Délibération n° 2024‑18 du 21 février 2024 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « La gestion administrative des fonctionnaires, agents de l'État et assimilés du Conseil National » présenté par la Présidente du Conseil National.
Vu la Constitution ;
Vu la Convention de sauvegarde des Droits de l’Homme et des Libertés fondamentales du Conseil de l’Europe du 4 novembre 1950, et notamment son article 10 ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 et son protocole additionnel ;
Vu la loi n° 771 du 25 juillet 1964 sur l’organisation et le fonctionnement du Conseil National, modifiée ;
Vu la loi n° 975 du 12 juillet 1975 portant statut des fonctionnaires de l’État, modifiée ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’Ordonnance Souveraine n° 9.640 du 23 décembre 2022 portant dispositions générales de caractère statutaire applicables aux agents contractuels de l’État ;
Vu la délibération n° 2011‑82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la demande d’avis déposée par la Présidente du Conseil National le 25 octobre 2023 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « La gestion administrative des fonctionnaires, agents de l’État et assimilés du Conseil National » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 21 décembre 2023, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 21 février 2024 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Le Conseil National est une Institution publique consacrée par la Constitution, ainsi que par la loi n° 771 du 25 juillet 1964, susvisée.
Ses Services relèvent de l’autorité hiérarchique du Président du Conseil National, dont le fonctionnement est défini par un Règlement Intérieur soumis au contrôle du Tribunal Suprême.
Ainsi, le Conseil National revêt le statut d’Autorité publique au sens de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives.
Afin d’assurer la bonne gestion de son personnel et l’organisation du travail, notamment des recrutements, des entretiens annuels, des promotions, des mutations, des arrêts de travail, des absences et des formations, le Conseil National se doit de recueillir des informations personnelles.
Ledit traitement, objet de la présente délibération, est donc soumis à l’avis de la Commission conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « La gestion administrative des fonctionnaires, agents de l’État et assimilés du Conseil National ».
Les personnes concernées sont les fonctionnaires, les agents de l’État, les suppléants et les stagiaires du Conseil National, ci-après dénommés « Permanents ».
Enfin, le responsable de traitement indique que les fonctionnalités sont les suivantes :
- la gestion des recrutements, des renouvellements, des suppléances et des fins de contrat, telle que prévue par la législation monégasque en lien avec la Direction des Ressources Humaines et de la Formation de la Fonction Publique (DRHFFP) ;
- le suivi administratif des visites médicales obligatoires, des accidents du travail et de maladie professionnelle, des congés de maternité et de paternité, en lien avec l’Office de la Médecine du Travail (OMT) et le Service des Prestations Médicales de l’État (SPME) ;
- la collecte des données de santé qui ont des incidences directes avec l’organisation du travail et les missions des Permanents ;
- l’établissement et la mise à jour du dossier administratif des Permanents en lien avec la DRHFFP : fiches de poste, situations professionnelles, historiques de carrières, compétences et diplômes ;
- la gestion des compétences et des évaluations professionnelles : gestion des entretiens d’évaluation et des appréciations des aptitudes professionnelles, saisie des observations et des souhaits formulés par les Permanents ;
- le suivi des formations : suivi des demandes de formation et des formations effectuées ;
- la gestion et le suivi des congés, des absences, des plannings quotidiens, des permanences et des astreintes ;
- l’établissement des annuaires internes ;
- la gestion et le suivi des heures supplémentaires, des récupérations et des horaires dynamiques ;
- l’établissement d’un trombinoscope ;
- l’établissement de statistiques non nominatives.
Au vu de ce qui précède, la Commission considère que la finalité du traitement est déterminée et explicite conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le traitement est justifié par une obligation légale visée par le statut des fonctionnaires de l’État et les dispositions générales de caractère statutaire applicables aux agents contractuels de l’État.
Il indique que le traitement est également justifié par « la réalisation d’un intérêt légitime poursuivi [par lui et qui] ne méconnait ni l’intérêt, ni les droits et libertés fondamentaux de la personne concernée », à savoir assurer le bon fonctionnement du Conseil National.
Enfin, le responsable de traitement précise que les informations facultatives sont collectées avec le consentement de la personne concernée.
Au vu de ce qui précède, la Commission considère donc que le traitement est licite et justifié, conformément aux dispositions des articles 10‑1 et 10‑2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Les informations traitées sont les suivantes :
- identité : noms, prénoms, sexe, date et lieu de naissance, nationalité, numéro de matricule SPME ;
- image (facultatif) : photo pour le trombinoscope ;
- coordonnées : coordonnées professionnelles et personnelles, lieu d’habitation, le cas échéant, identité et coordonnées des personnes à contacter en cas d’urgence ;
- identité des enfants (facultatif) : noms, prénoms, sexe, date de naissance ;
- situation de famille (champs libres) : marié, veuf, célibataire,… ;
- informations professionnelles : nature de l’emploi, poste occupé, fonction ou titre ;
- copie d’un document d’identité : identification et numéro de la pièce, date et lieu de délivrance, date de validité ;
- distinctions honorifiques (facultatif) : médailles, décorations et titres historiques ;
- informations liées au contrat de travail : date et conditions de recrutement, type de contrat de travail, date d’entrée et date de fin de contrat, échelle indiciaire et indemnités ;
- informations liées à la carrière : objet et motif des modifications apportées à la situation professionnelle du Permanent, souhait du Permanent en terme de carrière, sanctions disciplinaires à l’exclusion de celles consécutives à des faits amnistiés ;
- informations relatives aux évaluations professionnelles : date des entretiens d’évaluation, identité de l’évaluateur, compétences professionnelles du Permanent, objectifs assignés, résultats obtenus, appréciation des aptitudes professionnelles sur la base de critères objectifs et présentant un lien direct et nécessaire avec le poste occupé, observations et souhaits formulés par le Permanent, prévision d’évolution de carrière ;
- informations relatives à la validation des acquis de l’expérience : date de la demande de validation, diplômes, titre ou certificat de qualification concerné, expériences, professionnelles soumises à validation, validation(oui/non), date de la décision ;
- informations relatives à la formation : certificats et attestations, langues étrangères pratiquées, suivi des demandes de formation professionnelle et des périodes de formation effectuées, organisation des sessions de formation, évaluation des connaissances et des formations ;
- informations relatives au permis de conduire (dans certains cas) : type de permis, date et lieux de délivrance, état du permis ;
- informations relatives aux congés et au temps travaillé et aux demandes de disponibilité/ de départ anticipé à la retraite : date de la demande, date du refus ou de l’acceptation, nature des congés (congé annuel, maladie, congé maternité et paternité,…), nature des absences (récupération, formation,…), heures supplémentaires ;
- informations particulières relatives aux Permanents disposant d’un mandat : indication du mandat, mention du crédit d’heures de délégation si de droit ;
- organisation du travail : planning, présences, astreintes ;
- informations liées à la gestion des déclarations d’accident du travail et aux maladies professionnelles : coordonnées du médecin du travail, date de l’accident ou de la première constatation médicale de la maladie professionnelle, date du dernier jour de travail, date de reprise, motif de l’arrêt (raison médicale, accident du travail, maladie professionnelle) ;
- informations permettant le suivi administratif des visites médicales : date des visites, aptitude au poste de travail (apte ou inapte, propositions d’adaptation du poste de travail ou d’affectation à un autre poste de travail formulées par le médecin du travail) ;
- préférences alimentaires/allergies : éviction de certains aliments ;
- données d’identification électronique : logs de connexion, horodatage de connexion au fichier.
Concernant la photo destinée au trombinoscope, la Commission prend acte que celle-ci fait l’objet d’une demande de consentement par courriel lors de l’invitation à la séance photo adressée au Permanent. Ladite photo a pour origine le service Communication.
Les informations liées à l’identité, les coordonnées, les informations liées à l’identité des enfants et à la situation de famille, les informations professionnelles les copies de documents d’identité, les distinctions honorifiques, les informations liées au contrat de travail, à la carrière, aux évaluations professionnelles, à la validation des acquis et à la formation ainsi que les informations particulières relatives aux Permanents ont pour origine le fichier des Ressources Humaines.
Les informations relatives au permis de conduire ont pour origine le fichier des Ressources Humaines et le Permanent.
Les informations relatives aux congés et au temps de travail et aux demandes de disponibilité/de départ anticipé à la retraite ont pour origine la badgeuse et le Permanent.
Les informations relatives à l’organisation du travail ont pour origine les fichiers Excel circonscrits aux services.
Les informations liées à la gestion des déclarations d’accidents du travail et aux maladies professionnelles ont pour origine le Secrétaire Général, son adjoint, le responsable RH, les chefs de Pole, l’Office de la Médecine du Travail (OMT) et le Permanent.
Les informations permettant le suivi administratif des visites médicales ont pour origine la DRHFFP, les SPME et l’OMT.
Les préférences alimentaires/allergies ont pour origine les personnes concernées.
Enfin les données d’identification électronique ont pour origine le Système d’Information.
La Commission considère ainsi que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
- Sur l’information préalable des personnes concernées
Le responsable de traitement indique que les personnes concernées par le traitement dont s’agit « sont informées lors de l’entretien d’embauche et en signant la Charte Informatique du Conseil, et si nécessaire ultérieurement via des communications internes du Secrétaire Général ».
L’ensemble de ces documents n’ayant pas été joints à la demande, la Commission rappelle que l’information préalable des personnes concernées doit impérativement comporter les mentions prévues à l’article 14 de la loi n° 1.165 du 23 décembre 1993.
- Sur l’exercice du droit d’accès
Le responsable de traitement indique que le droit d’accès s’exerce par voie postale ou par courrier électronique auprès du Secrétaire Général du Conseil National.
À cet égard, la Commission relève que la réponse à ce droit d’accès interviendra dans le mois suivant la réception de la demande.
S’agissant de l’exercice du droit d’accès par voie électronique, elle constate qu’une procédure sera mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute, que l’expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, la Commission précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015‑116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.
La Commission considère que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.
V. Sur les destinataires et les personnes ayant accès au traitement
- Sur les destinataires
Le responsable de traitement indique que les informations relatives à l’identité, à la carrière, aux évaluations professionnelles, à la validation des acquis de l’expérience et à la formation des Permanents ainsi que les informations particulières relatives aux Permanents disposant d’un mandat peuvent être communiquées à la DRHFFP.
Les coordonnées peuvent être communiquées à l’OMT.
Les informations relatives à l’identité des enfants et à la situation de famille peuvent être communiquées à la DRHFFP et au SPME.
Les informations professionnelles peuvent être communiquées à la DRHFFP et à la Direction du Budget et du Trésor.
Les copies d’un document d’identité peuvent être communiquées aux compagnies d’assurance voyages et véhicules du Conseil National.
Les informations liées au contrat de travail peuvent être communiquées à la DRHFFP, à la Direction du Budget et du Trésor, au SPME et à la Trésorerie Générale des Finances (TGF).
Les informations relatives au permis de conduire peuvent être communiquées à la DRHFFP, à la Direction de la Sûreté Publique et aux assurances véhicules et voyages.
Les informations relatives aux congés et au temps travaillé et aux demandes de disponibilité/de départ anticipé à la retraite peuvent être communiquées à la DRHFFP, au SPME et à la Direction du Budget et du Trésor.
Les données d’identification électroniques peuvent être communiquées à la Direction de la Sûreté Publique.
Les informations relatives à la gestion des déclarations d’accident du travail et aux maladies professionnelles peuvent être communiquées à la DRHFFP, au SPME, à l’OMT (sur les informations qui la concernent) et à la Direction de la Sûreté Publique (pour les accidents de travail).
Enfin, les informations permettant le suivi administratif des visites médicales peuvent être communiquées à la DRHFFP, au SPME et à l’OMT (sur les informations qui la concernent).
La Commission en prend acte.
Elle rappelle toutefois que les communications d’informations doivent être sécurisées en tenant compte de la nature des informations transmises.
Par ailleurs, concernant les communications d’informations à la Direction de la Sûreté Publique, la Commission considère que cette communication peut être justifiée par les besoins d’une enquête judiciaire. À cet égard, elle rappelle qu’en cas de transmission, ladite Direction ne pourra avoir accès aux informations objet du traitement, que dans le strict cadre de ses missions légalement conférées.
Sous ces conditions, elle considère donc que de telles transmissions sont conformes aux exigences légales.
- Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
- la Présidente du Conseil National (en charge de la direction de l’Institution) : en consultation ;
- le Secrétaire Général et son adjoint : collecte et mise à jour des données ;
- le responsable des Ressources Humaines : collecte et mise à jour des données ;
- les responsables de pôle du Conseil National ; consultation uniquement des informations nécessaires à la gestion de leur équipe (telles que fiches de poste, entretiens d’évaluation, planning,…) ;
- le responsable informatique, son adjoint et l’ensemble des personnes ayant en charge la gestion et la sécurité du système informatique du Conseil National : tous droits dans le cadre de leurs opérations de gestion, sécurisation et maintenance du système informatique ;
- les prestataires informatiques : tous droits dans le cadre de leurs opérations de gestion, sécurisation et maintenance du système informatique.
Considérant les attributions de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.
VI. Sur les rapprochements et les interconnexions
Le responsable de traitement indique que le présent traitement fait l’objet de deux rapprochements avec les traitements ayant respectivement pour finalité « Gestion de la messagerie professionnelle du Conseil National » et « Gestion dynamique des horaires, des congés, des présences et des absences du Conseil National ».
La Commission constate que ces traitements ont été légalement mis en œuvre et que les rapprochements sont conformes aux exigences légales.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
La Commission rappelle toutefois que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
Elle rappelle également que la copie ou l’extraction d’informations issues de ce traitement devra être chiffrée sur son support de réception.
VIII. Sur les durées de conservation
Le responsable de traitement indique que les informations sont conservées une année après la fin de l’affectation au Conseil National, à l’exception des informations relatives au permis de conduire, des informations liées à la gestion des déclarations d’accident du travail et aux maladies professionnelles, des informations permettant le suivi administratif des visites médicales et les préférences alimentaires qui ne sont conservées que le temps de l’affectation au Conseil National.
Il précise par ailleurs que les informations particulières relatives aux Permanents disposant d’un mandat sont conservées le temps de la mandature plus une année.
Enfin, les données d’identification électronique sont conservées 1 an.
La Commission considère ainsi que ces durées sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Rappelle que :
- l’information préalable des personnes concernées doit impérativement comporter les mentions prévues à l’article 14 de la loi n° 1.165 du 23 décembre 1993 ;
- la Direction de la Sûreté Publique ne peut avoir accès aux informations objet du traitement que dans le strict cadre de ses missions légalement conférées ;
- la copie ou l’extraction d’informations issues de ce traitement devra être chiffrée sur son support de réception ;
- les communications d’informations doivent être sécurisées en tenant compte de la nature des informations transmises.
À la condition de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par la Présidente du Conseil National, du traitement automatisé d’informations nominatives ayant pour finalité « La gestion administrative des fonctionnaires, agents de l’État et assimilés du Conseil National ».
Le Président de la Commission de Contrôle
des Informations Nominatives.