identification électroniques, c’est-à-dire celles relatives aux accès, proviennent du système lui-même.
Enfin, les données biométriques sont issues du système d’enrôlement de l’empreinte veineuse, dont l’enregistrement s’effectue uniquement sur les terminaux de lecture-comparaison, à l’exclusion de tout enregistrement dans une base de données.
Ainsi, la Commission considère que les informations collectées sont «adéquates, pertinentes et non excessives», conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV. Sur les droits des personnes concernées
• Sur l’information des personnes concernées
Le responsable de traitement indique que l’information préalable des personnes concernées est effectuée par le biais d’une mention ou clause particulière intégrée dans un document remis à l’intéressé, ainsi que par une procédure interne accessible en Intranet.
Toutefois, ledit document n’étant pas joint à la demande d’autorisation, la Commission rappelle que l’information de la personne concernée qu’elle soit employée ou prestataire doit être conforme aux dispositions de l’article 14 de la loi n° 1.165, modifiée.
Sous cette condition, la Commission considère que les modalités d’information préalable sont conformes aux exigences légales.
• Sur l’exercice du droit d’accès
La Commission observe que le droit d’accès est exercé sur place ainsi que par courrier électronique auprès de la Direction Générale de la SMEG. Les droits de modification, mise à jour ou suppression des données sont exercés selon les mêmes modalités.
Par ailleurs, elle constate que le délai de réponse est de 20 jours.
La Commission considère que les modalités d’exercice du droit d’accès ou de suppression sont conformes aux dispositions des articles 15 et suivants de la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
• Sur les destinataires
La Commission constate que le responsable de traitement indique ne pas communiquer les informations objets du présent traitement.
Cependant, elle estime que ces informations sont susceptibles d’être communiquées à la Direction de la Sûreté Publique dans le cadre d’une enquête judiciaire.
A cet égard, elle rappelle que dans le cadre d’une telle transmission les agents ne pourront avoir accès aux informations objet du traitement, que dans le strict cadre de leurs missions légalement conférées, en application de l’article 17-1 de la loi n° 1.165, modifiée.
• Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
- l’intendant : consultation des données ;
- le Service Juridique SMEG : modification, consultation des données ;
- les sous-traitants et les prestataires informatiques : accès à la base pour la maintenance et développement du système.
Considérant les attributions du service et de l’intendant, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.
En ce qui concerne le prestataire, la Commission rappelle toutefois que conformément aux dispositions de l’article 17 de la loi n° 1.165, modifiée, ses droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service. De plus, celui-ci est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de l’article 17, susvisé.
Ainsi, elle considère que les accès au traitement sont conformes aux dispositions légales.
Elle appelle toutefois l’attention du responsable de traitement sur le fait que conformément aux dispositions de l’article 17-1 de la loi n° 1.165, modifiée, la liste nominative des personnes ayant accès au traitement doit être tenue à jour, et doit pouvoir être communiquée à la Commission à première réquisition.
VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations n’appellent pas d’observation.
La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VII. Sur la durée de conservation des données
La Commission relève que les informations nominatives collectées par le système de contrôle d’accès sont conservées pour une durée de 5 ans après la résiliation du contrat de travail.
Cependant, conformément à la délibération n° 2011-32 du 11 avril 2011, susvisée, la durée de conservation relative aux informations temporelles ou d’horodatage ne doit pas excéder 3 mois à compter de leur collecte. Par ailleurs, les données biométriques doivent être supprimées dès le départ de l’employé ou dès la fin du contrat de prestation de service avec le prestataire.
Ainsi, la Commission demande à ce que les durées de conservation soient restreintes aux délais précités.
Après en avoir délibéré,
Rappelle :
- que les mentions relatives à l’information préalable des personnes concernées employés ou prestataires devront être conformes aux exigences de l’article 14 de la loi n° 1.165, modifiée ;
- que l’exploitation de données à des fins de contrôle d’accès sur le lieu de travail ne saurait donner lieu à des pratiques abusives portant atteinte aux droits des employés, des déléguées du personnel et des délégués syndicaux ; et d’autre part, que ces données ne sauraient être détournées de la finalité pour laquelle elles ont été initialement collectées ;
- que les droits d’accès des prestataires doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de service et qu’ils sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement ;
- qu’en cas de transmission éventuelle à la Direction de la Sureté Publique pour enquête, les agents ne pourront avoir accès aux informations objet du traitement, que dans le strict cadre de leurs missions légalement conférées.
Demande que :
- les informations temporelles ou d’horodatage afférentes aux accès des personnes concernées ne soient pas conservées plus de 3 mois, et que le gabarit du réseau veineux soit supprimé dès le départ de l’employé de la SMEG ou dès la fin du contrat de prestation de service avec le prestataire.
- la liste nominative des personnes ayant accès au traitement, visée à l’article 17-1 de la loi n° 1.165, modifiée, soit tenue à jour et puisse lui être communiquée à première réquisition ;
A la condition de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives autorise la mise en œuvre par la Société Monégasque de l’Electricité et du Gaz du traitement automatisé d’informations nominatives ayant pour finalité «Contrôle d’accès par reconnaissance du réseau veineux d’un doigt».
Le Président de la Commission
de Contrôle des Informations Nominatives.