icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails
Voir le site en Anglais
MENU
Français | Anglais
  • Avis et Communiqués
  • Déliberations-Décisions CCIN

Délibération n° 2021-229 du 20 octobre 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Détacher un salarié à Monaco pour une durée inférieure à 3 mois par voie dématérialisée » du Service de l'Emploi présenté par le Ministre d'État.

  • N° journal 8563
  • Date de publication 05/11/2021
  • Qualité 100%
  • N° de page

Vu la Constitution ;

Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu l’Ordonnance Souveraine n° 16.675 du 18 février 2002 portant création d’une Direction du Travail ;

Vu l’Ordonnance Souveraine n° 937 du 17 mars 1954 rendant exécutoire la convention sur la sécurité sociale signée à Paris le 28 février 1952 ;

Vu l’arrangement administratif relatif aux modalités d’application de la Convention générale de sécurité sociale conclue entre la Principauté de Monaco et la République italienne et la Convention italo-monégasque de la sécurité sociale du 12 février 1982 ;

Vu l’Ordonnance n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu la délibération n° 2020-40 du 19 février 2020 portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Détacher un salarié à Monaco pour une durée inférieure à 3 mois » ;

Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;

Vu la demande d’avis déposée par le Ministre d’État, le 13 août 2021, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Détacher un salarié à Monaco pour une durée inférieure à 3 mois par voie dématérialisée » ;

Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 11 octobre 2021, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 20 octobre 2021 portant examen du traitement automatisé susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

Par délibération n° 2020-40, le Service de l’Emploi, qui doit être informé des détachements des salariés des pays avec lesquels Monaco a conclu une convention de sécurité sociale, avait reçu avis favorable de la Commission à la mise en œuvre d’un téléservice dédié à cet objectif.

Ledit téléservice faisant l’objet d’évolutions, le Ministre d’État souhaite remplacer le traitement « Détacher un salarié à Monaco pour une durée inférieure à 3 mois » par le dépôt de la présente formalité.

Ainsi, le traitement automatisé d’informations nominatives objet de la présente demande est soumis à l’avis de la Commission, conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

I. Sur la finalité et les fonctionnalités du traitement

Le présent traitement a pour finalité « Détacher un salarié à Monaco pour une durée inférieure à 3 mois par voie dématérialisée ».

Il concerne les employeurs établis en France ou en Italie et leurs personnels, ainsi que les fonctionnaires et agents de l’État en charge des dossiers.

Aussi, la démarche en ligne mise en place à cette fin a pour fonctionnalités :

-  saisie des informations sur l’entreprise d’origine, l’entreprise d’accueil ou le chantier, et sur les salariés à détacher ;

-  import des pièces justificatives ;

-  compléter les informations manquantes ;

-  annulation d’une demande par l’usager ou par un agent ;

-  envoi d’un courriel de confirmation d’enregistrement de la demande ;

-  envoi d’un courriel de confirmation d’annulation de la demande ;

-  envoi d’un courriel de confirmation de désinscription à la démarche en ligne ;

-  export d’un fichier Excel qui comprend toutes les demandes et leurs informations anonymisées par les agents ayant les droits nécessaires pour effectuer cette action.

Il est en outre précisé que le téléservice propose un lien vers un questionnaire de satisfaction anonyme dont les résultats sont traités par la Direction des Services Numériques.

La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le présent traitement est justifié par le consentement des personnes concernées, le respect d’une obligation légale et la réalisation d’un intérêt légitime sans que ne soient méconnus les droits et libertés fondamentaux de la personne concernée.

À cet égard, la Commission relève que la Direction du Travail se voit notamment confier par l’Ordonnance Souveraine n° 16.675 du 18 février 2005 « l’application de la législation et de la réglementation du travail » et « le suivi des conventions internationales en matière de droit du travail ». À cet égard, les détachements s’inscrivent dans les accords de sécurité sociale conclus avec la France et l’Italie.

Le responsable de traitement indique également que « le consentement est formalisé par l’obligation préalable d’accepter les conditions générales d’utilisation. L’accord des personnes concernées est donc indispensable pour la création du compte sécurisé et pour l’accès à la démarche en ligne ».

L’intérêt légitime trouve son fondement dans la volonté de l’Administration de simplifier la démarche des usagers, et « s’inscrit dans le cadre de l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré ». La Commission rappelle que conformément aux dispositions de l’article 43 de l’Ordonnance Souveraine susvisée « (…) la création d’un téléservice ne saurait toutefois avoir pour effet de supprimer la possibilité pour l’usager, d’accomplir les démarches, formalités ou paiements qui en sont l’objet par des voies autres qu’électroniques ».

En outre, la Commission relève que le téléservice permet aux employeurs concernés par les conventions de sécurités sociales françaises et italiennes d’informer de manière facilitée le service de l’emploi du détachement pour une durée inférieure à 3 mois de salariés éligibles, afin que ces derniers demeurent affiliés au régime de sécurité sociale de leur pays d’origine.

Enfin, il est précisé que le sondage « sera traité anonymement par la Direction de l’Administration Numérique », chargée notamment d’identifier et d’analyser les attentes des usagers en matière de procédures et d’information administratives.

La Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

III. Sur les informations traitées

Les informations nominatives traitées sont :

-  identité/situation de famille : demandeur : titre, nom, prénom, raison sociale ; entreprise d’origine : raison sociale ;

-  adresses et coordonnées : demandeur : email de contact ; entreprise d’origine : pays d’origine du détachement, adresse de l’entreprise d’origine, code postal, ville, pays ;

-  données d’identification électronique : identifiant technique de l’usager ;

-  informations temporelles : horodatages, etc. : données d’horodatage ;

-  données de connexion : log de connexion de l’usager, données de messagerie de l’usager ;

-  informations relatives à la demande : numéro, date et statut de la demande ;

-  informations sur le détachement : intervention ou non sur un chantier, le cas échéant nom du chantier, numéro d’autorisation délivrée par la DEE, date de début du chantier, date de fin du chantier, adresse du chantier à Monaco, nom de l’entreprise d’accueil, adresse de l’entreprise d’accueil ;

-  informations sur le(s) salarié(s) à détacher : nom et prénom du salarié à détacher, numéro de sécurité sociale, qualification, dates de détachement ;

-  pièces justificatives : pièce d’identité du salarié détaché, autorisation de chantier.

Les informations ont pour origine la personne concernée lors de son adhésion au dispositif, excepté les données d’identification électronique, les informations temporelles et les données de connexion qui proviennent du système.

La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

IV.   Sur les droits des personnes concernées

  • Sur l’information préalable des personnes concernées

L’information préalable des personnes concernées est réalisée par le biais d’une mention particulière intégrée dans un document d’ordre général accessible en ligne, à savoir les conditions générales d’utilisation de la démarche en ligne que l’usager doit accepter et peut consulter dès l’accès à la démarche.

Ces dernières étant jointes au dossier, la Commission constate que les personnes concernées sont informées de manière conforme aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

Elle relève également les précisons du responsable de traitement indiquant avoir pris en compte la demande formulée par la Commission dans sa délibération n° 2020-40, susvisée, et qu’une mention spécifique a était introduite afin de sensibiliser les employeurs qu’ils doivent d’informer leurs salariés de la communication de leurs informations vers le présent traitement.

  • Sur l’exercice du droit d’accès, de modification et de mise à jour

Le droit d’accès est exercé par voie postale, par accès en ligne au dossier, sur place ou par courrier électronique auprès du service de l’Emploi.

S’agissant de l’exercice du droit d’accès par voie électronique, la Commission considère qu’une procédure devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.

Sous cette réserve, elle constate ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

V.    Sur les destinataires et les personnes ayant accès au traitement

La Commission constate que le responsable de traitement peut communiquer à l’Institut Monégasque de la Statistique et des Études Économiques (IMSEE) dans le cadre de la collecte de données à des fins statistiques, conformément aux dispositions de l’Ordonnance n° 3.095 du 24 janvier 2011 portant création de l’Institut Monégasque de la Statistique et des Études Économiques et du Conseil Scientifique de la Statistique et des Études Économiques, modifiée, une extraction anonymisée du présent traitement.

Par ailleurs, les accès sont définis comme suit :

-  les personnels du Service de l’Emploi : en lecture, traitement, en paramétrage, en saisie ;

-  la Direction des Services Numériques, ou tiers intervenant pour son compte : accès configuration dans le cadre d’un rôle d’assistance à maitrise d’ouvrage, des missions de maintenance, développement des applicatifs nécessaires au fonctionnement du site et de sécurité du site et du système d’information de l’État. À cet égard, une procédure est mise en œuvre pour que la DSN accède aux informations sur demande écrite en cas de nécessité technique.

En ce qui concerne les prestataires, la Commission rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée, les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de service. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.

La Commission relève par ailleurs que les personnes concernées disposent d’un accès à leur propre compte.

Elle considère enfin que ces accès sont justifiés.

VI.   Sur les interconnexions

Le présent traitement fait l’objet d’interconnexions avec les traitements suivants :

-  « gestion du compte permettant aux usagers d’entreprendre des démarches par téléservices », légalement mis en œuvre ;

-  « gérer les habilitations des agents et fonctionnaires de l’État aux téléservices contenus dans le « Guichet Virtuel » », légalement mis en œuvre.

Lesdits traitements ont pour vocation de permettre l’accès sécurisé des usagers à la démarche et de gérer les habilitations des personnels de l’État, dans le respect des cadres fixés dans les délibérations y relatives de la Commission portant avis favorables à leur mise en œuvre.

La Commission relève également que le traitement est interconnecté avec les messageries professionnelles du Gouvernement pour notamment permettre les échanges entre l’Administration et les administrés.

Elle considère que ces interconnexions sont conformes aux exigences légales.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.

Cependant, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

La Commission rappelle en outre qu’il doit être mis fin à l’utilisation du reCAPTCHA Google, qui implique des transferts de données vers les États-Unis, pays ne disposant pas d’une législation présentant un niveau adéquat en matière de protection des informations nominatives. Elle prend acte des précisions du Gouvernement qu’il est en train d’opérer sur les systèmes des téléservices un changement de solution présentant des garanties en la matière. Elle analysera cette dernière lors de son déploiement.

La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Les données sont conservées 5 ans à compter de la fin de l’instruction de la demande, excepté les données d’identification électronique, les informations temporelles et les données de connexion qui sont effacées au bout d’un an.

La Commission relève que ces délais sont conformes aux exigences légales.

Après en avoir délibéré, la Commission :

Constate que le présent traitement annule et remplace le traitement automatisé d’informations nominatives ayant pour finalité « Détacher un salarié à Monaco pour une durée inférieure à 3 mois » ayant reçu avis favorable par la délibération n° 2020‑40 du 19 février 2020 ;

Rappelle que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

Considère qu’une procédure relative au droit d’accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations.

Sous le bénéfice de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, du traitement automatisé d’informations nominatives ayant pour finalité « Détacher un salarié à Monaco pour une durée inférieure à 3 mois » du Service de l’Emploi.

Le Président de la Commission de Contrôle des Informations Nominatives.

Visualiser le journal
au format PDF 1,49 MB
Télécharger le journal
au format PDF 1,49 MB
Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14