icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2017-142 du 19 juillet 2017 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion du fichier des salariés de la CCSS » présenté par la Caisse de Compensation des Services Sociaux.

  • N° journal 8345
  • Date de publication 01/09/2017
  • Qualité 100%
  • N° de page

Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu l'Ordonnance-loi n° 397 du 27 septembre 1944 portant création d'une Caisse de Compensation des Services Sociaux de la Principauté de Monaco, modifiée ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 7.191 du 31 août 1981 relative aux opérations financières et comptables de la Caisse de compensation des services sociaux, de la Caisse autonome des retraites et de la Caisse autonome des retraites des travailleurs indépendants ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'arrêté ministériel n° 2010-638 du 23 décembre 2010 portant application de l'article 7 de la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la demande d'avis reçue le 12 mai 2017 concernant la mise en œuvre par la Caisse de Compensation des Services Sociaux d'un traitement automatisé ayant pour finalité « Gestion du fichier des salariés de la CCSS » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 10 juillet 2017, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 susmentionnée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 19 juillet 2017 portant analyse dudit traitement automatisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
La Caisse de Compensation des Services Sociaux (CCSS), responsable de traitement, est un organisme de droit privé investi d'une mission d'intérêt général au sens de l'arrêté ministériel n° 2010-638 du 23 décembre 2010 portant application de l'article 7 de la loi n° 1.165 du 23 décembre 1993.
Ainsi, le traitement d'informations nominatives objet de la présente délibération est soumis à l'avis de la Commission conformément à l'article 7 de la loi précitée.
I.        Sur la finalité et les fonctionnalités du traitement
La finalité du traitement est « Gestion du fichier des salariés de la CCSS ».
Les personnes concernées sont les salariés de la Caisse.
Selon la demande d'avis, « ce traitement poursuit deux objectifs d'entreprise : l'amélioration de la communication interne et la sécurisation des locaux des biens et des personnes ». Ainsi, « pour répondre à ces deux besoins, l'identification directe des collaborateurs, de leur affectation, de leur localisation géographique et de leurs moyens de contact est apparue comme une condition impérative ».
Le présent traitement permet donc l'élaboration et la mise à disposition de documents internes présentant le personnel des caisses et leur affectation.
Ses fonctionnalités sont les suivantes :
-         établir des documents présentant le personnel de la Caisse : une liste actualisée des salariés de la CCSS, un annuaire interne, un organigramme de l'entreprise et un trombinoscope, associé à l'organigramme et à l'annuaire interne ;
-         rendre accessible à l'ensemble des salariés de l'entreprise, via un portail intranet, les documents de présentation du personnel de la Caisse.
La Commission considère que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II.       Sur la licéité et la justification du traitement
        Sur la licéité du traitement
La CCSS a été instituée par l'Ordonnance-loi n° 397 du 27 septembre 1944 portant création d'une caisse de compensation des services sociaux de la Principauté de Monaco, pour assurer le service des allocations, prestations et pensions visées à l'article 1er de ladite Ordonnance-loi.
Afin de mener à bien ses missions, elle emploie des salariés dans le respect des réglementations en vigueur. Le présent traitement entre dans ce cadre.
Cependant, la Commission observe qu'il permet la prise d'une photographie des salariés afin de l'intégrer dans des documents internes.
La Caisse précise que la photographie est collectée par le Service des Ressources Humaines « dans le cadre de la procédure d'embauche des salariés » et que « chaque nouvel entrant doit produire des photos d'identité destinées à alimenter un trombinoscope tenu par ledit service ». Cependant, la diffusion de ce document « sera élargie puisque son usage est, à ce jour, limité au service des Ressources Humaines et à la Direction » qui souhaite l'étendre à l'ensemble du personnel.
La Caisse précise que le traitement a également pour objet d'améliorer la procédure de suivi du personnel au titre des Ressources Humaines, « de renforcer la communication interne » et « de renforcer la sécurité des locaux et des données gérées par l'organisme ».
La Commission rappelle que le droit à l'image est un critère de la vie privée d'une personne physique, protégé par la réglementation monégasque qui soumet au consentement de l'intéressé, la possibilité de fixer ou de transmettre son image alors qu'elle se trouve dans un lieu privé.
Conformément à l'article 308-3 du Code pénal, elle précise que le fait de « publier, par quelque voie que ce soit, le montage réalisé avec (…) l'image de la personne concernée » ne devrait pas être effectué sans le consentement de la personne.
Aussi, elle considère que la procédure permettant au salarié de choisir la photographie qui pourra être utilisée sur les documents internes à l'entreprise n'est pas suffisante pour caractériser le consentement.
Par ailleurs, elle observe que, après autorisation de la CCIN par délibération du 14 février 2011, la Caisse a mis en œuvre un traitement ayant pour finalité « Gestion du Contrôle d'accès, de décompte du temps de travail et des absences du personnel des CSM », qui a, notamment, pour objet, en dehors des heures d'ouverture au public, « d'assurer le contrôle des accès aux locaux de l'organisme par ouverture électrique des portes » qui s'effectue « par la lecture du numéro badge pour lequel des accès restreints peuvent être paramétrés ».
Aussi, la Commission observe que le responsable de traitement dispose de moyens qui devraient être suffisants pour garantir la sécurité de ses locaux. Elle invite, le cas échéant, la Caisse à modifier le traitement précité afin d'y inscrire une photographie sur les badges.
S'agissant du traitement en objet, elle demande que la diffusion de la photo des salariés sur des supports accessibles aux autres salariés ne soit effectuée qu'après avoir recueilli l'accord écrit et exprès de la personne concernée.
Sous réserve de la mise en place d'une procédure permettant de prendre en compte ce qui précède, la Commission considère que le traitement est licite conformément à l'article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.
        Sur la justification du traitement
Selon le responsable de traitement, les effectifs croissants de la Caisse, le recours à des personnes pour des périodes de travail plus ou moins longues impliquant une rotation de personnel importante, des locaux répartis sur plusieurs sites, rendent délicate la reconnaissance visuelle entre collaborateurs de la Caisse.
Aussi, il justifie la mise en œuvre du présent traitement par la réalisation d'un intérêt légitime poursuivi par le responsable du traitement dans le cadre de procédures que ne méconnaissent ni l'intérêt ni les droits et libertés fondamentaux des personnes concernées.
L'intérêt de la Caisse est précisé comme étant celui de répondre « à une triple problématique :
-         améliorer la procédure d'enregistrement et de mise à jour des salariés de l'organisme, à l'occasion de leur embauche puis des mouvements de personnel susceptibles d'intervenir au cours de leur carrière ;
-         renforcer la communication interne sur ces aspects afin de répondre à un besoin lié au développement des effectifs et assurer la visibilité sur l'organisation mise en œuvre ;
-         renforcer la sécurité des locaux et des données gérées par l'organisme ».
Comme précédemment exposé, la Commission considère que le présent traitement ne portera pas atteinte aux droits des personnes concernées si elles peuvent s'opposer à la diffusion de leurs photos sur des supports accessibles aux autres salariés.
III.      Sur les informations traitées
Les informations nominatives traitées sont :
-         identité : nom, prénoms, photographie ;
-         coordonnées professionnelles : numéro de téléphone, adresse mail ;
-         formation, diplôme, vie professionnelle : service, poste et fonction, responsable hiérarchique, numéro et localisation du bureau.
Les informations relatives à l'identité ont pour origine le salarié.
La photographie a pour origine le Service des Ressources Humaines, après validation du cliché par la personne concernée.
Les autres informations ont pour origine le Service Ressources Humaines.
Sous les réserves exposées concernant l'utilisation de la photographie, la Commission considère que les informations collectées dans le présent traitement sont « adéquates, pertinentes et non excessives » au regard de la finalité de celui-ci, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV.      Sur les droits des personnes concernées
        Sur l'information préalable des personnes concernées
L'information préalable des personnes concernées s'effectue par le biais d'une mention particulière figurant dans un document remis à l'intéressé, par un courrier adressé à l'intéressé et par une procédure accessible en Intranet.
La Commission considère que les modalités d'information préalable des personnes sont conformes aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993, tout en demandant que la finalité du traitement soit mentionnée au titre des informations devant être communiquées aux personnes concernées.
        Sur l'exercice du droit d'accès, de modification et de mise à jour
Le droit d'accès s'exerce par un accès en ligne et par courrier électronique auprès du Service des Ressources Humaines. La réponse à toute demande est apportée dans les 15 jours par courrier électronique ou sur place.
S'agissant de l'exercice du droit d'accès par voie électronique, la Commission considère qu'une procédure devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d'un document d'identité était demandée, la transmission et le traitement de ce document devront faire l'objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d'identité officiels.
La Commission constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 la loi n° 1.165 du 23 décembre 1993.
V.       Sur les destinataires et les personnes ayant accès au traitement
        Les personnes ayant accès au traitement
Les personnes habilitées à avoir accès aux informations sont le personnel du Service Ressources Humaines : en création et mise à jour.
Le responsable de traitement précise que les salariés de la Caisse dispose d'un droit en consultation seule, via l'intranet, à l'annuaire interne (liste et fiche individuelle), l'organigramme avec adjonction d'un trombinoscope.
La Commission relève que ces accès sont dévolus dans le cadre des missions des personnes autorisées à avoir accès au traitement.
        Les destinataires des informations
Les destinataires des informations sont internes à la Caisse.
VI.      Sur les rapprochements et interconnexions avec d'autres traitements
À l'examen de la demande d'avis, la Commission constate que le présent traitement est mis en relation avec les traitements « Gestion des accès aux systèmes d'information opérés par les Caisses sociales » et « Gestion des ressources humaines ».
La Commission relève que les traitements susmentionnés ont été légalement mis en œuvre.
VII.     Sur la sécurité du traitement et des informations
Les mesures techniques prises pour assurer la sécurité et la confidentialité du traitement n'appellent pas d'observation de la Commission.
Elle rappelle toutefois que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
La Commission précise également que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII.    Sur la durée de conservation
Les informations nominatives sont conservées jusqu'à la sortie des effectifs de la personne concernée.
La Commission rappelle que le responsable de traitement devra veiller à ce que les informations concernant les salariés soient effectivement supprimées de tous les supports, notamment la photographie du salarié ayant autorisé la diffusion.
La Commission considère que la durée de conservation est conforme à l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
Après en avoir délibéré, la Commission :
Rappelle que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
Considère que :
-         le simple fait de permettre au salarié de choisir la photographie qui pourra être utilisée sur les documents internes à l'entreprise n'est pas suffisant pour caractériser le consentement de l'intéressé ;
-         une procédure relative au droit d'accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations.
Demande que :
-         la diffusion de la photo des salariés sur des supports accessibles aux autres salariés ne soit effectuée qu'après avoir recueilli l'accord écrit et exprès de la personne concernée ;
-         la finalité du traitement soit mentionnée au titre des informations devant être communiquées aux personnes concernées conformément aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993.
Sous le bénéfice de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par la Caisse de Compensation des Services Sociaux, d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion du fichier des salariés de la CCSS ».


Le Président de la Commission
de Contrôle des informations Nominatives.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14