icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2014-58 du 12 mars 2014 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion du blog interne à Monaco Telecom SAM et Monaco Telecom International » présenté par Monaco Telecom SAM

  • No. Journal 8169
  • Date of publication 18/04/2014
  • Quality 97.71%
  • Page no. 878
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu le contrat de concession du service public des communications électroniques sur le territoire de la Principauté de Monaco du 26 septembre 2011 ;
Vu le cahier des charges relatif à la concession du service public des communications électroniques sur le territoire de la Principauté de Monaco signé le 26 septembre 2011 et annexé à l’ordonnance souveraine n° 3.560 du 6 décembre 2011 ;
Vu l’arrêté ministériel n° 2010-638 du 23 décembre 2010 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la demande d’avis déposée par Monaco Telecom SAM, le 6 décembre 2013 concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Outil de communication interne sur l’intranet » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 31 janvier 2014, conformément à l’article 19 de l’ordonnance souveraine n° 2.230, susmentionnée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 12 mars 2014 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Monaco Telecom SAM, immatriculée au RCI, est un organisme de droit privé concessionnaire d’un service public. Elle a notamment pour objet « d’assurer dans les relations intérieures et internationales, tous services de télécommunications. A ce titre, elle assure les activités d’opérateur public chargé de l’exploitation du service téléphonique de la Principauté de Monaco […] ».
Cette société souhaite mettre en œuvre un outil d’échange avec ses collaborateurs, ou entre ses collaborateurs.
A ce titre, en application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, ladite société soumet la présente demande d’avis.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Outil de communication interne sur l’intranet ».
Il concerne les collaborateurs de Monaco Telecom SAM et Monaco Telecom International.
Ses fonctionnalités sont les suivantes :
- communiquer aux collaborateurs de l’information officielle de l’entreprise par le biais de l’onglet « News » ;
- mettre à disposition des collaborateurs un blog comportant différentes rubriques ;
- mettre à disposition des collaborateurs un onglet « Ma vie collaborateur » comportant des articles et documents qui définissent le cadre de travail du collaborateur dans l’entreprise ;
- mettre à disposition des collaborateurs un onglet « Mon entreprise » leur permettant d’obtenir des informations sur l’entreprise afin de mieux la connaître ;
- souhaiter l’anniversaire des collaborateurs ;
- publier des vidéos crées en interne, des sons, des liens hypertexte ;
- tenir à jour un calendrier des évènements ;
- mettre à disposition des collaborateurs un outil de recherche par mots-clefs ;
- indexer les liens aux sites et documents de Monaco Telecom SAM ;
- gérer les inscriptions aux alertes relatives aux news et aux commentaires ;
- envoyer ces alertes par email.
Concernant cette dernière fonctionnalité, la Commission relève l’existence d’une interconnexion avec un traitement relatif à la « Gestion de la messagerie professionnelle », qui n’a pas été légalement mis en œuvre au sens de la loi n° 1.165 du 23 décembre 1993, modifiée.
Ainsi, elle demande qu’aucune interconnexion, rapprochement ou mise en relation ne soit effectuée avec le traitement précité, tant que ce dernier n’a pas été mis en conformité avec les dispositions de la loi n°1.165.
Enfin, la Commission rappelle que tout traitement d’informations nominatives doit avoir une finalité « déterminée, explicite et légitime » aux termes de l’article 10-1 de la loi n° 1.165, susmentionnée.
A cet égard, la finalité du présent traitement doit être plus explicite et mettre en évidence les objectifs recherchés par le responsable de traitement.
Par conséquent, elle devrait être modifiée par la finalité suivante : « Gestion du blog interne à Monaco Telecom SAM et Monaco Telecom International ».
II. Sur la licéité et la justification du traitement
• Sur la licéité
Considérant l’objet social de la société ainsi que les prestations visées dans le cahier des charges relatif à la concession du service public des communications électroniques sur le territoire de la Principauté de Monaco, la Commission relève que ce traitement est licite, conformément à l’article 10-1 de la loi n° 1.165, modifiée ;
• Sur la justification
Ce traitement est justifié par la réalisation d’un intérêt légitime sans que ne soit méconnu ni l’intérêt, ni les droits et libertés fondamentaux de la personne concernée.
A cet égard, la Commission relève qu’il permet de faciliter l’échange d’information dans l’entreprise.
Ainsi, la Direction peut publier des informations officielles, ou qui sont relatives aux métiers et à la vie de l’entreprise.
Les collaborateurs ont à leur disposition un outil pour échanger et participer à la vie sociale.
Elle considère donc que ce traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations nominatives objets du présent traitement sont :
- identité : nom, prénom, date d’anniversaire ;
- contenu des parutions : fonction du collaborateur, direction de rattachement, localisation du bureau.
Toutefois, la Commission constate que sont également exploitées les informations suivantes : contenu des commentaires, photo, lien hypertexte, reportages vidéo, contenu des évènements du calendrier.
Elle en prend donc acte.
Les informations ont pour origine les « collaborateurs » ou la « Direction des Ressources Humaines », par le biais d’un rapprochement avec le traitement ayant pour finalité « Gestion des Ressources Humaines hors paie ».
La Commission constate que ce traitement est légalement mis en œuvre au sens de la loi n° 1.165, modifiée. Toutefois, son rapprochement avec le présent traitement n’a pas été prévu. Elle demande donc que le responsable de traitement revienne vers elle afin de modifier le traitement « Gestion des Ressources Humaines hors paie » pour le mettre en conformité, conformément à l’article 9 de la loi susvisée.
Par ailleurs, en ce qui concerne les commentaires, la Commission souhaite appeler l’attention du responsable de traitement sur la qualité des commentaires devant y être insérés et sur la nécessité de sensibiliser le personnel. Elle relève à cet égard que le responsable de traitement a élaboré une charte déontologique et opère une modération.
En outre, la Commission constate à l’analyse du dossier que le traitement est interconnecté avec le traitement ayant pour finalité « Gestion des habilitations au système d’information », légalement mis en œuvre au sens de la loi n° 1.165, le 28 juin 2013.
Elle en prend donc acte.
Enfin, la Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV. Sur les droits des personnes concernées
• Sur l’information préalable des personnes concernées
L’information préalable des personnes concernées est effectuée à partir d’un document spécifique, d’une rubrique propre à la protection des données accessibles en ligne, et par le biais d’une note interne.
La Commission relève que seule est jointe au dossier la note interne.
A l’analyse de celle-ci, elle considère que les modalités d’information préalable des personnes sont conformes aux dispositions dudit article 14.
• Sur l’exercice du droit d’accès, de modification et de mise à jour
Le droit d’accès est exercé par voie postale et par courrier électronique. Le délai de réponse est 30 jours.
Les droits de modification et de mise à jour des données sont exercés selon les mêmes modalités.
La Commission constate ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
• Sur les destinataires
La Commission constate qu’il n’y a pas de communication d’informations.
• Sur les personnes ayant accès au traitement
Les personnes ayant accès au traitement sont :
- le Département de la communication interne en inscription, modification, mise à jour et consultation des « news », du blog, et pour les fonctionnalités « Ma vie collaborateur » et « Mon entreprise » ;
- les collaborateurs de Monaco Telecom SAM en consultation de l’ensemble du traitement, ainsi qu’en inscription sur le blog ;
- les membres du Comité exécutif en inscription, modification, mise à jour et consultation des « news » ;
- la Direction des Systèmes Informatiques, la Direction des Ressources Humaines et le prestataire en inscription, modification, mise à jour et consultation pour la gestion opérationnelle du traitement.
En ce qui concerne les prestataires, la Commission rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165, modifiée, leurs droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leurs contrats de prestation de service. De plus, ceux-ci sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
Considérant les attributions de ces services, et eu égard à la finalité du traitement, la Commission considère que ces accès sont justifiés.
VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.
A cet égard, bien que cela ne soit pas spécifié, il appert de l’analyse du traitement qu’il existe un système de « log » (horodatage et traçabilité) lié audit traitement.
La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VII. Sur la durée de conservation
Le responsable de traitement indique que les informations nominatives collectées seront conservées « au terme contractuel du collaborateur » en ce qui concerne l’identité, et pour la « durée de validité de la parution » en ce qui concerne le contenu des parutions.
La Commission relève que la durée de conservation du contenu des parutions (commentaires, vidéos, photos, etc.) est imprécise. Elle la fixe donc à 1 année, conformément à l’article 9 de la loi n° 1.165.
Enfin, en ce qui concerne les logs visés au point VI de la présente délibération, la Commission fixe la durée de conservation de ceux liés aux personnes ayant accès au traitement à 3 mois.
Après en avoir délibéré,
Rappelle que le responsable de traitement doit être vigilant sur la qualité des commentaires figurant sur l’Intranet.
Invite le responsable de traitement à modifier la finalité du présent traitement par : « Gestion du blog interne à Monaco Telecom SAM et Monaco Telecom International » ;
Demande que :
- aucune interconnexion, rapprochement ou mise en relation ne soit effectué avec le traitement de « Gestion de la messagerie professionnelle », tant que ce dernier n’a pas été mis en conformité avec les dispositions de la loi n° 1.165 ;
- le traitement ayant pour finalité « Gestion des Ressources Humaines hors paie » soit modifié afin d’y intégrer le rapprochement avec le présent traitement ;
Fixe :
- la durée de conservation des informations relatives au contenu des parutions à 1 année.
- à 3 mois la durée de conservation des logs des personnes ayant accès au traitement ;
Sous réserve de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par Monaco Telecom SAM, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion du blog interne à Monaco Telecom SAM et Monaco Telecom International ».


Le Président de la Commission
de Contrôle des Informations Nominatives.
Print article
Previous article Return to summary Next article

All rights reserved - Monaco 2016
Version 2018.11.07.14