Délibération n° 2020-185 du 16 décembre 2020 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Fonds Rouge et Blanc : gestion de bons cadeaux » présenté par le Centre Hospitalier Princesse Grace.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 127 du 15 janvier 1930 constituant l'hôpital en établissement public autonome ;
Vu la loi n° 918 du 27 décembre 1971 sur les établissements publics ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 5.095 du 14 février 1973 sur l'organisation et le fonctionnement du Centre Hospitalier Princesse Grace, modifiée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la déclaration ordinaire déposée par Carlo le 14 octobre 2020, concernant la mise en œuvre d'un traitement automatisé ayant pour finalité « Mettre à disposition aux commerçants et aux consommateurs un programme de fidélité monégasque basé sur le gain et l'utilisation de « cashback » », et dont il a été délivré récépissé le 9 novembre 2020 ;
Vu la demande d'avis déposée par le Centre Hospitalier Princesse Grace, le 25 novembre 2020, concernant la mise en œuvre d'un traitement automatisé ayant pour finalité « Fonds Rouge et Blanc : gestion de bons cadeaux » ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 16 décembre 2020 portant examen du traitement automatisé susvisé.
La Commission de Contrôle des Informations Nominatives,
Préambule
Aux termes de la loi n° 127 du 15 janvier 1930, le Centre Hospitalier Princesse Grace (CHPG) est un établissement public autonome.
Le traitement d'informations nominatives objet de la présente délibération est donc soumis à l'avis de la Commission conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993\.
Celui-ci s'inscrit dans le cadre du plan de relance de l'activité économique de la Principauté mis en œuvre suite à la crise sanitaire liée à la Covid-19, et permet en lien avec le fonds Rouge et Blanc la distribution aux personnes éligibles des bons cadeaux utilisables uniquement dans les commerces monégasques.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Fonds Rouge et Blanc : gestion de bons cadeaux ».
Il concerne les personnels actifs du CHPG. Parmi ces personnes, ne sont pas concernées par le présent traitement celles qui n'ont pas bénéficié dans le second semestre de 2020 d'un mois de salaire ou de retraite.
Les fonctionnalités du traitement sont :
- « Adresser une information aux bénéficiaires sur l'organisation de l'action ;
- Collecter les données des bénéficiaires des bons cadeaux du « fonds rouge et blanc » ;
- Vérifier leur adéquation tenant compte des conditions d'attribution des bons cadeaux ;
- Pseudonymiser les informations avant communication à a plateforme de gestion des bons cadeaux ;
- Reprendre les informations pseudonymisées en fin d'opération ;
- Disposer des montants utilisés par les bénéficiaires généraux et indirectement nominatifs ;
- Établissement de statistiques (non nominatives) sur l'utilisation des bons cadeaux ».
En outre, il est précisé que si le bénéficiaire ne souhaite pas créer un compte dans Carlo et activer les bons par ce biais, un document alternatif lui permettant d'utiliser ces derniers sera mis à disposition aux Ressources Humaines.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par la réalisation d'un intérêt légitime, sans que ne soient méconnus les droits et libertés fondamentaux des personnes concernées.
Le responsable de traitement indique que le traitement « s'inscrit dans le cadre du Fonds Rouge et Blanc » qui permet la distribution de bons cadeaux dans le cadre du plan de relance de l'activité économique en Principauté.
Il est en outre précisé « que les droits et libertés des personnes concernées sont pris en considération par la pseudonymisation des données communiquées à la plate-forme de gestion des bons cadeaux. En outre seules des statistiques globales seront réalisées (…) ».
La Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Les informations nominatives traitées sont :
- identité : nom, prénom, matricule, code Carlo ;
- adresses et coordonnées : adresse ;
- vie professionnelle : service;
- caractéristiques financières : code service budgétaire, code nationalité, date d'effet dans la paie, date de paie, échelle de classement, indice, mode de rémunération, montant salaire, montant des bons, montant du cash back, montant dépensé, montant restant.
La Commission relève que le CHPG pourra demander à Carlo l'extraction d'une liste reprenant code/montant alloué/montant dépensé à des fins comptables et financières.
Par ailleurs, les données proviennent des traitements « Gestion des Ressources Humaines et Paie », tandis que les codes Carlo sont générés par la Direction des Systèmes d'Information (DSIO) du CHPG.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
IV. Sur les droits des personnes concernées
- Sur l'information préalable des personnes concernées
L'information préalable des personnes concernées est réalisée par le biais d'une mention insérée dans un courrier qui leur est adressé.
Celle-ci étant jointe au dossier, la Commission constate que l'information des personnes concernées est conforme aux dispositions de l'article 14 de la loi n° 1.165, modifiée.
- Sur l'exercice du droit d'accès, de modification et de mise à jour
Le droit d'accès est exercé par les personnes concernées par voie postale ou par courrier électronique auprès de la Direction du CHPG.
À cet égard, la Commission rappelle que la réponse à ce droit d'accès doit s'exercer dans le mois suivant la réception de la demande.
S'agissant de l'exercice du droit d'accès par voie électronique, la Commission considère qu'une procédure devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d'un document d'identité était demandée, la transmission et le traitement de ce document devront faire l'objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d'identité officiels.
À la condition de la prise en compte de ce qui précède, elle constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.
V. Sur les destinataires et les personnes ayant accès au traitement
La Commission constate que le responsable de traitement ne communique aucune information à des destinataires autre que les codes Carlo et les montants associés à la plateforme Carlo qui gère les bons cadeaux. La Direction du Budget et du Trésor en charge de l'opération Fonds Rouge et Blanc connaitra l'état des engagements effectués par les personnels du CHPG, de manière pseudonymisée.
Par ailleurs, ont accès au traitement :
- Le personnel habilité du service du personnel ;
- Le personnel de la DSIO dans le cadre de leurs fonctions.
La Commission considère que ces accès sont justifiés.
VI. Sur les rapprochements et les interconnexions avec d'autres traitements
Le responsable de traitement indique que le traitement est rapproché avec les traitements suivants :
- « Gestion de la messagerie professionnelle du CHPG », légalement mis en œuvre, pour permettre l'échange de mails ;
- « Gestion des ressources humaine et paie », pour connaitre les éléments de rémunération permettant de déterminer le montant de la prime auquel chaque personne concernée est éligible.
Enfin, les codes Carlo seront communiqués par le CHPG aux personnes concernées qui les renseigneront dans le traitement relatif au programme de fidélité monégasque de cash-back de Carlo APP, légalement mis en œuvre.
Il appert que ces rapprochements et interconnexions sont conformes aux finalités initiales.
La Commission relève toutefois à l'analyse du dossier une interconnexion avec le traitement ayant pour finalité « Gestion des droits d'accès du personnel, des patients et des personnes en relation avec le CHPG », légalement mis en œuvre.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
En outre, les communications d'informations doivent être sécurisées en tenant compte de la nature des informations transmises.
De plus, la communication des données pseudonymisées chiffrées et des clés de déchiffrement doit être effectuée par deux canaux distincts.
La Commission rappelle enfin que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII. Sur la durée de conservation
Les données sont conservées « 5 ans à compter de la fin de l'opération ».
La Commission relève que cette durée est conforme aux exigences légales.
Après en avoir délibéré, la Commission :
Considère qu'une procédure relative au droit d'accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations.
Rappelle que :
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
- les communications d'informations doivent être sécurisées en tenant compte de la nature des informations transmises ;
- la communication des données pseudonymisées chiffrées et des clés de déchiffrement doit être effectuée par deux canaux distincts.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Centre Hospitalier Princesse Grace, du traitement automatisé d'informations nominatives ayant pour finalité « Fonds Rouge et Banc : gestion de bons cadeaux ».
Le Président de la Commission de Contrôle des Informations Nominatives.