icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2022-11 du 19 janvier 2022 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion du courrier entrant/sortant de la SMEG et de la SMA » présenté par la Société Monégasque d'Électricité et du Gaz (SMEG).

  • N° journal 8576
  • Date de publication 04/02/2022
  • Qualité 100%
  • N° de page

Vu la Constitution ;

Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993 modifiée, relative à la protection des informations nominatives ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993 modifiée, susvisée ;

Vu l’Ordonnance Souveraine n° 2.578 du 13 janvier 2010 approuvant le traité de concession de la SMEG ;

Vu le Traité de Concession du service public de l’électricité et du gaz conclu entre la Principauté de Monaco et la SMEG entré en vigueur, le 1er janvier 2009 accompagné de ses annexes et cahier des charges ;

Vu la demande d’avis déposée par la Société Monégasque d’Électricité et du Gaz, le 7 octobre 2021, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Gestion du courrier entrant/sortant » ;

Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 3 décembre 2021, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 19 janvier 2022 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

La Société Monégasque de l’Électricité et du Gaz (SMEG) est une société anonyme en charge de l’exploitation du service public de la distribution de l’électricité et du gaz, en application d’un traité de concession conclu avec la Principauté de Monaco, lequel est entré en vigueur le 1er janvier 2009.

Afin d’optimiser la gestion de ses courriers entrants et sortants et ceux de sa filiale, la Société Monégasque d’Assainissement (SMA), la SMEG souhaite mettre en œuvre un traitement automatisé permettant de dématérialiser et de centraliser l’ensemble des échanges de ces sociétés.

Ainsi, le traitement automatisé d’informations nominatives y afférent est soumis à l’avis de la Commission, conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.

I. Sur la finalité et les fonctionnalités du traitement

Ce traitement a pour finalité « Gestion du courrier entrant / sortant ».

Il concerne les expéditeurs et destinataires internes et externes des courriers de la SMEG et de la SMA.

Les fonctionnalités associées au présent traitement sont :

-  créer des comptes utilisateurs et paramétrer des droits et accès en fonction de la catégorie à laquelle appartient l’utilisateur ;

-  indexer un courrier entrant après sa numérisation ;

-  enregistrer un courrier sortant (réponse, courrier sortant spontané) ;

-  lier les échanges entre eux ;

-  classer des courriers par projet ;

-  utiliser des modèles de documents pour les courriers sortants ;

-  gérer la confidentialité d’un courrier ;

-  gérer le circuit de distribution d’un courrier (attribution, diffusion pour information) ;

-  demander un visa (validation) pour un courrier ;

-  demander une contribution pour un courrier ;

-  gérer les rappels automatiques en cas de réponse et paramétrer le délai ;

-  chercher sur toutes les métadonnées du courrier ;

-  produire des indicateurs (courriers en retard de réponse, etc.) ;

-  administrer des listes de référence (types de courriers, Autorité concernée, type de contacts, etc.).

La Commission rappelle que tout traitement d’informations nominatives doit avoir une finalité « déterminée, explicite et légitime » aux termes de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.

En l’espèce, la finalité du présent traitement doit être plus explicite c’est-à-dire être davantage précise en indiquant que le présent traitement concerne à la fois la SMEG et la SMA.

Par conséquent, elle modifie la finalité comme suit : « Gestion du courrier entrant / sortant de la SMEG et de la SMA ».

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le traitement est justifié par la réalisation d’un intérêt légitime qui ne méconnaît, ni l’intérêt, ni les droits et libertés fondamentaux de la personne concernée.

Il précise par ailleurs que « ce traitement apporte plusieurs bénéfices :

-  Gain en efficacité et en temps dans la gestion du courrier ;

-  Centralisation des courriers entrants/sortants ;

-  Amélioration du suivi et des possibilités de recherche ;

-  Digitalisation de tout le processus de bout en bout ;

-  Amélioration de la gestion de la confidentialité ;

-  Optimisation du partage de document en interne et du travail collaboratif ;

-  Réduction interne de la consommation papier ;

-  Archivage numérique et suppression simplifiée des courriers au terme des délais de conservation ».

La Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165, modifiée.

III. Sur les informations traitées

Les informations nominatives exploitées aux fins du présent traitement sont :

-  identité : civilité, nom, prénom ou raison sociale de l’expéditeur ou du destinataire ;

-  adresse et coordonnées : adresse postale et/ou email de l’expéditeur ou du destinataire ;

-  vie professionnelle : fonction de la personne expéditeur ou destinataire ;

-  données d’identification électronique : identifiant et profil de l’utilisateur ;

-  informations temporelles et horodatage : données d’horodatage et logs de connexion de l’utilisateur ;

-  éléments et contenus des courriers et documents : numéro, objet et contenu du courrier.

En outre, la Commission prend acte de ce que des commentaires concernant l’intitulé du document numérisé peuvent être saisis.

Le responsable de traitement indique que les données ont pour origine l’expéditeur ou le destinataire des courriers, à l’exception des données d’identification électroniques et des informations temporelles qui sont issues du système.

La Commission considère que les informations ainsi collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.

IV.   Sur les droits des personnes concernées

  • Sur l’information préalable des personnes concernées

L’information préalable des personnes concernées est réalisée par le biais d’un document spécifique et d’une rubrique propre à la protection des données accessible en ligne.

Aucun élément n’ayant été joint au dossier, la Commission rappelle que la mention d’information doit contenir toutes les dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.

Elle rappelle de plus que toutes les personnes concernées par le présent traitement doivent bénéficier de cette information préalable.

  • Sur l’exercice du droit d’accès

Le droit d’accès s’exerce par voie postale, sur place ou par courrier électronique auprès de la SMEG.

À cet égard, la Commission rappelle que la réponse à un droit d’accès doit intervenir dans le mois suivant la réception de la demande.

Enfin, s’agissant de l’exercice du droit d’accès par voie électronique, la Commission considère qu’une procédure devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.

Sous cette réserve, elle constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.

V.    Sur les personnes ayant accès au traitement

Le responsable de traitement indique que les personnes ayant accès au traitement sont :

-  le Directeur Général de la SMEG et de la SMA ainsi que les assistantes de la Direction Générale : tous droits, sauf indexation du courrier ;

-  les gestionnaires du courrier SMEG/SMA : administration de la solution et indexation des courriers pour enregistrement ;

-  autres utilisateurs : droits de gestion des courriers qui leur sont attribués uniquement et de consultation des courriers qui leur sont diffusés uniquement ;

-  personnel de la Direction des Systèmes d’Information (DSI) ou tiers intervenant pour son compte : tout accès dans le cadre des missions d’assistance à maîtrise d’ouvrage, de maintenance, de développement des applicatifs nécessaires au fonctionnement et de sécurité de l’application : tous droits.

Considérant les attributions de chacune de ces personnes et, eu égard à la finalité du traitement, les accès susvisés sont justifiés.

En ce qui concerne les tiers intervenant pour le compte de la DSI, la Commission rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de service. De plus, ces derniers sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.

VI.   Sur les interconnexions

Le responsable de traitement indique que le présent traitement est interconnecté avec les traitements ayant pour finalités « Gestion de la messagerie professionnelle d’entreprise », « Gestion de l’identité et des authentifications au SI » et « Gestion et sécurisation des accès distants ».

Ces traitements n’ayant pas fait l’objet de formalité auprès de la CCIN, la Commission demande au responsable de traitement de les lui soumettre dans les plus brefs délais et rappelle que les interconnexions ne peuvent être effectuées qu’entre des traitements légalement mis en œuvre.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.

Cependant, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement, au regard des risques présentés par ce traitement et de la nature des données à protéger, devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Les informations sont conservées 5 ans, à l’exception des données d’identification électronique qui le sont, tant que l’utilisateur est en activité et les informations temporelles qui sont supprimées au bout d’un an.

La Commission considère que ces délais sont conformes aux exigences légales.

Après en avoir délibéré, la Commission :

Modifie la finalité du traitement comme suit : « Gestion du courrier entrant/sortant de la SMEG et de la SMA ».

Rappelle que :

-  l’information préalable doit impérativement être effectuée auprès de l’ensemble des personnes concernées et doit comporter l’intégralité des mentions prévues à l’article 14 de la loi n° 1.165 du 23 décembre 1993 ;

-  les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switch, routeurs, pares-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;

-  les interconnexions ne peuvent être effectuées qu’entre des traitements légalement mis en œuvre.

Considère qu’une procédure relative au droit d’accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations ;

Demande que les traitements « Gestion de la messagerie professionnelle de l’entreprise », « Gestion de l’identité et des authentifications au SI » et « Gestion et sécurisation des accès distants » soient formalisés, auprès d’elle, dans les meilleurs délais.

Sous le bénéfice de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par la Société Monégasque de l’Électricité et du Gaz, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion du courrier entrant/sortant de la SMEG et de la SMA ».

Le Président de la Commission de
Contrôle des Informations Nominatives.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14