Délibération n° 2013-152 du 16 décembre 2013 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des ressources humaines hors paie » présenté par Monaco Telecom SAM
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée ;
Vu le contrat de concession du service public des communications électroniques sur le territoire de la Principauté de Monaco du 26 septembre 2011 ;
Vu le cahier des charges relatif à la concession du service public des communications électroniques sur le territoire de la Principauté de Monaco signé le 26 septembre 2011 et annexé à l’ordonnance souveraine n° 3.560 du 6 décembre 2011 ;
Vu la demande d’avis déposée par Monaco Telecom SAM le 14 octobre 2013 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Gestion des ressources humaines hors paie » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 11 décembre 2013, conformément à l’article 19 de l’ordonnance souveraine n° 2.230, susmentionnée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 16 décembre 2013 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
Monaco Telecom SAM, immatriculée au RCI, est une personne morale de droit privé concessionnaire d’un service public.
Afin d’optimiser la gestion de ses ressources humaines ainsi que celle de sa filiale, Monaco Telecom SAM a souhaité mettre en place un nouvel outil intitulé « Aragon eRH ».
A ce titre, en application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, Monaco Telecom SAM soumet la présente demande d’avis relative au traitement ayant pour finalité « Gestion des ressources humaines hors paie ».
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « Gestion des ressources humaines hors paie ».
Les personnes concernées sont l’ensemble des collaborateurs de Monaco Telecom SAM ainsi que de sa filiale, Monaco Telecom International SAM, qui ne dispose pas de son propre service de ressources humaines.
Par ailleurs, les fonctionnalités du traitement sont les suivantes :
- gestion administrative des dossiers collaborateurs incluant les éléments de rémunération ;
- gestion des demandes des collaborateurs (Tickets) adressées à la DRH (telles que les demandes d’attestations de salaire, les demandes de nature logistique, besoins mobiliers) ;
- gestion des accréditations (délégations des droits d’administration), par exemple en cas d’absence ;
- gestion des états afin de créer des statistiques (par exemple par âge, domiciliation, compétences) ;
- gestion des absences et des présences ;
- gestion des compétences/ cartographie des postes ;
- gestion des évaluations des collaborateurs ;
- gestion de l’organigramme ;
- gestion des formations ;
- gestion des heures supplémentaires par la saisie de temps de travail ;
- gestion des attributions de matériels et équipements (tels que véhicules, tablettes, téléphones, ordinateurs, badges).
A l’analyse du dossier, il appert que le traitement permet également la gestion des ordres de mission. La Commission en prend donc acte.
Au vu de ces éléments, la Commission considère que la finalité du traitement est « explicite et légitime », conformément à l’article 10-1 de la loi n° 1.165, modifiée.
Enfin, le responsable de traitement précise que le traitement dont s’agit fait l’objet de rapprochements et d’interconnexions avec les traitements suivants :
- interconnexion avec le traitement « Gestion de la paie » pour le transfert des heures supplémentaires, le paiement de ces heures, le suivi et la récupération des périodes de congés payés et la consultation, par le manager direct, des éléments de salaire de ses collaborateurs ;
- rapprochement avec le traitement « Gestion des titres restaurant » afin de fournir la liste des collaborateurs souhaitant bénéficier des titres restaurant et suivre les jours d’absences, déplacements et formations des collaborateurs n’ouvrant pas droit aux titres restaurant ;
- rapprochement avec le traitement « Gestion des notes de frais des collaborateurs » afin de reporter les informations de l’organigramme et mettre à jour le fichier « XLS gabarit » de saisie des notes de frais.
La Commission constate que les trois traitements susmentionnés ont tous fait l’objet de formalités légales.
Enfin, à l’analyse du dossier, la Commission relève que le traitement est aussi interconnecté avec un traitement de gestion des accès au réseau Monaco Telecom pour la création ou la suppression d’un compte de l’Active Directory. Elle en prend donc acte et demande à ce que ce traitement soit soumis aux formalités légales dans les plus brefs délais.
II. Sur la justification du traitement
Le traitement est justifié par certaines obligations légales, l’exécution du contrat de travail ainsi que la réalisation d’un intérêt légitime, sans que soient méconnus les libertés et droits fondamentaux des personnes concernées.
A cet égard, la Commission observe que la centralisation des données de ressources humaines permet une gestion optimisée et une plus grande transparence envers les collaborateurs.
Comme l’indique le responsable de traitement, ceux-ci bénéficient d’un droit constant de visualisation et de modification de leurs données administratives en ligne.
Ce traitement permet en outre la bonne gestion des carrières des collaborateurs en application des contrats de travail, mais aussi de la loi n° 629 du 17 juillet 1957 tendant à réglementer les conditions d’embauchage et de licenciement en Principauté, de l’ordonnance-loi n° 677 du 2 décembre 1959 sur la durée du travail, de la loi n° 739 du 16 mars 1963 sur le salaire, ainsi que de la loi n° 800 du 18 février 1966 régissant la rémunération et les conditions de travail relatives aux jours fériés légaux.
Enfin, comme indiqué au point IV de la présente délibération, les droits et libertés des personnes ne sont pas méconnus.
Au vu de ces éléments, la Commission considère que le traitement est justifié, conformément à l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations objets du traitement sont les suivantes :
- identité : (1) Matricule entreprise, matricule CCSS et caisses complémentaires du collaborateur, matricule SS France ; (2) Civilité, nom, prénoms, nom de jeune fille, prénom usuel, date et lieu de naissance type et numéro de pièce d’identité, photo, nationalité, statut marital ;
- situation de famille : nom, prénoms et date de naissance des enfants et du conjoint, statut marital ;
- adresses et coordonnées : numéro de voie, nom de voie, complément, code postal, ville, numéro de téléphone privé, nom, prénom, téléphone et lien de parenté du contact en cas d’urgence ;
- formation/ diplômes/ vie professionnelle : (1) Diplômes obtenus avec l’année et le lieu d’obtention, parcours professionnel, poste occupé et compétences, nom du supérieur hiérarchique, plan de formation prévu pour le collaborateur et formations effectuées, dates d’entrée et de sortie de la société, type de contrat et convention collective, ancienneté dans la société et dans la profession, motif de départ de la société, début et fin de période d’essai, temps partiel, rythme scolaire contractuel, lieu de travail, Direction, département, pôle et service d’appartenance, habilitations, fonctions sécuritaires, heures supplémentaires, travail en heures spécifiques effectuées ; (2) Statut de travailleur handicapé, données d’invalidité, accidents du travail, de trajet ou maladie professionnelle, conclusion de la visite médicale du travail, dates des visites médicales ;
- caractéristiques financières : mode de paiement, IBAN/BIC, nom de la banque, statut fiscal (si imposable ou pas), rémunération fixe, montant variable, montant intéressement, perception de titre restaurant ;
- consommation de biens et services : carte d’abonnement et de fidélité pour les transports ; affectation d’équipements professionnels (téléphone, ordinateur, voiture), numéro d’immatriculation des véhicules ;
- loisirs, habitudes de vie et comportement : solde de jours de congés, historique des présences et type d’absences, moyen de transport, situation militaire, planning des absences ;
- données d’identification électronique : adresse électronique MT, numéro de badge, numéro de téléphone fixe et portable professionnel ;
- mesures à caractère social : délégués du personnel (collège, groupe, fonction, heures de délégation) ; membres du fonds social ;
- évaluation collaborateur : notation et évaluation annuelle (EAD) ;
A l’analyse dossier, la Commission relève que sont également collectés les journaux d’évènements (logs) des utilisateurs ou du personnel de la société prestataire, à savoir les logins, données d’horodatage, et informations visualisées ou modifiées. Elle en prend donc acte.
Les informations relatives à la première catégorie de données d’identité, l’affectation des équipements professionnels, les données de la rubrique « Loisirs/habitudes de vie/ comportement », les données d’identification électronique, les mesures à caractère social ainsi que l’évaluation du collaborateur, ont pour origine la Direction des Ressources Humaines, par saisie manuelle dans le traitement.
Certaines données proviennent directement des collaborateurs. Il s’agit de la seconde catégorie des données d’identité, des données relatives à la situation de famille, de l’adresse et des coordonnées, des informations relatives aux diplômes, à la formation ainsi qu’à la vie professionnelle du collaborateur, des caractéristiques financières (données de paiement), ainsi que des informations relatives aux cartes d’abonnement ou de fidélité pour les transports.
Les données visées dans la seconde catégorie de la rubrique « Formation/diplômes/ vie professionnelle » ont pour origine la Médecine du Travail.
Enfin, il convient de relever que les données renseignées dans la rubrique « Mesures à caractère social », relatives aux délégués du personnel et aux membres du fonds social, ne sont pas des données sensibles au sens de l’article 12 de la loi n° 1.165, modifiée. Dès lors, elles ne nécessitent pas de justification particulière quant à leur collecte.
Au vu de ces éléments, et considérant les dispositions de l’article 10-1 de la loi n° 1.165, modifiée, la Commission estime que les informations traitées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement.
Elle rappelle toutefois qu’une attention particulière devra être portée aux données de santé, soumises aux dispositions de l’article 12 de la loi n° 1.165, modifiée, et rappelle en particulier que la nature des handicaps, les maladies ou autres motifs de visites médicales et arrêts maladie, ne devront en aucun cas faire l’objet d’un traitement, qu’il soit automatisé ou non.
IV. Sur les droits des personnes concernées
• Sur l’information des personnes concernées
L’information préalable des personnes concernées, à savoir les collaborateurs, est effectuée par le biais d’une mention particulière intégrée dans un document d’ordre général accessible en ligne, à savoir la Charte « Sécurité de l’information ».
Ce document comprend un article 4.1.11 intitulé « Droit d’accès et de rectification des données » qui indique notamment que :
« L’utilisateur peut faire valoir son droit d’accès et de rectification des données le concernant auprès de MT (…).
Conformément aux dispositions de l’article 14 de la loi monégasque n° 1.165 du 23 décembre 1993, modifiée, chaque utilisateur dispose, pour tous services accessibles via le système d’information, d’un droit d’accès à son compte et de demande de rectification des données personnelles le concernant.
De telles demandes sont effectuées à la Direction des Systèmes d’Information, par courrier électronique. Elles indiquent les noms, prénoms, adresses électroniques, la référence du Collaborateur et l’objet de la demande (accès aux données nominatives, de rectification, retrait, opposition).
La liste des traitements de Monaco Telecom qui utilisent des informations nominatives collectées et exploitées est publiée par Note interne ».
La Commission rappelle que le responsable de traitement est tenu de s’assurer que les mentions visées à l’article 14 de la loi n° 1.165, modifiée, soient impérativement portées à la connaissance des collaborateurs, qui doivent disposer d’une visibilité claire sur les traitements les concernant, leur finalité et les modalités dont ils disposent pour exercer leurs droits.
Au vu de ces éléments, la Commission constate que la Charte informatique fournit une information incomplète au regard des exigences de l’article 14, puisqu’elle n’indique ni « l’identité des destinataires ou des catégories de destinataires » pour chaque traitement, ni le droit des collaborateurs « de s’opposer à l’utilisation pour le compte de tiers, ou à la communication à des tiers d’informations nominatives les concernant à des fins de prospection, notamment commerciale ».
La Commission demande donc à ce que les mentions d’informations soient dûment complétées, conformément aux exigences légales susvisées.
• Sur l’exercice des droits des personnes concernées
Les droits des personnes concernées peuvent être exercés par un accès en ligne des collaborateurs à leurs données administratives, ou par une demande adressée par voie postale, courrier électronique ou formulée sur place auprès du service compétent de Monaco Telecom SAM.
Le délai de réponse est de 30 jours.
Ainsi, sous réserve que les mentions d’informations des personnes concernées soient dûment complétées, la Commission observe que les modalités d’exercice des droits des personnes concernées prévues par le responsable de traitement sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
• Sur les destinataires
Les informations sont susceptibles d’être communiquées aux destinataires suivants :
- à la Direction du Travail, notamment pour l’accomplissement des formalités relatives aux permis de travail ;
- aux sociétés d’assurances, de mutuelles et prévoyance, pour la communication des dates d’entrée et de sortie des collaborateurs de l’entreprise (durée d’affiliation) ;
- à l’Office de la Médecine du Travail, pour l’échange d’informations relatives aux visites médicales obligatoires ;
- à la CCSS, pour la communication de données relatives aux arrêts de travail ;
- aux prestataires Aragon e-RH et OVH, pour l’hébergement et la sauvegarde des données sur des serveurs situés en Irlande et en France, pays disposant d’un niveau de protection adéquat au sens de l’article 20 de la loi n° 1.165, modifiée.
La Commission relève que ces communications, à l’exception de l’hébergement et de la sauvegarde, sont généralement constituées par des envois de courriers. Elle estime que ces communications sont justifiées au regard des attributions de chacun des destinataires susvisés et de la finalité du traitement.
• Sur les personnes ayant accès au traitement
Les personnes ayant accès au traitement sont les suivantes :
- le personnel du Département des Ressources Humaines dispose d’un accès en inscription, modification et mise à jour ;
- les collaborateurs disposent également d’un accès en inscription, modification et mise à jour à leur fiche administrative ;
- chaque collaborateur ainsi que son manager direct disposent d’un accès en consultation aux données le concernant.
La Commission relève que le personnel habilité de la Direction des Ressources Humaines est chargé de définir différents niveaux d’habilitation (Manager, RH, Paramétrage, Responsable formation, Formateur, Contrôleur de gestion, Senco, Reporting, Accréditation) permettant aux collaborateurs de disposer d’accès strictement proportionnés à leurs attributions.
Elle considère que l’ensemble des accès susvisés sont conformes aux exigences légales.
Toutefois, à l’analyse du dossier, elle relève qu’un contrat de maintenance a été conclu avec le prestataire Aragon e-RH, lequel est donc également susceptible d’avoir accès aux données dans le cadre de cette mission.
A ce titre, le responsable de traitement justifie de la conclusion d’un contrat de confidentialité avec ce dernier. Toutefois, ledit contrat ne comporte aucune disposition relative à la protection des informations nominatives.
Par ailleurs, le contrat de prestation de service précité, comporte des articles 12.2 et 22 faisant référence en des termes généraux à la législation monégasque en matière de protection des informations nominatives, sans toutefois que leurs dispositions, ni aucune autre disposition du contrat, n’ait pour objet de traduire dans ce contrat les exigences précises de l’article 17 de la loi n° 1.165, modifiée, qui requiert que celui-ci « stipule notamment que le prestataire et les membres de son personnel n’agissent que sur la seule instruction du responsable du traitement ou de son représentant et que les obligations visées aux deux premiers alinéas du présent article lui incombent également ».
La Commission demande donc à ce que le responsable de traitement prenne toutes mesures afin d’intégrer dans les documents contractuels les mentions obligatoires visées par l’article 17 de la loi n° 1.165, modifiée.
VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
En application de l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VII. Sur la durée de conservation
Les données objets du traitement sont conservées 5 ans après le terme contractuel, c’est-à-dire après la fin de la relation de travail avec le collaborateur.
Eu égard à la prescription prévue par l’article 2092 bis du Code Civil, la Commission considère que cette durée est proportionnée et donc conforme aux exigences légales.
Concernant la durée de conservation des logs, la Commission décide de la fixer à trois mois, en application de l’article 9 de la loi n° 1.165, modifiée.
Après en avoir délibéré,
Rappelle qu’une attention particulière devra être portée aux données de santé, soumises aux dispositions de l’article 12 de la loi n° 1.165, modifiée, et que la nature des handicaps, les maladies ou autres motifs de visites médicales et arrêts maladie, ne devront en aucun cas faire l’objet d’un traitement, qu’il soit automatisé ou non ;
Demande que :
- les mentions d’informations des personnes concernées soient dûment complétées, comme indiqué dans la présente délibération, conformément aux exigences légales ;
- le responsable de traitement prenne toutes mesures afin d’intégrer dans les documents contractuels conclus avec le prestataire les mentions obligatoires visées par l’article 17 de la loi n° 1.165, modifiée.
A la condition de prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par Monaco Telecom SAM, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des ressources humaines hors paie ».
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée ;
Vu le contrat de concession du service public des communications électroniques sur le territoire de la Principauté de Monaco du 26 septembre 2011 ;
Vu le cahier des charges relatif à la concession du service public des communications électroniques sur le territoire de la Principauté de Monaco signé le 26 septembre 2011 et annexé à l’ordonnance souveraine n° 3.560 du 6 décembre 2011 ;
Vu la demande d’avis déposée par Monaco Telecom SAM le 14 octobre 2013 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Gestion des ressources humaines hors paie » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 11 décembre 2013, conformément à l’article 19 de l’ordonnance souveraine n° 2.230, susmentionnée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 16 décembre 2013 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
Monaco Telecom SAM, immatriculée au RCI, est une personne morale de droit privé concessionnaire d’un service public.
Afin d’optimiser la gestion de ses ressources humaines ainsi que celle de sa filiale, Monaco Telecom SAM a souhaité mettre en place un nouvel outil intitulé « Aragon eRH ».
A ce titre, en application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, Monaco Telecom SAM soumet la présente demande d’avis relative au traitement ayant pour finalité « Gestion des ressources humaines hors paie ».
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « Gestion des ressources humaines hors paie ».
Les personnes concernées sont l’ensemble des collaborateurs de Monaco Telecom SAM ainsi que de sa filiale, Monaco Telecom International SAM, qui ne dispose pas de son propre service de ressources humaines.
Par ailleurs, les fonctionnalités du traitement sont les suivantes :
- gestion administrative des dossiers collaborateurs incluant les éléments de rémunération ;
- gestion des demandes des collaborateurs (Tickets) adressées à la DRH (telles que les demandes d’attestations de salaire, les demandes de nature logistique, besoins mobiliers) ;
- gestion des accréditations (délégations des droits d’administration), par exemple en cas d’absence ;
- gestion des états afin de créer des statistiques (par exemple par âge, domiciliation, compétences) ;
- gestion des absences et des présences ;
- gestion des compétences/ cartographie des postes ;
- gestion des évaluations des collaborateurs ;
- gestion de l’organigramme ;
- gestion des formations ;
- gestion des heures supplémentaires par la saisie de temps de travail ;
- gestion des attributions de matériels et équipements (tels que véhicules, tablettes, téléphones, ordinateurs, badges).
A l’analyse du dossier, il appert que le traitement permet également la gestion des ordres de mission. La Commission en prend donc acte.
Au vu de ces éléments, la Commission considère que la finalité du traitement est « explicite et légitime », conformément à l’article 10-1 de la loi n° 1.165, modifiée.
Enfin, le responsable de traitement précise que le traitement dont s’agit fait l’objet de rapprochements et d’interconnexions avec les traitements suivants :
- interconnexion avec le traitement « Gestion de la paie » pour le transfert des heures supplémentaires, le paiement de ces heures, le suivi et la récupération des périodes de congés payés et la consultation, par le manager direct, des éléments de salaire de ses collaborateurs ;
- rapprochement avec le traitement « Gestion des titres restaurant » afin de fournir la liste des collaborateurs souhaitant bénéficier des titres restaurant et suivre les jours d’absences, déplacements et formations des collaborateurs n’ouvrant pas droit aux titres restaurant ;
- rapprochement avec le traitement « Gestion des notes de frais des collaborateurs » afin de reporter les informations de l’organigramme et mettre à jour le fichier « XLS gabarit » de saisie des notes de frais.
La Commission constate que les trois traitements susmentionnés ont tous fait l’objet de formalités légales.
Enfin, à l’analyse du dossier, la Commission relève que le traitement est aussi interconnecté avec un traitement de gestion des accès au réseau Monaco Telecom pour la création ou la suppression d’un compte de l’Active Directory. Elle en prend donc acte et demande à ce que ce traitement soit soumis aux formalités légales dans les plus brefs délais.
II. Sur la justification du traitement
Le traitement est justifié par certaines obligations légales, l’exécution du contrat de travail ainsi que la réalisation d’un intérêt légitime, sans que soient méconnus les libertés et droits fondamentaux des personnes concernées.
A cet égard, la Commission observe que la centralisation des données de ressources humaines permet une gestion optimisée et une plus grande transparence envers les collaborateurs.
Comme l’indique le responsable de traitement, ceux-ci bénéficient d’un droit constant de visualisation et de modification de leurs données administratives en ligne.
Ce traitement permet en outre la bonne gestion des carrières des collaborateurs en application des contrats de travail, mais aussi de la loi n° 629 du 17 juillet 1957 tendant à réglementer les conditions d’embauchage et de licenciement en Principauté, de l’ordonnance-loi n° 677 du 2 décembre 1959 sur la durée du travail, de la loi n° 739 du 16 mars 1963 sur le salaire, ainsi que de la loi n° 800 du 18 février 1966 régissant la rémunération et les conditions de travail relatives aux jours fériés légaux.
Enfin, comme indiqué au point IV de la présente délibération, les droits et libertés des personnes ne sont pas méconnus.
Au vu de ces éléments, la Commission considère que le traitement est justifié, conformément à l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations objets du traitement sont les suivantes :
- identité : (1) Matricule entreprise, matricule CCSS et caisses complémentaires du collaborateur, matricule SS France ; (2) Civilité, nom, prénoms, nom de jeune fille, prénom usuel, date et lieu de naissance type et numéro de pièce d’identité, photo, nationalité, statut marital ;
- situation de famille : nom, prénoms et date de naissance des enfants et du conjoint, statut marital ;
- adresses et coordonnées : numéro de voie, nom de voie, complément, code postal, ville, numéro de téléphone privé, nom, prénom, téléphone et lien de parenté du contact en cas d’urgence ;
- formation/ diplômes/ vie professionnelle : (1) Diplômes obtenus avec l’année et le lieu d’obtention, parcours professionnel, poste occupé et compétences, nom du supérieur hiérarchique, plan de formation prévu pour le collaborateur et formations effectuées, dates d’entrée et de sortie de la société, type de contrat et convention collective, ancienneté dans la société et dans la profession, motif de départ de la société, début et fin de période d’essai, temps partiel, rythme scolaire contractuel, lieu de travail, Direction, département, pôle et service d’appartenance, habilitations, fonctions sécuritaires, heures supplémentaires, travail en heures spécifiques effectuées ; (2) Statut de travailleur handicapé, données d’invalidité, accidents du travail, de trajet ou maladie professionnelle, conclusion de la visite médicale du travail, dates des visites médicales ;
- caractéristiques financières : mode de paiement, IBAN/BIC, nom de la banque, statut fiscal (si imposable ou pas), rémunération fixe, montant variable, montant intéressement, perception de titre restaurant ;
- consommation de biens et services : carte d’abonnement et de fidélité pour les transports ; affectation d’équipements professionnels (téléphone, ordinateur, voiture), numéro d’immatriculation des véhicules ;
- loisirs, habitudes de vie et comportement : solde de jours de congés, historique des présences et type d’absences, moyen de transport, situation militaire, planning des absences ;
- données d’identification électronique : adresse électronique MT, numéro de badge, numéro de téléphone fixe et portable professionnel ;
- mesures à caractère social : délégués du personnel (collège, groupe, fonction, heures de délégation) ; membres du fonds social ;
- évaluation collaborateur : notation et évaluation annuelle (EAD) ;
A l’analyse dossier, la Commission relève que sont également collectés les journaux d’évènements (logs) des utilisateurs ou du personnel de la société prestataire, à savoir les logins, données d’horodatage, et informations visualisées ou modifiées. Elle en prend donc acte.
Les informations relatives à la première catégorie de données d’identité, l’affectation des équipements professionnels, les données de la rubrique « Loisirs/habitudes de vie/ comportement », les données d’identification électronique, les mesures à caractère social ainsi que l’évaluation du collaborateur, ont pour origine la Direction des Ressources Humaines, par saisie manuelle dans le traitement.
Certaines données proviennent directement des collaborateurs. Il s’agit de la seconde catégorie des données d’identité, des données relatives à la situation de famille, de l’adresse et des coordonnées, des informations relatives aux diplômes, à la formation ainsi qu’à la vie professionnelle du collaborateur, des caractéristiques financières (données de paiement), ainsi que des informations relatives aux cartes d’abonnement ou de fidélité pour les transports.
Les données visées dans la seconde catégorie de la rubrique « Formation/diplômes/ vie professionnelle » ont pour origine la Médecine du Travail.
Enfin, il convient de relever que les données renseignées dans la rubrique « Mesures à caractère social », relatives aux délégués du personnel et aux membres du fonds social, ne sont pas des données sensibles au sens de l’article 12 de la loi n° 1.165, modifiée. Dès lors, elles ne nécessitent pas de justification particulière quant à leur collecte.
Au vu de ces éléments, et considérant les dispositions de l’article 10-1 de la loi n° 1.165, modifiée, la Commission estime que les informations traitées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement.
Elle rappelle toutefois qu’une attention particulière devra être portée aux données de santé, soumises aux dispositions de l’article 12 de la loi n° 1.165, modifiée, et rappelle en particulier que la nature des handicaps, les maladies ou autres motifs de visites médicales et arrêts maladie, ne devront en aucun cas faire l’objet d’un traitement, qu’il soit automatisé ou non.
IV. Sur les droits des personnes concernées
• Sur l’information des personnes concernées
L’information préalable des personnes concernées, à savoir les collaborateurs, est effectuée par le biais d’une mention particulière intégrée dans un document d’ordre général accessible en ligne, à savoir la Charte « Sécurité de l’information ».
Ce document comprend un article 4.1.11 intitulé « Droit d’accès et de rectification des données » qui indique notamment que :
« L’utilisateur peut faire valoir son droit d’accès et de rectification des données le concernant auprès de MT (…).
Conformément aux dispositions de l’article 14 de la loi monégasque n° 1.165 du 23 décembre 1993, modifiée, chaque utilisateur dispose, pour tous services accessibles via le système d’information, d’un droit d’accès à son compte et de demande de rectification des données personnelles le concernant.
De telles demandes sont effectuées à la Direction des Systèmes d’Information, par courrier électronique. Elles indiquent les noms, prénoms, adresses électroniques, la référence du Collaborateur et l’objet de la demande (accès aux données nominatives, de rectification, retrait, opposition).
La liste des traitements de Monaco Telecom qui utilisent des informations nominatives collectées et exploitées est publiée par Note interne ».
La Commission rappelle que le responsable de traitement est tenu de s’assurer que les mentions visées à l’article 14 de la loi n° 1.165, modifiée, soient impérativement portées à la connaissance des collaborateurs, qui doivent disposer d’une visibilité claire sur les traitements les concernant, leur finalité et les modalités dont ils disposent pour exercer leurs droits.
Au vu de ces éléments, la Commission constate que la Charte informatique fournit une information incomplète au regard des exigences de l’article 14, puisqu’elle n’indique ni « l’identité des destinataires ou des catégories de destinataires » pour chaque traitement, ni le droit des collaborateurs « de s’opposer à l’utilisation pour le compte de tiers, ou à la communication à des tiers d’informations nominatives les concernant à des fins de prospection, notamment commerciale ».
La Commission demande donc à ce que les mentions d’informations soient dûment complétées, conformément aux exigences légales susvisées.
• Sur l’exercice des droits des personnes concernées
Les droits des personnes concernées peuvent être exercés par un accès en ligne des collaborateurs à leurs données administratives, ou par une demande adressée par voie postale, courrier électronique ou formulée sur place auprès du service compétent de Monaco Telecom SAM.
Le délai de réponse est de 30 jours.
Ainsi, sous réserve que les mentions d’informations des personnes concernées soient dûment complétées, la Commission observe que les modalités d’exercice des droits des personnes concernées prévues par le responsable de traitement sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
• Sur les destinataires
Les informations sont susceptibles d’être communiquées aux destinataires suivants :
- à la Direction du Travail, notamment pour l’accomplissement des formalités relatives aux permis de travail ;
- aux sociétés d’assurances, de mutuelles et prévoyance, pour la communication des dates d’entrée et de sortie des collaborateurs de l’entreprise (durée d’affiliation) ;
- à l’Office de la Médecine du Travail, pour l’échange d’informations relatives aux visites médicales obligatoires ;
- à la CCSS, pour la communication de données relatives aux arrêts de travail ;
- aux prestataires Aragon e-RH et OVH, pour l’hébergement et la sauvegarde des données sur des serveurs situés en Irlande et en France, pays disposant d’un niveau de protection adéquat au sens de l’article 20 de la loi n° 1.165, modifiée.
La Commission relève que ces communications, à l’exception de l’hébergement et de la sauvegarde, sont généralement constituées par des envois de courriers. Elle estime que ces communications sont justifiées au regard des attributions de chacun des destinataires susvisés et de la finalité du traitement.
• Sur les personnes ayant accès au traitement
Les personnes ayant accès au traitement sont les suivantes :
- le personnel du Département des Ressources Humaines dispose d’un accès en inscription, modification et mise à jour ;
- les collaborateurs disposent également d’un accès en inscription, modification et mise à jour à leur fiche administrative ;
- chaque collaborateur ainsi que son manager direct disposent d’un accès en consultation aux données le concernant.
La Commission relève que le personnel habilité de la Direction des Ressources Humaines est chargé de définir différents niveaux d’habilitation (Manager, RH, Paramétrage, Responsable formation, Formateur, Contrôleur de gestion, Senco, Reporting, Accréditation) permettant aux collaborateurs de disposer d’accès strictement proportionnés à leurs attributions.
Elle considère que l’ensemble des accès susvisés sont conformes aux exigences légales.
Toutefois, à l’analyse du dossier, elle relève qu’un contrat de maintenance a été conclu avec le prestataire Aragon e-RH, lequel est donc également susceptible d’avoir accès aux données dans le cadre de cette mission.
A ce titre, le responsable de traitement justifie de la conclusion d’un contrat de confidentialité avec ce dernier. Toutefois, ledit contrat ne comporte aucune disposition relative à la protection des informations nominatives.
Par ailleurs, le contrat de prestation de service précité, comporte des articles 12.2 et 22 faisant référence en des termes généraux à la législation monégasque en matière de protection des informations nominatives, sans toutefois que leurs dispositions, ni aucune autre disposition du contrat, n’ait pour objet de traduire dans ce contrat les exigences précises de l’article 17 de la loi n° 1.165, modifiée, qui requiert que celui-ci « stipule notamment que le prestataire et les membres de son personnel n’agissent que sur la seule instruction du responsable du traitement ou de son représentant et que les obligations visées aux deux premiers alinéas du présent article lui incombent également ».
La Commission demande donc à ce que le responsable de traitement prenne toutes mesures afin d’intégrer dans les documents contractuels les mentions obligatoires visées par l’article 17 de la loi n° 1.165, modifiée.
VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
En application de l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VII. Sur la durée de conservation
Les données objets du traitement sont conservées 5 ans après le terme contractuel, c’est-à-dire après la fin de la relation de travail avec le collaborateur.
Eu égard à la prescription prévue par l’article 2092 bis du Code Civil, la Commission considère que cette durée est proportionnée et donc conforme aux exigences légales.
Concernant la durée de conservation des logs, la Commission décide de la fixer à trois mois, en application de l’article 9 de la loi n° 1.165, modifiée.
Après en avoir délibéré,
Rappelle qu’une attention particulière devra être portée aux données de santé, soumises aux dispositions de l’article 12 de la loi n° 1.165, modifiée, et que la nature des handicaps, les maladies ou autres motifs de visites médicales et arrêts maladie, ne devront en aucun cas faire l’objet d’un traitement, qu’il soit automatisé ou non ;
Demande que :
- les mentions d’informations des personnes concernées soient dûment complétées, comme indiqué dans la présente délibération, conformément aux exigences légales ;
- le responsable de traitement prenne toutes mesures afin d’intégrer dans les documents contractuels conclus avec le prestataire les mentions obligatoires visées par l’article 17 de la loi n° 1.165, modifiée.
A la condition de prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par Monaco Telecom SAM, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des ressources humaines hors paie ».
Le Président de la Commission
de Contrôle des Informations Nominatives.