icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2020-186 du 16 décembre 2020 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des bons cadeaux offerts au personnel communal via l'application Carlo », présenté par la Commune de Monaco.

  • N° journal 8525
  • Date de publication 12/02/2021
  • Qualité 100%
  • N° de page

Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 959 du 24 juillet 1974 sur l'organisation communale ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la déclaration ordinaire déposée par Carlo le 14 octobre 2020, concernant la mise en oeuvre d'un traitement automatisé ayant pour finalité « Mettre à disposition aux commerçants et aux consommateurs un programme de fidélité monégasque basé sur le gain et l'utilisation de « cashback » », et dont il a été délivré récépissé le 9 novembre 2020 ;
Vu la demande d'avis déposée par la Commune de Monaco, le 26 novembre 2020, concernant la mise en œuvre d'un traitement automatisé ayant pour finalité « Gestion des bons cadeaux offerts au personnel communal via l'application » ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 16 décembre 2020 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
En tant qu'acteur aux côtés du Gouvernement du plan de relance de l'activité économique de la Principauté mis en œuvre suite à la crise sanitaire liée à la COVID-19, la Commune entend offrir aux personnes éligibles des bons cadeaux utilisables uniquement dans les commerces de la Principauté.
Ainsi, le traitement y afférent est soumis à l'avis de la Commission, conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993.

I. Sur la finalité et les fonctionnalités du traitement

Le présent traitement a pour finalité « Fonds Rouge et Blanc : gestion de bons cadeaux ».
Il concerne les fonctionnaires et agents de la Commune actifs et les fonctionnaires retraités. Parmi ces personnes, ne sont pas concernées par le présent traitement celles qui n'ont pas bénéficié dans le second semestre de 2020 d'un mois de salaire ou de retraite.
Les fonctionnalités du traitement sont :
- « Adresser une information aux bénéficiaires sur l'organisation de l'action ;
- Collecter les données des bénéficiaires des bons cadeaux du « fonds rouge et blanc » ;
- Vérifier leur adéquation tenant compte des conditions d'attribution des bons cadeaux ;
- Pseudonymiser les informations avant communication à la plateforme de gestion des bons cadeaux ;
- Reprendre les informations pseudonymisées en fin d'opération ;
- Disposer des montants utilisés par les bénéficiaires généraux et indirectement nominatifs ;
- Établissement de statistiques (non nominatives) sur l'utilisation des bons cadeaux ».
Il convient de relever que la Commune dispose d'un accès à l'application Carlo sur des états de dépenses généraux non nominatifs nécessaires au suivi de ses engagements financiers.
En outre, il est précisé que si le bénéficiaire ne souhaite pas créer un compte dans Carlo et activer les bons par ce biais, un QR code lui permettant d'utiliser ces derniers sera mis à disposition au Cercle A.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le présent traitement est justifié par la réalisation d'un intérêt légitime, sans que ne soient méconnus les droits et libertés fondamentaux des personnes concernées.
Le responsable de traitement indique que le traitement « s'inscrit dans le cadre du Fonds Rouge et Blanc » qui permet la distribution de bons cadeaux dans le cadre du plan de relance de l'activité économique en Principauté.
Il est en outre précisé « que les droits et libertés des personnes concernées sont pris en considération par la pseudonymisation des données communiquées à la plate-forme de gestion des bons cadeaux. En outre seules des statistiques globales seront réalisées (…) ».
La Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.

III. Sur les informations traitées

Les informations nominatives traitées sont :
- identité : nom, prénom, matricule, code Carlo ;
- adresses et coordonnées : adresse ;
- vie professionnelle : employeur (Mairie de Monaco), statut (actif, retraité), rang ;
- caractéristiques financières : code service budgétaire, code nationalité, date d'effet dans la paie, date de paie, échelle de classement, indice, mode de rémunération, montant salaire, montant des bons, montant du cash back, montant dépensé, montant restant.
Les données proviennent du traitement « Gestion du personnel communal : gestion des dépenses de personnel afférentes aux emplois publics communaux » de la Commune, tandis que les codes Carlo sont générés par la Direction des Systèmes d'Information.
Par ailleurs, la Commission constate qu'à l'issue de l'opération, le Gouvernement connaîtra le montant de la somme allouée dépensé de manière effective par la personne concernée, sans connaître la qualité des achats effectués par celle-ci.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.

IV. Sur les droits des personnes concernées

* Sur l'information préalable des personnes concernées
L'information préalable des personnes concernées est réalisée par le biais d'une mention insérée dans un courrier qui leur est adressé.
Celle-ci étant jointe au dossier, la Commission constate que l'information des personnes concernées est conforme aux dispositions de l'article 14 de la loi n° 1.165, modifiée.
* Sur l'exercice du droit d'accès, de modification et de mise à jour
Le droit d'accès est exercé par les personnes concernées par voie postale auprès du Service Informatique Data Protection Officer.
À cet égard, la Commission rappelle que la réponse à ce droit d'accès doit s'exercer dans le mois suivant la réception de la demande.

V. Sur les destinataires et les personnes ayant accès au traitement

La Commission constate que le responsable de traitement ne communique aucune information à des destinataires autre que les codes Carlo et les montants associés à la plateforme Carlo qui gère les bons cadeaux.
Par ailleurs, ont accès au traitement :
- Le personnel de la Commune dans le cadre de leurs fonctions (recette Municipale/service de Gestion des personnels) en consultation ;
- Les agents habilités de la Direction du Budget et du Trésor dans le cadre de leurs missions en inscription, modification, mise à jour ;
- Les agents habilités de la DSI et toute personne travaillant sous son autorité : accès dans le cadre de leurs missions en extraction et génération des codes.
La Commission constate qu'il est fait recours à des prestataires. Elle rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993 les droits d'accès de ces derniers doivent être limités à ce qui est strictement nécessaire à l'exécution de leurs contrats de prestation de service. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission considère que ces accès sont justifiés.

VI. Sur les rapprochements et les interconnexions avec d'autres traitements

Le responsable de traitement indique que le traitement est rapproché avec les traitements suivants :
- « Gestion automatisé des techniques de communication », légalement mis en œuvre, pour permettre l'échange de mails ;
- « Gestion du personnel communal : gestion des dépenses de personnel afférentes aux emplois publics communaux », pour connaître les éléments de rémunération permettant de déterminer le montant de la prime auquel chaque personne concernée est éligible.
En outre, le traitement est interconnecté avec le traitement concomitamment soumis par l'État ayant pour finalité « Fonds Rouge et Blanc : gestion de bons cadeaux ». Le traitement de l'opération pour la Mairie s'effectuera selon les modalités du traitement de l'État.
Enfin, les codes Carlo seront communiqués aux personnes concernées qui les renseigneront dans le traitement relatif au programme de fidélité monégasque de cash-back de Carlo APP, légalement mis en œuvre.
À l'analyse des éléments du dossier, ces rapprochements et interconnexions sont conformes aux finalités initiales.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
En outre, les communications d'informations doivent être sécurisées en tenant compte de la nature des informations transmises.
De plus, la communication des données pseudonymisées chiffrées et des clés de déchiffrement doit être effectuée par deux canaux distincts.
La Commission rappelle que les accès effectués à l'application métier par la DSI (ainsi qu'aux sauvegardes) doivent être journalisés et qu'un message/une alerte doit être envoyé au responsable métier l'informant de cet accès qui aura été préalablement justifié ou devra l'être.
La Commission rappelle enfin que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.

VIII. Sur la durée de conservation

Les données sont conservées « 40 ans après l'âge légal de la retraite ».
La Commission relève que cette durée de conservation de 40 ans après l'âge légal de la retraite permet la conservation et la justification des éléments permettant d'établir les droits à la retraite, et ceux des ayants-droit. Or, la Commission relève que cette prime, qui n'est pas incluse dans la fiche de paie et n'ouvre aucun droit sur la retraite des personnes concernées, n'a pas à être conservée sur une période aussi longue. Elle fixe donc la durée de conservation de l'ensemble des informations objets du présent traitement à 5 ans après son versement, délai qui permet à la fois d'être conforme aux prescriptions légales si un litige venait à naitre avec l'Administration monégasque, et couvre les prescriptions fiscales du pays voisin si un litige venait à naitre relativement à la véracité des déclarations fiscales des personnes soumises à impôt.
Après en avoir délibéré, la Commission :
Rappelle que :
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
- les communications d'informations doivent être sécurisées en tenant compte de la nature des informations transmises ;
- la communication des données pseudonymisées chiffrées et des clés de déchiffrement doit être effectuée par deux canaux distincts ;
- les accès effectués à l'application métier par la DSI (ainsi qu'aux sauvegardes) doivent être journalisés et qu'un message/une alerte doit être envoyé au responsable métier (la Commune) l'informant de cet accès qui aura été préalablement justifié ou devra l'être.
Fixe la durée de conservation de l'ensemble des informations objets du présent traitement à 5 ans après le versement effectif de la prime.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par la Commune de Monaco, du traitement automatisé d'informations nominatives ayant pour finalité « Gestion de bons cadeaux offerts au personnel communal via l'application Carlo ».

Le Président de la Commission de Contrôle des Informations Nominatives.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14