Délibération n° 2013-59 du 28 mai 2013 de la Commission de Contrôle des Informations Nominatives portant autorisation sur la demande présentée par Monaco Télécom SAM relative à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité «Contrôle d’accès par badges»
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée ;
Vu le cahier des charges relatif à la concession du service public des communications électroniques sur le territoire de la Principauté de Monaco signé le 26 septembre 2011 et annexé à l’ordonnance souveraine n° 3.560 du 6 décembre 2011 ;
Vu la délibération n° 2010-43 de la Commission du 15 novembre 2010 portant recommandation sur les dispositifs de contrôle d’accès sur le lieu de travail mis en œuvre par les personnes physiques ou morales de droit privé ;
Vu la délibération n° 2012-24 de la Commission du 13 février 2012 portant recommandation sur le traitement des documents d’identité officiels ;
Vu la demande d’autorisation déposée par Monaco Télécom SAM le 15 mars 2013 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité «Contrôle d’accès par badges» ;
Vu la prorogation du délai d’examen de la présente demande d’autorisation notifiée au responsable de traitement le 14 mai 2013, conformément à l’article 19 de l’ordonnance souveraine n° 2.230, susmentionnée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 28 mai 2013 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
Monaco Télécom SAM, immatriculée au RCI, est un organisme de droit privé concessionnaire d’un service public. Elle a notamment pour objet «d’assurer dans les relations intérieures et internationales, tous services de télécommunications. A ce titre, elle assure les activités d’opérateur public chargé de l’exploitation du service téléphonique de la Principauté de Monaco […]».
Afin d’administrer l’accès à ses locaux, Monaco Télécom SAM souhaite procéder à l’installation d’un système de contrôle par badge.
A ce titre, en application de l’article 11-1 de la loi n° 1.165 du 23 décembre 1993, concernant la mise en œuvre de traitements automatisés d’informations nominatives à des fins de surveillance, ladite société soumet la présente demande d’autorisation relative au traitement ayant pour finalité «Contrôle d’accès par badges».
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité «Contrôle d’accès par badges». Il se dénomme «Badges WIN-PAK».
Les personnes concernées sont «les collaborateurs MT et MTI, les sous traitants, les prestataires et les clients hébergés».
La Commission relève que la société MTI partage les locaux de la société Monaco Télécom, ce qui justifie le fait que les collaborateurs de la société MTI soient concernés par ce traitement.
Par ailleurs, elle prend acte que les collaborateurs de M&I ne sont pas concernés par ce traitement. S’ils devaient y avoir accès, il appartiendra au responsable de traitement d’effectuer une demande d’avis modificative en ce sens.
Enfin, les fonctionnalités du traitement sont les suivantes :
- contrôler les accès à certaines zones limitativement identifiées dans ses locaux ;
- assurer la protection des personnes et des biens à l’intérieur des sites techniques de Monaco Télécom qui hébergent des données et des systèmes sensibles.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la justification du traitement
• Sur la licéité du traitement
La Commission relève qu’aux termes de l’article 6 a) (ii) du cahier des charges relatif à la concession du service public des communications électroniques, le concessionnaire «protège ses installations, par des mesures appropriées, contre des agressions de quelque nature qu’elles soient».
Elle considère que le traitement est licite au sens de l’article 10-1 de la loi n° 1.165, modifiée.
• Sur la justification
Ce traitement est justifié par la réalisation d’un intérêt légitime, sans que soient méconnus les libertés et droits fondamentaux des personnes concernées.
A cet égard, la Commission constate que la Société Monaco Télécom a notamment, pour mission d’assurer les activités d’opérateur public chargé de l’exploitation du service téléphonique de la Principauté de Monaco. Celle-ci se présente également en tant que prestataire technique fournissant des services d’hébergement de données.
Par ailleurs, elle relève que le système de contrôle d’accès par badges est un outil permettant de contrôler les accès et d’assurer la sécurité des sites techniques qui hébergent des données et des systèmes sensibles, nécessitant des mesures de surveillance et de contrôle appropriées.
Enfin, elle prend acte du fait que «le traitement n’a pas pour objectif de conduire à un contrôle permanent ou inopportun, de contrôler les déplacements à l’intérieur de l’entreprise ou de contrôler les quotas d’heures que la loi confère aux délégués du personnel et aux délégués syndicaux pour l’exercice de leurs fonctions».
Elle considère donc que le traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations objets du traitement sont :
- identité : nom, prénom, photo du collaborateur, du prestataire ou du sous-traitant et le numéro de la carte d’identité ;
- données d’identification électronique : numéro de badge, niveau d’accès conféré, état actif du badge, identification des points de passage (sur requête du manager) ;
- horodatage : date d’activation et d’expiration des droits d’accès, date et heures de passage ;
- logs : logs de connexion des personnes concernées.
Les informations relatives à l’identité proviennent de l’intéressé et celles liées aux données d’identification électronique, à l’horodatage et aux logs proviennent du système.
La Commission relève que l’information relative à «l’identification des points de passage» doit être considérée comme un élément d’horodatage, et celle concernant la « date d’activation et d’expiration des droits d’accès », comme un élément relatif aux données d’identification électronique.
La Commission s’interroge toutefois sur la collecte du numéro de la carte d’identité au regard de la finalité du traitement. A cet égard, elle rappelle que, sauf dispositions légales ou réglementaires le prévoyant expressément, la collecte, l’enregistrement (…), ou encore la numérisation des documents d’identité ou des informations y figurant n’est pas conforme aux principes de la loi n° 1.165 du 23 décembre 1993, tels que notamment définis au sein de son article 10-1.
Par conséquent, elle exclut la collecte du numéro de la carte d’identité.
A la condition de ce qui précède, la Commission considère que les informations traitées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV. Sur les droits des personnes concernées
• Sur l’information des personnes concernées
L’information préalable des personnes concernées est effectuée par le biais d’une mention sur le document de collecte, annexé au dossier de demande d’autorisation.
La Commission considère que les modalités d’information préalable sont conformes aux dispositions de l’article 14 de la loi n° 1.165, modifiée.
• Sur l’exercice du droit d’accès
Les droits d’accès, de modification, mise à jour et de suppression sont exercés par courrier électronique et sur place auprès de la Direction des Ressources Humaines de Monaco Télécom SAM.
Le délai de réponse est de 30 jours.
La Commission considère ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
• Sur les destinataires
Les informations sont susceptibles d’être communiquées à la Direction de la Sûreté Publique sur Commission rogatoire.
La Commission estime que cette communication peut être justifiée par les besoins d’une enquête judiciaire. A cet égard, elle rappelle qu’en cas de transmission, les Services de police ne pourront avoir accès aux informations objet du traitement que dans le strict cadre de leurs missions légalement conférées.
Elle considère que de telles transmissions sont conformes aux dispositions légales.
• Sur les personnes ayant accès au traitement
Les personnes ayant accès au traitement sont :
- le Service Environnement (inscription, modification, mise à jour et consultation) ;
- l’Administration Ressources Humaines (inscription, modification, mise à jour et consultation) ;
- le prestataire pour maintenance informatique.
Considérant les attributions de chacune de ces entités, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.
En ce qui concerne le prestataire, la Commission rappelle toutefois que conformément aux dispositions de l’article 17 de la loi n° 1.165, modifiée, ses accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service.
Elle appelle enfin l’attention du responsable de traitement sur le fait que conformément aux dispositions de l’article 17-1 de la loi n° 1.165, modifiée, la liste nominative des personnes ayant accès au traitement doit être tenue à jour, et doit pouvoir être communiquée à la Commission à première réquisition.
VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VII. Sur la durée de conservation
Le responsable de traitement indique que les informations relatives à l’identité, aux données d’identification électronique, ainsi qu’aux logs sont conservées durant le «temps de présence dans l’entreprise».
Cependant, la Commission considère que cette durée de conservation n’est pas adéquate au regard de la finalité du traitement. Elle fixe donc :
- la durée de conservation des informations relatives à l’identité et aux données d’identification électronique du salarié à son départ de l’entreprise ;
- la durée de conservation des informations relatives à l’identité et aux données d’identification électronique du prestataire ou du sous traitant à la fin de la relation contractuelle ;
- la durée de conservation des logs à 7 jours.
Enfin, les informations relatives à l’horodatage sont conservées pour une durée de 7 jours.
Après en avoir délibéré,
Exclut la collecte des informations relatives au numéro de la carte d’identité ;
Fixe les durées de conservation des informations nominatives comme exposées dans la présente délibération ;
Rappelle que la liste nominative des personnes ayant accès au traitement, visée à l’article 17-1 de la loi n° 1.165, modifiée, doit être tenue à jour, et pouvoir être communiquée à la Commission à première réquisition ;
A la condition de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives autorise la mise en œuvre, par Monaco Télécom SAM, du traitement automatisé d’informations nominatives ayant pour finalité «Contrôle d’accès par badges».
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée ;
Vu le cahier des charges relatif à la concession du service public des communications électroniques sur le territoire de la Principauté de Monaco signé le 26 septembre 2011 et annexé à l’ordonnance souveraine n° 3.560 du 6 décembre 2011 ;
Vu la délibération n° 2010-43 de la Commission du 15 novembre 2010 portant recommandation sur les dispositifs de contrôle d’accès sur le lieu de travail mis en œuvre par les personnes physiques ou morales de droit privé ;
Vu la délibération n° 2012-24 de la Commission du 13 février 2012 portant recommandation sur le traitement des documents d’identité officiels ;
Vu la demande d’autorisation déposée par Monaco Télécom SAM le 15 mars 2013 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité «Contrôle d’accès par badges» ;
Vu la prorogation du délai d’examen de la présente demande d’autorisation notifiée au responsable de traitement le 14 mai 2013, conformément à l’article 19 de l’ordonnance souveraine n° 2.230, susmentionnée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 28 mai 2013 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
Monaco Télécom SAM, immatriculée au RCI, est un organisme de droit privé concessionnaire d’un service public. Elle a notamment pour objet «d’assurer dans les relations intérieures et internationales, tous services de télécommunications. A ce titre, elle assure les activités d’opérateur public chargé de l’exploitation du service téléphonique de la Principauté de Monaco […]».
Afin d’administrer l’accès à ses locaux, Monaco Télécom SAM souhaite procéder à l’installation d’un système de contrôle par badge.
A ce titre, en application de l’article 11-1 de la loi n° 1.165 du 23 décembre 1993, concernant la mise en œuvre de traitements automatisés d’informations nominatives à des fins de surveillance, ladite société soumet la présente demande d’autorisation relative au traitement ayant pour finalité «Contrôle d’accès par badges».
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité «Contrôle d’accès par badges». Il se dénomme «Badges WIN-PAK».
Les personnes concernées sont «les collaborateurs MT et MTI, les sous traitants, les prestataires et les clients hébergés».
La Commission relève que la société MTI partage les locaux de la société Monaco Télécom, ce qui justifie le fait que les collaborateurs de la société MTI soient concernés par ce traitement.
Par ailleurs, elle prend acte que les collaborateurs de M&I ne sont pas concernés par ce traitement. S’ils devaient y avoir accès, il appartiendra au responsable de traitement d’effectuer une demande d’avis modificative en ce sens.
Enfin, les fonctionnalités du traitement sont les suivantes :
- contrôler les accès à certaines zones limitativement identifiées dans ses locaux ;
- assurer la protection des personnes et des biens à l’intérieur des sites techniques de Monaco Télécom qui hébergent des données et des systèmes sensibles.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la justification du traitement
• Sur la licéité du traitement
La Commission relève qu’aux termes de l’article 6 a) (ii) du cahier des charges relatif à la concession du service public des communications électroniques, le concessionnaire «protège ses installations, par des mesures appropriées, contre des agressions de quelque nature qu’elles soient».
Elle considère que le traitement est licite au sens de l’article 10-1 de la loi n° 1.165, modifiée.
• Sur la justification
Ce traitement est justifié par la réalisation d’un intérêt légitime, sans que soient méconnus les libertés et droits fondamentaux des personnes concernées.
A cet égard, la Commission constate que la Société Monaco Télécom a notamment, pour mission d’assurer les activités d’opérateur public chargé de l’exploitation du service téléphonique de la Principauté de Monaco. Celle-ci se présente également en tant que prestataire technique fournissant des services d’hébergement de données.
Par ailleurs, elle relève que le système de contrôle d’accès par badges est un outil permettant de contrôler les accès et d’assurer la sécurité des sites techniques qui hébergent des données et des systèmes sensibles, nécessitant des mesures de surveillance et de contrôle appropriées.
Enfin, elle prend acte du fait que «le traitement n’a pas pour objectif de conduire à un contrôle permanent ou inopportun, de contrôler les déplacements à l’intérieur de l’entreprise ou de contrôler les quotas d’heures que la loi confère aux délégués du personnel et aux délégués syndicaux pour l’exercice de leurs fonctions».
Elle considère donc que le traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations objets du traitement sont :
- identité : nom, prénom, photo du collaborateur, du prestataire ou du sous-traitant et le numéro de la carte d’identité ;
- données d’identification électronique : numéro de badge, niveau d’accès conféré, état actif du badge, identification des points de passage (sur requête du manager) ;
- horodatage : date d’activation et d’expiration des droits d’accès, date et heures de passage ;
- logs : logs de connexion des personnes concernées.
Les informations relatives à l’identité proviennent de l’intéressé et celles liées aux données d’identification électronique, à l’horodatage et aux logs proviennent du système.
La Commission relève que l’information relative à «l’identification des points de passage» doit être considérée comme un élément d’horodatage, et celle concernant la « date d’activation et d’expiration des droits d’accès », comme un élément relatif aux données d’identification électronique.
La Commission s’interroge toutefois sur la collecte du numéro de la carte d’identité au regard de la finalité du traitement. A cet égard, elle rappelle que, sauf dispositions légales ou réglementaires le prévoyant expressément, la collecte, l’enregistrement (…), ou encore la numérisation des documents d’identité ou des informations y figurant n’est pas conforme aux principes de la loi n° 1.165 du 23 décembre 1993, tels que notamment définis au sein de son article 10-1.
Par conséquent, elle exclut la collecte du numéro de la carte d’identité.
A la condition de ce qui précède, la Commission considère que les informations traitées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV. Sur les droits des personnes concernées
• Sur l’information des personnes concernées
L’information préalable des personnes concernées est effectuée par le biais d’une mention sur le document de collecte, annexé au dossier de demande d’autorisation.
La Commission considère que les modalités d’information préalable sont conformes aux dispositions de l’article 14 de la loi n° 1.165, modifiée.
• Sur l’exercice du droit d’accès
Les droits d’accès, de modification, mise à jour et de suppression sont exercés par courrier électronique et sur place auprès de la Direction des Ressources Humaines de Monaco Télécom SAM.
Le délai de réponse est de 30 jours.
La Commission considère ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
• Sur les destinataires
Les informations sont susceptibles d’être communiquées à la Direction de la Sûreté Publique sur Commission rogatoire.
La Commission estime que cette communication peut être justifiée par les besoins d’une enquête judiciaire. A cet égard, elle rappelle qu’en cas de transmission, les Services de police ne pourront avoir accès aux informations objet du traitement que dans le strict cadre de leurs missions légalement conférées.
Elle considère que de telles transmissions sont conformes aux dispositions légales.
• Sur les personnes ayant accès au traitement
Les personnes ayant accès au traitement sont :
- le Service Environnement (inscription, modification, mise à jour et consultation) ;
- l’Administration Ressources Humaines (inscription, modification, mise à jour et consultation) ;
- le prestataire pour maintenance informatique.
Considérant les attributions de chacune de ces entités, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.
En ce qui concerne le prestataire, la Commission rappelle toutefois que conformément aux dispositions de l’article 17 de la loi n° 1.165, modifiée, ses accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service.
Elle appelle enfin l’attention du responsable de traitement sur le fait que conformément aux dispositions de l’article 17-1 de la loi n° 1.165, modifiée, la liste nominative des personnes ayant accès au traitement doit être tenue à jour, et doit pouvoir être communiquée à la Commission à première réquisition.
VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VII. Sur la durée de conservation
Le responsable de traitement indique que les informations relatives à l’identité, aux données d’identification électronique, ainsi qu’aux logs sont conservées durant le «temps de présence dans l’entreprise».
Cependant, la Commission considère que cette durée de conservation n’est pas adéquate au regard de la finalité du traitement. Elle fixe donc :
- la durée de conservation des informations relatives à l’identité et aux données d’identification électronique du salarié à son départ de l’entreprise ;
- la durée de conservation des informations relatives à l’identité et aux données d’identification électronique du prestataire ou du sous traitant à la fin de la relation contractuelle ;
- la durée de conservation des logs à 7 jours.
Enfin, les informations relatives à l’horodatage sont conservées pour une durée de 7 jours.
Après en avoir délibéré,
Exclut la collecte des informations relatives au numéro de la carte d’identité ;
Fixe les durées de conservation des informations nominatives comme exposées dans la présente délibération ;
Rappelle que la liste nominative des personnes ayant accès au traitement, visée à l’article 17-1 de la loi n° 1.165, modifiée, doit être tenue à jour, et pouvoir être communiquée à la Commission à première réquisition ;
A la condition de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives autorise la mise en œuvre, par Monaco Télécom SAM, du traitement automatisé d’informations nominatives ayant pour finalité «Contrôle d’accès par badges».
Le Président de la Commission
de Contrôle des Informations Nominatives.