Délibération n° 2017-175 du 25 octobre 2017 de la Commission de Contrôle des Informations Nominatives portant autorisation à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Dispositif de surveillance vidéo des locaux des Caisses Sociales de Monaco (CSM) » présenté par la Caisse Autonome des Retraites.
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.264 du 23 décembre 2002 relative aux activités privées de protection des personnes et des biens ;
Vu l'Ordonnance Souveraine n° 15.699 du 26 février 2003 fixant les conditions d'application de la loi n° 1.264 du 23 décembre 2002, susvisée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'arrêté ministériel n° 2010-638 du 23 décembre 2010 portant application de l'article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la délibération n° 2010-13 du 3 mai 2010 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les dispositifs de vidéosurveillance mis en œuvre par les personnes physiques ou morales de droit privé ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu l'autorisation délivrée par le Ministre d'État en date du 21 juin 2017 ;
Vu la demande d'autorisation déposée par la Caisse Autonome des Retraites le 28 juin 2017 concernant la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Dispositif de surveillance vidéo des locaux des Caisses Sociales de Monaco (CSM) » ;
Vu la prorogation du délai d'examen de la présente demande d'autorisation notifiée au responsable de traitement le 25 août 2017, conformément à l'article 11-1 de la loi n° 1.165 du 23 décembre 1993 ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 25 octobre 2017 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Caisse Autonome des Retraites (CAR), est un organisme de droit privé investi d'une mission d'intérêt général au sens de l'arrêté ministériel n° 2010-638 du 23 décembre 2010.
Afin d'assurer la sécurité des biens et des personnes au sein des locaux des Caisses Sociales de Monaco (CSM) répartis sur 4 sites à Monaco (le siège social, le Flor-Office, le Suffren et l'annexe de Monte-Carlo), cet organisme souhaite installer un système de vidéosurveillance.
Le traitement objet de la présente demande est mis en œuvre à des fins de surveillance, il relève donc du régime de l'autorisation préalable visé à l'article 11-1 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Ce traitement a pour finalité « Dispositif de surveillance vidéo des locaux des Caisses Sociales de Monaco (CSM) ».
Les personnes concernées sont les assurés sociaux, le personnel des Caisses, les prestataires, les employés des deux sociétés locataires des locaux à usage de bureaux dans l'immeuble « le Flor Office » et les visiteurs.
Enfin, la Commission constate que les fonctionnalités sont les suivantes :
- assurer la sécurité des personnes ;
- assurer la sécurité des biens ;
- assurer la sécurité des données ;
- permettre la constitution de preuves en cas d'infractions.
La Commission constate ainsi que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
- Sur la licéité
Dans le cadre de sa recommandation n° 2010-13 du 3 mai 2010, la Commission rappelle les conditions de licéité d'un traitement de vidéosurveillance, au sens de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
À ce titre, elle estime que la licéité d'un tel traitement est attestée par l'obtention de l'autorisation du Ministre d'État, conformément aux dispositions des articles 5 et 6 de la loi n° 1.264 du 23 décembre 2002\.
En l'espèce, cette pièce délivrée le 21 juin 2017 est jointe au dossier de demande d'autorisation.
La Commission considère donc que le traitement est licite conformément à l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
- Sur la justification
Le traitement est justifié par la réalisation d'un intérêt légitime poursuivi par le responsable du traitement, sans que ne soient méconnus ni l'intérêt, ni les droits et libertés fondamentaux de la personne concernée.
À cet égard, la Commission constate que « les Caisses Sociales de Monaco, dans le cadre de leurs missions, détiennent des données personnelles des assurés, ayants-droits et attributaires afin de permettre le service de diverses prestations ; ainsi que des données commerciales permettant le règlement des factures des prestataires de services auxquels elles font appel ».
Elle note également que « les agents d'accueil, plus particulièrement, sont en contact avec le public et peuvent, parfois, faire l'objet de certaines violences, verbales principalement ».
Le responsable de traitement précise par ailleurs que la mise en place de ce dispositif de vidéosurveillance « se veut avant tout dissuasive » et « respecte les droits et libertés des personnes concernées » puisque « les caméras pointeront sur les portes d'accès principales des différents locaux de la CCSS et sur les sites jugés plus sensibles » et que « les séquences filmées ne seront pas exploitées en vue de contrôler le travail ou le temps de travail des salariés ».
Enfin, la Commission relève que les caméras ne sont pas mobiles et que les fonctionnalités zoom et micro ne sont pas activées.
La Commission considère donc que le traitement est justifié, conformément aux dispositions de l'article 10-2 de la loi n° 1.165 du 23 décembre 1993\.
III. Sur les informations nominatives traitées
Les informations nominatives traitées sont :
- Identité : image, visage et silhouette des personnes ;
- données d'identification électronique : logs de connexion des personnes habilitées à avoir accès aux images ;
- informations temporelles et horodatage : lieu et identification des caméras, date et heure de la prise de vue.
Ces informations ont pour origine le système de vidéosurveillance.
IV. Sur les droits des personnes concernées
- Sur l'information préalable des personnes concernées
L'information préalable des personnes concernées est effectuée par le biais d'une rubrique propre à la protection des données accessible en ligne et par le biais d'un affichage.
Ces documents n'ayant pas été joints la demande, la Commission rappelle que ceux-ci doivent impérativement comporter l'ensemble des mentions prévues à l'article 14 de la loi n° 1.165 du 23 décembre 1993.
En ce qui concerne plus particulièrement l'affichage, elle rappelle qu'en application de sa recommandation n° 2010-13 du 3 mai 2010, ledit affichage doit comporter, a minima, un pictogramme représentant une caméra, ainsi que le nom du service auprès duquel s'exerce le droit d'accès en Principauté.
La Commission rappelle par ailleurs que cet affichage doit, conformément à sa recommandation n° 2010-13 du 3 mai 2010, garantir une information visible, lisible et claire de la personne concernée et être apposé aux entrées de chaque établissement.
Sous ces conditions, elle considère que les modalités d'information préalable des personnes sont conformes aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993.
- Sur l'exercice du droit d'accès, de modification et de mise à jour
Le droit d'accès s'exerce par un accès en ligne au dossier, par courrier électronique, par voie postale ou sur place. La réponse à ce droit d'accès s'exerce par courrier électronique, par voie postale ou sur place.
À cet égard, la Commission demande que la réponse à ce droit d'accès s'exerce uniquement sur place.
Le délai de réponse à une demande de droit d'accès est de 15 jours.
Par ailleurs, s'agissant de l'exercice du droit d'accès par voie électronique, la Commission considère qu'une procédure devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d'un document d'identité était demandée, la transmission et le traitement de ce document devront faire l'objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d'identité officiels.
La Commission constate que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.
V. Sur les destinataires et les personnes ayant accès au traitement
- Sur les destinataires
Les informations sont susceptibles d'être communiquées à la Direction de la Sûreté Publique.
La Commission estime que la communication à la Direction de la Sûreté Publique peut être justifiée pour les besoins d'une enquête judiciaire.
À cet égard, elle rappelle qu'en cas de transmission, ladite Direction ne pourra avoir communication des informations que dans le strict cadre de ses missions légalement conférées.
La Commission considère donc que ces transmissions sont conformes aux exigences légales.
- Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
- les cadres des Services Généraux : consultation (uniquement en différé et sur demande expresse du Directeur ou de son représentant) et extraction ;
- le Directeur ou son représentant : consultation uniquement en différé par l'intermédiaire des cadres des Services Généraux qui auront seuls accès au logiciel de consultation ;
- le prestataire : maintenance et paramétrage.
Considérant les attributions de chacune de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.
La Commission constate par ailleurs qu'il n'y a pas d'accès distants au travers de l'Internet.
En ce qui concerne le prestataire, elle rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993, ses droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de son contrat de prestation de service. De plus, ledit prestataire est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission rappelle enfin qu'en application de l'article 17-1 de la loi n° 1.165 du 23 décembre 1993 la liste nominative des personnes ayant accès au traitement doit être tenue à jour, et précise que cette liste doit lui être communiquée à première réquisition.
VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation particulière.
La Commission rappelle néanmoins que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
Elle constate par ailleurs que lors de l'extraction des données, lesdites données ne sont pas chiffrées sur leur support de réception mais enregistrées dans un dossier dont l'accès est sécurisé par un système d'identifiant et mot de passe.
La Commission demande donc que la copie ou l'extraction d'informations issues de ce traitement soit chiffrée sur son support de réception, conformément à la délibération n° 2010-13 du 3 mai 2010.
Elle rappelle également que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VII. Sur la durée de conservation
Le responsable de traitement indique que les informations sont conservées 90 jours.
À cet égard, la Commission rappelle, conformément à sa recommandation n° 2010-13 du 3 mai 2010, que les informations collectées ne peuvent être conservées sous une forme permettant l'identification de la personne concernée que pendant une période n'excédant pas celle nécessaire à la réalisation de la finalité pour laquelle elles ont été collectées.
Elle fixe donc la durée de conservation desdites données à 1 mois.
Après en avoir délibéré, la Commission :
Constate que :
- les accès distants (PCs) utilisés sur le réseau de vidéosurveillance sont sécurisés ;
- la copie ou l'extraction d'informations issues de ce traitement n'est pas chiffrée sur son support de réception.
Considère qu'une procédure relative au droit d'accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations.
Rappelle que :
- l'information préalable des personnes concernées doit impérativement comporter l'ensemble des mentions prévues à l'article 14 de la loi n° 1.165 du 23 décembre 1993 ;
- l'affichage doit comporter a minima un pictogramme représentant une caméra et indiquer le nom du service auprès duquel s'exerce le droit d'accès en Principauté ;
- l'affichage doit garantir une information visible, lisible et claire de la personne concernée et être apposé aux entrées de chaque établissement ;
- les Services de Police monégasque ne pourront avoir communication des informations objet du traitement que dans le strict cadre de leurs missions légalement conférées ;
- la liste nominative des personnes ayant accès au traitement doit être tenue à jour et doit lui être communiquée à première réquisition ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort ;
Demande que :
- la réponse au droit d'accès s'exerce uniquement sur place ;
- la copie ou l'extraction d'informations issues de ce traitement soit chiffrée sur son support de réception.
Fixe la durée de conservation des informations collectées à 1 mois à compter de leur collecte.
À la condition de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives autorise la mise en œuvre par la Caisse Autonome des Retraites du traitement automatisé d'informations nominatives ayant pour finalité « Dispositif de surveillance vidéo des locaux des Caisses Sociales de Monaco (CSM) ».
Le Président de la Commission
de Contrôle des informations Nominatives.