Délibération n° 2022-10 du 19 janvier 2022 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion de la dématérialisation des bulletins de paie et autres documents RH » présenté par Monaco Telecom.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.383 du 2 août 2011 pour une Principauté numérique, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'arrêté ministériel n° 2019-1088 du 20 décembre 2019 relatif au bulletin de paie électronique ;
Vu le Contrat de Concession du Service Public des communications électroniques sur le territoire de la Principauté de Monaco du 26 septembre 2011 ;
Vu le Cahier des charges relatif à la Concession du Service Public des communications électroniques sur le territoire de la Principauté de Monaco, signé le 26 septembre 2011, annexé à l'Ordonnance Souveraine n° 3.560 du 6 décembre 2011 ;
Vu le Cahier des charges de l'Avenant à la Concession du Service Public des communications électroniques et ses annexes, annexés à l'Ordonnance Souveraine n° 6.186 du 12 décembre 2016 ;
Vu le Cahier des charges de l'Avenant n° 3 à la Convention de Concession du Service Public des Communications électroniques et ses annexes, annexés à l'Ordonnance Souveraine n° 8.654 du 10 mai 2021 ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la demande d'avis reçue de Monaco Telecom, le 4 octobre 2021, concernant la mise en œuvre d'un traitement automatisé ayant pour finalité « Gestion de la dématérialisation des bulletins de paie et autres documents RH » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement, le 3 décembre 2021, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 19 janvier 2022 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Monaco Telecom S.A.M. (MT) est une société concessionnaire d'un service public, immatriculée au RCI, sous le numéro 97 S 03277. Elle a notamment pour objet « d'assurer dans les relations intérieures et internationales, tous services de télécommunication. À ce titre, elle assure les activités d'opérateur public chargé de l'exploitation du service téléphonique de la Principauté de Monaco […] ».
MT souhaite proposer à ses salariés et à ceux de ses filiales des bulletins de paie et autres documents RH sous une forme dématérialisée. À cet effet, elle a conclu, auprès d'un prestataire de services de confiance, un contrat pour la mise à disposition de coffres-forts numériques.
Ainsi, le traitement automatisé d'informations nominatives y afférent est soumis à l'avis de la Commission, conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Ce traitement a pour finalité « Gestion de la dématérialisation des bulletins de paie et autres documents RH ».
Il concerne les salariés et apprentis du responsable de traitement et de ses filiales.
Les fonctionnalités du présent traitement sont :
- la signature de bulletins de paie électroniques et autres documents RH via une signature électronique et/ou un cachet électronique ;
- la distribution sécurisée des documents aux personnes concernées de la société ;
- la mise à disposition (privée et sécurisée) et la sauvegarde des documents dématérialisés dans un coffre-fort numérique « salarié » ;
- la sauvegarde des exemplaires de bulletins de paie et autres documents dématérialisés dans un coffre-fort numérique « employeur » ;
- garantir l'accessibilité des bulletins de paie, à tout moment, depuis un poste informatique, pendant toute la durée de conservation des bulletins ;
- l'archivage des documents dématérialisés jusqu'à leur suppression.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par le respect d'une obligation légale, par l'exécution d'un contrat et par la réalisation d'un intérêt légitime, sans que ne soient méconnus ni l'intérêt, ni les droits et libertés fondamentaux des personnes concernées.
Il expose que la dématérialisation des bulletins de paie est conforme à l'arrêté ministériel n° 2019-1088 du 20 décembre 2019 relatif au bulletin de paie électronique et à l'article 39 de la loi n° 1.482 du 17 décembre 2019.
La Commission relève que l'article 39 précité opère un renvoi à l'article 2 de la loi n° 638 du 11 janvier 1958 tendant à instituer le contrôle du paiement et de la déclaration des salaires. À cet égard, l'article 2 de la loi n° 638 dispose en son premier alinéa, qu'« [À] l'occasion du paiement du salaire, l'employeur ou le maître de maison doit remettre aux salariés une pièce justificative dite « bulletin de paie ». Sauf opposition du salarié, la remise du bulletin de paie peut être effectuée sous forme électronique, dans les conditions prévues aux articles 1163-3 et/ou 1163-4 du Code civil et fixées par arrêté ministériel ». En outre, le responsable de traitement a « l'obligation, en vertu des contrats de travail conclus, de fournir aux salariés, les documents liés à l'exécution des contrats, ainsi que d'en assurer leur disponibilité et leur sécurité ».
Le responsable de traitement indique, par ailleurs, que « le salarié est informé de la procédure de dématérialisation des bulletins de paie via une circulaire interne diffusée avec un guide pratique » et qu'« il a la possibilité de s'opposer à la dématérialisation de son bulletin de paie, à tout moment, conformément à l'arrêté ministériel n° 2019-1088 du 20 décembre 2019 relatif au bulletin de paie électronique. Dans le cas d'opposition, il recevra les documents dans la forme papier ».
Enfin, l'intérêt légitime est justifié par la volonté du responsable de traitement de simplifier les démarches et de mettre à disposition des salariés des coffres-forts numériques assurant la rapidité, la fiabilité, la sécurité et la disponibilité des documents.
La Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations nominatives traitées
Les informations nominatives traitées sont :
- Identité, situation de famille : nom et prénom du salarié ;
- Adresses et coordonnées : adresse email professionnelle du salarié ;
- Données d'identification électronique : identifiant pour la connexion au coffre-fort, mot de passe d'accès au coffre-fort, clé de chiffrement aux fins de récupérer le mot de passe perdu ;
- Informations temporelles : horodatage des actions liées aux documents mis à disposition dans les coffres-forts, horodatage lié à l'accès et à la connexion aux coffres-forts ;
- Autre : liste des personnes éligibles et ayant exprimé leur opposition à la dématérialisation du bulletin de paie.
Il ressort en outre de l'étude du dossier que les logs de connexion des salariés lors de l'accès à leur coffre-fort et de l'administrateur MT sont également collectés.
Les informations ont pour origine le salarié et/ou la Direction des Ressources Humaines, à l'exception de certaines données d'identification électronique qui proviennent du fournisseur de la solution. Les logs de connexion sont, quant à eux, issus du système.
Enfin, les informations temporelles sont générées par la plateforme du fournisseur de la solution.
La Commission considère que les informations ainsi collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
- Sur l'information préalable des personnes concernées
L'information préalable des personnes concernées s'effectue par le biais d'un document spécifique, d'une mention ou clause particulière intégrée dans un document remis à l'intéressé, d'une procédure interne accessible en intranet, d'une mention particulière intégrée dans un document d'ordre général accessible en ligne et d'un document remis à destination des salariés prenant la forme d'une circulaire explicative.
À l'analyse de la circulaire remise aux salariés, la Commission rappelle que celle-ci doit contenir une mention conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée. Elle rappelle également qu'il devra en être de même s'agissant des autres modes d'information renseignés par le responsable de traitement.
Sous ces conditions, la Commission considère que les modalités d'information préalable des personnes concernées sont conformes aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.
- Sur l'exercice du droit d'accès, de modification et de mise à jour
Le droit d'accès s'exerce sur place, par voie postale ou par courrier électronique auprès du Directeur des Ressources Humaines.
À cet égard, la Commission rappelle que la réponse à ce droit d'accès doit intervenir dans le mois suivant la réception de la demande.
Par ailleurs, s'agissant de l'exercice du droit d'accès par voie électronique, la Commission considère qu'une procédure devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations.
À ce titre, elle précise que si une copie d'un document d'identité était demandée, la transmission et le traitement de ce document devront faire l'objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d'identité officiels.
Sous ces réserves, elle constate que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
Le responsable de traitement indique que les personnes habilitées à avoir accès au traitement sont :
- les salariés (partie coffres-forts salariés) : droits de consultation et/ou de modification en fonction du document mis à disposition dans son coffre-fort ;
- administrateurs MT (partie coffre-fort employeur) (personnes dûment habilitées par la Direction des Ressources Humaines et par le Directeur Général) : droits d'inscription, de consultation et de modification ;
- prestataire (personnel habilité en charge de la mise en service et des développements du service) : maintenance ;
- tiers séquestre du fournisseur : accès à la clé de chiffrement en cas de disparition du fournisseur ;
- personnel habilité des ressources humaines de MT : droits de consultation et de modification dans le cadre de la procédure de récupération des mots de passe.
En ce qui concerne le prestataire, la Commission rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993, les droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de son contrat de prestation de service.
De plus, ledit prestataire est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
Sous cette réserve, la Commission considère que ces accès sont justifiés.
VI. Sur les rapprochements et interconnexions
Le responsable de traitement indique que le présent traitement fait l'objet d'un rapprochement avec le traitement « Gestion des ressources humaines hors paie de MT, MTI, MTS », légalement mis en œuvre.
Il est également interconnecté avec les traitements « Gestion de paie » et « Gestion administrative des salariés », légalement mis en œuvre.
En outre, à l'analyse du dossier, il appert une interconnexion avec le système de messagerie légalement mis en œuvre.
La Commission relève que ces interconnexions et ce rapprochement sont conformes aux exigences légales.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation particulière.
Cependant, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
La Commission rappelle en outre que, conformément à l'article 17 de la loi n° 1.165 modifiée, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement, au regard des risques présentés par ce traitement et de la nature des données à protéger, devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII. Sur la durée de conservation
Le responsable de traitement indique que l'ensemble des informations sont conservées le temps de la relation contractuelle avec le salarié augmentée d'un mois.
La Commission souligne qu'en fixant cette durée à un mois après la fin de la relation contractuelle, la disponibilité du bulletin de paie n'est pas garantie pendant 5 ans à compter de son émission.
Elle rappelle en effet qu'aux termes de l'article 6 de l'arrêté ministériel n° 2019-160 du 20 décembre 2019 relatif au bulletin de paie par voie électronique « L'employeur garantit la disponibilité du bulletin de paie électronique pendant une durée de cinq ans à compter de son émission ».
Partant, elle fixe la durée minimum de conservation des bulletins de paie électroniques à 5 ans à compter de leur émission.
En outre, la Commission estime que la durée de conservation des informations temporelles, le temps de la relation contractuelle avec le salarié augmenté d'un mois, est trop longue et la fixe donc à 3 ans glissants, considérant la nature spécifique des documents contenus dans ces coffres numériques.
Après en avoir délibéré, la Commission :
Considère qu'une procédure relative au droit d'accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations.
Rappelle que :
- l'information des personnes concernées doit être conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée ;
- la réponse à un droit d'accès doit intervenir dans le mois suivant la réception de la demande ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switch, routeurs, pares-feux), ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Fixe :
- la durée minimum de conservation des bulletins de paie dématérialisés des salariés à 5 ans à compter de leur émission ;
- la durée de conservation des informations temporelles à 3 ans glissants.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par Monaco Telecom, du traitement automatisé d'informations nominatives ayant pour finalité « Gestion de la dématérialisation des bulletins de paie et autres documents RH ».
Le Président de la Commission de Contrôle des Informations Nominatives.