icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2022-120 du 21 septembre 2022 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion dynamique des horaires, des congés, des présences et des absences du Conseil National » présenté par le Président du Conseil National.

  • N° journal 8615
  • Date de publication 04/11/2022
  • Qualité 100%
  • N° de page

Vu la Constitution ;

Vu la Convention de sauvegarde des Droits de l’Homme et des Libertés fondamentales du Conseil de l’Europe du 4 novembre 1950, et notamment son article 10 ;

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 et son protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu la loi n° 771 du 25 juillet 1964 sur l’organisation et le fonctionnement du Conseil National, modifiée ;

Vu la loi n° 975 du 12 juillet 1975 portant statut des fonctionnaires de l’État, modifiée ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;

Vu la demande d’avis déposée par le Président du Conseil National le 7 juin 2022 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Gestion dynamique des horaires, des congés, des présences et des absences du Conseil National » ;

Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 4 août 2022, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 21 septembre 2022 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

Le Conseil National est une Institution publique consacrée par la Constitution, ainsi que par la loi n° 771 du 25 juillet 1964, susvisée.

Ses Services relèvent de l’autorité hiérarchique du Président du Conseil National, dont le fonctionnement est défini par un Règlement Intérieur soumis au contrôle du Tribunal Suprême.

Ainsi, le Conseil National revêt le statut d’Autorité publique au sens de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives.

Afin de se conformer aux usages de la fonction publique, « le Président du Conseil National a accepté la mise en place d’une badgeuse, afin d’automatiser la gestion de la présence au sein de l’Institution et du temps de travail, des fonctionnaires et des agents de l’État, qui sont soumis à des contraintes horaires variées selon les pôles et leur missions respectives ».

Ce système permet également de connaître le nombre de personnes dans le bâtiment à un instant précis en cas d’incident.

Ledit traitement, objet de la présente délibération, est donc soumis à l’avis de la Commission conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée.

I. Sur la finalité et les fonctionnalités du traitement

Le traitement a pour finalité « Gestion dynamique des horaires, des congés, des présences et des absences du Conseil National ».

Les personnes concernées sont les fonctionnaires, les agents de l’État, les élus, les attachés parlementaires, les prestataires et les visiteurs.

Enfin, les fonctionnalités de ce traitement sont les suivantes :

  • Pour les fonctionnaires et agents de l’État uniquement :

-  enregistrer les pointages des personnes concernées en arrivée et en départ sur site ;

-  enregistrer les pauses déjeuner des personnes concernées sur site ;

-  gérer a posteriori les demandes de correctifs de pointage ;

-  calculer le temps de travail effectif permettant de comptabiliser les heures supplémentaires ;

-  gérer les demandes de congés et leurs validations par les supérieurs hiérarchiques ;

-  proposer une lisibilité globale des absences à venir, afin de permettre la bonne organisation des services, des réunions, des Commissions et des missions ;

-  récolter des éléments de preuves en cas d’infractions à la Loi, de litiges ou d’accidents du travail ;

-  produire des statistiques globales et par pôle d’activité nécessaire à l’établissement des rapports d’activité des services.

  • Pour l’ensemble des personnes concernées :

-  connaître le nombre de personnes dans le bâtiment à un moment précis en cas d’incident.

Au vu de ce qui précède, la Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le traitement est tout d’abord justifié par l’exécution d’un contrat ou de mesures pré-contractuelles avec la personne concernées, « conformément à l’article 30 de la loi n° 975 du 12 juillet 1975 portant statut des fonctionnaires de l’État, modifiée, ainsi qu’une obligation contractuelle pour les Agents de l’État conformément à leur contrat d’engagement ».

À cet égard, il précise que le traitement dont s’agit va permettre « de s’assurer que toutes les personnes qui travaillent au Conseil National remplissent leurs obligations contractuelles horaire, selon leurs statuts, leurs missions et leurs responsabilités » et d’« introduire une flexibilité horaire dans les plages horaires travaillées, et une reconnaissance des horaires travaillés supplémentaires ».

Le responsable de traitement indique par ailleurs que le traitement est justifié par « la réalisation d’un intérêt légitime poursuivi [par lui et qui] ne méconnaît ni l’intérêt, ni les droits et libertés fondamentaux de la personne concernée ».

La Commission constate ainsi que le traitement permet « de savoir si les personnes sont présentes dans le bâtiment pour des raisons de sécurité notamment en cas d’incident » afin d’informer les services des pompiers et la Direction de la Sûreté Publique.

Au vu de ce qui précède, elle considère donc que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.

III. Sur les informations traitées

Les informations traitées sont les suivantes :

  • Pour les utilisateurs :

-  identité : nom, prénom, matricule ;

-  vie professionnelle : groupe (service d’appartenance), contrats (type, début et fin), date de la demande de congés, date de la réponse, dates et motifs d’absence (ex : congés payés, congés exceptionnels) ;

-  informations temporelles : date et heure de début de pointage, date et heure de fin de pointage, cause de la modification du pointage a posteriori ;

-  données d’identification : code du badge, numéro du badge, date de délivrance, date de validité/d’expiration ;

-  logs des lecteurs ou logs de connexion à l’application en cas de pointage en ligne : données d’horodatage, numéro de badge, identification des lecteurs.

La Commission prend acte que « Concernant les élus, les attachés parlementaires et les visiteurs, le système de pointage ne retient que l’information de la présence des personnes dans le bâtiment et non les horaires effectués » car « Il s’agit d’une obligation de sécurité, afin de pouvoir déclarer précisément le nombre de personnes présentes dans le bâtiment en cas d’incident ».

Elle note également que « Les visiteurs ne sont pas identifiés par leur nom et prénom, mais par une mention liée à la personne visitée ».

La Commission considère toutefois qu’est également collecté le nombre de badges non nominatifs distribués afin de connaître le nombre de personnes présentes dans le bâtiment.

  • Pour les gestionnaires de l’application :

-  identité : nom, prénom, matricule  ;

-  données d’identification électronique : login et mot de passe ;

-  logs des lecteurs : données d’horodatage, numéro de badge, identification des lecteurs ;

-  logs des référents validateurs : données d’horodatage, identification du référent.

Les informations relatives à l’identité ont pour origine le fichier RH pour les utilisateurs et le Secrétaire Général pour les gestionnaires de l’application.

Les informations relatives à la vie professionnelle des utilisateurs ont pour origine l’utilisateur, le gestionnaire du service, le supérieur hiérarchique et le Secrétaire Général.

Les informations temporelles des utilisateurs ont pour origine le système de pointage ou les utilisateurs en cas de modifications ultérieures.

Les données d’identification des utilisateurs ont pour origine le Secrétaire Général et le gestionnaire du système de pointage.

Les logs des lecteurs ou logs de connexion à l’application en cas de pointage en ligne pour les utilisateurs ont pour origine le système de pointage.

Enfin, les données d’identification électronique, les logs des lecteurs et les logs des référents validateurs pour les gestionnaires de l’application ont pour origine le responsable informatique.

La Commission considère ainsi que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.

IV.   Sur les droits des personnes concernées

  • Sur l’information préalable des personnes concernées

Le responsable de traitement indique que l’information préalable des personnes concernées est effectuée par le biais de « La charte informatique du Conseil National ».

À la lecture de ce document, la Commission constate que celui-ci est conforme aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993.

Elle note par ailleurs que les visiteurs ne sont pas concernés par ces modalités d’informations car aucune donnée nominative n’est collectée à leur égard.

  • Sur l’exercice du droit d’accès

Le responsable de traitement indique que le droit d’accès s’exerce par courrier électronique auprès du Secrétaire Général du Conseil National ainsi que pour les fonctionnaires et agents de l’État par le bais de l’interface du logiciel de gestion du système de badgeuse.

À cet égard, la Commission rappelle que la réponse à ce droit d’accès doit intervenir dans le mois suivant la réception de la demande.

S’agissant de l’exercice du droit d’accès par voie électronique, la Commission considère qu’une procédure devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.

Sous ces conditions, la Commission considère que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.

V. Sur les destinataires et les personnes ayant accès au traitement

  • Sur les destinataires

Le responsable de traitement indique que les informations concernant les utilisateurs, à l’exception des informations temporelles, sont susceptibles d’être communiquées aux services administratifs compétents, à savoir le Service des Prestations Médicales de l’État, l’Office de Médecine du Travail, la Direction des Ressources Humaines, de la Formation et de la Fonction Publique et la Direction du Budget et du Trésor.

Il précise également que « Les services fiscaux français ou monégasque peuvent être destinataires d’une attestation produite par la Direction des Ressources Humaines, de la Formation et de la Fonction Publique ou la Direction du Budget et du Trésor, uniquement pour les fonctionnaires ou les agents concernés ». La Commission souligne que ces attestations seront transmises par les personnes concernées, ou à leur demande.

Enfin, le responsable de traitement indique que les informations liées au pointage de l’ensemble des personnes concernées ainsi que les informations des gestionnaires de l’application sont susceptibles d’être communiquées aux Autorités judiciaires dans le cadre de leurs missions légalement conférées.

La Commission estime ainsi que la communication à la Direction de la Sûreté Publique peut être justifiée par les besoins d’une enquête judiciaire. À cet égard, elle rappelle qu’en cas de transmission, ladite direction ne pourra avoir accès aux informations objet du traitement, que dans le strict cadre de ses missions légalement conférées.

Sous ces conditions, la Commission considère que de telles transmissions sont conformes aux exigences légales.

  • Sur les personnes ayant accès au traitement

Les personnes habilitées à avoir accès au traitement sont :

-  les utilisateurs (fonctionnaires et agents de l’État) : suivi de leurs pointage, demande d’absences (récupérations, congés et heures supplémentaires) ;

-  les valideurs (le président du Conseil National, le Chef de Cabinet, le Secrétaire Général et ses adjoints ainsi que les responsables des pôles dûment identifiés en leur qualité de gestionnaire des ressources humaines) : validation des demandes d’absences, correction de données et vérification en cas de litige uniquement sur les personnes qui sont sous leur autorité ;

-  le responsable informatique et ses adjoints :

   • en leur qualité de responsable du système informatique : maintenance des serveurs, configuration des réseaux, sauvegarde des données, extraction des logs, mise à jour des licences et investigation des incidents ;

   • en leur qualité de gestionnaire de l’application : enregistrement des utilisateurs, configuration des horaires, création des groupes en fonction des services, association des badges et des utilisateurs ;

-  le prestataire des dispositifs de pointage : installation, contrôle et maintenance du matériel spécifique à l’application (sous la surveillance du responsable de traitement ou d’un de ses adjoints) ;

-  le Groupe incendie (responsable du bâtiment, appariteurs et référents incendie désignés à chaque étage du bâtiment) : consultation de la liste des personnes présentes dans le bâtiment.

Considérant les attributions de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.

En ce qui concerne le prestataire, la Commission rappelle toutefois que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service. De plus, ledit prestataire est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.

VI.   Sur les rapprochements et les interconnexions

Le responsable de traitement indique que le présent traitement est interconnecté avec le traitement ayant pour finalité « Gestion des habilitations au système informatique du Conseil National », légalement mis en œuvre.

Il indique également que le traitement est interconnecté avec trois autres traitements liés respectivement au fichier des Ressources Humaines, au contrôle des accès et au fichier des Conseillers Nationaux en cours de mandats, qui doivent être soumis à la CCIN dans les meilleurs délais.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observations particulières.

La Commission rappelle que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur les durées de conservation

Le responsable de traitement indique que les informations relatives à l’identité ainsi que les données d’identification électronique des utilisateurs et des gestionnaires de l’application sont conservées le temps de la durée de l’affectation.

Toutes les autres données sont conservées un an après l’année écoulée.

Constatant que le présent traitement est notamment utilisé afin de comptabiliser les heures supplémentaires des Fonctionnaires et Agents, la Commission considère que ces durées sont conformes aux exigences légales.

Après en avoir délibéré, la Commission :

Considère qu’une procédure relative au droit d’accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations.

Rappelle que :

-  la réponse à un droit d’accès doit intervenir dans le mois suivant la réception de la demande ;

-  la Direction de la Sûreté Publique ne peut avoir accès aux informations objet du traitement que dans le strict cadre de ses missions légalement conférées ;

-  les traitements liés respectivement au fichier des Ressources Humaines, au contrôle des accès et au fichier des Conseillers Nationaux en cours de mandat doivent lui être soumis dans les meilleurs délais.

À la condition de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Président du Conseil National, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion dynamique des horaires, des congés, des présences et des absences du Conseil National ».

Le Président de la Commission de Contrôle des Informations Nominatives.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14