Délibération n° 2021-250 du 17 novembre 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion et supervision de la messagerie professionnelle » exploité par l'Office de la Médecine du Travail.
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’Ordonnance Souveraine n° 1.857 du 3 septembre 1958 relative à l’organisation et au fonctionnement de la médecine du travail, modifiée ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’arrêté ministériel n° 2010-638 du 23 décembre 2010 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la demande d’avis déposée par l’Office de la Médecine du Travail le 9 août 2021 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Gestion et supervision de la messagerie professionnelle » ;
Vu la prorogation du délai d’examen de ladite demande d’avis notifiée au responsable de traitement le 7 octobre 2021, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 17 novembre 2021 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
L’Office de la Médecine du Travail (OMT), responsable de traitement, est un organisme de droit privé investi d’une mission d’intérêt général au sens de l’arrêté ministériel n° 2010-638 du 23 décembre 2010 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993.
Dans le cadre de l’exercice de leurs fonctions, les salariés de cet organisme disposent d’une messagerie professionnelle faisant l’objet d’une supervision.
Ainsi, le traitement d’informations nominatives objet de la présente délibération est soumis à l’avis de la Commission conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Ce traitement a pour finalité « Gestion et supervision de la messagerie professionnelle ».
Les personnes concernées sont les salariés de l’OMT et l’ensemble des expéditeurs et destinataires.
Enfin, les fonctionnalités sont les suivantes :
- échange de messages électroniques en interne ou avec l’extérieur ;
- historisation des messages électroniques entrants et sortants ;
- gestion des contacts de la messagerie électronique ;
- établissement et lecture de fichiers journaux ;
- gestion des comptes de messagerie ;
- gestion des habilitations d’accès à la messagerie ;
- contrôle des règles professionnelles liées à l’usage de la messagerie électronique professionnelle ;
- établissement de preuves en cas de litige avec tiers ou un salarié de l’OMT.
La Commission constate ainsi que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le traitement dont s’agit est justifié par « la réalisation d’un intérêt légitime poursuivi [par lui et qui] ne méconnaît ni l’intérêt, ni les droits et libertés fondamentaux de la personne concernée ».
La Commission constate ainsi que le traitement répond à la « Nécessité de disposer d’une messagerie électronique pour les échanges internes et externes à des fins d’optimisation et d’accomplissement des missions de l’OMT ».
Le responsable de traitement précise par ailleurs que ce traitement permet également le « Contrôle du respect des règles internes d’usage des outils de communication électronique et de la charte informatique ».
La Commission prend acte que ce contrôle consiste uniquement à la simple vérification du respect des règles d’usage définies dans la charte informatique, et plus particulièrement de son paragraphe 7, qui précise les conditions d’utilisation de la messagerie professionnelle.
À la lecture de celle-ci, la Commission relève notamment que « L’utilisation de la messagerie à des fins privées est tolérée avec un usage modéré n’impactant pas la qualité du travail et la disponibilité des collaborateurs ».
Elle note qu’« il appartient à l’utilisateur d’identifier ses messages comme étant personnels en ajoutant la mention « Personnel » dans la rubrique « Objet » ou en les classant dans un dossier mentionné « Personnel » ».
Le responsable de traitement précise en outre qu’« Un message identifié comme personnel sera considéré comme une correspondance privée, et l’OMT s’engage à en respecter le secret ».
La Commission relève enfin que la charte informatique prévoit, si certains utilisateurs le jugent utile, la mise en place de « comptes de messagerie partagés » qui ne doivent alors « en aucun cas être utilisés pour l’envoi, la réception ou le stockage de messages personnels ».
Au vu de ce qui précède, la Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations nominatives traitées
Le responsable de traitement indique que les informations nominatives traitées sont :
- identité : nom, prénom ;
- données d’identification électronique : adresse de messagerie électronique ;
- habilitations : identité des personnes habilitées à avoir accès à la messagerie, type de droits conférés ;
- messages : date et heure, expéditeur, destinataires, objet, contenu ;
- contacts : nom, prénom, raison sociale, fonction, adresse mail, n° de téléphone, fax, adresse ;
- fichiers journaux (metadonnées) : date et heure de chaque message, objet, expéditeur, destinataires, adresse IP des serveurs émetteur et récepteur ;
- logs d’accès : journal de connexion des utilisateurs ;
- statistiques : nombre de messages entrants, nombre de messages sortants, nombre de messages nettoyés, nombre de messages mis en quarantaine (spams), nombre de messages libérés, volume des messages, format des messages, format des pièces jointes.
Les informations relatives à l’identité ont pour origine le traitement ayant pour finalité « Gestion administrative des salariés ».
Les données d’identification électronique et les habilitations sont créées par le service informatique.
Les messages et les contacts ont pour origine les personnes concernées.
Enfin, les fichiers journaux, les logs d’accès et les statistiques ont pour origine le serveur de messagerie.
La Commission considère ainsi que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
- Sur l’information préalable des personnes concernées
L’information préalable des personnes concernées est effectuée par le biais de la charte informatique pour les salariés et par le biais d’une mention en bas des emails pour les destinataires.
Si la mention en bas des emails n’appelle pas d’observation particulière, la Commission constate que la charte informatique ne comporte pas l’ensemble des mentions prévues à l’article 14 de la loi n° 1.165 du 23 décembre 1993, notamment les modalités pour l’exercice du droit d’accès.
Elle demande donc que ce document soit complété en ce sens.
- Sur l’exercice du droit d’accès, de modification et de mise à jour
Le responsable de traitement indique que le droit d’accès s’exerce par voie postale auprès de la Direction.
À cet égard, la Commission rappelle que la réponse à ce droit d’accès doit s’exercer dans le mois suivant la réception de la demande.
Sous cette réserve, elle constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.
V. Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
- les salariés : tous droits concernant leur propre messagerie ;
- les administrateurs système et réseau de l’OMT : administration et maintenance.
La Commission prend acte des précisions du responsable de traitement selon lesquelles, en cas d’absence, les collaborateurs « peuvent configurer une réponse automatique d’absence. Ils peuvent aussi éventuellement déléguer l’accès à leur messagerie à un autre collaborateur ».
Elle note en outre qu’il n’y a cependant pas dans les procédures actuelles de délégation systématique et que « La continuité de service est assurée de préférence par l’utilisation de boites aux lettres partagées ou de listes de distributions ».
Enfin, le responsable de traitement indique toutefois qu’« en cas de nécessité, s’agissant d’une messagerie professionnelle, la direction de l’OMT se réserve le droit d’accéder à la messagerie d’un salarié sans méconnaître les droits de ce dernier ».
Considérant les attributions de chacune de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.
VI. Sur les interconnexions et rapprochements
Le responsable de traitement indique que le présent traitement fait l’objet de deux interconnexions avec les traitements ayant respectivement pour finalité « Gestion administrative des salariés » et « Gestion des habilitations, de la sécurité et de la traçabilité des accès ».
La Commission prend acte que ces traitements ont été légalement mis en œuvre.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient appellent plusieurs observations.
La Commission rappelle néanmoins que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Elle rappelle également que la copie ou l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception.
Enfin, la Commission rappelle que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur les durées de conservation
Le responsable de traitement indique que les informations relatives à l’identité, les données d’identification électronique ainsi que les habilitations, les contacts et les messages sont conservés 1 mois maximum après le départ de l’utilisateur.
Par ailleurs, les fichiers journaux, les logs d’accès et les statistiques sont conservés 1 an maximum.
La Commission tient toutefois à rappeler que « lors du départ définitif d’un salarié sa boite email nominative doit être « bloquée » c’est à dire qu’elle ne doit plus pouvoir recevoir d’emails, ni en envoyer, à l’exception d’un message automatique qui sera adressé à chaque personne ayant envoyé un email à l’adresse concernée. Ce message automatique a vocation à informer l’expéditeur de l’email que son interlocuteur ne travaille plus au sein de l’entité, et qu’il devra désormais envoyer ses emails à telle ou telle adresse. Ceci pourra être pratiqué pendant 3 mois au maximum, selon les fonctions et le degré de responsabilité de l’ancien salarié ».
Elle rappelle en outre qu’« À l’échéance de cette période l’adresse email nominative de l’ancien salarié sera désactivée (supprimée) » et que « L’employeur doit permettre au salarié de récupérer les emails privés susceptibles de se trouver dans sa boite email nominative professionnelle ».
Sous ces conditions, la Commission considère que ces durées sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Rappelle que :
- la réponse au droit d’accès doit s’exercer dans le mois suivant la réception de la demande ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
- la copie ou l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception.
Demande que la charte informatique soit complétée afin de comporter l’ensemble des mentions prévues à l’article 14 de la loi n° 1.165 du 23 décembre 1993, notamment les modalités pour l’exercice du droit d’accès.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par l’Office de la Médecine du Travail du traitement automatisé d’informations nominatives ayant pour finalité « Gestion et supervision de la messagerie professionnelle ».
Le Président de la Commission de
Contrôle des Informations Nominatives.