Délibération n° 2018-46 du 18 avril 2018 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des attributions des places de parking » présenté par le Centre Hospitalier Princesse Grace.
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 127 du 15 janvier 1930 constituant l'hôpital en établissement public autonome ;
Vu la loi n° 918 du 27 décembre 1971 sur les établissements publics ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 5.095 du 14 février 1973 sur l'organisation et le fonctionnement du Centre Hospitalier Princesse Grace, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'arrêté ministériel n° 86-620 du 10 novembre 1986 portant établissement du règlement intérieur du Centre Hospitalier Princesse Grace, modifié ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la demande d'avis déposée par le Centre Hospitalier Princesse Grace, le 22 décembre 2017, portant sur la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion des attributions des places de parkings » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 20 février 2018, conformément à l'article 19 l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 18 avril 2018 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Aux termes de la loi n° 127 du 15 janvier 1930, le Centre Hospitalier Princesse Grace (CHPG) est un établissement public autonome.
Le traitement d'informations nominatives objet de la présente délibération est donc soumis à l'avis de la Commission conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993\.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « Gestion des attributions des places de parking ».
Selon la demande d'avis, le traitement concerne « tout le personnel ». La Commission considère que seuls les membres du personnel ayant formalisé une demande d'attribution du parking devrait figurer dans le présent traitement, non l'ensemble du personnel.
Ses fonctionnalités sont les suivantes :
- Gestion des demandes de places de parking ;
- Gestion des courriers de correspondance (attribution/refus place de parking) ;
- Gestion de la liste d'attente et des priorités ;
- Instruction des demandes par la commission ;
- Détermination des critères d'attribution.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Aux termes de l'article 1er de la loi n° 127 du 15 janvier 1930 « L'hôpital, établissement public, revêtu de la personnalité civile, jouira d'une autonomie pleine et entière ».
Le traitement est justifié par la réalisation d'un intérêt légitime du responsable de traitement qui ne méconnaît ni l'intérêt, ni les droits et libertés fondamentaux des personnes concernées.
À l'appui de ces justifications, le responsable de traitement met en évidence la volonté de la Direction de simplifier le quotidien des salariés de l'hôpital en leur permettant de pouvoir bénéficier de places de parking réservées à l'Hôpital par le Gouvernement Princier dans différents parkings situés à proximité de l'hôpital et de ses structures détachées.
La Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Les informations nominatives traitées de manière automatisée sont :
- identité : civilité, nom, prénom, matricule ;
- adresses et coordonnées : adresse du domicile ;
- vie professionnelle : grade, service d'affectation, date de recrutement, statut, horaires de travail ;
- données sur les cotations : statut de l'agent, inscription d'un ou plus enfants à la crèche, horaires coupés, domicile, véhicule vert, covoiturage ;
- date : date d'inscription sur la liste d'attente ;
- observations : informations complémentaires.
Les informations relatives à l'identité, à l'adresse et à la vie professionnelle ont pour origine le salarié et le traitement automatisé ayant pour finalité « Gestion des ressources humaines et paie ».
Les informations relatives aux données de cotation ont les mêmes origines, ainsi que le traitement ayant pour finalité « Gestion des admissions à la crèche ».
Les informations relatives à la date d'inscription sur la liste d'attente et aux observations ont pour origine le personnel habilité de la Direction des Ressources Humaines.
Par ailleurs la Commission constate que les logs d'accès sont également collectés.
La Commission considère que les informations collectées au sein dudit traitement sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément à l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
IV. Sur les droits des personnes concernées
Sur l'information préalable des personnes concernées
L'information préalable des personnes concernées sera réalisée par une mention sur le document de collecte.
La Commission rappelle que l'information des personnes concernées doit être conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993\.
Sur l'exercice du droit d'accès, de modification et de mise à jour
Le droit d'accès des personnes concernées par le traitement s'exerce, sur place, auprès de la Direction des Ressources Humaines.
La Commission constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.
V. Sur les destinataires et les personnes ayant accès au traitement
Sur les personnes ayant accès au traitement
Le traitement est interne au CHPG.
Les personnes pouvant avoir accès aux informations sont :
- le personnel habilité de la Direction des Ressources Humaines : en inscription, consultation et mise à jour ;
- la Direction : en consultation ;
- les représentants syndicaux : en consultation (anonymisée) ;
- les administrateurs du SI pour leurs missions de maintenance.
Sur les destinataires des informations
La Direction des Ressources Humaines du CHPG transmet au service des parkings publics les documents permettant l'abonnement des salariés de l'hôpital, sur support papier.
La Commission considère que ces accès et ces transmissions sont justifiés au regard de la finalité du traitement.
VI. Sur les rapprochements et interconnexions
Le responsable de traitement indique que le présent traitement fait l'objet de rapprochements avec :
- le traitement ayant pour finalité « Gestion des ressources humaines et paie » afin de compléter les données relatives à la date de recrutement et au statut du parent salarié du CHPG ;
- le traitement ayant pour finalité « Gestion des admissions à la crèche ».
S'agissant du premier traitement, la Commission relève qu'il a été légalement mis en œuvre et que les opérations réalisées sont compatibles avec les finalités initiales du traitement dans le respect de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
Le deuxième a été soumis concomitamment à la Commission. Elle relève également que les opérations réalisées sont compatibles avec la finalité initiale du traitement.
Enfin, il appert, à l'analyse du dossier, une interconnexion avec les traitements ayant respectivement comme finalité « Gestion des droits d'accès du personnel, des patients et des personnes en relation avec le CHPG » et « Gestion de la messagerie électronique professionnelle du CHPG », tous deux légalement mis en œuvre.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Elle rappelle toutefois que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
La Commission rappelle également que, conformément à l'article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII. Sur la durée de conservation
Les informations sont supprimées un an après la résiliation de l'abonnement.
La Commission demande que les informations des personnes n'ayant pas donné suite à l'attribution d'un abonnement soient également supprimées une année après la notification de ladite attribution.
Elle rappelle par ailleurs que les logs de connexion ne peuvent être conservés plus d'un an.
Après en avoir délibéré, la Commission :
Constate que les logs d'accès sont collectés.
Rappelle que :
- l'information des personnes concernées doit être effectuée conformément à l'article 14 de la loi n° 1.165 ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort ;
- les logs de connexion ne peuvent être conservés plus d'un an.
Demande que les informations des personnes n'ayant pas donné suite à l'attribution d'un abonnement soient supprimées une année après la notification de ladite attribution.
Sous le bénéfice de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Centre Hospitalier Princesse Grace, du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des attributions des places de parking ».
Le Président de la Commission de
Contrôle des Informations Nominatives.