Délibération n° 2020-41 du 19 février 2020 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Demander une dérogation relative aux jours fériés légaux » du Service de l'Inspection du Travail présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 798 du 18 février 1966 portant fixation des jours fériés légaux ;
Vu la loi n° 800 du 18 février 1966 régissant la rémunération et les conditions de travail relatives aux jours fériés légaux ;
Vu la loi n° 537 du 12 mai 1951 relative à l'Inspection du Travail ;
Vu l'Ordonnance Souveraine n° 16.675 du 18 février 2002 portant création d'une Direction du Travail ;
Vu l'Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l'Administration et l'administré ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la demande d'avis déposée par le Ministre d'État, le 11 novembre 2019, concernant la mise en œuvre d'un traitement automatisé ayant pour finalité « Demander une dérogation relative aux jours fériés légaux » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 10 janvier 2020, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 19 février 2020 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Direction du Travail, et plus spécifiquement l'Inspection du Travail, est en charge d'analyser les demandes de dérogations au principe de chômage des jours fériés légaux.
Afin de faciliter les démarches des entreprises souhaitant solliciter de cette Direction une dérogation à cet encadrement, l'État souhaite mettre en œuvre un téléservice permettant le dépôt d'une telle demande.
Ainsi, le traitement automatisé d'informations nominatives objet de la présente est soumis à l'avis de la Commission, conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Demander une dérogation relative aux jours fériés légaux ».
Il concerne les employeurs et ses salariés, et les fonctionnaires et agents de l'État en charge du dossier.
Aussi, la démarche en ligne mise en place à cette fin a pour fonctionnalités :
- Saisie des informations sur l'entreprise ;
- Saisie des informations sur le type de dérogation demandé ;
- Saisie des informations professionnelles sur les salarié(s) concerné(s) par la dérogation ;
- Envoi de pièces justificatives ;
- Envoi des courriels de suivi des demandes aux entreprises ;
- Saisie d'informations complémentaires d'une demande incomplète ;
- Annulation d'une demande par l'entreprise ;
- Envoi d'un courriel de confirmation de désinscription à la démarche en ligne.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par le consentement des personnes concernées, le respect d'une obligation légale et la réalisation d'un intérêt légitime sans que ne soient méconnus les droits et libertés fondamentaux de la personne concernée.
À cet égard, le responsable de traitement indique que « le consentement est formalisé par l'obligation préalable d'accepter les conditions générales d'utilisation. L'accord des personnes concernées est donc indispensable pour la création du compte sécurisé et pour l'accès à la démarche en ligne ».
L'intérêt légitime trouve son fondement dans la volonté de l'Administration de simplifier la démarche des usagers, et « s'inscrit dans le cadre de l'Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l'Administration et l'administré ».
En outre, la Commission relève que le téléservice permet aux employeurs de demander des dérogations au chômage des jours fériés de manière simplifiée et conforme aux dispositions de la loi n° 798 portant fixation des jours fériés légaux et de l'article 7 de la loi n° 800 régissant la rémunération et les conditions de travail relatives aux jours fériés légaux.
En effet, l'article 2 de la loi n° 800 dispose que « les jours fériés fixés par l'article 1er, de la loi n° 798 du 18 février 1966 sont obligatoirement chômés et payés quel que soit leur mode de rémunération (…) » ; tandis que l'article 7 de la même loi dispose que « (…) des dérogations aux dispositions des articles 2 et 3 pourront être accordées par l'inspecteur du travail, à la demande de l'employeur, après consultation des délégués du personnel ou, à défaut, des travailleurs intéressés ».
Enfin, il est précisé que le sondage « sera traité anonymement par la Direction de l'Administration Numérique », chargée notamment d'identifier et d'analyser les attentes des usagers en matières de procédures et d'information administratives.
La Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Les informations nominatives traitées sont :
- identité/situation de famille : numéro CAR, nom de l'entreprise, raison sociale, nom prénom du demandeur ;
- adresses et coordonnées : adresse de l'entreprise, téléphone de l'entreprise ;
- données d'identification électronique : identifiant technique de l'usager ;
- informations temporelles : horodatages, etc. : données d'horodatage ;
- données de connexion : log de connexion de l'usager, données de messagerie de l'usager ;
- contenu de la demande : jours fériés légaux demandés, motivations de la demande, personnels concernés par la demande, présence de délégués du personnel, avis des délégués du personnel ou des travailleurs intéressés.
La Commission relève également que l'employeur a la possibilité de joindre tout document utile à sa demande. Elle attire l'attention sur le fait que si des données personnelles devaient y être jointes, il convient d'en informer les personnes concernées.
Par ailleurs, les informations ont pour origine la personne concernée (contact employeur) lors de son adhésion au dispositif, excepté les données d'identification électronique, les informations temporelles et les données de connexion qui proviennent du système.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
IV. Sur les droits des personnes concernées
- Sur l'information préalable des personnes concernées
L'information préalable des personnes concernées est réalisée par le biais d'une mention particulière intégrée dans un document d'ordre général accessible en ligne, à savoir les conditions générales d'utilisation de la démarche en ligne que l'usager doit accepter et peut consulter dès l'accès à la démarche.
Ces dernières n'étant pas jointes au dossier, la Commission rappelle que les personnes concernées doivent être informées de manière conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.
Elle attire également l'attention de la Direction du Travail sur la nécessité de sensibiliser les employeurs qui se doivent d'informer leurs salariés de la communication de leurs informations vers le présent traitement. En effet, ces derniers ne peuvent être directement informés par la Direction du Travail de l'existence de celui-ci.
- Sur l'exercice du droit d'accès, de modification et de mise à jour
Le droit d'accès est exercé sur place, par voie postale, par accès en ligne au dossier, ou par courrier électronique auprès du service de l'Inspection du Travail.
S'agissant de l'exercice du droit d'accès par voie électronique, la Commission considère qu'une procédure devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d'un document d'identité était demandée, la transmission et le traitement de ce document devront faire l'objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d'identité officiels.
Sous cette réserve, elle constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
La Commission constate que le responsable de traitement peut communiquer à l'Institut Monégasque de la Statistique et des Études Économiques (IMSEE) dans le cadre de la collecte de données à des fins statistiques, conformément aux dispositions de l'Ordonnance Souveraine n° 3.095 du 24 janvier 2011 portant création de l'Institut Monégasque de la Statistique et des Études Économiques et du Conseil Scientifique de la Statistique et des Études Économiques, modifiée, une extraction anonymisée du présent traitement.
Par ailleurs, les accès sont définis comme suit :
- les personnels de l'Inspection du Travail : tous droits ;
- les personnels administratifs de la Direction des Réseaux et Systèmes d'Information (DRSI) ou tiers intervenant pour son compte : tout accès dans le cadre des missions de maintenance, développement des applicatifs nécessaires au fonctionnement du site et de sécurité du site et du système d'information de l'État ;
- les Personnels de la Direction de l'Administration Numérique ou tiers intervenant pour son compte ayant un rôle d'assistance à maîtrise d'ouvrage sur la procédure : tous droits.
En ce qui concerne les prestataires, la Commission rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993 les droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de leur contrat de prestation de service. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission relève par ailleurs que les personnes déclarantes disposent d'un accès à leur propre compte.
Elle considère que ces accès sont justifiés.
VI. Sur les interconnexions
Le présent traitement fait l'objet d'interconnexions avec les traitements suivants :
- « Gestion du compte permettant aux usagers d'entreprendre des démarches par téléservices », légalement mis en œuvre ;
- « Gérer les habilitations des agents et fonctionnaires de l'État aux téléservices contenus dans le « Guichet Virtuel » », légalement mis en œuvre.
Lesdits traitements ont pour vocation de permettre l'accès sécurisé des usagers à la démarche et de gérer les habilitations des personnels de l'État, dans le respect des cadres fixés dans les délibérations y relatives de la Commission portant avis favorables à leur mise en œuvre.
La Commission relève également que le traitement est interconnecté avec l'ensemble des messageries mises en œuvre par l'État.
Elle considère que ces interconnexions sont conformes aux exigences légales.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Cependant, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
La Commission rappelle enfin que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII. Sur la durée de conservation
Les données sont conservées 5 ans à compter de leur collecte, excepté les données d'identification électronique, les informations temporelles et les données de connexion qui sont effacées au bout d'un an.
La Commission relève que ces délais sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Rappelle que :
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
- les personnes concernées doivent être informées de manière conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993.
Considère qu'une procédure relative au droit d'accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations.
Demande que le Service de l'Inspection du Travail attire l'attention des employeurs sur la nécessité d'informer les salariés de la communication de leurs informations vers le présent traitement.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État, du traitement automatisé d'informations nominatives ayant pour finalité « Demander une dérogation relative aux jours fériés légaux » du Service de l'Inspection du Travail.
Le Président de la Commission de Contrôle des Informations Nominatives.