Délibération n° 2012-29 du 13 février 2012 de la commission de contrôle des informations nominatives portant avis favorable sur la demande présentée par La Poste Monaco relative à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité «Gestion du parc des véhicules postaux»
Vu la Constitution ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’arrêté ministériel n° 2010-638 du 23 décembre 2010 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée ;
Vu l’arrêté ministériel n° 2009-383 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée ;
Vu la demande d’avis déposée par La Poste le 16 décembre 2011, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité «Gestion du parc des véhicules postaux» ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 13 février 2012 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
La Poste, ancienne administration française, opérait sur le territoire monégasque conformément à la Convention douanière franco-monégasque du 18 mai 1963, rendue exécutoire par l’ordonnance souveraine n° 3.042 du 19 août 1963.
Depuis la privatisation de La Poste en mars 2010, ladite convention est devenue caduque. S’est donc alors posée la problématique du fondement juridique de l’activité de La Poste à Monaco.
A ce titre, l’arrêté ministériel n° 2010-638 du 23 décembre 2010 est venu mettre un terme à ce vide juridique, en faisant de La Poste une société privée concessionnaire d’un service public.
Toutefois, en l’absence de convention de concession et d’un cahier des charges y afférent, la Commission considère qu’il convient de se prononcer sur le traitement qui lui est soumis au regard des missions normalement dévolues à un organisme investi d’une telle mission d’intérêt général.
Ainsi, conformément à l’article 7 de la loi n° 1.165, modifiée, La Poste soumet la présente demande d’avis relative à la mise en œuvre d’un traitement ayant pour finalité «Gestion du parc des véhicules postaux».
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Gestion du parc des véhicules postaux ». Sa dénomination est «Véhicule».
Les fonctionnalités du traitement sont les suivantes :
- établissement de fiches des véhicules ;
- gestion des habilitations de conduite ;
- suivi des réparations et autres prestations techniques afférentes à l’entretien et au dépannage des véhicules.
Par ailleurs, à l’analyse du dossier, il appert que ce traitement permet également l’impression de divers états récapitulatifs, à savoir : liste des véhicules, suivi des réparations sur une période donnée, suivi des index kilométriques et suivi des habilitations des agents. La Commission en prend donc acte.
Enfin, la Commission relève que les personnes concernées par ce traitement sont les agents du service Distribution, ainsi que les fournisseurs.
Au vu de ces éléments, la Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la justification du traitement
• Sur la licéité du traitement
Sur le territoire de la Principauté, la Commission constate que La Poste exerce les missions de service public normalement dévolues à un tel organisme. Cela inclut la gestion des activités postales, dans le cadre desquelles La Poste utilise des véhicules nécessaires à la distribution du courrier, notamment.
La Poste collecte donc certaines données nominatives afférentes à la gestion de son parc de véhicules.
Ainsi, la Commission constate que le traitement est licite, conformément aux exigences légales.
• Sur la justification du traitement
Aux termes de la demande d’avis, le traitement est justifié par la réalisation d’un intérêt légitime poursuivi par le responsable de traitement, sans que soient méconnus les libertés et droits fondamentaux des personnes concernées.
En effet, le traitement permet une gestion optimisée du parc de véhicules de La Poste, par le biais, notamment, de l’établissement de divers états récapitulatifs.
Par ailleurs, le responsable de traitement indique que le traitement est également justifié par l’exécution d’un contrat ou de mesures précontractuelles avec la personne concernée. Cela peut en effet être le cas des salariés ayant démontré qu’ils étaient bien titulaires d’au moins un permis de conduire, ceci étant une condition préalable à l’obtention d’une habilitation à la conduite des véhicules postaux délivrée par le Directeur de La Poste.
Enfin, l’examen du respect des libertés et droits fondamentaux des personnes concernées est exposé au point IV de la présente délibération.
Ainsi, sous réserve du respect de ces droits, la Commission considère que le traitement est justifié, au sens de l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations nominatives objets du présent traitement sont :
- identité : nom, prénom de l’agent distributeur, nom du fournisseur ;
- adresses et coordonnées : grade de l’agent, position de travail ;
- données d’identification électronique : numéro d’enregistrement de la fiche ;
- données relatives au permis de conduire : numéro du permis de conduire, lieu de délivrance, date d’obtention de l’habilitation, type de véhicule, motif de retrait d’autorisation ;
- données relatives aux bons de commande : date, désignation de l’objet commandé, quantité ;
- données relatives à la carte grise du véhicule : date de 1ère mise en circulation, descriptif issu de la carte grise (marque, type, numéro de série, etc.) ;
- données relatives à l’index kilométrique : date de saisie de la fiche, index kilométrique, distance ;
- données relatives aux opérations de réparation : date de saisie de la fiche, type de réparation, index kilométrique, rubrique «observations», type de pièces détachées.
Par ailleurs, à l’analyse du dossier, il appert que sont également collectées les informations suivantes : numéro de tournée de l’agent, date de délivrance du permis de conduire et nom de l’entité l’ayant délivré.
La Commission en prend donc acte.
Enfin, les informations objets du traitement sont issues d’une saisie informatique par les agents du service Distribution de La Poste, à l’exception, d’une part, des numéros de fiche générés par le système, et d’autre part, de la distance parcourue pour chaque véhicule, laquelle est calculée automatiquement à partir de l’index kilométrique saisi par l’agent.
Au vu de ces éléments, la Commission estime que les informations collectées sont «adéquates, pertinentes et non excessives» au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV. Sur les droits des personnes concernées
• Sur l’information des personnes concernées
La Commission observe qu’aux termes de la demande d’avis, l’information préalable des personnes concernées est effectuée par le biais d’un affichage, ainsi que d’une procédure interne accessible sur l’Intranet.
Elle relève toutefois que ces modalités d’information ne permettent pas d’informer les fournisseurs de l’existence d’un traitement d’informations nominatives les concernant, ainsi que de leurs droits, comme exigé par l’article 14 de la loi n° 1.165, modifiée.
Par conséquent, la Commission demande à ce que soit prévu un autre mode d’information pour ces derniers. Cela pourrait par exemple prendre la forme d’une mention insérée sur les bons de commande qui leur sont adressés, ou d’un courrier à leur attention comprenant l’ensemble des éléments obligatoires de l’article 14, susvisé.
Par ailleurs, et d’une manière générale, la Commission recommande la publication d’une rubrique relative à la protection des données personnelles sur le site Internet de La Poste Monaco, permettant d’informer toute personne concernée de l’exploitation de traitements automatisés la concernant, ainsi que de ses droits.
• Sur l’exercice du droit d’accès
La Commission observe que le droit d’accès des personnes concernées à leurs données nominatives peut être exercé par voie postale ou par courrier électronique. A défaut d’indication d’un délai de réponse, elle rappelle que conformément aux dispositions de l’article 15 de la loi n° 1.165, modifiée, celui-ci ne saurait être supérieur à trente jours.
En ce qui concerne les droits de modification ou de suppression des données, ceux-ci peuvent être exercés selon les mêmes modalités.
La Commission constate donc que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions de la loi n° 1.165, modifiée.
V. Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement dans le cadre de leurs attributions sont les personnes suivantes :
- le chef d’équipe Distribution ;
- le responsable informatique ;
- le prestataire pour la maintenance.
Aux termes de la demande d’avis, ces personnes disposent de tous les droits d’accès (consultation, modification, suppression). En ce qui concerne le prestataire, la Commission rappelle toutefois que conformément aux dispositions de l’article 17 de la loi n° 1.165, modifiée, ses droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service.
Sous cette réserve, la Commission considère que les accès susmentionnés sont justifiés.
VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations n’appellent pas d’observation.
La Commission rappelle néanmoins que conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VII. Sur la durée de conservation
Les données sont conservées pour une durée de deux ans.
La Commission considère qu’un tel délai est conforme aux exigences légales.
Après en avoir délibéré,
Rappelle que :
- les droits d’accès dévolus au prestataire doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de maintenance, conformément aux dispositions de l’article 17 de la loi n° 1.165, modifiée ;
- celui-ci est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de l’article 17, susvisé ;
Demande que conformément aux exigences de l’article 14 de la loi n° 1.165, modifiée, l’information préalable des personnes concernées soit correctement assurée, par exemple par l’insertion d’une mention sur les bons de commande qui leur sont adressés, ou par l’envoi d’un courrier à leur attention, et comprenant l’ensemble des éléments obligatoires de l’article 14, susvisé ;
Recommande d’une manière générale la publication d’une rubrique relative à la protection des données personnelles sur le site Internet de La Poste Monaco, permettant d’informer toute personne concernée de l’exploitation de traitements automatisés la concernant, ainsi que de ses droits ;
A la condition de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par La Poste Monaco du traitement automatisé d’informations nominatives ayant pour finalité «Gestion du parc des véhicules postaux».
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’arrêté ministériel n° 2010-638 du 23 décembre 2010 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée ;
Vu l’arrêté ministériel n° 2009-383 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée ;
Vu la demande d’avis déposée par La Poste le 16 décembre 2011, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité «Gestion du parc des véhicules postaux» ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 13 février 2012 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
La Poste, ancienne administration française, opérait sur le territoire monégasque conformément à la Convention douanière franco-monégasque du 18 mai 1963, rendue exécutoire par l’ordonnance souveraine n° 3.042 du 19 août 1963.
Depuis la privatisation de La Poste en mars 2010, ladite convention est devenue caduque. S’est donc alors posée la problématique du fondement juridique de l’activité de La Poste à Monaco.
A ce titre, l’arrêté ministériel n° 2010-638 du 23 décembre 2010 est venu mettre un terme à ce vide juridique, en faisant de La Poste une société privée concessionnaire d’un service public.
Toutefois, en l’absence de convention de concession et d’un cahier des charges y afférent, la Commission considère qu’il convient de se prononcer sur le traitement qui lui est soumis au regard des missions normalement dévolues à un organisme investi d’une telle mission d’intérêt général.
Ainsi, conformément à l’article 7 de la loi n° 1.165, modifiée, La Poste soumet la présente demande d’avis relative à la mise en œuvre d’un traitement ayant pour finalité «Gestion du parc des véhicules postaux».
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Gestion du parc des véhicules postaux ». Sa dénomination est «Véhicule».
Les fonctionnalités du traitement sont les suivantes :
- établissement de fiches des véhicules ;
- gestion des habilitations de conduite ;
- suivi des réparations et autres prestations techniques afférentes à l’entretien et au dépannage des véhicules.
Par ailleurs, à l’analyse du dossier, il appert que ce traitement permet également l’impression de divers états récapitulatifs, à savoir : liste des véhicules, suivi des réparations sur une période donnée, suivi des index kilométriques et suivi des habilitations des agents. La Commission en prend donc acte.
Enfin, la Commission relève que les personnes concernées par ce traitement sont les agents du service Distribution, ainsi que les fournisseurs.
Au vu de ces éléments, la Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la justification du traitement
• Sur la licéité du traitement
Sur le territoire de la Principauté, la Commission constate que La Poste exerce les missions de service public normalement dévolues à un tel organisme. Cela inclut la gestion des activités postales, dans le cadre desquelles La Poste utilise des véhicules nécessaires à la distribution du courrier, notamment.
La Poste collecte donc certaines données nominatives afférentes à la gestion de son parc de véhicules.
Ainsi, la Commission constate que le traitement est licite, conformément aux exigences légales.
• Sur la justification du traitement
Aux termes de la demande d’avis, le traitement est justifié par la réalisation d’un intérêt légitime poursuivi par le responsable de traitement, sans que soient méconnus les libertés et droits fondamentaux des personnes concernées.
En effet, le traitement permet une gestion optimisée du parc de véhicules de La Poste, par le biais, notamment, de l’établissement de divers états récapitulatifs.
Par ailleurs, le responsable de traitement indique que le traitement est également justifié par l’exécution d’un contrat ou de mesures précontractuelles avec la personne concernée. Cela peut en effet être le cas des salariés ayant démontré qu’ils étaient bien titulaires d’au moins un permis de conduire, ceci étant une condition préalable à l’obtention d’une habilitation à la conduite des véhicules postaux délivrée par le Directeur de La Poste.
Enfin, l’examen du respect des libertés et droits fondamentaux des personnes concernées est exposé au point IV de la présente délibération.
Ainsi, sous réserve du respect de ces droits, la Commission considère que le traitement est justifié, au sens de l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations nominatives objets du présent traitement sont :
- identité : nom, prénom de l’agent distributeur, nom du fournisseur ;
- adresses et coordonnées : grade de l’agent, position de travail ;
- données d’identification électronique : numéro d’enregistrement de la fiche ;
- données relatives au permis de conduire : numéro du permis de conduire, lieu de délivrance, date d’obtention de l’habilitation, type de véhicule, motif de retrait d’autorisation ;
- données relatives aux bons de commande : date, désignation de l’objet commandé, quantité ;
- données relatives à la carte grise du véhicule : date de 1ère mise en circulation, descriptif issu de la carte grise (marque, type, numéro de série, etc.) ;
- données relatives à l’index kilométrique : date de saisie de la fiche, index kilométrique, distance ;
- données relatives aux opérations de réparation : date de saisie de la fiche, type de réparation, index kilométrique, rubrique «observations», type de pièces détachées.
Par ailleurs, à l’analyse du dossier, il appert que sont également collectées les informations suivantes : numéro de tournée de l’agent, date de délivrance du permis de conduire et nom de l’entité l’ayant délivré.
La Commission en prend donc acte.
Enfin, les informations objets du traitement sont issues d’une saisie informatique par les agents du service Distribution de La Poste, à l’exception, d’une part, des numéros de fiche générés par le système, et d’autre part, de la distance parcourue pour chaque véhicule, laquelle est calculée automatiquement à partir de l’index kilométrique saisi par l’agent.
Au vu de ces éléments, la Commission estime que les informations collectées sont «adéquates, pertinentes et non excessives» au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV. Sur les droits des personnes concernées
• Sur l’information des personnes concernées
La Commission observe qu’aux termes de la demande d’avis, l’information préalable des personnes concernées est effectuée par le biais d’un affichage, ainsi que d’une procédure interne accessible sur l’Intranet.
Elle relève toutefois que ces modalités d’information ne permettent pas d’informer les fournisseurs de l’existence d’un traitement d’informations nominatives les concernant, ainsi que de leurs droits, comme exigé par l’article 14 de la loi n° 1.165, modifiée.
Par conséquent, la Commission demande à ce que soit prévu un autre mode d’information pour ces derniers. Cela pourrait par exemple prendre la forme d’une mention insérée sur les bons de commande qui leur sont adressés, ou d’un courrier à leur attention comprenant l’ensemble des éléments obligatoires de l’article 14, susvisé.
Par ailleurs, et d’une manière générale, la Commission recommande la publication d’une rubrique relative à la protection des données personnelles sur le site Internet de La Poste Monaco, permettant d’informer toute personne concernée de l’exploitation de traitements automatisés la concernant, ainsi que de ses droits.
• Sur l’exercice du droit d’accès
La Commission observe que le droit d’accès des personnes concernées à leurs données nominatives peut être exercé par voie postale ou par courrier électronique. A défaut d’indication d’un délai de réponse, elle rappelle que conformément aux dispositions de l’article 15 de la loi n° 1.165, modifiée, celui-ci ne saurait être supérieur à trente jours.
En ce qui concerne les droits de modification ou de suppression des données, ceux-ci peuvent être exercés selon les mêmes modalités.
La Commission constate donc que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions de la loi n° 1.165, modifiée.
V. Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement dans le cadre de leurs attributions sont les personnes suivantes :
- le chef d’équipe Distribution ;
- le responsable informatique ;
- le prestataire pour la maintenance.
Aux termes de la demande d’avis, ces personnes disposent de tous les droits d’accès (consultation, modification, suppression). En ce qui concerne le prestataire, la Commission rappelle toutefois que conformément aux dispositions de l’article 17 de la loi n° 1.165, modifiée, ses droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service.
Sous cette réserve, la Commission considère que les accès susmentionnés sont justifiés.
VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations n’appellent pas d’observation.
La Commission rappelle néanmoins que conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VII. Sur la durée de conservation
Les données sont conservées pour une durée de deux ans.
La Commission considère qu’un tel délai est conforme aux exigences légales.
Après en avoir délibéré,
Rappelle que :
- les droits d’accès dévolus au prestataire doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de maintenance, conformément aux dispositions de l’article 17 de la loi n° 1.165, modifiée ;
- celui-ci est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de l’article 17, susvisé ;
Demande que conformément aux exigences de l’article 14 de la loi n° 1.165, modifiée, l’information préalable des personnes concernées soit correctement assurée, par exemple par l’insertion d’une mention sur les bons de commande qui leur sont adressés, ou par l’envoi d’un courrier à leur attention, et comprenant l’ensemble des éléments obligatoires de l’article 14, susvisé ;
Recommande d’une manière générale la publication d’une rubrique relative à la protection des données personnelles sur le site Internet de La Poste Monaco, permettant d’informer toute personne concernée de l’exploitation de traitements automatisés la concernant, ainsi que de ses droits ;
A la condition de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par La Poste Monaco du traitement automatisé d’informations nominatives ayant pour finalité «Gestion du parc des véhicules postaux».
Le Président de la Commission
de Contrôle des Informations Nominatives.