Délibération n° 2015-98 du 4 novembre 2015 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion de la messagerie électronique professionnelle du CHPG » présenté par le Centre Hospitalier Princesse Grace
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 127 du 15 janvier 1930 constituant l’hôpital en établissement public autonome ;
Vu la loi n° 918 du 27 décembre 1971 sur les établissements publics ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’ordonnance souveraine n° 5.095 du 14 février 1973, modifiée, sur l’organisation et le fonctionnement du Centre Hospitalier Princesse Grace ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’arrêté ministériel n° 86-620 du 10 novembre 1986 portant établissement du règlement intérieur du Centre Hospitalier Princesse Grace ;
Vu la demande d’avis reçue le 12 octobre 2015 concernant la mise en œuvre par le Centre Hospitalier Princesse Grace d’un traitement automatisé ayant pour finalité « Gestion de la messagerie électronique professionnelle du CHPG » ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 4 novembre 2015 portant examen du traitement susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Aux termes de la loi n° 127 du 15 janvier 1930, susvisée, le Centre Hospitalier Princesse Grace (CHPG) est un établissement public autonome.
Le traitement d’informations nominatives objet de la présente délibération est donc soumis à l’avis de la Commission conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives.
I.Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Gestion de la messagerie électronique professionnelle du CHPG ».
Selon le responsable de traitement, il concerne « les collaborateurs du CHPG, les destinataires et expéditeurs ».
Les fonctionnalités sont les suivantes :
-l’échange de messages électroniques en interne ou avec l’extérieur ;
-l’historisation des messages électroniques entrants et sortants ;
-l’enregistrement des contacts ;
-l’établissement et la gestion des dossiers de classement des emails ;
-l’analyse des fichiers journaux à des fins d’administration du système ;
-la messagerie sécurisée ;
-l’administration des comptes de messagerie ;
-la fonction « discussion ».
A cet égard, la Commission constate que seuls les noms et coordonnées des personnes concernées sont enregistrés dans le fichier contacts.
Elle relève par ailleurs que certains médecins peuvent avoir accès à leur messagerie par le biais de l’application Notes Traveler (tablettes et smartphones) et constate que cette fonctionnalité est sécurisée.
La Commission considère donc que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II.Sur la licéité et la justification du traitement
La Commission relève que le traitement dont s’agit fait l’objet d’une exploitation ordinaire, exempte de toute surveillance concernant l’activité des collaborateurs.
Ce traitement est justifié par la réalisation d’un intérêt légitime poursuivi par le responsable de traitement sans que soient méconnus les droits et libertés fondamentaux des personnes concernées.
En effet, une messagerie électronique est un outil indispensable au bon fonctionnement de l’hôpital, et favorise l’accomplissement de ses missions. A cet effet, le responsable de traitement indique que son administration informatique en interne est assurée par la Direction du Système d’Information et Organisation du CHPG.
En outre, les droits des personnes concernées sont respectés, comme cela est examiné au point IV de la présente délibération. A cet égard, la Commission constate que la charte informatique prévoit que l’employeur ne peut en aucun cas accéder aux contenus des messages de son employé, identifiés comme privés, envoyés ou reçus à partir de la messagerie professionnelle.
Par conséquent, elle considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165, modifiée.
III.Sur les informations traitées
Les informations nominatives traitées sont :
-identité : nom, prénom, pseudonyme ;
-situation de famille : civilité ;
-adresses et coordonnées : adresse postale, numéro de téléphone fixe et/ou mobile ;
-formation – diplômes, vie professionnelle : fonction, raison sociale de la société ou de l’organisme auprès duquel la personne est rattachée ;
-données d’identification électronique : adresse email ;
-messages : objet, contenu du message, dossier de classement, horodatage ;
-fichiers journaux : nombre de messages entrants et sortants, de messages nettoyés, de spams, horodatage, volume, format, pièces jointes, etc.
Les informations relatives à l’identité ont pour origine le compte email des collaborateurs, la fiche contact et la signature email.
Les informations relatives à la situation de famille, les adresses et coordonnées ainsi que la formation ont pour origine la fiche contact et la signature email.
Les informations relatives aux données d’identification électronique ont pour origine le compte email, les emails reçus et la fiche contact.
Les informations relatives aux messages ont pour origine soit le message lui-même soit les collaborateurs pour les dossiers de classement.
Enfin, les informations relatives aux fichiers journaux sont générées par le système.
Au vu de ce qui précède, la Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions des articles 10-1 et 12 de la loi n° 1.165, modifiée.
IV.Sur les droits des personnes concernées
•Sur l’information préalable des personnes concernées
Le responsable de traitement indique que l’information préalable des personnes concernées est effectuée au moyen d’un document spécifique, à savoir une Charte d’utilisation du système d’information.
Après analyse de ce document, la Commission rappelle que dans un souci de transparence envers les employés, ainsi que de loyauté dans la relation de travail, la Charte d’usage des outils de communication électronique mise en place par le responsable de traitement doit impérativement préciser :
-la ou les finalités de ces procédures ;
-les personnes habilitées à avoir accès au traitement ;
-la durée de conservation des données collectées ;
-les modalités d’exercice par les personnes de leurs droits d’accès à leurs données.
En outre, afin de limiter l’atteinte portée à la vie privée des employés, la Commission demande au responsable de traitement ou à son représentant de définir dans la Charte susmentionnée :
-les modalités d’identification des messages privés ;
-la procédure d’accès à la messagerie professionnelle par des personnes habilitées, en cas d’absence temporaire ou définitive de l’employé, et ce afin d’assurer la continuité des activités.
Enfin, vis-à-vis des tiers destinataires, elle recommande l’insertion d’une mention d’information au bas de tout message électronique sortant, afin d’informer lesdits destinataires de la finalité du traitement, ainsi que de leurs droits.
•Sur l’exercice du droit d’accès, de modification et de mise à jour
La Commission note que le droit d’accès est exercé par voie postale ou sur place auprès de la Direction des Ressources Humaines. Le délai de réponse est de 30 jours.
Les droits de modification, mise à jour ou suppression des données sont exercés selon les mêmes modalités.
Elle constate ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 la loi n° 1.165, modifiée.
V.Sur les personnes ayant accès au traitement
•Sur les personnes ayant accès au traitement
Les personnes ayant accès au traitement sont :
-les collaborateurs eux-mêmes : en inscription, consultation, suppression des messages ;
-l’administrateur de la messagerie professionnelle : accès à tous les comptes de messagerie qu’il administre dans le strict cadre de ses attributions.
Par ailleurs, l’envoi de messages personnels est autorisé, dès lors que l’objet de ces messages contient la mention « Privé » ou « Personnel ».
•Sur les destinataires des informations
Le CHPG peut être amené dans le cadre de son fonctionnement à échanger avec des destinataires de tout pays. Les transferts d’informations afférents sont intrinsèques au fonctionnement de la messagerie et sont consentis par les personnes concernées.
Ainsi, la Commission considère que ces transferts de données sont conformes aux dispositions des articles 20 et 20-1 de la loi n° 1.165, modifiée.
VI.Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.
La Commission relève que l’architecture repose sur des équipements de raccordement de serveurs et périphériques qui doivent être protégés par un login et un mot de passe réputé fort et que les ports non utilisés doivent être désactivés.
Elle rappelle par ailleurs que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VII.Sur la durée de conservation
Le responsable de traitement indique que les informations nominatives collectées sont conservées 1 an en ligne avant d’être archivées.
La Commission considère que cette durée est conforme aux exigences légales.
Après en avoir délibéré, la Commission :
Rappelle que les équipements de raccordements de serveurs et périphériques doivent être protégés par un login et un mot de passe réputé fort et les ports non utilisés doivent être désactivés.
Constate que seuls les noms et coordonnées des personnes concernées sont enregistrés dans le fichier contacts.
Demande que l’information des employés et des tiers destinataires soit complétée conformément à l’article 14 de la loi n° 1.165, modifiée.
Sous réserve de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Centre Hospitalier Princesse Grace, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion de la messagerie électronique professionnelle du CHPG ».
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 127 du 15 janvier 1930 constituant l’hôpital en établissement public autonome ;
Vu la loi n° 918 du 27 décembre 1971 sur les établissements publics ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’ordonnance souveraine n° 5.095 du 14 février 1973, modifiée, sur l’organisation et le fonctionnement du Centre Hospitalier Princesse Grace ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’arrêté ministériel n° 86-620 du 10 novembre 1986 portant établissement du règlement intérieur du Centre Hospitalier Princesse Grace ;
Vu la demande d’avis reçue le 12 octobre 2015 concernant la mise en œuvre par le Centre Hospitalier Princesse Grace d’un traitement automatisé ayant pour finalité « Gestion de la messagerie électronique professionnelle du CHPG » ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 4 novembre 2015 portant examen du traitement susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Aux termes de la loi n° 127 du 15 janvier 1930, susvisée, le Centre Hospitalier Princesse Grace (CHPG) est un établissement public autonome.
Le traitement d’informations nominatives objet de la présente délibération est donc soumis à l’avis de la Commission conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives.
I.Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Gestion de la messagerie électronique professionnelle du CHPG ».
Selon le responsable de traitement, il concerne « les collaborateurs du CHPG, les destinataires et expéditeurs ».
Les fonctionnalités sont les suivantes :
-l’échange de messages électroniques en interne ou avec l’extérieur ;
-l’historisation des messages électroniques entrants et sortants ;
-l’enregistrement des contacts ;
-l’établissement et la gestion des dossiers de classement des emails ;
-l’analyse des fichiers journaux à des fins d’administration du système ;
-la messagerie sécurisée ;
-l’administration des comptes de messagerie ;
-la fonction « discussion ».
A cet égard, la Commission constate que seuls les noms et coordonnées des personnes concernées sont enregistrés dans le fichier contacts.
Elle relève par ailleurs que certains médecins peuvent avoir accès à leur messagerie par le biais de l’application Notes Traveler (tablettes et smartphones) et constate que cette fonctionnalité est sécurisée.
La Commission considère donc que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II.Sur la licéité et la justification du traitement
La Commission relève que le traitement dont s’agit fait l’objet d’une exploitation ordinaire, exempte de toute surveillance concernant l’activité des collaborateurs.
Ce traitement est justifié par la réalisation d’un intérêt légitime poursuivi par le responsable de traitement sans que soient méconnus les droits et libertés fondamentaux des personnes concernées.
En effet, une messagerie électronique est un outil indispensable au bon fonctionnement de l’hôpital, et favorise l’accomplissement de ses missions. A cet effet, le responsable de traitement indique que son administration informatique en interne est assurée par la Direction du Système d’Information et Organisation du CHPG.
En outre, les droits des personnes concernées sont respectés, comme cela est examiné au point IV de la présente délibération. A cet égard, la Commission constate que la charte informatique prévoit que l’employeur ne peut en aucun cas accéder aux contenus des messages de son employé, identifiés comme privés, envoyés ou reçus à partir de la messagerie professionnelle.
Par conséquent, elle considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165, modifiée.
III.Sur les informations traitées
Les informations nominatives traitées sont :
-identité : nom, prénom, pseudonyme ;
-situation de famille : civilité ;
-adresses et coordonnées : adresse postale, numéro de téléphone fixe et/ou mobile ;
-formation – diplômes, vie professionnelle : fonction, raison sociale de la société ou de l’organisme auprès duquel la personne est rattachée ;
-données d’identification électronique : adresse email ;
-messages : objet, contenu du message, dossier de classement, horodatage ;
-fichiers journaux : nombre de messages entrants et sortants, de messages nettoyés, de spams, horodatage, volume, format, pièces jointes, etc.
Les informations relatives à l’identité ont pour origine le compte email des collaborateurs, la fiche contact et la signature email.
Les informations relatives à la situation de famille, les adresses et coordonnées ainsi que la formation ont pour origine la fiche contact et la signature email.
Les informations relatives aux données d’identification électronique ont pour origine le compte email, les emails reçus et la fiche contact.
Les informations relatives aux messages ont pour origine soit le message lui-même soit les collaborateurs pour les dossiers de classement.
Enfin, les informations relatives aux fichiers journaux sont générées par le système.
Au vu de ce qui précède, la Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions des articles 10-1 et 12 de la loi n° 1.165, modifiée.
IV.Sur les droits des personnes concernées
•Sur l’information préalable des personnes concernées
Le responsable de traitement indique que l’information préalable des personnes concernées est effectuée au moyen d’un document spécifique, à savoir une Charte d’utilisation du système d’information.
Après analyse de ce document, la Commission rappelle que dans un souci de transparence envers les employés, ainsi que de loyauté dans la relation de travail, la Charte d’usage des outils de communication électronique mise en place par le responsable de traitement doit impérativement préciser :
-la ou les finalités de ces procédures ;
-les personnes habilitées à avoir accès au traitement ;
-la durée de conservation des données collectées ;
-les modalités d’exercice par les personnes de leurs droits d’accès à leurs données.
En outre, afin de limiter l’atteinte portée à la vie privée des employés, la Commission demande au responsable de traitement ou à son représentant de définir dans la Charte susmentionnée :
-les modalités d’identification des messages privés ;
-la procédure d’accès à la messagerie professionnelle par des personnes habilitées, en cas d’absence temporaire ou définitive de l’employé, et ce afin d’assurer la continuité des activités.
Enfin, vis-à-vis des tiers destinataires, elle recommande l’insertion d’une mention d’information au bas de tout message électronique sortant, afin d’informer lesdits destinataires de la finalité du traitement, ainsi que de leurs droits.
•Sur l’exercice du droit d’accès, de modification et de mise à jour
La Commission note que le droit d’accès est exercé par voie postale ou sur place auprès de la Direction des Ressources Humaines. Le délai de réponse est de 30 jours.
Les droits de modification, mise à jour ou suppression des données sont exercés selon les mêmes modalités.
Elle constate ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 la loi n° 1.165, modifiée.
V.Sur les personnes ayant accès au traitement
•Sur les personnes ayant accès au traitement
Les personnes ayant accès au traitement sont :
-les collaborateurs eux-mêmes : en inscription, consultation, suppression des messages ;
-l’administrateur de la messagerie professionnelle : accès à tous les comptes de messagerie qu’il administre dans le strict cadre de ses attributions.
Par ailleurs, l’envoi de messages personnels est autorisé, dès lors que l’objet de ces messages contient la mention « Privé » ou « Personnel ».
•Sur les destinataires des informations
Le CHPG peut être amené dans le cadre de son fonctionnement à échanger avec des destinataires de tout pays. Les transferts d’informations afférents sont intrinsèques au fonctionnement de la messagerie et sont consentis par les personnes concernées.
Ainsi, la Commission considère que ces transferts de données sont conformes aux dispositions des articles 20 et 20-1 de la loi n° 1.165, modifiée.
VI.Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.
La Commission relève que l’architecture repose sur des équipements de raccordement de serveurs et périphériques qui doivent être protégés par un login et un mot de passe réputé fort et que les ports non utilisés doivent être désactivés.
Elle rappelle par ailleurs que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VII.Sur la durée de conservation
Le responsable de traitement indique que les informations nominatives collectées sont conservées 1 an en ligne avant d’être archivées.
La Commission considère que cette durée est conforme aux exigences légales.
Après en avoir délibéré, la Commission :
Rappelle que les équipements de raccordements de serveurs et périphériques doivent être protégés par un login et un mot de passe réputé fort et les ports non utilisés doivent être désactivés.
Constate que seuls les noms et coordonnées des personnes concernées sont enregistrés dans le fichier contacts.
Demande que l’information des employés et des tiers destinataires soit complétée conformément à l’article 14 de la loi n° 1.165, modifiée.
Sous réserve de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Centre Hospitalier Princesse Grace, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion de la messagerie électronique professionnelle du CHPG ».
Le Président de la Commission
de Contrôle des Informations Nominatives.