Délibération n° 2023-17 du 15 février 2023 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion de la messagerie professionnelle d'entreprise » présenté par la Société Monégasque de l'Électricité et du Gaz (SMEG).
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’Ordonnance Souveraine n°2.578 du 13 janvier 2010 approuvant le traité de concession de la SMEG ;
Vu le traité de concession de service public de l’électricité et du gaz conclu entre la Principauté de Monaco et la SMEG entré en vigueur le 1er janvier 2009, accompagné de ses annexes et cahier des charges ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la demande d’avis déposée par la Société Monégasque de l’Électricité et du Gaz (SMEG) le 24 novembre 2022 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Gestion de la messagerie professionnelle d’entreprise » ;
Vu la prorogation du délai d’examen de ladite demande d’avis notifiée au responsable de traitement le 23 janvier 2023, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 15 février 2023 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Société Monégasque de l’Électricité et du Gaz (SMEG) est une société anonyme en charge de l’exploitation du service public de la distribution de l’électricité et du gaz, en application d’un traité de concession conclu avec la Principauté de Monaco, lequel est entré en vigueur le 1er janvier 2009.
Dans le cadre de l’exercice de leurs fonctions, les salariés de cet organisme disposent d’une messagerie professionnelle.
Ainsi, le traitement d’informations nominatives objet de la présente délibération est soumis à l’avis de la Commission conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Ce traitement a pour finalité « Gestion de la messagerie professionnelle d’entreprise ».
Les personnes concernées sont les salariés de la SMEG, de SMEG DEV, et de la Société Monégasque d’Assainissement (SMA), les clients, les prestataires et tous expéditeurs et destinataires des communications électroniques échangées par le biais de la messagerie professionnelle.
Enfin, les fonctionnalités sont les suivantes :
- échanger des messages électroniques en interne ou avec l’extérieur ;
- historiser les messages électroniques entrants et sortants ;
- gérer ses contacts de la messagerie électronique ;
- gérer des dossiers de la messagerie et des messages archivés ;
- gérer ses évènements, tâches dans l’agenda (calendrier) ;
- gérer les listes de distribution ;
- établissement de preuves en cas de litiges.
Concernant l’agenda, la Commission prend acte des précisions du responsable de traitement selon lesquelles il est possible de rendre « privé » des évènements pour ne pas que ceux-ci soient visibles par les personnes avec qui l’utilisateur aurait partagé ledit agenda.
Elle constate ainsi que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le traitement dont s’agit est justifié par « la réalisation d’un intérêt légitime poursuivi [par lui et qui] ne méconnait ni l’intérêt, ni les droits et libertés fondamentaux de la personne concernée ».
La Commission constate ainsi que le traitement permet « de fournir à l’ensemble des salariés un moyen de communication simple et efficace dans le cadre de leur activité professionnelle pour échanger entre eux et avec l’extérieur » et que « La messagerie électronique apparaît aujourd’hui comme un outil indispensable au bon fonctionnement de la société et optimise l’accomplissement des missions de travail des salariés ».
Le responsable de traitement précise que « Le traitement n’est pas utilisé à des fins de contrôle de l’activité des salariés » et que « Hors incident de sécurité (dysfonctionnement, fuite d’informations,..), les messages professionnels émis ou reçus par le biais de la messagerie ne sont pas consultables, sauf par le responsable hiérarchique concerné et la Direction Générale ».
Enfin, la Commission relève que les droits des salariés sont respectés et que « Le responsable de traitement ne peut pas accéder aux contenus des messages des salariés, identifiés comme personnels, envoyés ou reçus à partir de la messagerie professionnelle, en dehors d’un accord du salarié ou d’une réquisition judiciaire ».
Elle considère donc que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations nominatives traitées
Le responsable de traitement indique que les informations nominatives traitées sont :
- identité : titre, nom, prénom et photo (optionnel) de l’utilisateur ;
- adresses et coordonnées : numéro(s) de téléphone, expéditeur, carnets d’adresses, agenda (optionnel) ;
- formation, diplômes, vie professionnelle : poste, service, entreprise, hiérarchie, « à propos », centres d’intérêt (optionnel) ;
- messages : type de contenu, objet, dossier de classement, date et heure d’envoi ou de réception, nombre de messages entrants et sortants, de messages nettoyés, de spams, volume, format, pièces jointes, noms de domaine expéditeur de message et contenu (optionnel) ;
- consommation de biens et services, habitudes de vie : tâche(s) affectée(s), calendrier de réalisation (optionnel), date, lieu, heure, évènement, durée, notes dans le calendrier (optionnel) ;
- données d’identification électronique : adresse email et mot de passe ;
- informations temporelles : données d’horodatage, logs des connexions de l’utilisateur (date et heure, OS, navigateur et version de l’appareil utilisé, adresse IP).
Les informations relatives à l’identité ont pour origine le traitement ayant pour finalité « Gestion des Ressources Humaines ».
Les informations relatives à la formation, aux diplômes et à la vie professionnelle ont pour origine le traitement ayant pour finalité « Gestion des Ressources Humaines » et le salarié lui-même.
Les adresses et coordonnées ainsi que les informations relatives à la consommation de biens et services, habitudes de vie ont pour origine le salarié.
Les messages ont pour origine le salarié et le système.
Les données d’identification électronique ont pour origine le système d’habilitations.
Enfin, les informations temporelles ont pour origine le système.
La Commission considère ainsi que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
- Sur l’information préalable des personnes concernées
L’information préalable des personnes concernées est effectuée par le biais d’un document spécifique et d’une mention d’information sur tous emails adressés à des tiers à l’organisation.
L’ensemble de ces documents n’ayant pas été joint à la demande, la Commission rappelle que ceux-ci doivent impérativement comporter l’ensemble des mentions prévues à l’article 14 de la loi n° 1.165 du 23 décembre 1993.
- Sur l’exercice du droit d’accès, de modification et de mise à jour
Le responsable de traitement indique que le droit d’accès s’exerce par voie postale, par courrier électronique ou sur place auprès de la Direction Administrative et Juridique.
À cet égard, la Commission rappelle que la réponse à ce droit d’accès doit s’exercer dans le mois suivant la réception de la demande.
Par ailleurs, s’agissant de l’exercice du droit d’accès par voie électronique, elle considère qu’une procédure devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, la Commission précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.
Sous réserve de la prise en compte de ce qui précède, elle constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.
V. Sur les personnes ayant accès au traitement et les destinataires
- Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
- les utilisateurs de la messagerie : consultation, saisie et suppression sur leur compte de messagerie nominatif ;
- le Supérieur hiérarchique et la Direction Générale : consultation, à titre exceptionnel et sur demande justifiée, sauf messages identifiés comme personnels ;
- le personnel de la DSI (deux administrateurs nominativement identifiés, le responsable de l’équipe Infrastructure et Exploitation, le responsable DSI): activation des délégations sur les boîtes aux lettres ou agenda et droit de faire des demandes auprès du sous-traitant (aucun accès en consultation) ;
- le sous-traitant : administration et maintenance (aucun accès en consultation).
Considérant les attributions de chacune de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.
En ce qui concerne le sous-traitant, la Commission rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de sous-traitance. De plus, ledit sous-traitant est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
- Sur les destinataires
Le responsable de traitement indique que les informations sont susceptibles d’être communiquées aux Autorités judiciaires.
La Commission estime que la communication aux Autorités judiciaires peut être justifiée par les besoins d’une enquête judiciaire. À cet égard, elle rappelle qu’en cas de transmission, ces Autorités ne pourront avoir accès aux informations objet du traitement, que dans le strict cadre de leurs missions légalement conférées.
La Commission considère donc que de telles transmissions sont conformes aux exigences légales.
VI. Sur les interconnexions et rapprochements
Le responsable de traitement indique que le présent traitement fait l’objet de deux interconnexions avec les traitements ayant respectivement pour finalité « Gestion administrative des salariés et de la paie » et « Gestion de l’identité et des authentifications au Système d’information ».
Le traitement ayant pour finalité « Gestion administrative des salariés et de la paie » est en cours de modification.
Par ailleurs, concernant le traitement ayant pour finalité « Gestion de l’identité et des authentifications au SI », soumis concomitamment, elle rappelle que toute interconnexion ne peut avoir lieu qu’entre des traitements légalement mis en œuvre.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient appellent plusieurs observations.
La Commission rappelle néanmoins que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Elle rappelle également que la copie ou l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception.
Enfin, la Commission rappelle que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur les durées de conservation
Le responsable de traitement indique que les informations sont conservées tant que l’utilisateur est en activité, plus 1 mois en cas de nécessité liée à la continuité du service, à l’exception des informations temporelles qui sont conservées 1 an.
À cet égard, la Commission rappelle que lors du départ définitif de l’utilisateur, sa boite email nominative doit être immédiatement « bloquée » c’est à dire qu’elle ne doit plus pouvoir recevoir d’emails, ni en envoyer, à l’exception d’un message automatique qui sera adressé à chaque personne ayant envoyé un email à l’adresse concernée. Ce message automatique a vocation à informer l’expéditeur de l’email que son interlocuteur ne travaille plus au sein de l’entité, et qu’il devra désormais envoyer ses emails à telle ou telle adresse.
Ceci pourra être pratiqué pendant 3 mois au maximum, selon les fonctions et le degré de responsabilité de l’ancien salarié. À l’échéance de cette période de trois mois maximum, l’adresse email nominative de l’ancien salarié sera désactivée (supprimée).
La Commission prend acte par ailleurs des précisions selon lesquelles « Des bonnes pratiques vont être communiquées aux collaborateurs pour définir la bonne durée de rétention : en général 1 an en base active éventuellement plus selon la fonction, puis archivage intermédiaire pendant une certaine durée, archivage accessible instantanément puis archivage définitif si applicable en cas de besoin de conservation de documents sur une longue période ».
Elle considère ainsi que ces durées sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Considère qu’une procédure relative au droit d’accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations.
Rappelle que :
- les documents d’information doivent impérativement comporter l’ensemble des mentions prévues à l’article 14 de la loi n° 1.165 du 23 décembre 1993 ;
- la réponse au droit d’accès doit s’exercer dans le mois suivant la réception de la demande ;
- les Autorités judiciaires ne pourront avoir accès aux informations objet du traitement, que dans le strict cadre de leurs missions légalement conférées ;
- toute interconnexion ne peut avoir lieu qu’entre des traitements légalement mis en œuvre ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
- la copie ou l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par la Société Monégasque de l’Électricité et du Gaz (SMEG) du traitement automatisé d’informations nominatives ayant pour finalité « Gestion de la messagerie professionnelle d’entreprise ».
Le Président de la Commission de
Contrôle des Informations Nominatives.