icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2023-133 du 20 septembre 2023 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre de la modification du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des titres restaurant », exploité par la Direction des Ressources Humaines et de la Formation de la Fonction Publique, présentée par le Ministre d'État.

  • N° journal 8663
  • Date de publication 06/10/2023
  • Qualité 100%
  • N° de page

Vu la Constitution ;

Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981, et son protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu la loi n° 975 du 12 juillet 1975 portant statut des fonctionnaires de l’État, modifiée ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu l’Ordonnance Souveraine n° 6.365 du 17 août 1978 fixant les conditions d’application de la loi n° 975 du 12 juillet 1975, modifiée, susvisée ;

Vu l’Ordonnance Souveraine n° 9.640 du 23 décembre 2022 portant dispositions générales de caractère statutaires applicables aux agents contractuels de l’État ;

Vu l’Ordonnance Souveraine n° 1.635 du 30 avril 2008 fixant les attributions de la Direction des Ressources Humaines et de la Formation de la Fonction Publique ;

Vu la Délibération n° 2010-27 du 13 juillet 2010 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des titres restaurants « le Pass Monaco » » présenté par le Ministre d’État ;

Vu la Délibération n° 2012-16 du 23 janvier 2012 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre de la modification du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des titres restaurants « le Pass Monaco » » présenté par le Ministre d’État ;

Vu la demande d’avis déposée par le Ministre d’État, le 21 août 2023, concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Gestion des titres restaurant » ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 20 septembre 2023 portant examen du traitement automatisé susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

L’Administration avait sollicité l’avis de la Commission concernant la mise en œuvre d’un traitement ayant pour finalité « Gestion des titres restaurant « le Pass Monaco » ». Deux avis favorables ont été rendus par la Commission par délibérations n° 2010-27 du 13 juillet 2010 et n° 2012-16 du 23 janvier 2012.

Le responsable de traitement souhaite désormais mettre en place la dématérialisation des titres restaurant pour les agents et fonctionnaires de l’État. Compte tenu notamment du nombre de commerçants de la Principauté refusant les titres papier, il précise avoir fait le choix d’un déploiement de la carte à puce « en douceur », privilégiant ainsi le numérique au papier, et laissant aussi la possibilité aux personnes concernées d’opter, pendant la période de transition, pour les titres papier s’ils le souhaitent. La présente demande d’avis a pour vocation de faire évoluer en conséquence le traitement relatif au « Pass Monaco ». 

Ainsi, le traitement automatisé d’informations nominatives y afférent est soumis à l’avis de la Commission, conformément à l’article 9 de la loi n° 1.165 du 23 décembre 1993.

I. Sur la finalité et les fonctionnalités du traitement

Le traitement a pour finalité « Gestion des titres restaurant ».

Il concerne les fonctionnaires et agents contractuels de l’État ainsi que les référents des Services.

Les fonctionnalités du traitement sont les suivantes :

-  recenser les bénéficiaires des titres restaurant ayant opté pour la version papier ou numérique ;

-  permettre l’établissement de la commande mensuelle des titres restaurant ;

-  permettre la livraison et la distribution des titres restaurant papier ou de la carte sur les différents sites de la Principauté par les référents de l’Administration ;

-  permettre la recharge de la carte après son activation ; 

-  établir des statistiques générales afin de connaître notamment le taux d’adhésion au système des titres restaurant ;

-  permettre la confection des titres restaurant en version papier et numérique ;

-  suivre le renouvellement, le remboursement ou l’échange des titres restaurant périmés, volés, endommagés ;

-  gérer les demandes d’exercice de droit d’accès et de rectification.

À l’étude du dossier la Commission relève que le présent traitement comprend deux étapes. Dans un premier temps, le responsable de traitement dresse la liste des bénéficiaires et la transmet au prestataire afin que celui-ci procède à l’établissement des titres (support papier ou numérique) puis à l’intégration des bénéficiaires dans la base de données de ce dernier. Dans un second temps, et pendant la durée du contrat, le responsable de traitement transmet mensuellement au prestataire, via une plateforme sécurisée appartenant à ce dernier, la liste contenant le nom des bénéficiaires et le montant auquel ils ont droit ou le nombre de titres restaurant concernés.

Par ailleurs, le responsable de traitement indique qu’il transmet au prestataire, par email, la liste des référents de l’Administration afin d’assurer la livraison et la distribution des titres restaurant.

En outre, le responsable de traitement précise que dans l’objectif de favoriser la dématérialisation des titres restaurant, l’ensemble des « fonctionnaires et agents de l’État recevront une carte à puce désactivée, d’une durée de 4 ans ». Les personnes déjà en activité pourront à tout moment l’activer, dans le cas contraire ils continueront à bénéficier des titres restaurants en version papier. Les nouveaux entrants dans l’Administration se verront directement attribuer la carte. Si toutefois ils souhaitent disposer des titres papiers, ils devront activer ce choix sur la plateforme du prestataire.

En ce qui concerne le recours à la carte à puce, le responsable de traitement explique que les bénéficiaires doivent se créer un compte personnel en se connectant directement sur la plateforme du prestataire pour activer leur carte et paramétrer leur compte. Par ailleurs, les bénéficiaires peuvent également associer, s’ils le souhaitent, leur carte bancaire personnelle pour payer en une seule fois, étant donné l’existence d’un plafond journalier à l’utilisation des titres restaurant.

Enfin, le responsable de traitement indique que « lors du départ d’un fonctionnaire ou d’un agent contractuel de l’État, la carte restera active jusqu’à épuisement du solde disponible ». En outre, il est précisé que la carte est liée à l’employeur et qu’en cas de changement de celui-ci le bénéficiaire ne pourra plus utiliser le même compte.

La Commission considère que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993. 

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le traitement est justifié par le consentement de la personne concernée qui doit signer un bulletin d’adhésion.

Il indique en outre que le présent traitement est également justifié par l’exécution d’un contrat ou de mesures précontractuelles avec la personne concernée. 

À cet égard, il précise que l’octroi des titres restaurants constitue un complément de rémunération pour les fonctionnaires, conformément aux dispositions de l’article 30 de la loi n° 975 du 12 juillet 1975 portant statut des fonctionnaires de l’État modifié, ainsi que pour les agents contractuels, conformément à l’article 33 de l’Ordonnance Souveraine n° 9.640 du 23 décembre 2022 portant dispositions générales de caractère statutaire applicable aux agents contractuels de l’État.

La Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.

III. Sur les informations traitées

Les informations nominatives traitées sont :

-  identité des fonctionnaires et agents : nom usuel (nom de famille et prénom), nom patronymique, civilité, date de naissance, identifiant ;

-  adresses et coordonnées : code service DRHFFP et DBT, service de livraison, article DBT, section ;

-  vie professionnelle : temps de travail en pourcentage, période de suspension (date de début, date de fin, motif ;

-  caractéristiques financières : indice classement et indice différentiel pour calcul de la prise en charge ;

-  données d’identification électronique : login et mot de passe des gestionnaires (DRHFFP) ;

-  informations temporelles : identifiant et horodatage du gestionnaire ;

-  nombre de tickets : pour le calcul du nombre de tickets mensuels à distribuer (10, 17) ;

-  référents de l’administration : nom, prénom, fonction et service, email professionnel ;

-  acceptation d’adhérer ou non (bulletin d’adhésion) : nom patronymique, nom usuel, prénom, matricule, service, souhaite ou ne souhaite pas adhérer, date et heure.

Le responsable de traitement indique que la date de naissance de la personne concernée est collectée et transmise au prestataire dans l’objectif de permettre au bénéficiaire de s’authentifier à l’occasion de la première connexion sur son espace personnel. Dans le cadre d’un complément d’information, il précise que « la communication de la date de naissance au prestataire est réalisée afin de répondre aux exigences de sécurité autour de la création d’un identifiant technique pseudonymisé et ainsi de ne plus communiquer le matricule SPME ».

La Commission en prend acte.

En outre, le responsable de traitement indique qu’un identifiant bénéficiaire, qui est un numéro alphanumérique de 7 caractères sans lien avec le « matricule SPME », est également transmis au prestataire. À ce sujet, il précise que cette information est « nécessaire pour le contrôle des doublons et la gestion des homonymies ».

À la lecture du dossier, la Commission relève que l’adresse postale est également une information transmise au prestataire. Par complément d’information, le responsable de traitement indique qu’il s’agit de « l’adresse de livraison des tickets et non pas de l’adresse postale personnelle du bénéficiaire ».

Par ailleurs, le responsable de traitement indique que l’adresse email professionnelle ou personnelle de la personne concernée n’est pas collectée dans le cadre du présent traitement. Toutefois, l’intéressé devra la renseigner directement « sur la plateforme du prestataire afin de recevoir les informations afférentes à la solution dématérialisée, et notamment son code pin ». À cet égard, le responsable de traitement précise qu’un guide d’utilisation de l’application sera remis au bénéficiaire lui recommandant de renseigner son adresse email personnelle pour utiliser au mieux les services du prestataire (gestion du compte et des services optionnels) y compris après son départ de l’Administration.

La Commission en prend acte.

En outre, le responsable de traitement explique que chaque titre restaurant papier comporte, « en raison de contraintes techniques soulevées par le prestataire, le nom et le prénom du bénéficiaire (…) afin de permettre une bonne gestion de la distribution mensuelle des carnets ainsi que des retours annuels des anciens millésimes ».

À cet égard la Commission relève, comme dans sa délibération n° 2010-27, qu’aucune obligation légale ne requiert la personnification de chaque titre restaurant par l’apposition du nom et prénom du bénéficiaire mais qu’il s’agit d’une pratique répandue permettant de faciliter la distribution des titres. De ce fait, elle maintient la position adoptée dans sa délibération n° 2012-16 et propose au responsable de traitement « l’introduction d’un premier feuillet nominatif sans valeur nominale, les nom et prénom du bénéficiaire étant lisibles par la fenêtre de la première couverture ». 

Enfin, le responsable de traitement indique que le nom et le prénom du bénéficiaire seront apposés sur la carte de titres restaurant. À cet égard il précise que les cartes s’apparentent à des cartes de paiement. Dès lors, « leur caractère nominatif paraît important en cas de perte, notamment, ou si le restaurateur souhaitait s’assurer de l’identité de l’utilisateur ».

La Commission en prend acte.

Les informations nominatives traitées proviennent du traitement automatisé ayant pour finalité « Gestion des dossiers des fonctionnaires et agents relevant de la Fonction Publique et de statuts particuliers » mis en œuvre par la Direction des Ressources Humaines et de la Formation de la Fonction Publique à l’exception des données d’identification électronique qui ont pour origine la Direction des Systèmes d’Information et les informations temporelles qui proviennent du système.

La Commission considère que les informations traitées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.

IV.   Sur les droits des personnes concernées

*    Sur l’information préalable des personnes concernées

L’information préalable des personnes concernées est assurée au moyen d’une mention sur le document de collecte, d’une mention ou clause particulière intégrée dans un document remis à l’intéressé ainsi que d’une mention particulière intégrée dans un document d’ordre général.

À l’étude du bulletin d’adhésion joint au dossier, la Commission considère que l’information des personnes concernées est conforme aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993.

En outre, la Commission constate également que les personnes concernées peuvent choisir d’étendre les services de la carte et du compte du prestataire, en ajoutant des fonctionnalités ou en téléchargeant l’application. Elle demande donc que la Direction des Ressources Humaines et de la Formation de la Fonction Publique, qui initie l’intégration des bénéficiaires de titres restaurant auprès de cette société, informe également les fonctionnaires et agents de l’État de la possibilité d’étendre leurs droits auprès du prestataire et des conséquences en termes de protection des informations nominatives.

*    Sur l’exercice du droit d’accès des personnes concernées

Le droit d’accès s’exerce par voie postale, sur place ou par courrier électronique auprès de la Direction des Ressources Humaines et de la Formation de la Fonction Publique.

À cet égard, la Commission rappelle que la réponse au droit d’accès doit intervenir dans le mois suivant la réception de la demande.

S’agissant de l’exercice du droit d’accès par voie électronique, la Commission rappelle qu’une procédure doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agit effectivement de la personne concernée par les informations.

À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.

Sous ces conditions, la Commission considère que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993, modifiée.

V. Sur les destinataires et les personnes ayant accès au traitement

Les personnes habilitées à avoir accès au traitement sont :

-  les personnes en charge de la gestion des titres restaurant de la Direction des Ressources Humaines et de la Formation de la Fonction Publique (les gestionnaires) : en inscription, modification, mises à jour et consultation ;

-  la Section en charge de la gestion de la paie de la Direction du Budget et du Trésor : en consultation

-  la Direction des Systèmes d’Information : maintenance de l’information.

Au sujet du prestataire, la Commission rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, les droits d’accès de ce dernier doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service. De plus, ledit prestataire est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article. 

La Commission considère que ces accès et transmissions sont conformes aux exigences légales et sont justifiés au regard de la finalité du traitement.

VI.   Sur les interconnexions et rapprochements avec d’autres traitements

Le responsable de traitement indique que le présent traitement est rapproché avec le traitement ayant pour finalité « Gestion des dossiers des fonctionnaires et agents relevant de la Fonction Publique et des statuts particuliers ». Il est en outre interconnecté avec le traitement légalement mis en œuvre ayant pour finalité « Établir la paie des fonctionnaires et agents contractuels de l’État ». Ce rapprochement et cette interconnexion permettent d’abord la gestion des commandes de titres restaurant par la Direction des Ressources Humaines et de la Formation de la Fonction Publique ainsi que le financement de ces derniers en tenant compte de la part employeur/employé et ensuite la fourniture et la livraison des titres par le prestataire de l’État.

Par ailleurs, le responsable de traitement indique que le présent traitement est également rapproché et/ou interconnecté avec les traitements légalement mis en œuvre suivants :

-  « Gestion de la messagerie professionnelle » afin de permettre les échanges entre les acteurs ;

-  « Gestion des habilitations et des accès au Système d’Information » afin de permettre aux agents de la Direction des Ressources Humaines et de la Formation de la Fonction Publique d’avoir accès à leur environnement de travail et d’exécuter les actions nécessaires au fonctionnement du traitement ;

-  « Gestion d’un outil de partage de documents sécurisés avec des partenaires internes et externes à l’Administration monégasque » afin de permettre la communication de documents comportant des données personnelles que ce soit entre services de l’Administration ou avec le prestataire.

La Commission considère que ces interconnexions et ces rapprochements sont conformes aux exigences légales.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.

La Commission rappelle néanmoins que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

Elle rappelle par ailleurs que la copie ou l’extraction d’informations issues de ce traitement devra être chiffrée sur son support de réception.

Elle rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Le responsable de traitement indique que les données d’identification électronique sont conservées « tant que le gestionnaire est habilité à avoir accès à la solution » et les informations temporelles sont conservées pendant 1 an glissant.

Les informations relatives aux référents de l’administration sont conservées « tant que la personne a la qualité de référent ».

En outre, le responsable de traitement indique que les autres informations objet du présent traitement sont conservées pendant « 1 an à compter de l’adhésion ».

La Commission considère que ces durées de conservation sont conformes aux exigences légales.

Après en avoir délibéré, la Commission :

Rappelle que :

-  la réponse au droit d’accès doit intervenir dans le mois suivant la réception de la demande ;

-  une procédure relative au droit d’accès par voie électronique doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agisse effectivement de la personne concernée par les informations ;

-  les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;

-  la copie ou l’extraction d’informations issues de ce traitement devra être chiffrée sur son support de réception.

Demande que :

-  la Direction des Ressources Humaines et de la Formation de la Fonction Publique,  qui initie l’intégration des bénéficiaires de tickets restaurant auprès de société prestataire, informe également les agents et fonctionnaires de l’État de la possibilité d’étendre leurs droits auprès dudit prestataire et des conséquences en termes de protection des informations nominatives.

À la condition de la prise en compte des éléments qui précèdent,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre de la modification, par le Ministre d’État, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des titres restaurant » de la Direction des Ressources Humaines et de la Formation de la Fonction Publique.

Le Président de la Commission

de Contrôle des Informations Nominatives.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14