Délibération n° 2013-141 du 27 novembre 2013 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion de la messagerie électronique professionnelle » présenté par son Président
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée ;
Vu la délibération n° 2010-08 du 1er mars 2010 portant avis favorable à la mise en œuvre du traitement ayant pour finalité « Organisation et gestion des missions et activités du Secrétariat de la CCIN » ;
Vu la délibération n° 2012-119 du 16 juillet 2012 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les traitements automatisés d’informations nominatives ayant pour finalité « Gestion de la messagerie professionnelle » utilisés à des fins de contrôle de l’activité des employés ;
Vu la demande d’avis déposée par le Président de la Commission de Contrôle des Informations Nominatives le 23 octobre 2013 concernant la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion de la messagerie électronique professionnelle » ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 27 novembre 2013 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
La Commission de Contrôle des Informations Nominatives est une autorité administrative indépendante, organisme de droit public.
Par délibération n° 2010-08 du 1er mars 2010, elle a mis en œuvre un traitement ayant pour finalité l’« Organisation et [la] gestion des missions et activités du Secrétariat de la CCIN ».
Pour répondre à l’accroissement de ses activités et à la nouvelle organisation interne du Secrétariat Général, la CCIN a procédé à la refonte complète de son système d’information. De ce fait, il est apparu nécessaire de préciser certaines fonctionnalités du traitement susmentionné, et de les soumettre à l’avis de la Commission en tant que traitements distincts.
La messagerie professionnelle est l’un de ces traitements.
A ce titre, en application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, le Président de la Commission soumet la présente demande d’avis relative au traitement ayant pour finalité « Gestion de la messagerie électronique professionnelle ».
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité la « Gestion de la messagerie électronique professionnelle ».
Les personnes concernées sont le Président et les collaborateurs de la CCIN qui disposent d’une telle messagerie nominative, et, d’une manière générale, tout destinataire ou expéditeur d’un message électronique communiqué par le biais de ces messageries.
Enfin, les fonctionnalités du traitement sont les suivantes :
- échange de messages électroniques en interne ou avec l’extérieur ;
- historisation des messages électroniques entrants et sortants ;
- enregistrement des contacts ;
- établissement et gestion des dossiers de classement des emails ;
- analyse des fichiers journaux à des fins d’administration du système ;
- administration des comptes de messagerie ;
- archivage des messages au-delà de 6 mois, puis suppression ;
- interconnexion avec le traitement « Gestion des plannings des collaborateurs » pour la réception d’alertes emails relatives aux réunions organisées avec les collaborateurs ;
- interconnexion avec le traitement « Gestion des demandes de congés » pour la réception de messages automatiques liés au traitement desdites demandes ;
- interconnexion avec le traitement « Gestion de l’imprimante multifonction » pour la traçabilité des travaux d’impression email effectués depuis les messageries des collaborateurs ;
- rapprochement avec divers traitements de la CCIN (ex. « Gestion des travaux préparatoires des réunions plénières de la Commission » ; « Gestion de l’activité Instruction, Contrôle et Contentieux ») pour l’envoi en pièces jointes de documents issus de ces traitements (ex. projets de courriers, délibérations, recommandations), ainsi que pour tout classement d’emails en rapport avec leurs finalités.
Au vu de ces éléments, la Commission considère que la finalité du traitement est « déterminée, explicite et légitime », tel qu’exigé par l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la justification du traitement
La Commission relève que le traitement dont s’agit fait l’objet d’une exploitation ordinaire, exempte de toute surveillance concernant l’activité des collaborateurs.
Ce traitement est justifié par la réalisation d’un intérêt légitime, sans que soient méconnus les libertés et droits fondamentaux des personnes concernées.
En effet, une messagerie électronique est un outil indispensable au bon fonctionnement du service, et favorise l’accomplissement, par la CCIN, de ses missions d’accompagnement, d’information (…) qui lui sont légalement conférées.
En outre, les droits des personnes concernées sont respectés, comme cela est examiné au point IV de la présente délibération.
Par conséquent, la Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations objets du traitement sont les suivantes :
- identité : nom, prénom, pseudonyme ;
- situation de famille : civilité ;
- coordonnées : adresse postale, numéro de téléphone fixe et/ou mobile ;
- vie professionnelle : fonction, raison sociale de la société ou de l’organisme auprès duquel la personne est rattachée ;
- données d’identification électronique : adresse email ;
- messages : objet, contenu du message, dossier de classement, horodatage ;
- fichiers journaux : nombre de messages entrants et sortants, de messages nettoyés, de spams ; horodatage, volume, format, existence de pièces jointes, etc. ;
- traçabilité : logs de connexion des personnes habilitées à avoir accès à la messagerie ;
- gestion des comptes de messagerie : identité des personnes titulaires de comptes de messagerie, droits administrateurs et utilisateurs, historisation des activités sur les comptes à des fins d’administration système.
Les données relatives à l’identité, la civilité, les coordonnées, la vie professionnelle et l’adresse email proviennent du compte de messagerie du collaborateur, des fiches contacts ou encore de la signature insérée dans les emails.
Les données relatives aux messages sont intrinsèques au fonctionnement du traitement. Les fichiers journaux, les logs et l’historique des activités des comptes de messagerie sont générés par le système.
Enfin, les données relatives aux comptes de messagerie proviennent de la configuration mise en place par l’administrateur informatique.
Considérant les dispositions de l’article 10-1 de la loi n° 1.165, modifiée, la Commission estime que les informations traitées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement.
IV. Sur les droits des personnes concernées
• Sur l’information des personnes concernées
La Commission observe que l’information préalable des personnes concernées est effectuée suivant plusieurs modalités.
Tout d’abord, les collaborateurs sont informés par le biais de la charte informatique de la CCIN, qui comprend un article spécifique à la protection des informations nominatives. Y sont mentionnés les traitements exploités par la CCIN ainsi que les modalités d’exercice, par les collaborateurs, de leurs droits.
Par ailleurs, les tiers expéditeurs ou destinataires d’emails peuvent prendre connaissance de la mention d’information insérée en bas de chaque email.
La Commission relève que ces mentions sont complètes au regard des exigences de l’article 14 de la loi n° 1.165, modifiée.
Ainsi, elle considère que les modalités d’information préalable des personnes concernées sont conformes aux exigences légales.
• Sur l’exercice des droits d’accès, de rectification et d’opposition
La Commission observe que les droits d’accès, de rectification et de suppression des personnes concernées peuvent être exercés sur place ou par voie postale, à l’attention du Secrétariat Général de la CCIN.
Le délai de réponse est de 30 jours.
Elle considère donc que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
• Sur les destinataires
La CCIN échange des emails avec des correspondants situés dans divers pays du monde : acteurs de la protection des données, autorités homologues, plaignants, et d’une manière générale, toute personne souhaitant interroger la CCIN concernant la loi n° 1.165 et son application.
De tels échanges de correspondances sont au cœur de l’accomplissement, par la CCIN, de ses missions légalement conférées. Les transferts de données qui en résultent sont intrinsèques au fonctionnement du traitement lui-même, et ont reçu le consentement des personnes concernées, à savoir les collaborateurs de la CCIN dès lors qu’ils envoient eux-mêmes les emails dont s’agit à l’étranger.
Par conséquent, ces transferts de données sont conformes aux dispositions des articles 20 et 20-1 de la loi n° 1.165, modifiée.
• Sur les personnes ayant accès au traitement
Les personnes ayant accès au traitement sont les collaborateurs eux-mêmes, chacun pour leur compte de messagerie professionnelle, ainsi que l’administrateur informatique, qui dispose de tous les droits d’accès auxdites messageries dans le strict cadre de l’accomplissement de ses missions d’administration et de maintenance du système.
Par ailleurs, conformément à la Charte informatique de la CCIN, le Secrétaire Général est habilité à avoir accès à la messagerie des collaborateurs en cas d’absence, « si cela est strictement nécessaire aux fins d’assurer la continuité des activités de la CCIN, et sous réserve qu’un caractère d’urgence le justifie ». Cet accès se limite aux emails non identifiés comme personnels ou privés.
Au vu de ces éléments, la Commission considère que les accès dont s’agit sont conformes aux exigences légales.
VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VII. Sur la durée de conservation
Les données issues des comptes messagerie des collaborateurs sont conservées jusqu’à un mois après le départ du collaborateur de la CCIN.
Les emails et leur éventuel dossier de classement sont conservés six mois dans la messagerie, avant d’être archivés dans un dossier distinct qui demeure accessible au collaborateur depuis sa boite email.
Les messages sont définitivement supprimés au terme d’un délai d’un an. Il appartient à chaque collaborateur de classer dans un autre traitement tout email tenu d’être conservé pour une finalité distincte (ex. compléments d’informations relatives à une formalité, à une plainte, etc.).
En ce qui concerne les fichiers journaux, ceux-ci sont conservés trois jours.
Les logs de connexion sont conservés une semaine.
Les fiches contacts sont conservées jusqu’à dix ans après le dernier échange d’emails avec ledit contact.
La Commission considère que ces durées de conservation sont conformes aux exigences légales.
Au vu de ces éléments,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion de la messagerie électronique professionnelle », par son Président.
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée ;
Vu la délibération n° 2010-08 du 1er mars 2010 portant avis favorable à la mise en œuvre du traitement ayant pour finalité « Organisation et gestion des missions et activités du Secrétariat de la CCIN » ;
Vu la délibération n° 2012-119 du 16 juillet 2012 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les traitements automatisés d’informations nominatives ayant pour finalité « Gestion de la messagerie professionnelle » utilisés à des fins de contrôle de l’activité des employés ;
Vu la demande d’avis déposée par le Président de la Commission de Contrôle des Informations Nominatives le 23 octobre 2013 concernant la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion de la messagerie électronique professionnelle » ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 27 novembre 2013 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
La Commission de Contrôle des Informations Nominatives est une autorité administrative indépendante, organisme de droit public.
Par délibération n° 2010-08 du 1er mars 2010, elle a mis en œuvre un traitement ayant pour finalité l’« Organisation et [la] gestion des missions et activités du Secrétariat de la CCIN ».
Pour répondre à l’accroissement de ses activités et à la nouvelle organisation interne du Secrétariat Général, la CCIN a procédé à la refonte complète de son système d’information. De ce fait, il est apparu nécessaire de préciser certaines fonctionnalités du traitement susmentionné, et de les soumettre à l’avis de la Commission en tant que traitements distincts.
La messagerie professionnelle est l’un de ces traitements.
A ce titre, en application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, le Président de la Commission soumet la présente demande d’avis relative au traitement ayant pour finalité « Gestion de la messagerie électronique professionnelle ».
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité la « Gestion de la messagerie électronique professionnelle ».
Les personnes concernées sont le Président et les collaborateurs de la CCIN qui disposent d’une telle messagerie nominative, et, d’une manière générale, tout destinataire ou expéditeur d’un message électronique communiqué par le biais de ces messageries.
Enfin, les fonctionnalités du traitement sont les suivantes :
- échange de messages électroniques en interne ou avec l’extérieur ;
- historisation des messages électroniques entrants et sortants ;
- enregistrement des contacts ;
- établissement et gestion des dossiers de classement des emails ;
- analyse des fichiers journaux à des fins d’administration du système ;
- administration des comptes de messagerie ;
- archivage des messages au-delà de 6 mois, puis suppression ;
- interconnexion avec le traitement « Gestion des plannings des collaborateurs » pour la réception d’alertes emails relatives aux réunions organisées avec les collaborateurs ;
- interconnexion avec le traitement « Gestion des demandes de congés » pour la réception de messages automatiques liés au traitement desdites demandes ;
- interconnexion avec le traitement « Gestion de l’imprimante multifonction » pour la traçabilité des travaux d’impression email effectués depuis les messageries des collaborateurs ;
- rapprochement avec divers traitements de la CCIN (ex. « Gestion des travaux préparatoires des réunions plénières de la Commission » ; « Gestion de l’activité Instruction, Contrôle et Contentieux ») pour l’envoi en pièces jointes de documents issus de ces traitements (ex. projets de courriers, délibérations, recommandations), ainsi que pour tout classement d’emails en rapport avec leurs finalités.
Au vu de ces éléments, la Commission considère que la finalité du traitement est « déterminée, explicite et légitime », tel qu’exigé par l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la justification du traitement
La Commission relève que le traitement dont s’agit fait l’objet d’une exploitation ordinaire, exempte de toute surveillance concernant l’activité des collaborateurs.
Ce traitement est justifié par la réalisation d’un intérêt légitime, sans que soient méconnus les libertés et droits fondamentaux des personnes concernées.
En effet, une messagerie électronique est un outil indispensable au bon fonctionnement du service, et favorise l’accomplissement, par la CCIN, de ses missions d’accompagnement, d’information (…) qui lui sont légalement conférées.
En outre, les droits des personnes concernées sont respectés, comme cela est examiné au point IV de la présente délibération.
Par conséquent, la Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations objets du traitement sont les suivantes :
- identité : nom, prénom, pseudonyme ;
- situation de famille : civilité ;
- coordonnées : adresse postale, numéro de téléphone fixe et/ou mobile ;
- vie professionnelle : fonction, raison sociale de la société ou de l’organisme auprès duquel la personne est rattachée ;
- données d’identification électronique : adresse email ;
- messages : objet, contenu du message, dossier de classement, horodatage ;
- fichiers journaux : nombre de messages entrants et sortants, de messages nettoyés, de spams ; horodatage, volume, format, existence de pièces jointes, etc. ;
- traçabilité : logs de connexion des personnes habilitées à avoir accès à la messagerie ;
- gestion des comptes de messagerie : identité des personnes titulaires de comptes de messagerie, droits administrateurs et utilisateurs, historisation des activités sur les comptes à des fins d’administration système.
Les données relatives à l’identité, la civilité, les coordonnées, la vie professionnelle et l’adresse email proviennent du compte de messagerie du collaborateur, des fiches contacts ou encore de la signature insérée dans les emails.
Les données relatives aux messages sont intrinsèques au fonctionnement du traitement. Les fichiers journaux, les logs et l’historique des activités des comptes de messagerie sont générés par le système.
Enfin, les données relatives aux comptes de messagerie proviennent de la configuration mise en place par l’administrateur informatique.
Considérant les dispositions de l’article 10-1 de la loi n° 1.165, modifiée, la Commission estime que les informations traitées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement.
IV. Sur les droits des personnes concernées
• Sur l’information des personnes concernées
La Commission observe que l’information préalable des personnes concernées est effectuée suivant plusieurs modalités.
Tout d’abord, les collaborateurs sont informés par le biais de la charte informatique de la CCIN, qui comprend un article spécifique à la protection des informations nominatives. Y sont mentionnés les traitements exploités par la CCIN ainsi que les modalités d’exercice, par les collaborateurs, de leurs droits.
Par ailleurs, les tiers expéditeurs ou destinataires d’emails peuvent prendre connaissance de la mention d’information insérée en bas de chaque email.
La Commission relève que ces mentions sont complètes au regard des exigences de l’article 14 de la loi n° 1.165, modifiée.
Ainsi, elle considère que les modalités d’information préalable des personnes concernées sont conformes aux exigences légales.
• Sur l’exercice des droits d’accès, de rectification et d’opposition
La Commission observe que les droits d’accès, de rectification et de suppression des personnes concernées peuvent être exercés sur place ou par voie postale, à l’attention du Secrétariat Général de la CCIN.
Le délai de réponse est de 30 jours.
Elle considère donc que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
• Sur les destinataires
La CCIN échange des emails avec des correspondants situés dans divers pays du monde : acteurs de la protection des données, autorités homologues, plaignants, et d’une manière générale, toute personne souhaitant interroger la CCIN concernant la loi n° 1.165 et son application.
De tels échanges de correspondances sont au cœur de l’accomplissement, par la CCIN, de ses missions légalement conférées. Les transferts de données qui en résultent sont intrinsèques au fonctionnement du traitement lui-même, et ont reçu le consentement des personnes concernées, à savoir les collaborateurs de la CCIN dès lors qu’ils envoient eux-mêmes les emails dont s’agit à l’étranger.
Par conséquent, ces transferts de données sont conformes aux dispositions des articles 20 et 20-1 de la loi n° 1.165, modifiée.
• Sur les personnes ayant accès au traitement
Les personnes ayant accès au traitement sont les collaborateurs eux-mêmes, chacun pour leur compte de messagerie professionnelle, ainsi que l’administrateur informatique, qui dispose de tous les droits d’accès auxdites messageries dans le strict cadre de l’accomplissement de ses missions d’administration et de maintenance du système.
Par ailleurs, conformément à la Charte informatique de la CCIN, le Secrétaire Général est habilité à avoir accès à la messagerie des collaborateurs en cas d’absence, « si cela est strictement nécessaire aux fins d’assurer la continuité des activités de la CCIN, et sous réserve qu’un caractère d’urgence le justifie ». Cet accès se limite aux emails non identifiés comme personnels ou privés.
Au vu de ces éléments, la Commission considère que les accès dont s’agit sont conformes aux exigences légales.
VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VII. Sur la durée de conservation
Les données issues des comptes messagerie des collaborateurs sont conservées jusqu’à un mois après le départ du collaborateur de la CCIN.
Les emails et leur éventuel dossier de classement sont conservés six mois dans la messagerie, avant d’être archivés dans un dossier distinct qui demeure accessible au collaborateur depuis sa boite email.
Les messages sont définitivement supprimés au terme d’un délai d’un an. Il appartient à chaque collaborateur de classer dans un autre traitement tout email tenu d’être conservé pour une finalité distincte (ex. compléments d’informations relatives à une formalité, à une plainte, etc.).
En ce qui concerne les fichiers journaux, ceux-ci sont conservés trois jours.
Les logs de connexion sont conservés une semaine.
Les fiches contacts sont conservées jusqu’à dix ans après le dernier échange d’emails avec ledit contact.
La Commission considère que ces durées de conservation sont conformes aux exigences légales.
Au vu de ces éléments,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion de la messagerie électronique professionnelle », par son Président.
Le Président de la Commission
de Contrôle des Informations Nominatives.