icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2018-115 du 18 juillet 2018 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion et établissement de la comptabilité » présenté par la Compagnie des Autobus de Monaco.

  • No. Journal 8398
  • Date of publication 07/09/2018
  • Quality 100%
  • Page no.

Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 4.597 du 21 novembre 2013 approuvant la convention, le cahier des charges et leurs annexes de la concession de service public pour l'exploitation du réseau de transport public de voyageurs ;
Vu l'Ordonnance Souveraine n° 3.152 du 19 mars 1964 instituant un impôt sur les bénéfices ;
Vu l'Ordonnance Souveraine n° 3.167 du 29 janvier 1946 réglant l'établissement du bilan des sociétés anonymes et en commandite ;
Vu l'arrêté ministériel du 11 mai 1933 concernant la compagnie des autobus monégasques ;
Vu l'arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l'article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la demande d'avis présentée le 27 avril 2018 par la Compagnie des Autobus de Monaco, concernant la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion et établissement de la comptabilité » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 25 juin 2018, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 18 juillet 2018 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Compagnie des Autobus de Monaco (CAM) est une société monégasque, immatriculée au Répertoire du Commerce et de l'industrie sous le numéro 56S0465, ayant pour objet « le transport en commun ».
Afin de répondre à ses obligations légales et contractuelles en matière de comptabilité, cette société a mis en place un logiciel destiné à contrôler et établir les recettes par agent-conducteur et à gérer les recettes et les dépenses des clients et des fournisseurs.
La CAM figurant sur la liste établie par l'arrêté ministériel n° 2009-382 du 31 juillet 2009, la mise en œuvre de ce traitement est soumise à l'avis préalable de la Commission, conformément aux dispositions de l'article 7 de la loi n° 1.165 du 23 décembre 1993.

I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité la « Gestion et établissement de la comptabilité ».
Le responsable de traitement précise qu'il concerne les salariés, les fournisseurs et les clients.
Le responsable de traitement indique que les fonctionnalités sont d'établir :
- la gestion analytique,
- l'édition de documents de comptabilité obligatoires : le bilan, le compte d'exploitation, le compte de pertes et profits, le grand livre, les entrées et sorties de la société.
Aussi, elle considère que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement

  • Sur la licéité

La Commission observe que la CAM est une société privée concessionnaire d'un service public. À cet égard, elle relève que ladite concession est fondée sur la convention de concession entre le Gouvernement Princier et la Compagnie des Autobus de Monaco qui comporte notamment la desserte du réseau de transports publics, ainsi que l'exploitation et la maintenance des infrastructures d'accueil et d'information des usagers, telle qu'approuvée par l'Ordonnance Souveraine n° 4.597 du 21 novembre 2013.
En conséquence, la Commission constate que l'activité d'exploitation du réseau de transport public urbain de voyageurs par la CAM dispose d'un fondement juridique propre. Elle considère donc que le traitement est licite conformément à l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.

  • Sur la justification

Le traitement est justifié par le respect d'une obligation légale, l'exécution d'un contrat ou de mesures contractuelles avec la personne concernée et la réalisation d'un intérêt légitime sans que ne soient méconnus les droits et libertés fondamentaux de la personne concernée.
À cet égard, le responsable de traitement indique qu'il est soumis aux dispositions de l'Ordonnance Souveraine n° 3.167 du 29 janvier 1946 réglant l'établissement du bilan des sociétés anonymes et en commandite et l'Ordonnance Souveraine n° 3.152 du 19 mars 1964 instituant un impôt sur les bénéfices, à ce titre il doit tenir « un état comptable de la société composé des recettes et des dépenses afin d'extraire un grand livre de compte, un bilan annuel comptable avec l'actif et le passif de la société ainsi qu'une balance composée des produits et des charges ». Il ajoute que « Les états comptables sont effectués par le responsable comptable et financier et contrôlés par les commissaires aux comptes (…) » et qu'ils peuvent « ainsi éditer le bilan comptable de l'entreprise afin de présenter aux assemblées générales d'associés pour approbation (…) ».
Par ailleurs l'article 9 de la convention de concession prévoit l'établissement d'un compte d'exploitation et l'article 14 liste quant à lui les éléments à fournir par le concessionnaire chaque année concernant l'exercice précédent, à savoir notamment le compte d'exploitation, les commentaires des chiffres comptables, les éléments statistiques, le détail des recettes.
Enfin, la Commission note que le traitement est effectué dans un souci d'efficacité comptable, l'outil permet l'édition de rapports de gestion et « des états financiers à date fixe ainsi que des états prévisionnels. Les exercices de rapprochements permettent de comparer les entrées et les sorties. Pour les recettes des chauffeurs, il permet la comparaison des ventes de titres effectuées à bord des bus avec le dépôt des recettes effectuées par les agents dans le coffre PROSEGUR ». De ce fait il contribue à la bonne gestion financière et administrative de la société.
Elle considère donc que le traitement est justifié, conformément aux dispositions de l'article 10-2 de la loi n° 1.165 du 23 décembre 1993\.

III. Sur les informations traitées
Les informations nominatives traitées sont :
- identité : agents de conduite :
5 premières lettres du nom de famille et matricule,
tous les agents : nom, prénom,
fournisseurs/ clients : nom commercial ;
- données d'identification électronique : identifiant et mot de passe pour l'accès au programme CEGID.
La Commission relève que sont également collectées les informations relatives aux recettes effectuées par les chauffeurs, les recettes et dépenses relatives aux clients et fournisseurs, le bilan comptable, le compte d'exploitation, le compte de pertes profits, le grand livre.
Les informations relatives à l'identité des agents de conduite et des autres agents ont pour origine les traitements légalement mis en œuvre ayant les finalités suivantes « Participation à la billettique interopérable des Alpes Maritimes » sous la dénomination « lancement du contrat « carte azur multimodale » », « Assurer l'exploitation du système billettique du réseau urbain de Monaco » sous la dénomination « Application billettique ERG », « Permettre l'achat en ligne de titres de transport » dénommé « boutique en ligne » et « Collecte de recette nominative des personnels de conduite de la CAM ».
Les informations relatives à l'identité des fournisseurs/clients ont pour origine la facturation.
Les informations relatives aux données d'identification électronique sont entrées par le salarié sous le contrôle du responsable IT.
Cependant, la Commission considère que les informations relatives aux données d'identification électronique sont générées par le système.
Aussi, la Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.

IV.  Sur les droits des personnes concernées

  • Sur l'information préalable des personnes concernées

Le responsable de traitement indique que l'information préalable des personnes concernées est effectuée par le biais d'une mention accessible en intranet.
La Commission estime que l'information doit être dispensée à l'ensemble des personnes concernées, ce que le support en intranet ne permet pas.
Aussi, elle demande que les fournisseurs et les clients bénéficient d'une information préalable.
La Commission demande à cet égard que l'information soit dispensée à l'ensemble des personnes concernées conformément aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993.

  • Sur l'exercice du droit d'accès, de modification et de mise à jour

Le responsable de traitement indique que le droit d'accès est exercé par voie postale, courrier électronique, sur place, oralement. La réponse se fera dans le mois suivant la réception de la demande.
S'agissant de l'exercice du droit d'accès par voie électronique, la Commission considère qu'une procédure devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d'un document d'identité était demandée, la transmission et le traitement de ce document devront faire l'objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d'identité officiels.
À la condition de la prise en compte de ce qui précède, elle  constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.

V. Sur les personnes ayant accès au traitement et les communications d'informations

  • Sur les accès au traitement

Le responsable de traitement indique qu'ont accès au traitement :
- Direction : une personne habilitée en consultation et édition ;
- Direction financière, une personne habilitée : tous droits ;
- Caissiers : deux personnes habilitées  en saisie et inscription avec accès limité, consultation limitée et édition limitée, pour les écritures comptables correspondant aux entrées et sorties effectuées à la boutique ;
- Prestataire : maintenance et administration.
À l'analyse du dossier il appert toutefois que le responsable IT a accès en extraction des informations relatives aux recettes de l'application billettique ERG.
La Commission constate que l'accès distant du prestataire pour les opérations de maintenance et d'administration est sécurisé.
En ce qui concerne le prestataire, la Commission rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993, les droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de son contrat de prestation de service. De plus, ledit prestataire est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
Elle considère que ces accès sont justifiés.

  • Sur les communications d'informations

Le responsable de traitement indique que les informations sont susceptibles d'être transmises aux Commissaires aux comptes, à l'Autorité fiscale monégasque et aux Autorités fiscales françaises, et à la CCSS  lors d'une demande d'accès à la comptabilité (grand livre de compte) lors du contrôle des fiches de paie et des déclarations sociales.
La Commission rappelle toutefois que la communication aux Autorités fiscales françaises ne pourra se faire que par le biais de la Direction des Services Fiscaux de la Principauté, conformément à l'article 20 de la Convention fiscale franco monégasque.
La Commission considère que ces transmissions sont conformes aux exigences légales.

VI. Sur les interconnexions avec d'autres traitements
Le responsable de traitement indique que le présent traitement fait l'objet de rapprochements avec les traitements légalement mis en œuvre ayant pour finalité respective « Collecte de recette nominative des personnels de conduite de la CAM », « Participation à la billettique interopérable des Alpes Maritimes », sous la dénomination « lancement du contrat « carte azur multimodale », « Permettre l'achat en ligne de titres de transports » dénommé « boutique en ligne » et « Assurer l'exploitation du système billettique du réseau urbain de Monaco » sous la dénomination « application billettique ERG ».
La Commission relève qu'il existe une interconnexion avec un traitement relatif à la gestion des accès et des habilitations non légalement mis en œuvre.
À cet égard, elle demande que le traitement relatif à la gestion des accès et des habilitations lui soit soumis dans les meilleurs délais.

VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
En outre, la Commission demande qu'une journalisation automatisée des accès au traitement soit mise en place et elle rappelle que la copie ou l'extraction d'informations issues de ce traitement doit être chiffré sur son support de réception.
La Commission rappelle par ailleurs que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.

VIII. Sur la durée de conservation
Le responsable de traitement indique que les informations sont conservées 6 ans.
L'identifiant, est conservé pour la durée du contrat de travail du salarié utilisateur.
Aussi, elle considère que la durée de conservation des informations est conforme à l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
Après en avoir délibéré, la Commission :
Constate que l'accès distant du prestataire est sécurisé.
Considère que le responsable IT a accès en extraction des données de l'application billettique ERG.
Relève que sont également collectées les informations relatives aux recettes effectuées par les chauffeurs, les recettes et dépenses relatives aux clients et fournisseurs, le bilan comptable, le compte d'exploitation, le compte de pertes profits, le grand livre.
Demande que :
- le traitement relatif à la gestion des accès et des habilitations lui soit soumis dans les meilleurs délais ;
- une journalisation automatisée des accès au traitement soit mise en place ;
- les fournisseurs et les clients bénéficient d'une information préalable.
Rappelle que :
- la communication aux Autorités fiscales françaises ne pourra se faire que par le biais de la Direction des Services Fiscaux de la Principauté, conformément à l'article 20 de la Convention fiscale franco monégasque ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort ;
- que la copie ou l'extraction d'informations issues de ce traitement doit être chiffré sur son support de réception.
À la condition de la prise en compte des éléments qui précèdent,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par la Compagnie des Autobus de Monaco du traitement automatisé d'informations nominatives ayant pour finalité « Gestion établissement de la comptabilité ».


Le Président de la Commission de
Contrôle des Informations Nominatives.

Print article
Previous article Return to summary Next article

All rights reserved - Monaco 2016
Version 2018.11.07.14