icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails
Voir le site en Anglais
MENU
Français | Anglais
  • Avis et Communiqués
  • Déliberations-Décisions CCIN

Délibération n° 2022-9 du 19 janvier 2022 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des notes de frais des collaborateurs de la SMEG et de la SMA » présenté par la Société Monégasque de l'Électricité et du Gaz (SMEG).

  • N° journal 8576
  • Date de publication 04/02/2022
  • Qualité 100%
  • N° de page

Vu la Constitution ;

Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu la loi n° 1.383 du 2 août 2011 pour une Principauté numérique, modifiée ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;

Vu l’Ordonnance Souveraine n° 2.578 du 13 janvier 2010 approuvant le traité de concession de la SMEG, ainsi que ses annexes et cahiers des charges ;

Vu l’arrêté ministériel n° 2010-638 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée ;

Vu le Traité de Concession de service public de l’électricité et du gaz conclu entre la Principauté de Monaco et la SMEG, et entré en vigueur le 1er janvier 2009, accompagné de ses annexes et cahiers des charges ;

Vu la demande d’avis déposée par la SMEG, le 7 octobre 2021, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Gestion des notes de frais des collaborateurs » ;

Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 3 décembre 2021, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 19 janvier 2022 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

La Société Monégasque de l’Électricité et du Gaz (SMEG) est une société anonyme en charge de l’exploitation du service public de la distribution de l’électricité et du gaz, en application du traité de concession conclu entre la SMEG et la Principauté de Monaco, et entré en vigueur le 1er janvier 2009.

Elle souhaite se doter d’un outil lui permettant de « rationaliser la gestion des frais des collaborateurs SMEG et SMA amenés à avancer des frais dont tout ou partie leur sont remboursés par la société, en dématérialisant et centralisant les demandes de remboursement ».

Conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993, la mise en œuvre du traitement y afférent est soumise à l’avis préalable de la Commission de Contrôle des Informations Nominatives.

I. Sur la finalité et les fonctionnalités du traitement

Le présent traitement a pour finalité « Gestion des notes de frais des collaborateurs ».

Il concerne les personnes impliquées dans le processus d’approbation et les collaborateurs de la SMEG et de sa filiale la SMA devant déposer une note de frais.

Les fonctionnalités sont :

-  déposer ses demandes de remboursement de dépense avec OCR du ticket pris en photographie ou scanné ;

-  récupérer automatiquement les transactions des cartes affaires ;

-  paramétrer les barèmes, les forfaits, les types de dépense … ;

-  valider les demandes selon un workflow prédéfini ;

-  renseigner un véhicule de déplacement et déposer des dépenses de trajet

-  générer le fichier des écritures comptables correspondantes.

La Commission rappelle que tout traitement d’informations nominatives doit avoir une finalité « déterminée, explicite et légitime » aux termes de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.

En l’espèce, la finalité du présent traitement doit être plus explicite c’est-à-dire être davantage précise en indiquant que le présent traitement concerne à la fois la SMEG et la SMA.

Par conséquent, elle modifie la finalité comme suit : « Gestion des notes de frais des collaborateurs de la SMEG et de la SMA ».

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le présent traitement est justifié par la réalisation d’un intérêt légitime qui ne méconnait ni l’intérêt, ni les droits et libertés fondamentaux des personnes concernées.

À cet égard, le responsable de traitement indique que cet outil lui apporte des gains de temps de traitement qui lui bénéficie, ainsi qu’aux collaborateurs devant obtenir des remboursements, mais également une meilleure qualité de suivi et de conservation des remboursements et une réduction de consommation de papier.

Il précise également appliquer la facilitation des usages numériques offerte par l’article 54 de la loi n° 1.383 pour une Principauté numérique qui dispose que « L’établissement, la conservation et la transmission des documents et pièces justificatives de toute nature, dans le cadre budgétaire et comptable peuvent être effectués sous forme dématérialisée dans le respect des dispositions législatives et réglementaires en matière d’écrit électronique et/ou de copie numérique ».

La Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.

III. Sur les informations traitées

Les informations nominatives traitées sont :

-  identité : nom, prénom, matricule ;

-  adresse et coordonnées : adresse email ;

-  caractéristiques financières : numéro de la carte affaire ;

-  document permettant le calcul d’indemnités kilométriques ; scan de la carte grise du véhicule ;

-  données d’identification électronique : identifiant (adresse email) et profil de l’utilisateur ;

-  informations temporelles : horodatages : données d’horodatage, log de connexion de l’utilisateur ;

-  dépense : date de la dépense, vendeur, catégorie de la dépense, pays, montant, adresse de départ et destination (pour les frais kilométriques), société concernée, axe analytique concerné.

Les dépenses sont saisies par la personne concernée tandis que les autres informations sont produites par le système ou récupérées par le biais des interconnexions exposées au point dédié de la présente délibération.

En outre, la Commission constate que le traitement s’opère par le biais d’un applicatif web et d’une application mobile.

En l’absence de précision sur la politique cookie appliquée, elle rappelle d’une part qu’à l’exception des cookies strictement nécessaires au fonctionnement du service, les autres cookies doivent obtenir le consentement préalable des personnes concernées avant d’être déposés sur leur terminal.

D’autre part, si le dépôt de cookie devait entraîner des communications d’informations nominatives vers un pays n’offrant pas un niveau de protection adéquat, il appartient au préalable au responsable de traitement de demander avant tout transfert l’autorisation de la Commission.

Sous cette réserve, la Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.

IV.   Sur les droits des personnes concernées

  • Sur l’information préalable des personnes concernées

L’information préalable des personnes concernées est réalisée par le biais d’un document spécifique.

Le document n’étant pas joint au dossier, la Commission rappelle que la mention d’information doit être conforme aux dispositions de l’article 14 de la loi n° 1.165, modifiée, et que toutes les personnes concernées par le présent traitement doivent bénéficier de cette information préalable.

  • Sur l’exercice du droit d’accès, de modification et de mise à jour

Le droit d’accès est exercé par voie postale, courrier électronique ou sur place auprès de la Direction Financière de la SMEG.

À cet égard, la Commission rappelle que la réponse à ce droit d’accès doit s’exercer dans le mois suivant la réception de la demande.

S’agissant de l’exercice du droit d’accès par voie électronique, la Commission considère qu’une procédure devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.

La Commission constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.

V. Sur les destinataires et les personnes ayant accès au traitement

La Commission constate qu’il n’y a pas de destinataires des informations objets du présent traitement.

Les accès sont définis comme suit :

-  personnel de la Direction des Systèmes d’Information ou tiers intervenant pour son compte : tout accès dans le cadre des missions d’assistance à maîtrise d’ouvrage, de maintenance, développement des applicatifs nécessaires au fonctionnement, sécurité de l’application : tous droits ;

-  personnel de la Direction Financière qui gère ces notes et leur remboursement mais qui gère aussi le paramétrage de la solution ;

-  collaborateurs SMEG/SMA qui accèdent à leurs propres informations et déposent leur demande de remboursement ainsi que leur manager qui doivent valider leurs demandes ;

-  personnel de la DRH qui valide les dépenses liées aux formations.

En ce qui concerne les tiers intervenant pour le compte de la DSI, la Commission rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de service. De plus, ces derniers sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.

La Commission considère que ces accès sont justifiés.

VI.   Sur les rapprochements et les interconnexions

Le présent traitement fait l’objet d’un rapprochement et d’une interconnexion avec deux traitements n’ayant pas encore été soumis à formalité auprès de la Commission et ayant pour finalités :

-  « Gestion financière de la chaîne logistique », afin que les écritures comptables correspondant aux notes de frais issues du logiciel soient envoyées à l’ERP par le bais d’un fichier préformaté ;

-  « Gestion de l’identité et des authentifications au SI », afin de permettre aux utilisateurs de se connecter au traitement via le compte créé dans le système d’habilitation.

La Commission relève que le responsable de traitement indique devoir soumettre lesdits traitements à la CCIN, qui demande que cela soit effectué dans les meilleurs délais.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.

La Commission rappelle néanmoins que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Les informations sont conservées :

-  pendant la durée d’activité de la personne concernée relativement aux informations d’identité, d’adresses mail, de caractéristiques financières et de données d’identification électronique. C’est également le cas de la carte grise du véhicule qui peut cependant être supprimée ou remplacée à tout moment par la personne concernée ;

-  1 an pour les données temporelles ;

-  5 ans pour les dépenses.

La Commission considère que ces durées sont conformes aux exigences légales.

Après en avoir délibéré, la Commission :

Modifie la finalité du traitement comme suit : « Gestion des notes de frais des collaborateurs de la SMEG et de la SMA ».

Rappelle que :

-  l’information préalable doit impérativement être effectuée auprès de l’ensemble des personnes concernées et doit comporter l’intégralité des mentions prévues à l’article 14 de la loi n° 1.165 du 23 décembre 1993 ;

-  les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;

-  le dépôt sur le terminal de la personne concernée de cookies non strictement nécessaires au fonctionnement du service doit être subordonné à l’obtention du consentement de celle-ci ;

-  tout transfert d’informations nominatives vers un pays ne disposant pas d’une législation offrant un niveau de protection adéquat par le biais de cookies doit être préalablement autorisé par la Commission.

Demande que  les traitements ayant pour finalités « Gestion financière de la chaîne logistique » et « Gestion de l’identité et des authentifications au SI » lui soient soumis dans les meilleurs délais.

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par la Société de l’Électricité et du Gaz du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des notes de frais des collaborateurs de la SMEG et de la SMA ».

Le Président de la Commission de
Contrôle des Informations Nominatives.

Visualiser le journal
au format PDF 1,95 MB
Télécharger le journal
au format PDF 1,95 MB
Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14