Délibération n° 2019-37 du 20 mars 2019 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Déclarer l'accueil de stagiaire en entreprise » de la Direction du Travail - Service de l'emploi présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 629 du 17 juillet 1957 tendant à réglementer les conditions d'embauchage et de licenciement en Principauté ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 16.675 du 18 février 2005 portant création d'une Direction du Travail ;
Vu l'Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l'Administration et l'administré ;
Vu la circulaire n° 07-03 du 26 février 2007 relative aux stages dans les entreprises ;
Vu la demande d'avis présentée le 3 décembre 2018 par de Ministre d'État, concernant la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Déclarer l'accueil de stagiaire en entreprise » de la Direction du Travail - Service de l'Emploi ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 1er février 2019, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 20 mars 2019 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Les entreprises de la Principauté signent avec les établissements d'enseignements des conventions permettant l'accueil des stagiaires qui ne sont dès lors pas soumis aux dispositions de la loi n° 629 du 17 juillet 1957 tendant à réglementer les conditions d'embauchage et de licenciement en Principauté. Toutefois, conformément à la circulaire n° 07-03 du 26 février 2007 relative aux stages dans les entreprises, le Service de l'emploi se rend destinataire des informations relatives aux conventions de stage, notamment aux fins de vérifier qu'il ne s'agit pas d'un stage devant être soumis à la procédure de demande d'autorisation d'embauche et des dispositions y relatives.
Afin de faciliter cette démarche, le responsable de traitement souhaite proposer un télé-service permettant aux entreprises d'informer facilement le Service de l'emploi de l'accueil d'un stagiaire en parcours d'étude.
Aussi, conformément aux dispositions de l'article 7 de la loi n° 1.165 du 23 décembre 1993, le Ministre d'État soumet le traitement ayant pour finalité « Déclarer l'accueil de stagiaire en entreprise » à l'avis de la Commission.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « Déclarer l'accueil de stagiaire en entreprise ».
Le responsable de traitement précise qu'il concerne les entreprises monégasques.
Après analyse du dossier, la Commission constate que sont concernées les personnes effectuant des demandes de stage auprès des entreprises établies en Principauté, les personnels de ces entités en contact avec l'Administration, ainsi que les personnels d'établissements d'enseignement signataires des conventions de stage.
Les fonctionnalités offertes par le bais de la démarche en ligne sont :
- Saisie des informations sur l'entreprise et le stage ;
- Saisie des informations sur le stagiaire ;
- Envoi d'un courriel de confirmation de dépôt de la demande ;
- Suivi du traitement de la demande ;
- Envoi du courriel de suivi ;
- Compléter une demande initialement incomplète ;
- Annulation d'une demande ;
- Envoi d'un courriel de confirmation de désinscription à la démarche en ligne ;
- Expiration et envoi d'un courriel d'expiration d'un accès à la démarche en ligne ;
- Établissement de statistiques.
La Commission considère que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par le consentement des personnes concernées et la réalisation d'un intérêt légitime sans que ne soient méconnus les droits et libertés fondamentaux de la personne concernée.
À cet égard le responsable de traitement indique que « le consentement est formalisé par l'obligation préalable d'accepter les conditions générales d'utilisation. L'accord des personnes concernées est donc indispensable pour la création du compte sécurisé et pour l'accès à la démarche en ligne ».
La Commission relève toutefois que cette justification ne vaut que pour les personnes auprès de qui la Direction du Travail collecte directement l'information, à savoir les personnels des entreprises accueillant des stagiaires et inscrits sur la démarche en ligne. En ce qui concerne les stagiaires, dont les informations sont indirectement collectées par le Service de l'Emploi, la Commission demande que les éléments mentionnés au point IV de la présente délibération relatif aux droits des personnes concernées soient respectés.
L'intérêt légitime trouve son fondement dans la volonté de l'Administration de simplifier la démarche des usagers. Cela permet également à la Direction du Travail « de vérifier que les conditions d'accueil d'un stagiaire dans une entreprise sont conformes aux dispositions légales applicables, tel qu'indiqué dans la circulaire n° 07-03 du 26 février 2007 et conformément aux missions de la Direction du Travail établies par l'Ordonnance Souveraine n° 16.675 du 18 février 2005 ».
Enfin, il est précisé que le sondage « sera traité anonymement par la Direction de l'Administration Numérique », chargée notamment « d'identifier et d'analyser les attentes des usagers en matières de procédures et d'information administratives ».
Sous la réserve sus-évoquée, la Commission considère donc que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Les informations nominatives traitées sont :
- identité / situation de famille : stagiaire : nom, prénom, date de naissance, nationalité (provenance UE ou hors UE), pays d'origine ; entreprise : raison sociale, numéro CAR ;
- adresses et coordonnées : stagiaire : adresse(s) ; entreprise : adresse ;
- formation-diplôme-vie professionnelle : établissement, diplôme préparé ;
- données d'identification électronique : identifiant technique de l'usager ;
- informations temporelles : données d'horodatage ;
- données de connexion : log de connexion de l'usager, données de messagerie de l'usager.
La Commission constate que sont aussi collectées les dates de début et de fin de stage, la convention de stage (qui contient notamment des informations relatives aux personnels de l'établissement d'enseignement signataire de ladite convention), ainsi que le numéro du dossier constitué.
Les informations ont pour origine la personne physique d'une société déclarante, excepté les données d'identification électronique, les informations temporelles et les données de connexion qui proviennent du système.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
- Sur l'information préalable des personnes concernées
L'information préalable des personnes concernées est réalisée par le biais d'une mention particulière intégrée dans un document d'ordre général accessible en ligne, à savoir les conditions générales d'utilisation de la démarche en ligne que l'usager doit accepter et peut consulter dès l'accès à la démarche.
Ces dernières n'étant pas jointes au dossier, la Commission rappelle que les personnes concernées doivent être informées de manière conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.
Elle attire également l'attention de la Direction du Travail sur la nécessité de sensibiliser les entreprises qui se doivent d'informer les stagiaires de la communication de leurs informations vers le présent traitement. En effet, les stagiaires ne peuvent être directement informés par la Direction du Travail de l'existence de celui-ci.
- Sur l'exercice du droit d'accès, de modification et de mise à jour
Le droit d'accès est exercé par voie postale, par accès en ligne au dossier, ou par courrier électronique auprès de la Direction du Travail – Service de l'Emploi.
La Commission constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les personnes ayant accès au traitement
- Sur les accès au traitement
La Commission constate qu'il n'y a pas de destinataires des informations objets du présent traitement.
Les accès sont définis comme suit :
- Personnels de la Direction du Travail du Service de l'Emploi : tous droits ;
- Personnels administratifs de la Direction des Réseaux et Systèmes d'Information (DRSI) ou tiers intervenant pour son compte : tous accès dans le cadre des missions de maintenance, développement des applicatifs nécessaires au fonctionnement du site et de sécurité du site et du système d'information de l'État ;
- Personnels de la Direction de l'Administration Numérique ou tiers intervenant pour son compte ayant un rôle d'assistance à maitrise d'ouvrage sur la procédure : tous droits.
La Commission relève également que les usagers disposent d'un accès aux comptes qu'ils ont créés afin d'en permettre la gestion.
En ce qui concerne les prestataires, elle rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993 les droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de son contrat de prestation de service. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission considère que ces accès sont justifiés.
VI. Sur les interconnexions avec d'autres traitements
Le présent traitement fait l'objet d'interconnexions avec les traitements suivants :
- « Gestion du compte permettant aux usagers d'entreprendre des démarches par téléservices », légalement mis en œuvre ;
- « Gérer les habilitations des agents et fonctionnaires de l'État aux téléservices contenus dans le « Guichet Virtuel » », légalement mis en œuvre.
Lesdits traitements ont pour vocation de permettre l'accès sécurisé des usagers à la démarche en ligne et de gérer les habilitations des personnels du Service de l'emploi, dans le respect des cadres fixés dans les délibérations y relatives de la Commission portant avis favorables.
La Commission relève également que le traitement est interconnecté avec le traitement ayant pour finalité « Gestion des techniques automatisées de communication » aux fins d'utilisation de la messagerie électronique de l'État.
À cet égard la Commission rappelle que si ledit traitement a été modifié au sens des articles 8 et 9 de la loi n° 1.165, il incombe au responsable de traitement de procéder aux formalités nécessaires auprès d'elle.
Elle considère que ces interconnexions sont conformes aux exigences légales.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Cependant, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
De plus les usagers, lors de la création de leurs comptes dans le cadre du traitement « Gestion du compte permettant aux usagers d'entreprendre des démarches par téléservices », doivent être invités à renseigner des mots de passe réputés forts, afin de tenir compte des exigences techniques et organisationnelles actuelles.
La Commission rappelle par ailleurs que, conformément à l'article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII. Sur la durée de conservation
Les données sont conservées 2 ans à compter de leur collecte avant d'être anonymisées, excepté les données d'identification électronique, les informations temporelles et les données de connexion qui sont effacées au bout d'un an.
La Commission relève que ces délais sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Constate que sont collectés les dates de début et de fin de stage, la convention de stage (qui contient notamment des informations relatives aux personnels de l'établissement d'enseignement signataires de ladite convention), ainsi que le numéro du dossier constitué.
Rappelle que :
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort ;
- les personnes concernées doivent être informées de manière conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993 ;
- si le traitement ayant pour finalité « Gestion des techniques automatisées de communication » a été modifié, il incombe au responsable de traitement de procéder aux formalités nécessaires auprès d'elle.
Demande que :
- les usagers, lors de la création de leurs comptes dans le cadre du traitement « Gestion du compte permettant aux usagers d'entreprendre des démarches par téléservices », soient invités à renseigner des mots de passe réputés forts, afin de tenir compte des exigences techniques et organisationnelles actuelles ;
- le Service de l'Emploi attire l'attention des entreprises sur la nécessité de sensibiliser les stagiaires de la communication de leurs informations vers le présent traitement.
À la condition de la prise en compte des éléments qui précèdent,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État du traitement automatisé d'informations nominatives ayant pour finalité « Déclarer l'accueil de stagiaire en entreprise » de la Direction du Travail - Service de l'Emploi.
Le Président de la Commission de Contrôle des Informations Nominatives.