Délibération n° 2016-97 du 20 juillet 2016 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Collecte de recette nominative des personnels de conduite de la CAM » présenté par la Compagnie des Autobus de Monaco
Vu la Constitution,
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’ordonnance souveraine n° 992 du 16 février 2007 approuvant la convention, le cahier des charges et leurs annexes de la concession de service public pour l’exploitation du réseau de transport public urbain de voyageurs par autobus ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’arrêté ministériel du 11 mai 1933 concernant la compagnie des autobus monégasques ;
Vu l’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l’article 7 de la loi n°1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la demande d’avis déposée par la Compagnie des Autobus de Monaco le 18 mai 2016 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Collecte de recette nominative des personnels de conduite de la CAM » ;
Vu la prorogation du délai d’examen de la présente demande d’autorisation notifiée au responsable de traitement le 15 juillet 2016, conformément à l’article 11-1 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 20 juillet 2016 portant examen du traitement automatisé susvisé.
La Commission de Contrôle des Informations Nominatives,
Préambule
La Compagnie des Autobus de Monaco (CAM) est une société monégasque, immatriculée au Répertoire du Commerce et de l’industrie sous le numéro 56S0465, ayant pour objet « le transport en commun ».
Afin de libérer ses agents de la responsabilité des sommes collectées par la vente des titres de transport, cette société souhaite mettre en place deux automates situés dans ses locaux sis 22, rue du Gabian et Parking des Pêcheurs (3ème étage) dans lesquels les recettes de chaque service pourront être déposées.
La CAM figurant sur la liste établie par l’arrêté ministériel n° 2009-382 du 31 juillet 2009, la mise en œuvre de ce traitement est soumise à l’avis préalable de la Commission, conformément aux dispositions de l’article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Ce traitement a pour finalité « Collecte de recette nominative des personnels de conduite de la CAM ».
Les personnes concernées sont « tout le personnel de la CAM ». La Commission considère toutefois qu’est également concerné par ledit traitement, le personnel du prestataire, fournisseur de la solution.
Enfin, les fonctionnalités sont les suivantes :
- identification des agents sur l’écran tactile mis à disposition ;
- dépôt de la recette dans deux réceptacles (un pour les billets en liasse et un pour les pièces en vrac) ;
- enregistrement de la transaction sur les serveurs du prestataire, fournisseur de la solution.
La Commission constate ainsi que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
• Sur la licéité
La Commission observe que la CAM est une société privée concessionnaire d’un service public. A cet égard, elle relève que ladite concession est fondée sur la convention de concession entre le Gouvernement Princier et la Compagnie des Autobus de Monaco qui comporte, d’une part, la desserte du réseau de transports publics, et d’autre part, l’exécution avec le matériel de la concession de transports occasionnels réguliers ou non, sur la demande du concédant, telle qu’approuvée par l’ordonnance souveraine n° 992 du 16 février 2007.
En conséquence, la Commission constate que l’activité d’exploitation du réseau de transports publics urbains de voyageurs par la CAM dispose d’un fondement juridique propre. Elle considère donc que le traitement est licite conformément à l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
• Sur la justification
Le traitement est justifié par la réalisation d’un intérêt légitime poursuivi par le responsable du traitement, sans que ne soient méconnus ni l’intérêt, ni les droits et libertés fondamentaux de la personne concernée.
A cet égard, la Commission constate que le traitement permet de « soulager l’agent de ces recettes et ainsi de le libérer de la responsabilité de la recette journalière, lui apportant une sécurité supplémentaire ».
Elle considère donc que le traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations nominatives traitées
Les informations nominatives traitées sont :
- identité : nom et prénom des employés ;
- données d’identification électronique : n° d’agent, login et mots de passe ;
- connexion sur le serveur distant : logs d’horodatage ;
- dépose et récupération des recettes : logs d’horodatage.
Ces informations ont pour origine le service des ressources humaines et de la comptabilité ainsi que la solution elle-même.
La Commission considère donc que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
• Sur l’information préalable des personnes concernées
L’information préalable des personnes concernées est effectuée par le biais d’un affichage, d’une note de service détaillée à l’ensemble du personnel et d’un courrier à l’attention du prestataire.
Ces documents n’ayant pas été joints à la demande d’avis, la Commission rappelle qu’ils doivent comporter l’ensemble des mentions prévues à l’article 14 de la loi n° 1.165 du 23 décembre 1993.
• Sur l’exercice du droit d’accès, de modification et de mise à jour
Le droit d’accès s’exerce sur place. La réponse à ce droit d’accès s’exerce selon les mêmes modalités.
Le délai de réponse à une demande de droit d’accès est de 7 jours.
La Commission constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.
V. Sur les destinataires et les personnes ayant accès au traitement
• Sur les destinataires
Les informations sont communiquées au prestataire fournisseur de la solution.
A cet égard, la Commission constate que les transmissions se font à destination de l’Espagne (à des fins d’hébergement sur les serveurs privés du prestataire) et de la France (à des fins de contrôle et maintenance des données et de saisie des listes du personnel) ; deux pays disposant d’un niveau de protection adéquat en matière de protection des informations nominatives
Elle considère donc que ces transmissions sont conformes aux exigences légales.
• Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
- le directeur : en consultation (portail web sécurisé) ;
- les deux caissiers en consultation (portail web sécurisé) et en exportation des transactions pour intégration dans le logiciel de comptabilité ;
- les deux adjoints : en consultation (portail web sécurisé) ;
- le prestataire (PROSEGUR) : en maintenance.
A l’analyse du dossier, il appert toutefois que les agents de la CAM disposent également d’un droit en inscription (dépôt dans les coffres fort).
Considérant les attributions de chacune de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.
En ce qui concerne le prestataire, la Commission rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service. De plus, ledit prestataire est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
Elle rappelle enfin qu’en application de l’article 17-1 de la loi n° 1.165 du 23 décembre 1993 la liste nominative des personnes ayant accès au traitement doit être tenue à jour.
VI. Sur les interconnexions et rapprochements
Le responsable de traitement indique que le présent traitement ne fait l’objet d’aucun rapprochement ou interconnexion.
Il appert toutefois de l’étude du dossier qu’un rapprochement existe avec le traitement ayant pour finalité « gestion du personnel » légalement mis en œuvre, ainsi qu’une interconnexion avec un traitement lié à la comptabilité de la société.
Ce dernier traitement n’ayant pas fait l’objet de formalité auprès de la CCIN, la Commission demande au responsable de traitement de le lui soumettre dans les plus brefs délais si celui-ci comporte des informations directement ou indirectement nominatives.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
La Commission relève néanmoins que l’architecture du système repose sur des équipements de raccordement (switchs, routeurs, pare-feux) de serveurs et périphériques qui doivent être protégés par un login et un mot de passe réputé fort et que les ports non utilisés doivent être désactivés.
Elle rappelle par ailleurs que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Le responsable de traitement indique que les informations relatives aux transactions et aux logs d’horodatage pour le dépôt et la récupération des recettes sont conservées 13 mois, et que celles relatives à l’identité et aux données d’identification électronique sont conservées le temps de la durée d’activité + 13 mois en cas de départ.
A cet égard, la Commission demande que le login et le mot de passe de l’agent soient désactivés immédiatement après le départ de ce dernier.
Elle constate par ailleurs que les logs de connexion au serveur distant ne sont pas conservés.
La Commission demande donc que ces derniers soient conservés 12 mois après la dernière connexion.
Après en avoir délibéré, la Commission :
Considère que :
- le personnel du prestataire est également concerné par le traitement ;
- les agents disposent également d’un droit en inscription (dépôt dans les coffres fort) ;
- le traitement fait l’objet d’un rapprochement par le traitement ayant pour finalité « Gestion du personnel » légalement mis en œuvre.
Rappelle que :
- l’affichage et les documents à l’intention des salariés et du personnel du sous-traitant doivent comporter l’ensemble des mentions prévues à l’article 14 de la loi n°1.165 du 23 décembre 1993 ;
- la liste nominative des personnes ayant accès au traitement doit être tenue à jour ;
- les équipements de raccordement (switchs, routeurs, pare-feux) de serveurs et périphériques doivent être protégés par un login et un mot de passe réputé fort et les ports non utilisés doivent être désactivés.
Demande que :
- lui soit soumis le traitement lié à la comptabilité de la société dans les plus brefs délais si celui-ci comporte des données directement ou indirectement nominatives ;
- le login et le mot de passe de l’agent en cas de départ de la société soient supprimés immédiatement ;
- les logs de connexion au serveur soient conservés 12 mois à compter de la dernière connexion.
Sous réserve de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par la Compagnie des Autobus de Monaco du traitement automatisé d’informations nominatives ayant pour finalité « Collecte de recette nominative des personnels de conduite de la CAM ».
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’ordonnance souveraine n° 992 du 16 février 2007 approuvant la convention, le cahier des charges et leurs annexes de la concession de service public pour l’exploitation du réseau de transport public urbain de voyageurs par autobus ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’arrêté ministériel du 11 mai 1933 concernant la compagnie des autobus monégasques ;
Vu l’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l’article 7 de la loi n°1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la demande d’avis déposée par la Compagnie des Autobus de Monaco le 18 mai 2016 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Collecte de recette nominative des personnels de conduite de la CAM » ;
Vu la prorogation du délai d’examen de la présente demande d’autorisation notifiée au responsable de traitement le 15 juillet 2016, conformément à l’article 11-1 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 20 juillet 2016 portant examen du traitement automatisé susvisé.
La Commission de Contrôle des Informations Nominatives,
Préambule
La Compagnie des Autobus de Monaco (CAM) est une société monégasque, immatriculée au Répertoire du Commerce et de l’industrie sous le numéro 56S0465, ayant pour objet « le transport en commun ».
Afin de libérer ses agents de la responsabilité des sommes collectées par la vente des titres de transport, cette société souhaite mettre en place deux automates situés dans ses locaux sis 22, rue du Gabian et Parking des Pêcheurs (3ème étage) dans lesquels les recettes de chaque service pourront être déposées.
La CAM figurant sur la liste établie par l’arrêté ministériel n° 2009-382 du 31 juillet 2009, la mise en œuvre de ce traitement est soumise à l’avis préalable de la Commission, conformément aux dispositions de l’article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Ce traitement a pour finalité « Collecte de recette nominative des personnels de conduite de la CAM ».
Les personnes concernées sont « tout le personnel de la CAM ». La Commission considère toutefois qu’est également concerné par ledit traitement, le personnel du prestataire, fournisseur de la solution.
Enfin, les fonctionnalités sont les suivantes :
- identification des agents sur l’écran tactile mis à disposition ;
- dépôt de la recette dans deux réceptacles (un pour les billets en liasse et un pour les pièces en vrac) ;
- enregistrement de la transaction sur les serveurs du prestataire, fournisseur de la solution.
La Commission constate ainsi que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
• Sur la licéité
La Commission observe que la CAM est une société privée concessionnaire d’un service public. A cet égard, elle relève que ladite concession est fondée sur la convention de concession entre le Gouvernement Princier et la Compagnie des Autobus de Monaco qui comporte, d’une part, la desserte du réseau de transports publics, et d’autre part, l’exécution avec le matériel de la concession de transports occasionnels réguliers ou non, sur la demande du concédant, telle qu’approuvée par l’ordonnance souveraine n° 992 du 16 février 2007.
En conséquence, la Commission constate que l’activité d’exploitation du réseau de transports publics urbains de voyageurs par la CAM dispose d’un fondement juridique propre. Elle considère donc que le traitement est licite conformément à l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
• Sur la justification
Le traitement est justifié par la réalisation d’un intérêt légitime poursuivi par le responsable du traitement, sans que ne soient méconnus ni l’intérêt, ni les droits et libertés fondamentaux de la personne concernée.
A cet égard, la Commission constate que le traitement permet de « soulager l’agent de ces recettes et ainsi de le libérer de la responsabilité de la recette journalière, lui apportant une sécurité supplémentaire ».
Elle considère donc que le traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations nominatives traitées
Les informations nominatives traitées sont :
- identité : nom et prénom des employés ;
- données d’identification électronique : n° d’agent, login et mots de passe ;
- connexion sur le serveur distant : logs d’horodatage ;
- dépose et récupération des recettes : logs d’horodatage.
Ces informations ont pour origine le service des ressources humaines et de la comptabilité ainsi que la solution elle-même.
La Commission considère donc que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
• Sur l’information préalable des personnes concernées
L’information préalable des personnes concernées est effectuée par le biais d’un affichage, d’une note de service détaillée à l’ensemble du personnel et d’un courrier à l’attention du prestataire.
Ces documents n’ayant pas été joints à la demande d’avis, la Commission rappelle qu’ils doivent comporter l’ensemble des mentions prévues à l’article 14 de la loi n° 1.165 du 23 décembre 1993.
• Sur l’exercice du droit d’accès, de modification et de mise à jour
Le droit d’accès s’exerce sur place. La réponse à ce droit d’accès s’exerce selon les mêmes modalités.
Le délai de réponse à une demande de droit d’accès est de 7 jours.
La Commission constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.
V. Sur les destinataires et les personnes ayant accès au traitement
• Sur les destinataires
Les informations sont communiquées au prestataire fournisseur de la solution.
A cet égard, la Commission constate que les transmissions se font à destination de l’Espagne (à des fins d’hébergement sur les serveurs privés du prestataire) et de la France (à des fins de contrôle et maintenance des données et de saisie des listes du personnel) ; deux pays disposant d’un niveau de protection adéquat en matière de protection des informations nominatives
Elle considère donc que ces transmissions sont conformes aux exigences légales.
• Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
- le directeur : en consultation (portail web sécurisé) ;
- les deux caissiers en consultation (portail web sécurisé) et en exportation des transactions pour intégration dans le logiciel de comptabilité ;
- les deux adjoints : en consultation (portail web sécurisé) ;
- le prestataire (PROSEGUR) : en maintenance.
A l’analyse du dossier, il appert toutefois que les agents de la CAM disposent également d’un droit en inscription (dépôt dans les coffres fort).
Considérant les attributions de chacune de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.
En ce qui concerne le prestataire, la Commission rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service. De plus, ledit prestataire est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
Elle rappelle enfin qu’en application de l’article 17-1 de la loi n° 1.165 du 23 décembre 1993 la liste nominative des personnes ayant accès au traitement doit être tenue à jour.
VI. Sur les interconnexions et rapprochements
Le responsable de traitement indique que le présent traitement ne fait l’objet d’aucun rapprochement ou interconnexion.
Il appert toutefois de l’étude du dossier qu’un rapprochement existe avec le traitement ayant pour finalité « gestion du personnel » légalement mis en œuvre, ainsi qu’une interconnexion avec un traitement lié à la comptabilité de la société.
Ce dernier traitement n’ayant pas fait l’objet de formalité auprès de la CCIN, la Commission demande au responsable de traitement de le lui soumettre dans les plus brefs délais si celui-ci comporte des informations directement ou indirectement nominatives.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
La Commission relève néanmoins que l’architecture du système repose sur des équipements de raccordement (switchs, routeurs, pare-feux) de serveurs et périphériques qui doivent être protégés par un login et un mot de passe réputé fort et que les ports non utilisés doivent être désactivés.
Elle rappelle par ailleurs que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Le responsable de traitement indique que les informations relatives aux transactions et aux logs d’horodatage pour le dépôt et la récupération des recettes sont conservées 13 mois, et que celles relatives à l’identité et aux données d’identification électronique sont conservées le temps de la durée d’activité + 13 mois en cas de départ.
A cet égard, la Commission demande que le login et le mot de passe de l’agent soient désactivés immédiatement après le départ de ce dernier.
Elle constate par ailleurs que les logs de connexion au serveur distant ne sont pas conservés.
La Commission demande donc que ces derniers soient conservés 12 mois après la dernière connexion.
Après en avoir délibéré, la Commission :
Considère que :
- le personnel du prestataire est également concerné par le traitement ;
- les agents disposent également d’un droit en inscription (dépôt dans les coffres fort) ;
- le traitement fait l’objet d’un rapprochement par le traitement ayant pour finalité « Gestion du personnel » légalement mis en œuvre.
Rappelle que :
- l’affichage et les documents à l’intention des salariés et du personnel du sous-traitant doivent comporter l’ensemble des mentions prévues à l’article 14 de la loi n°1.165 du 23 décembre 1993 ;
- la liste nominative des personnes ayant accès au traitement doit être tenue à jour ;
- les équipements de raccordement (switchs, routeurs, pare-feux) de serveurs et périphériques doivent être protégés par un login et un mot de passe réputé fort et les ports non utilisés doivent être désactivés.
Demande que :
- lui soit soumis le traitement lié à la comptabilité de la société dans les plus brefs délais si celui-ci comporte des données directement ou indirectement nominatives ;
- le login et le mot de passe de l’agent en cas de départ de la société soient supprimés immédiatement ;
- les logs de connexion au serveur soient conservés 12 mois à compter de la dernière connexion.
Sous réserve de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par la Compagnie des Autobus de Monaco du traitement automatisé d’informations nominatives ayant pour finalité « Collecte de recette nominative des personnels de conduite de la CAM ».
Le Président de la Commission
de Contrôle des Informations Nominatives.