icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2018-116 du 18 juillet 2018 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des allocations du fonds social et des achats de loisirs » présenté par la Compagnie des Autobus de Monaco.

  • N° journal 8398
  • Date de publication 07/09/2018
  • Qualité 100%
  • N° de page

Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 4.597 du 21 novembre 2013 approuvant la convention, le cahier des charges et leurs annexes de la concession de service public pour l'exploitation du réseau de transport public de voyageurs ;
Vu l'arrêté ministériel du 11 mai 1933 concernant la compagnie des autobus monégasques ;
Vu l'arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l'article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la demande d'avis présentée le 27 avril 2018 par la Compagnie des Autobus de Monaco, concernant la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des allocations du fonds social et des achats de loisirs » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 25 juin 2018, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du  18 juillet 2018 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Compagnie des Autobus de Monaco (CAM) est une société monégasque, immatriculée au Répertoire du Commerce et de l'industrie sous le numéro 56S0465, ayant pour objet « le transport en commun ».
Le responsable de traitement propose à ses salariés de bénéficier de prix promotionnels sur différents loisirs, tels que des spectacles, des activités sportives, des sorties éducatives et culturelles par le biais d'une plateforme qui permet la gestion centralisée des bénéficiaires.
La CAM figurant sur la liste établie par l'arrêté ministériel n° 2009-382 du 31 juillet 2009, la mise en œuvre de ce traitement est soumise à l'avis préalable de la Commission, conformément aux dispositions de l'article 7 de la loi n° 1.165 du 23 décembre 1993.

I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité la « Gestion des allocations du fonds social et des achats de loisirs ».
Le responsable de traitement précise qu'il concerne les salariés.
Le responsable de traitement indique que les fonctionnalités sont les suivantes :
- Gestion de la plateforme dédiée du fonds social de la CAM ;
- Connexion à un espace personnel sur la plateforme ;
- Consultation des offres du fonds social ;
- Disposer des allocations versées par le fonds social sur son espace pour bénéficier des sommes pendant une année et profiter de divers loisirs ;
- Individualisation des achats avec des réductions spécifiques négociées pour les fonds sociaux et comités d'entreprise ;
- Gestion des achats, lieux, dates d'utilisation et montants ;
- Disposer d'un espace personnel sécurisé avec un accès sur une plateforme d'e-commerce indépendante proposant des offres de loisirs ;
- Les employés bénéficiaires ne souhaitant pas disposer d'un espace, n'apparaissent pas sur la plateforme, ils peuvent néanmoins accéder aux services par le biais d'un utilisateur « comité paritaire du fonds social » géré et administré par les membres du comité uniquement, aucune information nominative n'apparait.
Aussi, elle considère que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement

  • Sur la licéité

La Commission observe que la CAM est une société privée concessionnaire d'un service public. À cet égard, elle relève que ladite concession est fondée sur la convention de concession entre le Gouvernement Princier et la Compagnie des Autobus de Monaco qui comporte notamment la desserte du réseau de transports publics, ainsi que l'exploitation et la maintenance des infrastructures d'accueil et d'information des usagers, telle qu'approuvée par l'Ordonnance Souveraine n° 4.597 du 21 novembre 2013.
En conséquence, la Commission constate que l'activité d'exploitation du réseau de transports publics urbains de voyageurs par la CAM dispose d'un fondement juridique propre. Elle considère donc que le traitement est licite conformément à l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.

  • Sur la justification

Le traitement est justifié par le consentement de la personne concernée et la réalisation d'un intérêt légitime sans que ne soient méconnus les droits et libertés fondamentaux de la personne concernée.
À cet égard, le responsable de traitement indique que la plateforme est « accessible à tous les utilisateurs salariés qui le souhaitent afin de bénéficier de prix promotionnels sur des œuvres de loisirs, sorties, sport, éducatives et culturelles ».
Par ailleurs, il ajoute que « la plateforme permet une gestion centralisée des bénéficiaires par une meilleure gestion des allocations décidées par le Comité paritaire du fonds social ».
La Commission relève que le traitement est également soumis au respect d'une obligation légale à savoir l'avenant n° 8 du 4 février 1969 à la convention collective nationale du travail du 5 novembre 1945 instaurant un fonds social dans les entreprises occupant plus de 50 salariés.
À cet égard, le responsable de traitement indique qu'il met en œuvre « un traitement automatisé permettant le versement des allocations du fonds social et leur utilisation par les agents qui le souhaitent (les bénéficiaires) directement sur un site dédié à l'achat de produits destinés aux loisirs en général ».
Elle considère donc que le traitement est justifié, conformément aux dispositions de l'article 10-2 de la loi n° 1.165 du 23 décembre 1993\.

III. Sur les informations traitées
Les informations nominatives traitées sont :
- identité : agent bénéficiaire : nom, prénom, numéro d'enregistrement,
facultatif : numéro d'enregistrement, date de naissance, date d'entrée, type de contrat, situation de famille, nom des ayants droits (conjoint et enfant) ;
- adresses et coordonnées : adresse de messagerie électronique personnelle,
facultatif : adresse postale, numéro de téléphone, deuxième adresse email, numéros de téléphone ;
- formation – diplômes – vie professionnelle : facultatif : statut du contrat, date d'entrée, ancienneté et date de sortie ;
- données d'identification électronique : bénéficiaires et comptes administrateurs : identifiant et mot de passe crypté.
À la lecture du dossier, la Commission relève que sont également collectées les informations relatives au montant de l'allocation, au numéro de compte et aux logs de connexion des personnes habilitées à avoir accès au traitement.
La Commission constate que les administrateurs ont un identifiant et mot de passe communs, à cet égard elle demande que chaque personne habilitée à avoir accès au traitement ait un identifiant et un mot de passe individuels et strictement personnels.
Les informations relatives au nom et prénom de l'agent et adresse de messagerie électronique personnelle sont entrées par les personnes habilitées après accord de l'agent, les informations relatives aux rubriques « identité/situation de famille » (données facultatives), « adresses et coordonnées » (données facultatives), à la « formation-diplômes-vie professionnelle » (données facultatives) proviennent de la personne concernée et les informations relatives aux « données d'identification électronique » proviennent du système.
Aussi, la Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.

IV.  Sur les droits des personnes concernées

  • Sur l'information préalable des personnes concernées

Le responsable de traitement indique que l'information préalable des personnes concernées est effectuée par le biais d'une mention sur le document de collecte, un affichage et d'une mention accessible en intranet.
À la lecture de la mention d'information préalable jointe au dossier, la Commission constate qu'elle ne comporte pas l'ensemble des dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993 en ce qu'elle ne mentionne pas les destinataires.
Le responsable de traitement précise que « Depuis la plateforme CAM ou directement à l'adresse www.meyclub.com, l'utilisateur peut se connecter au site de e-commerce. Les données d'identification et les informations personnelles sont automatiquement réinscrites ».
Aussi, la Commission demande que les personnes concernées soient informées que leurs informations sont communiquées au site internet www.meyclub.com.
Par ailleurs, le responsable de traitement indique que « Les statistiques faites sont pour donner une vue de comment le site internet est utilisé par les bénéficiaires et pour avoir une idée de leurs parcours sur » le site de « e-commerce Meyclub » et ajoute que « les cookies sont utilisés afin de mieux personnaliser les services proposés ».
Par conséquent, il conviendra d'indiquer que ledit site français utilise le module Google Analytics et que leurs informations de navigation peuvent se retrouver aux États Unis, pays ne disposant pas d'un niveau de protection adéquat.
En outre, elle estime que l'information des personnes concernées relativement aux cookies devra être plus détaillée (nature des cookies, manière permettant de s'en prévenir, conséquences, etc…).
À la condition de la prise en compte des éléments qui précèdent, l'information dispensée est conforme à l'article 14 de la loi n°1.165 du 23 décembre 1993.

  • Sur l'exercice du droit d'accès, de modification et de mise à jour

Le responsable de traitement indique que le droit d'accès est exercé soit par un accès en ligne à son dossier, par voie postale, par courrier électronique, sur place. La réponse se fera dans le mois suivant la réception de la demande.
S'agissant de l'exercice du droit d'accès par voie électronique, la Commission considère qu'une procédure devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d'un document d'identité était demandée, la transmission et le traitement de ce document devront faire l'objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d'identité officiels.
À la condition de la prise en compte de ce qui précède, elle constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.

V. Sur les personnes ayant accès au traitement

  • Sur les accès au traitement

Le responsable de traitement indique qu'ont accès au traitement :
- Le Directeur d'exploitation de la CAM : tous droits ;
- Les administrateurs membres et sous mandat du Comité Paritaire du Fonds Social : tous droits et en consultation pour l'attribution des allocations du fonds social ;
- Le Prestataire : consultation, inscription, mise à jour, modification et maintenance ;
- Les membres du Service des Ressources Humaines, uniquement sur demande du Directeur d'Exploitation : tous droits.
La Commission relève que les agents/bénéficiaires ont également accès au traitement avec tous les droits pour la gestion de leur compte.
En ce qui concerne le prestataire, la Commission rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993, les droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de son contrat de prestation de service. De plus, ledit prestataire est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
Sous réserve de la prise en compte des éléments qui précèdent, elle considère que ces accès sont justifiés.

VI. Sur les interconnexions avec d'autres traitements
Le responsable de traitement indique que le présent traitement fait l'objet de rapprochements avec le traitement légalement mis en œuvre ayant pour finalité « Gestion du personnel ».

VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés par des identifiants et des mots de passe individuels réputés forts.
Par ailleurs, la Commission demande que lors de l'activation de son compte ou la modification de son mot de passe, l'agent/bénéficiaire soit invité à saisir un mot de passe réputé fort et que les ressources du Comité du Fonds Social se trouvant sur le réseau informatique de la CAM soient protégées par des comptes utilisateurs individuels.
Enfin, la Commission rappelle que les communications électroniques doivent être sécurisées en tenant compte de la nature des informations transmises et que conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.

VIII. Sur la durée de conservation
Le responsable de traitement indique que les informations relatives à l'« identité/situation de famille », aux « adresses et coordonnées », à la « formation-diplômes-vie professionnelle » sont conservées jusqu'à ce que l'agent/bénéficiaire décide de quitter la plateforme et ce, après utilisation de ses allocations.
En cas de départ de la société de l'agent/bénéficiaire, les informations sont conservées jusqu'à la fin de l'utilisation des allocations, pouvant aller jusqu'à une année après leur versement.
Les logs de connexion sont conservés 13 mois.
S'agissant des données d'identification électronique, elles sont conservées la durée d'utilisation de la plateforme.
Cependant, la Commission considère que les informations ne peuvent être conservées que pour une durée n'excédant pas celle nécessaire à la réalisation de la finalité pour laquelle elles ont été collectées.
En conséquence, elle fixe la durée de conservation des logs de connexion à 12 mois et les informations relatives aux données d'identification électronique, à la durée de la relation contractuelle avec l'agent/bénéficiaire.
À la condition de la prise ne compte de ce qui précède, elle considère que la durée de conservation des informations est conforme à l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
Après en avoir délibéré, la Commission :
Relève que :
- les agents/bénéficiaires ont accès au traitement avec tous les droits pour la gestion de leur compte ;
- sont également collectées les informations relatives au montant de l'allocation, au numéro de compte et aux logs de connexion.
- Considère qu'une procédure relative au droit d'accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations.
Fixe la durée de conservation des logs de connexion à 12 mois et les informations relatives aux données d'identification électronique à la durée de la relation contractuelle avec l'agent/bénéficiaire.
Demande que les personnes concernées soient informées :
- que leurs informations sont communiquées au site internet www.meyclub.com ;
- que ledit site français utilise Google Analytics et ainsi que dès leur connexion au site internet www.meyclub.com, les données de navigation peuvent se retrouver aux États unis, pays ne disposant pas d'un niveau de protection adéquat ;
- de manière plus précise relativement aux cookies (nature des cookies, manière permettant de s'en prévenir, conséquences, etc…).
Demande que :
- Les identifiants et les mots de passe des administrateurs soient individuels et strictement personnels ;
- lors de l'activation de son compte ou la modification de son mot de passe, l'agent/bénéficiaire soit invité à saisir un mot de passe réputé fort ;
- les ressources du Comité du Fonds Social se trouvant sur le réseau informatique de la CAM soient protégées par des comptes utilisateurs individuels ;
- l'information préalable soit dispensée à l'ensemble des personnes concernées conformément à l'article 14 de la loi n° 1.165 du 23 décembre 1993.
Rappelle que :
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés par des identifiants et des mots de passe individuels réputés forts ;
- les communications électroniques doivent être sécurisées en tenant compte de la nature des informations transmises.
À la condition de la prise en compte des éléments qui précèdent,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par la Compagnie des Autobus de Monaco du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des allocations du fonds social et des achats de loisirs ».

Le Président de la Commission de Contrôle des Informations Nominatives.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14