Délibération n° 2018-106 du 18 juillet 2018 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Contrôle d'accès par badge non biométrique aux locaux Monégasques du CHPG » présenté par le Centre Hospitalier Princesse Grace.
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 127 du 15 janvier 1930 constituant l'hôpital en établissement public autonome ;
Vu la loi n° 918 du 27 décembre 1971 sur les établissements publics ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 5.095 du 14 février 1973 sur l'organisation et le fonctionnement du Centre Hospitalier Princesse Grace, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la demande d'avis déposée par le Centre Hospitalier Princesse Grace, le 18 mai 2018, portant sur la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Contrôle d'accès par badge aux locaux monégasques du CHPG » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 16 juillet 2018, conformément à l'article 19 l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 18 juillet 2018 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Aux termes de la loi n° 127 du 15 janvier 1930, le Centre Hospitalier Princesse Grace (CHPG) est un établissement public autonome.
Le traitement d'informations nominatives objet de la présente délibération est donc soumis à l'avis de la Commission conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993\.
I. Sur la finalité et les fonctionnalités du traitement
Le responsable de traitement indique que le traitement a pour finalité « Contrôle d'accès par badge aux locaux Monégasques du CHPG ».
Il indique que les personnes concernées sont tous les personnels et les prestataires.
Enfin, les fonctionnalités sont les suivantes :
- le contrôle d'accès et sortie par badge aux différents bâtiments ;
- le contrôle d'accès par badge à certains locaux limitativement identifiés ;
- le cas échéant, la constitution de preuves en cas d'infraction ;
- la sécurité des biens et des personnes ;
- la traçabilité des accès aux ressources stockées sur l'AS400.
La Commission rappelle toutefois que tout traitement d'informations nominatives doit avoir une finalité « déterminée, explicite et légitime » aux termes de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
En l'espèce, la finalité du présent traitement doit être plus explicite c'est-à-dire être claire et précise pour les personnes concernées en indiquant que les badges dont s'agit sont non biométriques.
Par conséquent, elle modifie la finalité comme suit : « Contrôle d'accès par badge non biométrique aux locaux Monégasques du CHPG ».
II. Sur la licéité et la justification du traitement
Ce traitement est justifié par la réalisation d'un intérêt légitime poursuivi par le responsable de traitement sans que soient méconnus les droits et libertés fondamentaux des personnes concernées.
La Commission note ainsi que le traitement dont s'agit va permettre de restreindre certains accès aux locaux sensibles aux seules personnes habilitées (économat, salle de production informatique,…).
Elle prend acte des précisions de responsable de traitement selon lesquelles ce traitement est « uniquement mis en place à des fins sécuritaires et n'a pas pour but de conduire à une surveillance permanente et inopportune du personnel ou de leurs prestataires, ni de permettre le contrôle du travail ou du temps de travail du personnel au sein de l'établissement ».
Enfin, la Commission constate que seuls les badges des personnels comportent une photo et que cette photo est prise après accord de la personne concernée.
Elle considère donc que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993\.
III. Sur les informations traitées
Les informations nominatives traitées de manière automatisée sont :
- identité : nom, prénom, numéro de matricule, code numéro de service d'affection, service d'affectation, photo et numéro de badge pour le personnel, nom, prénom et non de la société pour le prestataire ;
- données d'identification électronique : logs de connexion administrateur ;
- accès aux locaux : numéro de la porte d'entrée, de sortie ou du point de passage ;
- informations temporelles : date et heure d'entrée, date et heure de sortie, date et heure de passage à une zone à accès restreint ;
- dates : date d'entrée au CHPG, date de fin de fonction.
Les informations relatives à l'identité et aux dates ont pour origine le traitement automatisé ayant pour finalité « Gestion des ressources humaines et paie » pour les personnels, le « Service informatique » pour les prestataires de la DSIO et le « Service technique » pour les prestataires du service technique.
Les données d'identification électronique, les informations relatives aux accès aux locaux et les informations temporelles ont pour origine le système de contrôle d'accès.
La Commission considère ainsi que les informations collectées au sein dudit traitement sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément à l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
IV. Sur les droits des personnes concernées
- Sur l'information préalable des personnes concernées
L'information préalable des personnes concernées est réalisée par un document spécifique.
Ce document n'ayant pas été joint à la demande, la Commission rappelle que l'information des personnes concernées doit impérativement être conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993\.
Elle rappelle par ailleurs que cette information préalable doit être effectuée auprès de l'ensemble des personnes concernées par le traitement dont s'agit, y compris les prestataires.
- Sur l'exercice du droit d'accès, de modification et de mise à jour
Le droit d'accès des personnes concernées par le traitement s'exerce sur place, auprès de la Direction du CHPG.
La Commission constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 la loi n° 1.165 du 23 décembre 1993.
V. Sur les destinataires et les personnes ayant accès au traitement
- Sur les destinataires
Les informations sont susceptibles d'être communiquées à la Direction de la Sûreté Publique.
La Commission estime que la communication à la Direction de la Sûreté Publique peut être justifiée pour les besoins d'une enquête judiciaire.
À cet égard, elle rappelle qu'en cas de transmission, ladite Direction ne pourra avoir communication des informations que dans le strict cadre de ses missions légalement conférées.
La Commission considère donc que ces transmissions sont conformes aux exigences légales.
- Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
- le responsable du service technique et son adjoint : tous accès dans le cadre de l'administration des accès ;
- les agents habilités du service technique : accès en consultation et en modification ;
- le prestataire : tous droits dans le cadre de ses opérations de maintenance, y compris en extraction en présence d'un membre habilité du Service technique ;
- les administrateurs du SI : tous droits dans le cadre de leurs missions de maintenance.
Considérant les attributions de chacune de ces personnes, et eu égard à la finalité du traitement, la Commission considère que les accès susvisés sont justifiés.
En ce qui concerne le prestataire, elle rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993, les droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de son contrat de prestation de service. De plus, ledit prestataire est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
VI. Sur les rapprochements et interconnexions
Le responsable de traitement indique que le présent traitement fait l'objet de rapprochements avec :
- le traitement ayant pour finalité « Gestion des Ressources Humaines et paie » ;
- le traitement ayant pour finalité « Vidéosurveillance de tous les sites monégasques du CHPG » ;
- le traitement ayant pour finalité « Gestion de la messagerie professionnelle du CHPG ».
La Commission constate que ces traitements ont été légalement mis en œuvre.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
La Commission rappelle toutefois que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
Elle rappelle par ailleurs que, conformément à l'article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
Enfin, la Commission constate que la copie ou l'extraction d'informations issues de ce traitement est chiffrée sur son support de réception.
VIII. Sur la durée de conservation
Le responsable de traitement indique que les informations relatives à l'identité et aux dates sont désactivées à compter du départ du salarié ou de la fin de contrat de prestation de service.
Il indique également que les informations relatives aux accès aux locaux et les informations temporelles sont conservées 3 mois.
Enfin, le responsable de traitement indique que les logs de connexion sont conservés un an.
Après en avoir délibéré, la Commission :
Modifie la finalité du traitement par « Contrôle d'accès par badge non biométrique aux locaux Monégasques du CHPG ».
Constate que la copie ou l'extraction d'informations issues de ce traitement est chiffrée sur son support de réception.
Rappelle que :
- le document d'information doit impérativement comporter l'ensemble des mentions prévues à l'article 14 de la loi n° 1.165 du 23 décembre 1993 ;
- l'information préalable doit être effectuée auprès de l'ensemble des personnes concernées par le traitement dont s'agit, y compris les prestataires ;
- les Services de Police monégasque ne pourront avoir communication des informations objet du traitement que dans le strict cadre de leurs missions légalement conférées ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
Sous le bénéfice de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Centre Hospitalier Princesse Grace, du traitement automatisé d'informations nominatives ayant pour finalité « Gestion d'accès par badge non biométrique aux locaux Monégasques du CHPG ».
Le Président de la Commission de Contrôle des Informations Nominatives.