icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2020-133 du 16 septembre 2020 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Demander une dérogation au principe du repos dominical » du Service de l'Inspection du travail présenté par le Ministre d'État.

  • N° journal 8507
  • Date de publication 09/10/2020
  • Qualité 100%
  • N° de page

Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 822 du 23 juin 1967 sur le repos hebdomadaire ;
Vu la loi n° 537 du 12 mai 1951 relative à l'inspection du travail ;
Vu l'Ordonnance Souveraine n° 16.675 du 18 février 2002 portant création d'une direction du travail ;
Vu l'Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l'Administration et l'administré ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la demande d'avis déposée par le Ministre d'État, le 6 juillet 2020, concernant la mise en œuvre d'un traitement automatisé ayant pour finalité « Demander une dérogation au principe du repos dominical » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 4 septembre 2020, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 16 septembre 2020 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,

Préambule
La Direction du Travail, et plus spécifiquement l'Inspection du Travail, est en charge d'analyser les demandes de dérogations au principe du repos dominical.
Afin de faciliter les démarches des entreprises souhaitant solliciter de cette Direction une dérogation, l'État souhaite mettre en œuvre un téléservice permettant le dépôt d'une telle demande.
Ainsi, le traitement automatisé d'informations nominatives objet de la présente est soumis à l'avis de la Commission, conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993.

I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Demander une dérogation au principe du repos dominical ».
Il concerne les usagers (employeurs et salariés), et les fonctionnaires et agents de l'État en charge du dossier.
Aussi, la démarche en ligne mise en place à cette fin a pour fonctionnalités :
- Saisie des informations sur l'entreprise ;
- Saisie des informations sur le type de dérogation demandé ;
- Saisie des informations professionnelles sur le(s) salarié(s) concerné(s) par la dérogation ;
- Envoi de pièces justificatives ;
- Envoi des courriels de suivi des demandes aux entreprises ;
- Saisie d'informations complémentaires d'une demande incomplète ;
- Annulation d'une demande par l'entreprise ;
- Envoi d'un courriel de confirmation de désinscription à la démarche en ligne ;
- Export d'un fichier Excel qui comprend toutes les demandes et leurs informations anonymisées par les agents ayant les droits nécessaires pour effectuer cette action.
Il est également précisé que le téléservice propose un lien vers un questionnaire de satisfaction anonyme dont les résultats sont traités par la Direction de l'Administration Numérique, devenue entre-temps Direction des Services Numériques.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par le consentement des personnes concernées, le respect d'une obligation légale et la réalisation d'un intérêt légitime sans que ne soient méconnus les droits et libertés fondamentaux de la personne concernée.
À cet égard, le responsable de traitement indique que « le consentement est formalisé par l'obligation préalable d'accepter les conditions générales d'utilisation. L'accord des personnes concernées est donc indispensable pour la création du compte sécurisé et pour l'accès à la démarche en ligne ». Mais il est également formalisé par un acte positif clair sur une case à cocher qui indique « j'accepte que mes données personnelles soient traitées dans le cadre du téléservice « Demander une dérogation au principe du repos dominical » ».
L'intérêt légitime trouve son fondement dans la volonté de l'Administration de simplifier la démarche des usagers, et « s'inscrit dans le cadre de l'Ordonnance Souveraine n° 2011‑3413 du 29 août 2011 portant diverses mesures relatives à la relation entre l'Administration et l'administré ».
En outre, la Commission relève que le téléservice permet aux employeurs de demander des dérogations au principe du repos dominical de manière simplifiée et conforme aux dispositions de la loi n° 822 du 23 juin 1967 sur le repos hebdomadaire.
En effet, l'article 2 de la loi n° 822 dispose que « S'il est établi que le repos simultané, le dimanche, de l'ensemble des salariés d'un établissement est de nature à préjudicier au public ou à compromettre le fonctionnement normal de cet établissement, le repos hebdomadaire peut être donné soit constamment, soit à certaines époques de l'année seulement :
* a) À l'ensemble des salariés, un autre jour que le dimanche ;
* b) À l'ensemble ou à une partie des salariés par roulement ;
L'employeur ne peut appliquer l'une de ces dérogations qu'après avoir consulté les délégués du personnel ou, à défaut, le syndicat ouvrier intéressé et obtenu, sur sa demande motivée, l'autorisation de l'inspecteur du travail. Cette autorisation dont la durée sera limitée, doit être affichée dans l'établissement ».
La Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.

III. Sur les informations traitées
Les informations nominatives traitées sont :
- identité/situation de famille : entreprise : numéro CAR, nom de l'entreprise, raison sociale ; salarié : numéro CCSS, nom, prénom ; employeur : nom, prénom ;
- adresses et coordonnées : entreprise : adresse de l'entreprise, téléphone de l'entreprise ;
- données d'identification électronique : identifiant technique de l'usager, adresse mail de l'employeur ;
- informations temporelles : horodatages, etc. : données d'horodatage ;
- données de connexion : log de connexion de l'usager, données de messagerie de l'usager ;
- contenu de la demande : type de demande, année de la demande, date de l'information faite aux salariés, effectif de l'entreprise, présence de délégués du personnel, date des dernières élections, date de l'information faite aux délégués du personnel, identité des délégués du personnel, motif de la demande, avis des délégués du personnel, avis des syndicats ouvriers intéressés.
La Commission relève également que l'employeur a la possibilité de joindre tout document utile à sa demande. Elle attire l'attention du responsable de traitement sur le fait que si des données personnelles devaient y être jointes, il convient d'en informer les personnes concernées.
Par ailleurs, les informations ont pour origine la personne concernée (contact employeur) lors de son adhésion au dispositif, excepté les données d'identification électronique, les informations temporelles et les données de connexion qui proviennent du système.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.

IV. Sur les droits des personnes concernées

  • Sur l'information préalable des personnes concernées

L'information préalable des personnes concernées est réalisée par le biais :
- d'une mention particulière intégrée dans un document d'ordre général accessible en ligne, à savoir les conditions générales d'utilisation de la démarche en ligne que l'usager doit accepter et peut consulter dès l'accès à la démarche ;
- d'une rubrique propre à la protection des données accessible en ligne.
À la lecture de celles-ci, la Commission constate que les droits offerts aux personnes concernées sont larges et reprennent des droits du Règlement Général sur la Protection des Données, dont certains n'ont pas vocation à s'appliquer en l'espèce, tels que notamment le droit à la portabilité. Elle s'interroge également sur le point de savoir si le responsable de traitement a les moyens effectifs pour faire bénéficier les personnes concernées de ces droits, encore inexistants en droit interne.
La Commission rappelle également que l'article 13 de la loi n° 1.165 dispose que « Toute personne physique a le droit de s'opposer, pour des raisons légitimes, à ce que des informations nominatives la concernant fassent l'objet d'un traitement, sauf le cas où celui-ci est mis en œuvre, dans le cadre exclusif de leurs missions d'intérêt général, par les responsables de traitements visés à l'article 7 ». En l'espèce, les personnes concernées ne pourront exercer de droit d'opposition sur les informations nominatives exploitées par l'Inspection du Travail et qui sont nécessaires à ses missions légalement confiées.
Elle attire également l'attention de la Direction du Travail sur la nécessité de sensibiliser les employeurs qui se doivent d'informer leurs salariés de la communication de leurs informations vers le présent traitement. En effet, ces derniers ne peuvent être directement informés par la Direction du Travail de l'existence de celui-ci.

  • Sur l'exercice du droit d'accès, de modification et de mise à jour

Le droit d'accès est exercé sur place, par voie postale, par accès en ligne au dossier, ou par courrier électronique auprès du Service de l'Inspection du Travail.
S'agissant de l'exercice du droit d'accès par voie électronique, la Commission considère qu'une procédure devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d'un document d'identité était demandée, la transmission et le traitement de ce document devront faire l'objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d'identité officiels.
Sous cette réserve, elle constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.

V. Sur les destinataires et les personnes ayant accès au traitement
La Commission constate que le responsable de traitement peut communiquer à l'Institut Monégasque de la Statistique et des Études Économiques (IMSEE) dans le cadre de la collecte de données à des fins statistiques, conformément aux dispositions de l'Ordonnance Souveraine n° 3.095 du 24 janvier 2011 portant création de l'Institut Monégasque de la Statistique et des Études Économiques et du Conseil Scientifique de la Statistique et des Études Économiques, modifiée, une extraction anonymisée du présent traitement.

Par ailleurs, les accès sont définis comme suit :
- les personnels de l'Inspection du Travail : tous droits ;
- les personnels administratifs de la Direction des Réseaux et Systèmes d'Information, devenue entre-temps Direction des Systèmes d'Information, ou tiers intervenant pour son compte : tout accès dans le cadre des missions de maintenance, développement des applicatifs nécessaires au fonctionnement du site et de sécurité du site et du système d'information de l'État ;
- les Personnels de la Direction de l'Administration Numérique, devenue entre-temps Directions des Services Numériques, ou tiers intervenant pour son compte ayant un rôle d'assistance à maîtrise d'ouvrage sur la procédure : tous droits.
La Commission relève que de plus en plus de traitements métiers ou de téléservices font l'objet d'interventions de Directions supports qui administrent ou créent les solutions. Ces Directions supports sont décrites comme disposant d'accès aux traitements concernés. La Commission rappelle que ces dernières n'ont pas à avoir accès en continu à l'information métier, dont la sensibilité peut varier en fonction des Services concernés. Elle demande donc que les accès soient restreints au strict besoin d'en connaitre et que les interventions de supports soient effectuées selon des modalités définies conformes aux règles de l'art.
En ce qui concerne les prestataires, la Commission rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993 les droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de leur contrat de prestation de service. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission relève par ailleurs que les personnes concernées disposent d'un accès à leur propre compte.
Elle considère que ces accès sont justifiés.

VI. Sur les interconnexions
Le présent traitement fait l'objet d'interconnexions avec les traitements suivants :
- « Gestion du compte permettant aux usagers d'entreprendre des démarches par téléservices », légalement mis en œuvre ;
- « Gérer les habilitations des agents et fonctionnaires de l'État aux téléservices contenus dans le « Guichet Virtuel » », légalement mis en œuvre.
Lesdits traitements ont pour vocation de permettre l'accès sécurisé des usagers à la démarche et de gérer les habilitations des personnels de l'État, dans le respect des cadres fixés par les délibérations y relatives de la Commission portant avis favorable à leur mise en œuvre.
Le responsable de traitement indique également que le traitement est interconnecté avec les messageries professionnelles, légalement mises en œuvre par l'État.
Elle considère que ces interconnexions sont conformes aux exigences légales.

VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Cependant, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
La Commission rappelle enfin que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.

VIII. Sur la durée de conservation
Les données sont conservées 5 ans à compter de leur collecte, excepté les données d'identification électronique, les informations temporelles et les données de connexion qui sont effacées au bout d'un an.
La Commission relève que ces délais sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :

Rappelle que :
- les Directions supports n'ont pas à avoir accès en continu à l'information métier dont la sensibilité peut varier en fonction des Services concernés ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
- les personnes concernées doivent être informées de manière conforme aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993 ;
- l'article 13 de la loi n° 1.165 dispose que « Toute personne physique a le droit de s'opposer, pour des raisons légitimes, à ce que des informations nominatives la concernant fassent l'objet d'un traitement, sauf le cas où celui-ci est mis en œuvre, dans le cadre exclusif de leurs missions d'intérêt général, par les responsables de traitements visés à l'article 7 » ;
- le responsable de traitement, s'il intègre de nouveaux droits aux personnes concernées, doit être en mesure de les assurer, et doit vérifier l'adéquation de ceux-ci avec le présent traitement, notamment en ce qui concerne le droit à la portabilité.
Considère qu'une procédure relative au droit d'accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations.

Demande que :
- le Service de l'Inspection du Travail attire l'attention des employeurs sur la nécessité d'informer les salariés de la communication de leurs informations vers le présent traitement ;
- les accès des Directions supports soient restreints au strict besoin d'en connaître et que les interventions de supports soient effectuées selon des modalités définies conformes aux règles de l'art.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État, du traitement automatisé d'informations nominatives ayant pour finalité « Demander une dérogation au principe du repos dominical  » du Service de l'Inspection du Travail.

Le Président de la Commission de Contrôle des Informations Nominatives.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14