Délibération n° 2010-43 du 15 novembre 2010 portant recommandation sur les dispositifs de contrôle d’accès sur le lieu de travail mis en œuvre par les personnes physiques ou morales de droit privé
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la Recommandation du Conseil de l’Europe n° R (89) 2 du 19 janvier 1989 sur la protection des données à caractère personnel utilisées à des fins d’emploi ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu la loi n° 459 du 19 juillet 1947 portant modification du statut des délégués du personnel ;
Vu la loi n° 957 du 18 juillet 1974 relative à l’exercice du droit syndical dans les entreprises ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu le Code civil, et notamment son article 2092 bis ;
Vu le Code pénal ;
Vu la Délibération n° 2010-13 du 3 mai 2010 de la Commission portant recommandation sur les dispositifs de vidéosurveillance mis en œuvre par les personnes physiques ou morales de droit privé.
La Commission de Contrôle des Informations Nominatives
Conformément à l’article 1er de la loi n° 1.165 du 23 décembre 1993, modifiée, les traitements automatisés ou non automatisés d’informations nominatives ne doivent pas porter atteinte aux libertés et droits fondamentaux consacrés par le titre III de la Constitution.
La Commission de Contrôle des Informations Nominatives, autorité administrative indépendante, a pour mission de veiller au respect de ces dispositions. A ce titre, elle est notamment habilitée à formuler toutes recommandations entrant dans le cadre des missions qui lui sont conférées par la loi.
Par la présente délibération, la Commission souhaite préciser les grands principes de protection des informations nominatives applicables aux traitements automatisés d’informations nominatives mis en œuvre sur le lieu de travail pour la gestion des contrôles d’accès aux locaux, exploités par les personnes physiques ou morales de droit privé, et ce afin d’orienter les demandeurs d’autorisation dans leurs démarches auprès d’elle.
I. Dispositions générales
Dans un environnement toujours plus sécuritaire, et face aux risques croissants d’espionnage industriel, l’heure est à la multiplication des systèmes de contrôle d’accès sur le lieu de travail.
Ces dispositifs utilisent des moyens plus ou moins complexes, nécessitant le recours à des outils numériques et/ou informatiques, voire à des systèmes de communications électroniques. Il peut s’agir de cartes magnétiques ou cartes à puce, avec ou sans contact, combinés à un dispositif de lecture desdites cartes, qui enregistre ou non les informations qu’elles contiennent. D’autres types de dispositifs sont également utilisés, tels que des codes secrets délivrés aux seules personnes habilitées ou des systèmes d’ouverture de portes à distance par le biais d’un poste téléphonique gérés par autocommutateur.
Ainsi, l’essence même de tels systèmes repose dans la nécessaire identification des personnes aux fins de surveiller ceux qui pénètrent sur le lieu de travail ou dans certaines zones à accès restreint. Cette surveillance s’étend donc aussi bien à leur identité, qu’à la date, l’heure et la porte par laquelle ils ont pu accéder aux locaux.
A ce titre, ces traitements sont donc soumis à la procédure de demande d’autorisation visée à l’article 11-1 de la loi n° 1.165, modifiée, applicable aux acteurs du secteur privé, à savoir :
- les personnes physiques ou morales de droit privé, visées à l’article 6 de la loi n° 1.165, modifiée ;
- les organismes de droit privé investis d’une mission d’intérêt général ou concessionnaires d’un service public portés sur une liste établie par arrêté ministériel, telle que mentionnée à l’article 7 de ladite loi.
Les personnes concernées par ces traitements sont les employés de l’entreprise ou de l’organisme, quelle que soit la nature de leur emploi (salariés et consultants en mission) mais également les visiteurs qui y sont de passage.
***
Ainsi, en l’absence de disposition légale ou réglementaire encadrant ce genre de dispositifs, très répandus dans la Principauté, la Commission estime nécessaire de retenir les principes fondamentaux ci-après exposés, afin de veiller à la conformité des traitements sous-jacents avec les dispositions de la loi n° 1.165, modifiée.
Sont néanmoins exclus du champ d’application de la présente délibération :
- les contrôles d’accès faisant appel à un système biométrique ;
- les contrôles d’accès mis en œuvre par le biais de systèmes de vidéosurveillance, ces derniers relevant des dispositions de la délibération n° 10-13 du 3 mai 2010 de la Commission portant recommandation sur les dispositifs de vidéosurveillance mis en œuvre par les personnes physiques ou morales de droit privé.
II. Licéité des dispositifs de contrôle d’accès
Aux termes de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, susvisée, «les informations nominatives doivent être collectées et traitées loyalement et licitement […] pour une finalité déterminée, explicite et légitime, et ne pas être traitées ultérieurement de manière incompatible avec cette finalité».
A ce titre, la Commission rappelle les dispositions de l’article 2 de la Recommandation n° R (89) du Conseil de l’Europe 2 du 19 janvier 1989 sur la protection des données à caractère personnel utilisées à des fins d’emploi, aux termes desquelles «le respect de la vie privée et de la dignité humaine de l’employé, en particulier la possibilité de relations sociales et individuelles sur le lieu de travail, devrait être préservé lors de la collecte et de l’utilisation de données à caractère personnel à des fins d’emploi».
Par ailleurs, elle rappelle également que l’article 6.1 de ladite Recommandation dispose que «les données à caractère personnel collectées à des fins d’emploi ne devraient être utilisées par l’employeur qu’à de telles fins».
En conséquence, la Commission appelle l’attention des entreprises et organismes concernés sur le fait que les informations nominatives exploitées dans le cadre des traitements qui sous-tendent les dispositifs de contrôle d’accès des employés et visiteurs, ne sauraient être détournées de la finalité pour laquelle elles ont initialement été collectées.
En outre, ces dispositifs ne sauraient donner lieu à des pratiques abusives portant atteinte aux libertés et droits fondamentaux des employés et visiteurs, mais également aux droits conférés par la loi aux délégués du personnel et aux délégués syndicaux.
C’est pourquoi, conformément aux dispositions de l’article 11-1 de la loi n° 1.165, modifiée, le demandeur devra apporter les éléments permettant à la Commission de s’assurer que le traitement est «nécessaire à la poursuite d’un objectif légitime essentiel», et que les droits et libertés des personnes seront protégés.
III. Justification des dispositifs de contrôle d’accès
En application de l’article 10-2 de la loi n° 1.165, modifiée, la Commission considère que les traitements visés dans le cadre de la présente délibération peuvent être justifiés lorsqu’ils sont mis en œuvre aux seules fins :
- de répondre à une obligation légale à laquelle est soumis le responsable de traitement ou son représentant ; ou,
- de permettre la réalisation d’un intérêt légitime poursuivi par le responsable de traitement ou son représentant ou par son destinataire, à la condition de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée ; ou,
- de permettre l’exécution d’un contrat ou de mesures précontractuelles avec la personne concernée.
La Commission estime également qu’un tel traitement peut être justifié par le consentement de la personne concernée. Néanmoins, elle appelle l’attention des responsables de traitement sur le fait que cette justification, qui sera appréciée de manière très stricte, doit être étayée et expliquée, notamment si la personne concernée est liée à l’entreprise ou l’organisme par un contrat de travail (salarié) ou un ordre de mission (consultant).
IV. Fonctionnalités du traitement
La Commission considère que la mise en œuvre de dispositifs de contrôle d’accès ne peut avoir d’autres fonctionnalités que :
- de contrôler l’accès aux entrées et sorties de l’entreprise ou organisme ;
- de contrôler l’accès à certains locaux limitativement identifiés comme faisant l’objet d’une restriction de circulation, justifiée par la sécurité des biens et des personnes qui y travaillent ;
- de gérer les horaires et les temps de présence des employés ;
- de contrôler l’accès des visiteurs ;
- de permettre, le cas échéant, la constitution de preuves en cas d’infraction.
Enfin, elle rappelle que ces dispositifs ne sauraient être détournés de leur finalité, et notamment qu’ils ne peuvent en aucun cas :
- conduire à un contrôle permanent et inopportun des personnes concernées ;
- permettre le contrôle des quotas d’heures que la loi confère aux délégués du personnel et aux délégués syndicaux pour l’exercice de leurs fonctions ;
- permettre le contrôle des déplacements à l’intérieur de l’entreprise ou de l’organisme, exception faite des zones limitativement identifiées comme faisant l’objet d’une restriction de circulation.
V. Information de la personne concernée
La Commission rappelle que l’existence de tout traitement d’informations nominatives doit être portée à la connaissance des personnes concernées, conformément à l’article 14 de la loi n° 1.165, modifiée.
Aux termes de cet article, cette information doit porter sur :
- l’identité du responsable de traitement et le cas échéant, celle de son représentant à Monaco ;
- la finalité du traitement ;
- l’identité des destinataires ou des catégories de destinataires des informations ;
- l’existence d’un droit d’opposition, d’accès et de rectification à l’égard des informations les concernant.
La Commission estime donc que les personnes concernées, à savoir les employés et visiteurs, doivent être informées de l’ensemble de ces mentions par tous moyens qu’il appartiendra au responsable de traitement de déterminer, comme par exemple par voie d’affichage ou par la communication d’une note interne à l’entreprise ou à l’organisme. Concernant les visiteurs, cette information pourrait par exemple prendre la forme d’une mention portée sur le formulaire de collecte des informations personnelles qu’ils remplissent, le cas échéant.
VI. Catégories d’informations traitées
Conformément aux principes d’adéquation et de proportionnalité des informations nominatives collectées, posés par l’article 10-1 de la loi n° 1.165, modifiée, la Commission estime que seules les catégories d’informations suivantes peuvent être traitées :
- Informations relatives à l’identité de la personne concernée : nom, prénoms, numéro de matricule interne, photographie ;
- Informations relatives à la vie professionnelle : service, fonction, plages horaires habituellement autorisées, zones d’accès autorisées, congés, numéro de poste téléphonique ;
- Informations temporelles ou horodatage : date et heure d’entrée, date et heure de sortie, date et heure de passage à une zone à accès restreint ;
- Accès aux locaux : nom et/ou numéro de la porte d’entrée ou de sortie, ou du point de passage ;
- Parking : numéro d’immatriculation du véhicule, numéro de la place de stationnement ;
- Visiteurs : nom, prénoms, dates et heures de visite, société d’appartenance, identité de l’employé accueillant le visiteur ;
- Badge ou carte : numéro de badge ou de la carte d’accès, date de délivrance, date de validité.
VII. Personnes ayant accès aux informations et destinataires
La Commission estime que l’accès aux informations objets des traitements visés par la présente délibération doit être limité aux seules personnes qui peuvent légitimement en avoir connaissance au regard de leurs fonctions ou de leurs missions, ainsi que de la finalité du traitement.
Sur ce point, la Commission rappelle que, conformément aux dispositions de l’article 17-1, alinéa 2, de la loi n° 1.165 précitée, le responsable de traitement doit «déterminer nominativement la liste de personnes autorisées qui ont seules accès, pour les strictes besoins de l’accomplissement de leurs missions, aux locaux et aux installations utilisés pour les traitements, de même qu’aux informations traitées».
Cette liste doit impérativement être jointe au dossier de demande d’autorisation.
Les personnes spécialement habilitées à avoir accès auxdits traitements sont issues des services ayant compétence pour recevoir certaines catégories d’informations nominatives, à savoir :
- service du personnel / ressources humaines : identité des employés, informations relatives à la vie professionnelle, informations temporelles et horodatage, numéro d’identification interne ;
- service comptable / de paie : identité des employés, informations relatives à la vie professionnelle, informations temporelles et horodatage, numéro d’identification interne ;
- service gérant la sécurité des locaux : identité des employés, informations relatives aux visiteurs, accès aux locaux, parking, informations temporelles.
Enfin, la Commission note qu’à titre exceptionnel, les autorités judiciaires et policières peuvent être destinataires d’informations nominatives traitées, dans le cadre des missions qui leur sont légalement conférées pour la recherche de preuves ou la constatation d’infractions. Dans ce cas, elle rappelle que des mesures de sécurité particulières devront être prises, concernant notamment le support sur lequel ces informations sont transmises, ainsi que la procédure de transfert, conformément aux dispositions du point VIII de la présente délibération.
VIII. Mesures de sécurité
La Commission considère que le responsable de traitement doit prendre toutes précautions utiles pour préserver la sécurité des informations objets des traitements visés dans la présente délibération, dans le respect des dispositions des articles 17 et 17-1 de la loi n° 1.165, modifiée.
En ce sens, elle rappelle que doivent être mises en place, «des mesures techniques et d’organisation appropriées pour protéger les informations nominatives contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisé», et que ces mesures doivent «assurer un niveau de sécurité adéquat au regard des risques présentés par le traitement et de la nature des données à protéger».
A ce titre, elle demande notamment que :
- soient mises en place des mesures de contrôle et d’identification des personnes habilitées à avoir accès aux informations, conformément à l’article 30 de l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée ;
- les personnes affectées à l’exploitation du système reçoivent des consignes strictes aux fins de garantir le respect de la confidentialité.
IX. Durée de conservation
La Commission rappelle que conformément à l’article 10-1 de la loi n° 1.165, modifiée, les informations collectées dans le cadre des traitements visés à la présente délibération ne peuvent être conservées sous une forme permettant l’identification de la personne concernée que pendant une durée n’excédant pas celle nécessaire à la réalisation de la finalité desdits traitements.
Ainsi, au regard des fonctionnalités énumérées au point 4 de la présente délibération, la Commission estime que :
- les informations relatives à l’identité d’un employé, celles relatives à la vie professionnelle, au parking ainsi qu’aux badges ou cartes, ne doivent pas être conservées au delà d’une durée de 5 ans après le départ de l’employé de l’entreprise ou de l’organisme ;
- les informations relatives aux visiteurs, ainsi que les informations temporelles ou d’horodatage, et celles concernant les accès, ne doivent pas être conservées au delà d’une durée de trois mois, sauf si elles sont utilisées aux fins de contrôle du temps de présence des employés dans l’entreprise ou l’organisme, auquel cas le délai est porté à cinq ans, conformément au délai de prescription en matière de traitements et salaires prévu par l’article 2092 bis du Code civil.
La Commission considère par ailleurs que les informations communiquées sur support distinct aux autorités judiciaires et policières peuvent être conservées jusqu’à la fin de la procédure judiciaire.
Après en avoir délibéré :
Rappelle que :
- les traitements automatisés d’informations nominatives liés à des dispositifs de contrôle d’accès sur le lieu de travail sont soumis à l’autorisation de la Commission de Contrôle des Informations Nominatives ;
- seuls les traitements remplissant les conditions fixées par la présente délibération pourront faire l’objet d’une autorisation de mise en œuvre.
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la Recommandation du Conseil de l’Europe n° R (89) 2 du 19 janvier 1989 sur la protection des données à caractère personnel utilisées à des fins d’emploi ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu la loi n° 459 du 19 juillet 1947 portant modification du statut des délégués du personnel ;
Vu la loi n° 957 du 18 juillet 1974 relative à l’exercice du droit syndical dans les entreprises ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu le Code civil, et notamment son article 2092 bis ;
Vu le Code pénal ;
Vu la Délibération n° 2010-13 du 3 mai 2010 de la Commission portant recommandation sur les dispositifs de vidéosurveillance mis en œuvre par les personnes physiques ou morales de droit privé.
La Commission de Contrôle des Informations Nominatives
Conformément à l’article 1er de la loi n° 1.165 du 23 décembre 1993, modifiée, les traitements automatisés ou non automatisés d’informations nominatives ne doivent pas porter atteinte aux libertés et droits fondamentaux consacrés par le titre III de la Constitution.
La Commission de Contrôle des Informations Nominatives, autorité administrative indépendante, a pour mission de veiller au respect de ces dispositions. A ce titre, elle est notamment habilitée à formuler toutes recommandations entrant dans le cadre des missions qui lui sont conférées par la loi.
Par la présente délibération, la Commission souhaite préciser les grands principes de protection des informations nominatives applicables aux traitements automatisés d’informations nominatives mis en œuvre sur le lieu de travail pour la gestion des contrôles d’accès aux locaux, exploités par les personnes physiques ou morales de droit privé, et ce afin d’orienter les demandeurs d’autorisation dans leurs démarches auprès d’elle.
I. Dispositions générales
Dans un environnement toujours plus sécuritaire, et face aux risques croissants d’espionnage industriel, l’heure est à la multiplication des systèmes de contrôle d’accès sur le lieu de travail.
Ces dispositifs utilisent des moyens plus ou moins complexes, nécessitant le recours à des outils numériques et/ou informatiques, voire à des systèmes de communications électroniques. Il peut s’agir de cartes magnétiques ou cartes à puce, avec ou sans contact, combinés à un dispositif de lecture desdites cartes, qui enregistre ou non les informations qu’elles contiennent. D’autres types de dispositifs sont également utilisés, tels que des codes secrets délivrés aux seules personnes habilitées ou des systèmes d’ouverture de portes à distance par le biais d’un poste téléphonique gérés par autocommutateur.
Ainsi, l’essence même de tels systèmes repose dans la nécessaire identification des personnes aux fins de surveiller ceux qui pénètrent sur le lieu de travail ou dans certaines zones à accès restreint. Cette surveillance s’étend donc aussi bien à leur identité, qu’à la date, l’heure et la porte par laquelle ils ont pu accéder aux locaux.
A ce titre, ces traitements sont donc soumis à la procédure de demande d’autorisation visée à l’article 11-1 de la loi n° 1.165, modifiée, applicable aux acteurs du secteur privé, à savoir :
- les personnes physiques ou morales de droit privé, visées à l’article 6 de la loi n° 1.165, modifiée ;
- les organismes de droit privé investis d’une mission d’intérêt général ou concessionnaires d’un service public portés sur une liste établie par arrêté ministériel, telle que mentionnée à l’article 7 de ladite loi.
Les personnes concernées par ces traitements sont les employés de l’entreprise ou de l’organisme, quelle que soit la nature de leur emploi (salariés et consultants en mission) mais également les visiteurs qui y sont de passage.
***
Ainsi, en l’absence de disposition légale ou réglementaire encadrant ce genre de dispositifs, très répandus dans la Principauté, la Commission estime nécessaire de retenir les principes fondamentaux ci-après exposés, afin de veiller à la conformité des traitements sous-jacents avec les dispositions de la loi n° 1.165, modifiée.
Sont néanmoins exclus du champ d’application de la présente délibération :
- les contrôles d’accès faisant appel à un système biométrique ;
- les contrôles d’accès mis en œuvre par le biais de systèmes de vidéosurveillance, ces derniers relevant des dispositions de la délibération n° 10-13 du 3 mai 2010 de la Commission portant recommandation sur les dispositifs de vidéosurveillance mis en œuvre par les personnes physiques ou morales de droit privé.
II. Licéité des dispositifs de contrôle d’accès
Aux termes de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, susvisée, «les informations nominatives doivent être collectées et traitées loyalement et licitement […] pour une finalité déterminée, explicite et légitime, et ne pas être traitées ultérieurement de manière incompatible avec cette finalité».
A ce titre, la Commission rappelle les dispositions de l’article 2 de la Recommandation n° R (89) du Conseil de l’Europe 2 du 19 janvier 1989 sur la protection des données à caractère personnel utilisées à des fins d’emploi, aux termes desquelles «le respect de la vie privée et de la dignité humaine de l’employé, en particulier la possibilité de relations sociales et individuelles sur le lieu de travail, devrait être préservé lors de la collecte et de l’utilisation de données à caractère personnel à des fins d’emploi».
Par ailleurs, elle rappelle également que l’article 6.1 de ladite Recommandation dispose que «les données à caractère personnel collectées à des fins d’emploi ne devraient être utilisées par l’employeur qu’à de telles fins».
En conséquence, la Commission appelle l’attention des entreprises et organismes concernés sur le fait que les informations nominatives exploitées dans le cadre des traitements qui sous-tendent les dispositifs de contrôle d’accès des employés et visiteurs, ne sauraient être détournées de la finalité pour laquelle elles ont initialement été collectées.
En outre, ces dispositifs ne sauraient donner lieu à des pratiques abusives portant atteinte aux libertés et droits fondamentaux des employés et visiteurs, mais également aux droits conférés par la loi aux délégués du personnel et aux délégués syndicaux.
C’est pourquoi, conformément aux dispositions de l’article 11-1 de la loi n° 1.165, modifiée, le demandeur devra apporter les éléments permettant à la Commission de s’assurer que le traitement est «nécessaire à la poursuite d’un objectif légitime essentiel», et que les droits et libertés des personnes seront protégés.
III. Justification des dispositifs de contrôle d’accès
En application de l’article 10-2 de la loi n° 1.165, modifiée, la Commission considère que les traitements visés dans le cadre de la présente délibération peuvent être justifiés lorsqu’ils sont mis en œuvre aux seules fins :
- de répondre à une obligation légale à laquelle est soumis le responsable de traitement ou son représentant ; ou,
- de permettre la réalisation d’un intérêt légitime poursuivi par le responsable de traitement ou son représentant ou par son destinataire, à la condition de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée ; ou,
- de permettre l’exécution d’un contrat ou de mesures précontractuelles avec la personne concernée.
La Commission estime également qu’un tel traitement peut être justifié par le consentement de la personne concernée. Néanmoins, elle appelle l’attention des responsables de traitement sur le fait que cette justification, qui sera appréciée de manière très stricte, doit être étayée et expliquée, notamment si la personne concernée est liée à l’entreprise ou l’organisme par un contrat de travail (salarié) ou un ordre de mission (consultant).
IV. Fonctionnalités du traitement
La Commission considère que la mise en œuvre de dispositifs de contrôle d’accès ne peut avoir d’autres fonctionnalités que :
- de contrôler l’accès aux entrées et sorties de l’entreprise ou organisme ;
- de contrôler l’accès à certains locaux limitativement identifiés comme faisant l’objet d’une restriction de circulation, justifiée par la sécurité des biens et des personnes qui y travaillent ;
- de gérer les horaires et les temps de présence des employés ;
- de contrôler l’accès des visiteurs ;
- de permettre, le cas échéant, la constitution de preuves en cas d’infraction.
Enfin, elle rappelle que ces dispositifs ne sauraient être détournés de leur finalité, et notamment qu’ils ne peuvent en aucun cas :
- conduire à un contrôle permanent et inopportun des personnes concernées ;
- permettre le contrôle des quotas d’heures que la loi confère aux délégués du personnel et aux délégués syndicaux pour l’exercice de leurs fonctions ;
- permettre le contrôle des déplacements à l’intérieur de l’entreprise ou de l’organisme, exception faite des zones limitativement identifiées comme faisant l’objet d’une restriction de circulation.
V. Information de la personne concernée
La Commission rappelle que l’existence de tout traitement d’informations nominatives doit être portée à la connaissance des personnes concernées, conformément à l’article 14 de la loi n° 1.165, modifiée.
Aux termes de cet article, cette information doit porter sur :
- l’identité du responsable de traitement et le cas échéant, celle de son représentant à Monaco ;
- la finalité du traitement ;
- l’identité des destinataires ou des catégories de destinataires des informations ;
- l’existence d’un droit d’opposition, d’accès et de rectification à l’égard des informations les concernant.
La Commission estime donc que les personnes concernées, à savoir les employés et visiteurs, doivent être informées de l’ensemble de ces mentions par tous moyens qu’il appartiendra au responsable de traitement de déterminer, comme par exemple par voie d’affichage ou par la communication d’une note interne à l’entreprise ou à l’organisme. Concernant les visiteurs, cette information pourrait par exemple prendre la forme d’une mention portée sur le formulaire de collecte des informations personnelles qu’ils remplissent, le cas échéant.
VI. Catégories d’informations traitées
Conformément aux principes d’adéquation et de proportionnalité des informations nominatives collectées, posés par l’article 10-1 de la loi n° 1.165, modifiée, la Commission estime que seules les catégories d’informations suivantes peuvent être traitées :
- Informations relatives à l’identité de la personne concernée : nom, prénoms, numéro de matricule interne, photographie ;
- Informations relatives à la vie professionnelle : service, fonction, plages horaires habituellement autorisées, zones d’accès autorisées, congés, numéro de poste téléphonique ;
- Informations temporelles ou horodatage : date et heure d’entrée, date et heure de sortie, date et heure de passage à une zone à accès restreint ;
- Accès aux locaux : nom et/ou numéro de la porte d’entrée ou de sortie, ou du point de passage ;
- Parking : numéro d’immatriculation du véhicule, numéro de la place de stationnement ;
- Visiteurs : nom, prénoms, dates et heures de visite, société d’appartenance, identité de l’employé accueillant le visiteur ;
- Badge ou carte : numéro de badge ou de la carte d’accès, date de délivrance, date de validité.
VII. Personnes ayant accès aux informations et destinataires
La Commission estime que l’accès aux informations objets des traitements visés par la présente délibération doit être limité aux seules personnes qui peuvent légitimement en avoir connaissance au regard de leurs fonctions ou de leurs missions, ainsi que de la finalité du traitement.
Sur ce point, la Commission rappelle que, conformément aux dispositions de l’article 17-1, alinéa 2, de la loi n° 1.165 précitée, le responsable de traitement doit «déterminer nominativement la liste de personnes autorisées qui ont seules accès, pour les strictes besoins de l’accomplissement de leurs missions, aux locaux et aux installations utilisés pour les traitements, de même qu’aux informations traitées».
Cette liste doit impérativement être jointe au dossier de demande d’autorisation.
Les personnes spécialement habilitées à avoir accès auxdits traitements sont issues des services ayant compétence pour recevoir certaines catégories d’informations nominatives, à savoir :
- service du personnel / ressources humaines : identité des employés, informations relatives à la vie professionnelle, informations temporelles et horodatage, numéro d’identification interne ;
- service comptable / de paie : identité des employés, informations relatives à la vie professionnelle, informations temporelles et horodatage, numéro d’identification interne ;
- service gérant la sécurité des locaux : identité des employés, informations relatives aux visiteurs, accès aux locaux, parking, informations temporelles.
Enfin, la Commission note qu’à titre exceptionnel, les autorités judiciaires et policières peuvent être destinataires d’informations nominatives traitées, dans le cadre des missions qui leur sont légalement conférées pour la recherche de preuves ou la constatation d’infractions. Dans ce cas, elle rappelle que des mesures de sécurité particulières devront être prises, concernant notamment le support sur lequel ces informations sont transmises, ainsi que la procédure de transfert, conformément aux dispositions du point VIII de la présente délibération.
VIII. Mesures de sécurité
La Commission considère que le responsable de traitement doit prendre toutes précautions utiles pour préserver la sécurité des informations objets des traitements visés dans la présente délibération, dans le respect des dispositions des articles 17 et 17-1 de la loi n° 1.165, modifiée.
En ce sens, elle rappelle que doivent être mises en place, «des mesures techniques et d’organisation appropriées pour protéger les informations nominatives contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisé», et que ces mesures doivent «assurer un niveau de sécurité adéquat au regard des risques présentés par le traitement et de la nature des données à protéger».
A ce titre, elle demande notamment que :
- soient mises en place des mesures de contrôle et d’identification des personnes habilitées à avoir accès aux informations, conformément à l’article 30 de l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée ;
- les personnes affectées à l’exploitation du système reçoivent des consignes strictes aux fins de garantir le respect de la confidentialité.
IX. Durée de conservation
La Commission rappelle que conformément à l’article 10-1 de la loi n° 1.165, modifiée, les informations collectées dans le cadre des traitements visés à la présente délibération ne peuvent être conservées sous une forme permettant l’identification de la personne concernée que pendant une durée n’excédant pas celle nécessaire à la réalisation de la finalité desdits traitements.
Ainsi, au regard des fonctionnalités énumérées au point 4 de la présente délibération, la Commission estime que :
- les informations relatives à l’identité d’un employé, celles relatives à la vie professionnelle, au parking ainsi qu’aux badges ou cartes, ne doivent pas être conservées au delà d’une durée de 5 ans après le départ de l’employé de l’entreprise ou de l’organisme ;
- les informations relatives aux visiteurs, ainsi que les informations temporelles ou d’horodatage, et celles concernant les accès, ne doivent pas être conservées au delà d’une durée de trois mois, sauf si elles sont utilisées aux fins de contrôle du temps de présence des employés dans l’entreprise ou l’organisme, auquel cas le délai est porté à cinq ans, conformément au délai de prescription en matière de traitements et salaires prévu par l’article 2092 bis du Code civil.
La Commission considère par ailleurs que les informations communiquées sur support distinct aux autorités judiciaires et policières peuvent être conservées jusqu’à la fin de la procédure judiciaire.
Après en avoir délibéré :
Rappelle que :
- les traitements automatisés d’informations nominatives liés à des dispositifs de contrôle d’accès sur le lieu de travail sont soumis à l’autorisation de la Commission de Contrôle des Informations Nominatives ;
- seuls les traitements remplissant les conditions fixées par la présente délibération pourront faire l’objet d’une autorisation de mise en œuvre.
Le Président de la Commission
de Contrôle des Informations Nominatives.