DÉLIBÉRATION N 2014-13 DU 4 FÉVRIER 2014 DE LA COMMISSION DE CONTRÔLE



Documents pareils
Vu la Convention Européenne de Sauvegarde des Droits de l Homme et des Libertés Fondamentales du Conseil de l Europe du 4 novembre 1950 ;

Sur les informations traitées

DELIBERATION N DU 20 MAI 2015 DE LA COMMISSION DE CONTROLE

DELIBERATION N DU 12 MARS 2014 DE LA COMMISSION DE CONTRÔLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE À LA MISE EN ŒUVRE

Vu la Loi n du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;

DELIBERATION N DU 28 JUILLET 2014 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DU

Vu la Loi n du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

DELIBERATION N DU 20 MAI 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DE LA

DELIBERATION N DU 17 SEPTEMBRE 2014 DE LA COMMISSION DE CONTROLE

DELIBERATION N DU 25 MARS 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DU

DELIBERATION N DU 3 MAI 2010

CHARTE INFORMATIQUE LGL

Règlement d INTERPOL sur le traitement des données

LES OUTILS. Connaître et appliquer la loi Informatique et Libertés

CHARTE D UTILISATION DU SYSTÈME D INFORMATION ET EN PARTICULIER DES RESSOURCES INFORMATIQUES.

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Le Traitement des Données Personnelles au sein d une Association

Cadre juridique de la Protection des Données à caractère Personnel

CODE PROFESSIONNEL. déontologie. Code de déontologie sur les bases de données comportementales

Vu la loi n du 23 novembre 2005, portant statut de Bank Al-Maghrib ;

GUIDE DE LA GÉOLOCALISATION DES SALARIÉS. Droits et obligations en matière de géolocalisation des employés par un dispositif de suivi GSM/GPS

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale

Commission nationale de l informatique et des libertés

CHARTE DE PROTECTION DE LA VIE PRIVEE Au 1 er janvier 2015

1. Procédure. 2. Les faits

Etaient présents Madame Souad El Kohen, Messieurs Driss Belmahi, Abdelaziz Benzakour et Omar Seghrouchni ;

CONDITIONS PARTICULIERES

RADIONOMY SA 55K Boulevard International 1070 Bruxelles Belgique. II. Autorisation d'accès anonyme et acceptation de notre politique de vie privée

ACCORD ENTRE LA COMMISSION BANCAIRE ET LA BANQUE NATIONALE DE ROUMANIE

Directive cadre du groupe. Protection des données des clients et des partenaires.

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Les présentes sont la traduction d un document en langue anglaise réalisée uniquement pour votre convenance. Le texte de l original en langue

GROUPE DE TRAVAIL «ARTICLE 29» SUR LA PROTECTION DES DONNÉES

VIE PRIVEE CIRCUS BELGIUM

Charte informatique. Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités.

Ordonnance sur les ressources d adressage dans le domaine des télécommunications

Politique de sécurité de l actif informationnel

COMMISSION D ACCÈS À L INFORMATION

Charte d audit du groupe Dexia

UTILISATION DES TECHNOLOGIES DE L INFORMATION ET DES COMMUNICATIONS

- l article 8, alinéa (1) de la Convention européenne des Droits de l Homme ;

Législation et droit d'un administrateur réseaux

DIRECTIVE PRATIQUE RELATIVE À LA MISE EN OEUVRE DE L ARTICLE

Loi n du 7 juillet 1993 relative à la participation des organismes financiers à la lutte contre le blanchiment de capitaux

Accès des autorités américaines aux données du trafic international des paiements et implications pour la Suisse

Toute utilisation du site doit respecter les présentes conditions d utilisation.

Sommaire. 1. Préambule

Code approuvé par l Assemblée Générale Ordinaire annuelle du 30 mai 2005

CONVENTION PORTANT CREATION D UNE COMMISSION BANCAIRE DE L AFRIQUE CENTRALE

Licence d utilisation de l application WINBOOKS ON WEB

CONTRAT DE CONCESSION n C\...

Décrets, arrêtés, circulaires

CODE PROFESSIONNEL. déontologie

Les clauses «sécurité» d'un contrat SaaS

Code de déontologie des coachs affiliés au réseau Coaching City

Identification : ERDF-FOR-CF_41E Version : V1 Nombre de pages : 8. Document(s) associé(s) et annexe(s)

DIRECTIVE SUR L UTILISATION DES OUTILS INFORMATIQUES, D INTERNET, DE LA MESSAGERIE ELECTRONIQUE ET DU TELEPHONE ( JUIN V.1.

Conditions Générales d Utilisation de l Espace adhérent

L application doit être validée et l infrastructure informatique doit être qualifiée.

Dispositions relatives aux services bancaires en ligne valables dès le 1er janvier 2013

Conditions Générales de Vente Internet. 7, rue Alfred Kastler CAEN. informatiquetélécominternet

POLITIQUE SUR LE SIGNALEMENT

Cahier des charges de mise en concurrence. Virtualisation des serveurs. I. Contexte. II. Objectifs

Délibération n du 27 septembre 2010

MINISTÈRE DES AFFAIRES SOCIALES ET DE LA SANTÉ ADMINISTRATION. Commission nationale de l informatique et des libertés

Vu la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel;

Les outils «cloud» dédiés aux juristes d entreprises. Cadre juridique

PREMIER RAPPORT D ETAPE

ANNEXE A LA CIRCULAIRE SUR LE CONTROLE INTERNE ET L AUDIT INTERNE TABLE DES MATIERES

Malveillances Téléphoniques

Conditions d utilisation du service

CODE DE DEONTOLOGIE DE LA COMMUNICATION DIRECTE ELECTRONIQUE

Ci-après individuellement désigné une «Partie» et collectivement les «Parties». Les parties sont convenues de ce qui suit :

TERMES ET CONDITIONS POUR L'UTILISATEUR de "emblue"

Politique de conformité relative à la lutte contre la corruption et la Loi sur les manœuvres frauduleuses étrangères

données à caractère personnel (ci-après LVP), en particulier les articles 31bis et 36bis ;

AU NOM DU PEUPLE FRANÇAIS LA CHAMBRE REGIONALE DES COMPTES D AUVERGNE, STATUANT EN SECTION

CONDITIONS PARTICULIÈRES HÉBERGEMENT BLUE MIND

ANNEXE RELATIVE AUX CONDITIONS GENERALES D UTILISATION DES FICHIERS GEOGRAPHIQUES

Déclaration des droits sur Internet

Contrats Générales d utilisation et de vente de la solution Mailissimo

CONDITIONS D UTILISATION «ESPACE PERSONNEL»

DDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations

Guide de bonnes pratiques de sécurisation du système d information des cliniques

Circulaire de la DACG n CRIM 08-01/G1 du 3 janvier 2008 relative au secret de la défense nationale NOR : JUSD C

Comité sectoriel de la sécurité sociale et de la santé Section «Santé»

LOI N portant Code des Postes

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

LIVRE BLANC WiFi PUBLIC

RÈGLEMENT NUMÉRO 12 RÈGLEMENT SUR L UTILISATION DES TECHNOLOGIES INFORMATIQUES ET INTERNET

Nationale de l'assurance Maladie des Travailleurs Salariés Sécurité Sociale

Licences en volume. 1. Définitions. 2. Protection des renseignements personnels. ID de la proposition

R E P U B L I Q U E F R A N C A I S E

LIVRET SERVICE. Portail Déclaratif Etafi.fr

Transcription:

DÉLIBÉRATION N 2014-13 DU 4 FÉVRIER 2014 DE LA COMMISSION DE CONTRÔLE DES INFORMATIONS NOMINATIVES PORTANT AUTORISATION À LA MISE EN ŒUVRE DU TRAITEMENT AUTOMATISÉ D INFORMATIONS NOMINATIVES AYANT POUR FINALITÉ «SUPERVISION DE L ACTIVITÉ SUR LES FICHIERS ET SERVEURS» PRÉSENTÉ PAR LA LLOYDS BANK PLC Vu la Constitution du 17 décembre 1962 ; Vu la Convention n 108 du Conseil de l Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son protocole additionnel ; Vu la Loi n 1.165 du 23 décembre 1993, relative à la protection des informations nominatives, modifiée ; Vu l Ordonnance Souveraine n 2.230 du 19 juin 2009 fixant les modalités d application de la Loi n 1.165 du 23 décembre 1993, susvisée ; Vu la demande d autorisation déposée par la LLOYDS BANK PLC, le 29 novembre 2013 concernant la mise en œuvre d un traitement automatisé ayant pour finalité la «Supervision de l activité sur les fichiers et serveurs» ; Vu la prorogation du délai d examen de la présente demande d autorisation notifiée au responsable de traitement le 21 janvier 2014, conformément à l article 19 de l Ordonnance Souveraine n 2.230 susmentionné ; Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 4 février 2014 portant examen du traitement automatisé susvisé ; 1

La Commission de Contrôle des Informations Nominatives, Préambule LA LLOYDS BANK PLC est une société de droit britannique ayant pour objet «toutes opérations de banque». Elle est représentée en Principauté par sa succursale. Afin de prévenir toute atteinte à l intégrité des informations qu elle détient, et à leur confidentialité, elle souhaite mettre en œuvre un traitement permettant de superviser l activité sur les fichiers et serveurs. A ce titre, en application de l article 11-1 de la Loi n 1.165 du 23 décembre 1993, concernant un traitement automatisé d informations nominatives mis en œuvre à des fins de surveillance, ladite société soumet la présente demande d autorisation à la Commission de Contrôle des Informations Nominatives. I - Sur la finalité et les fonctionnalités du traitement Le présent traitement a pour finalité «Supervision de l activité sur les fichiers et serveurs». Il concerne les collaborateurs de la Lloyds Bank PLC, les stagiaires, les prestataires utilisant les postes de travail de la succursale à Monaco. Ses fonctionnalités sont les suivantes : - Collecte des traces d accès aux fichiers et dossiers des serveurs de fichiers ; - Analyse des rapports relatifs à ces traces ; - Audit des habilitations octroyées aux données confidentielles ; - Génération de rapport sur l activité d accès aux données des systèmes sensibles ; - Constitution de preuves en cas de menace des intérêts ou de l image de la Lloyds Bank PLC Monaco ou en cas d infractions civiles ou pénales ; - Préservation de la confidentialité des données de la Lloyds Bank PLC. La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l article 10-1 de la Loi n 1.165, modifiée. II - Sur la licéité et la justification du traitement Sur la licéité du traitement La Commission constate que dans le cadre de son activité, le responsable de traitement est soumis à une obligation particulière de secret professionnel, à savoir le secret bancaire, prévue à l article 308 du Code pénal. Elle relève également qu il également tenu, conformément à l article 17 de la Loi n 1.165 du 23 décembre 1993, de «[prévoir] des mesures techniques et d organisation appropriées pour protéger les informations nominatives contre la destruction accidentelle ou illicite, la perte accidentelle, l altération, la diffusion ou l accès non autorisé». A cet égard, elle observe que ce traitement constitue une mesure appropriée permettant d assurer la sécurité des informations et du traitement. 2

Elle considère donc que ce traitement est licite conformément à l article 10-1 de la Loi précitée. Sur la justification du traitement La Commission estime que ce traitement est justifié par la réalisation d un intérêt légitime poursuivi par le responsable de traitement. A cet égard, elle relève que ce traitement permet de veiller au respect du secret professionnel ainsi que de constituer des preuves en cas de violation de cette obligation légale. Elle considère donc que ce traitement est justifié, conformément aux dispositions de l article 10-2 de la Loi n 1.165, modifiée. III - Sur les informations traitées Les informations objets du présent traitement sont : - identité : User ID permettant une identification des noms et prénoms ; - données d identification électronique : logs de connexion des personnes habilitées à avoir accès au traitement. Cela comprend les logs du personnel utilisant les ressources informatiques de la société, ainsi que les logs de connexion au traitement des départements IT et Risk & Compliance lorsqu ils interviennent sur celui-ci ; - historique de l activité: date, heure, type d objet (fichier, etc ), chemin d accès à l objet, nom de l objet, catégorie d opération effectuée sur l objet (accès, ajout, changement, suppression), type d opération effectuée (changement de nom, de contenu, de droits, simple ouverture), User ID de l intervenant, type de fichier, nombre d actions sur ce fichier, date de dernière occurrence, adresse IP. Les informations relatives aux données d identification électronique et à l historique de l activité ont pour origine le système informatique lui-même. Les informations relatives à l identité ont pour origine l Active Directory. A cet égard, la Commission relève que l Active Directory permet d attribuer des profils d accès aux salariés. Elle observe que ce traitement a été légalement mis en œuvre le 19 septembre 2002, sous la finalité «Administration des systèmes». Concernant ce dernier traitement, la Commission invite le responsable de traitement à vérifier qu il est conforme aux nouvelles dispositions introduites par la Loi n 1.165 du 23 décembre 1993, modifiée. IV - Sur les droits des personnes concernées Sur l information préalable des personnes concernées L information préalable des personnes concernées est faite à par le biais d un document spécifique et par email. 3

A cet égard, il a été joint au dossier la Procédure de contrôle des activités d impression. La Commission considère que les modalités d information préalable des personnes concernées sont conformes aux exigences légales. Sur l exercice du droit d accès, de modification et de mise à jour Le droit d accès est exercé par courrier électronique. Le délai de réponse est de 30 jours. Les droits de modification et de mise à jour des données sont exercés selon les mêmes modalités. La Commission constate ainsi que les modalités d exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 la Loi n 1.165, modifiée. V - Sur les destinataires et les personnes ayant accès au traitement Sur les destinataires Il appert de l analyse du dossier que «la mise en œuvre de ce contrôle est soumise ( ) au contrôle périodique (Groupe Audit Lloyds) aux contrôles de [leurs] commissaires aux comptes et aux missions des régulateurs». Si la transmission à l Audit interne des informations objets du traitement se justifie, dans le respect de ses missions, la Commission s interroge sur le transfert d informations aux Commissaires aux comptes d éléments non comptables et n influant pas, de prime abord, sur la sincérité des comptes de la société. Elle exclut donc les Commissaires aux comptes des destinataires des informations. Enfin, la Commission demande à ce que les «régulateurs» destinataires des informations soient clairement identifiés, conformément à l article 17-1 de la Loi n 1.165 du 23 décembre 1993, modifiée. Sur les personnes ayant accès Les personnes habilitées à avoir accès au présent traitement sont : - le personnel du département Risk & Compliance en consultation ; - le personnel du Département IT en accès complet. Considérant les attributions de ces services, et eu égard à la finalité du traitement, la Commission considère que ces accès sont justifiés. Elle rappelle enfin que conformément à l article 17-1 de la Loi n 1.165, modifiée, le responsable de traitement est tenu de «déterminer nominativement la liste des personnes qui ont seul accès, pour les stricts besoins de l accomplissement de leurs mission, aux locaux et aux installations utilisées pour les traitements, de même qu aux informations traitées». 4

Elle demande donc à ce que cette liste, tenue à jour, puisse lui être communiquée à première réquisition. VI - Sur la sécurité du traitement et des informations Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu il contient n appellent pas d observation. La Commission rappelle néanmoins que, conformément à l article 17 de la Loi n 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l état de l art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d exploitation du présent traitement. VII Sur la durée de conservation Le responsable de traitement indique que les informations sont conservées 10 ans. La Commission constate que cette durée de conservation n est pas adéquate au regard des fonctionnalités du traitement objet de la présente demande d autorisation. Aussi, conformément à l article 9 de la Loi n 1.165, elle fixe la durée de conservation des informations relatives : - à l historique de l activité à 3 ans à compter de leur collecte, conformément aux règles de prescription légales en matière délictuelle visées à l article 13 du Code de procédure pénale ; - à l identité des utilisateurs et aux données d identification électronique à 3 ans à compter du départ de l employé. Après en avoir délibéré, Rappelle que : - les accès au traitement et aux données qu il contient devront être limités à ce qui est nécessaire aux personnes habilitées «pour les stricts besoins de l accomplissement de leurs missions» ; - la liste nominative des personnes ayant accès au traitement, doit être tenue à jour, et pouvoir être communiquée à première réquisition ; Demande : - à ce que les fichiers et serveurs non sensibles ne fassent pas l objet de contrôles ; - à ce que les «régulateurs», destinataires d informations du présent traitement, soient «clairement identifiés», conformément aux dispositions de l article 17-1 de la Loi n 1.165 du 23 décembre 1993, modifiée ; Exclut la communication des informations aux commissaires aux comptes ; 5

Fixe la durée de conservation des informations nominatives à 3 ans ans à compter de leur collecte en ce qui concerne l historique de l activité, et à 3 ans à compter du départ de l employé en ce qui concerne l identité des utilisateurs et aux données d identification électronique ; Invite le responsable de traitement à vérifier la conformité du traitement ayant pour finalité «Administration des systèmes» aux nouvelles dispositions de la Loi n 1.165 du 23 décembre 1993, modifiée. A la condition de la prise en compte de ce qui précède, La Commission de Contrôle des Informations Nominatives autorise la mise en œuvre, par la LLOYDS BANK PLC, du traitement automatisé d informations nominatives ayant pour finalité «Supervision de l activité sur les fichiers et serveurs». Le Président, Michel SOSSO 6

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back