DELIBERATION N 2015-83 DU 16 SEPTEMBRE 2015 DE LA COMMISSION DE CONTROLE



Documents pareils
DELIBERATION N DU 28 JUILLET 2014 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DU

DÉLIBÉRATION N DU 4 FÉVRIER 2014 DE LA COMMISSION DE CONTRÔLE

Vu la Convention de sauvegarde des droits de l homme et des libertés fondamentales du Conseil de l Europe du 4 novembre 1950 ;

Sur les informations traitées

Vu la Convention Européenne de Sauvegarde des Droits de l Homme et des Libertés Fondamentales du Conseil de l Europe du 4 novembre 1950 ;

Vu la Loi n du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

DELIBERATION N DU 17 SEPTEMBRE 2014 DE LA COMMISSION DE CONTROLE

DELIBERATION N DU 20 MAI 2015 DE LA COMMISSION DE CONTROLE

DELIBERATION N DU 12 MARS 2014 DE LA COMMISSION DE CONTRÔLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE À LA MISE EN ŒUVRE

DELIBERATION N DU 28 JANVIER 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AUTORISATION A LA MISE EN ŒUVRE DE LA

DELIBERATION N DU 25 MARS 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DU

DELIBERATION N DU 20 MAI 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DE LA

Vu la Loi n du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;

DELIBERATION N DU 3 MAI 2010

SÉCURITÉ, BANQUE ET ENTREPRISES. Prévention des risques de fraudes

Les bases de données clients dans le cadre du commerce B2B : Quelques aspects juridiques

Règlement du Jeu Mitsubishi Space Star Selection

REGLEMENT DU JEU CONCOURS «FAN DE BARBECUE»

LIVRE BLANC WiFi PUBLIC

Le Traitement des Données Personnelles au sein d une Association

GUIDE DE LA GÉOLOCALISATION DES SALARIÉS. Droits et obligations en matière de géolocalisation des employés par un dispositif de suivi GSM/GPS

1. Procédure. 2. Les faits

Commission nationale de l informatique et des libertés

Statuts v1.3 - Page 1 sur 5

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

L EXONÉRATION ou LA DISPENSE de déclaration : Aucune formalité déclarative requise

FICHE N 2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56)

RADIONOMY SA 55K Boulevard International 1070 Bruxelles Belgique. II. Autorisation d'accès anonyme et acceptation de notre politique de vie privée

Cadre juridique de la Protection des Données à caractère Personnel

Règlement de la consultation

Livret Matmut CONDITIONS D OUVERTURE ET DE FONCTIONNEMENT SOMMAIRE DISPOSITIONS PROPRES AU LIVRET MATMUT... 2

REGLEMENT DU JEU AVEC TIRAGE AU SORT. Mes voisins ont des talents

Guide d accompagnement à l intention des entreprises désirant obtenir ou renouveler une autorisation pour contracter/souscontracter avec un organisme

Direction de l administration pénitentiaire Le placement sous surveillance électronique mobile

Directive cadre du groupe. Protection des données des clients et des partenaires.

DOSSIER-TYPE DE DEMANDE D AUTORISATION DE CREATION D UN SITE INTERNET DE COMMERCE ELECTRONIQUE DE MEDICAMENTS

données à caractère personnel (ci-après LVP), en particulier l'article 29 ;

Règlement Intérieur des Services de Restauration Scolaire et d Accueil Périscolaire de la Ville de Jarvillela-Malgrange

MORPHO CRIMINAL JUSTICE SUITE

Contrat de courtier. Entre : (ci-après nommée «Empire Vie») (ci-après nommé «courtier») Adresse civique : Ville ou municipalité :

Règlement d INTERPOL sur le traitement des données

CONDITIONS GENERALES D UTILISATION DU SERVICE DE BANQUE EN LIGNE

Etaient présents Madame Souad El Kohen, Messieurs Driss Belmahi, Abdelaziz Benzakour et Omar Seghrouchni ;

Commune de QUINT FONSEGRIVES 31130

(exemple d un magasin ALDI)

CHARTE DE L ING. Code relatif à l utilisation de coordonnées électroniques à des fins de prospection directe

COMITE DEPARTEMENTAL DU TOURISME DES PYRENEES ORIENTALES

(Document adopté par la Commission le 19 janvier 2006)

CONDITIONS GENERALES DES BOITES POSTALES 1. DEFINITIONS

CODE DE DEONTOLOGIE DE LA COMMUNICATION DIRECTE ELECTRONIQUE

CODE PROFESSIONNEL. déontologie

REGLEMENT DU JEU-CONCOURS «Concours Photos HALLOWEEN»

Conditions générales d affaires (CGA) Portail clients SanitasNet

Réglement intérieur. Supélec Rézo

Le comité d entreprise

REGLEMENT JEU INSCRIPTION SITE MA TOYOTA

Règlement de la Consultation

Vu la loi n du 23 novembre 2005, portant statut de Bank Al-Maghrib ;

LES OUTILS. Connaître et appliquer la loi Informatique et Libertés

CAHIER DES CHARGES POUR FOURNITURES PLOMBERIE-ROBINETTERIE-SANITAIRE

REGLEMENT DU GRAND JEU DE L ETE MITOSYL LINGETTES

Article 1. Enregistrement d un nom de domaine

REGLEMENT DE LA CARTE RECOMPENSES

N 2345 ASSEMBLÉE NATIONALE PROPOSITION DE LOI

CONDITIONS GENERALES DE VENTE EUROPA ORGANISATION PARTICIPANTS

Dossiers personnels de l élève

Conditions d utilisation du service

Demande de Carte de Fidélité (à nous retourner) Veuillez écrire lisiblement et tout en MAJUSCULES (* : mention obligatoire)

L existence de la société commerciale

LOI N du 16 juin 1986 instituant une Caisse des Règlements Pécuniaires des Avocats (CARPA)

Journal Officiel de la République Tunisienne 10 septembre 2013 N 73. Page 2634

LICENCE PROFESSIONNELLE. Systèmes informatiques et logiciels

CONTRAT DE DOMICILIATION POSTALE AVEC UN PARTICULIER

PMI PLACE DE MARCHE INTERMINISTERIELLE GUIDE D'UTILISATION UTILISATEUR OPERATEUR ECONOMIQUE

Vu la loi modifiée du 14 février 1955 concernant la réglementation de la circulation sur toutes les voies publiques;

Security Service de Services sécurité. Protocole de surveillance des alarmes de sécurité

«Marketing /site web et la protection des données à caractère personnel»

L Adhérent s engage à fournir des informations exactes et sera seul responsable de la fourniture d informations erronées.

REGLEMENT DU JEU-CONCOURS «Audiotel - SMS / La France a un incroyable talent 2011»

LICENCE PROFESSIONNELLE Assurance, Banque, Finance

REGLEMENT DU JEU «GET LUCKY AVEC CORSAIR» DU 17 SEPTEMBRE 2013 AU 7 OCTOBRE 2013

Dispositions relatives aux services bancaires en ligne valables dès le 1er janvier 2013

Le 18/09/2015 à 12h00 à Pessac en Gironde (voir article 6 du présent règlement)

REGLEMENT DU JEU-CONCOURS «Audiotel - SMS / Qui est la taupe»

vos envois Direct Mail définition & exemples

REGLEMENT DU JEU-CONCOURS «Audiotel - SMS / Un trésor dans votre maison 40»

LE DELEGUE INTERMINISTERIEL A LA SECURITE ROUTIERE A MESDAMES ET MESSIEURS LES PREFETS MONSIEUR LE PREFET DE POLICE

BUREAU SYNDICAL SMIRTOM DU SAINT AMANDOIS

Règlement. Article 1 : Association organisatrice

CONCOURS DISNEY JUNIOR DESSINE LES SAISONS : L été

RAPPORT D EXPERTISE D INTERPOL SUR LES ORDINATEURS ET LE MATÉRIEL INFORMATIQUE DES FARC SAISIS PAR LA COLOMBIE

Le rôle du cachet postal

Portant Charte de nommage et règles de gestion des noms de domaine «.td»

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

CONDITIONS GENERALES

NOTICE RELATIVE AU CHANGEMENT DE NOM

Audience publique de la Cour de cassation du Grand-Duché de Luxembourg du jeudi, premier décembre deux mille onze.

Charte de nommage du «.tn»

Transcription:

DELIBERATION N 2015-83 DU 16 SEPTEMBRE 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AUTORISATION A LA MISE EN ŒUVRE DU TRAITEMENT AUTOMATISE D INFORMATIONS NOMINATIVES AYANT POUR FINALITE «GESTION DU SYSTEME D ALARME PAR BIOVEIN AU SEIN DES BOUTIQUES» PRESENTE PAR LA SOCIETE ANONYME STEPHANE Vu la Constitution du 17 décembre 1962 ; Vu la Convention n 108 du Conseil de l Europe pour la protection des personnes à l égard du traitement automatisé des données à caractère personnel et son protocole additionnel ; Vu la Loi n 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ; Vu l Ordonnance Souveraine n 2.230 du 19 juin 2009 fixant les modalités d application de la Loi n 1.165 du 23 décembre 1993, susvisée ; Vu la délibération n 2011-32 de la Commission du 11 avril 2011 portant recommandation sur certains dispositifs biométriques reposant sur la reconnaissance du réseau veineux des doigts de la main et de la main et ayant pour finalité le contrôle de l accès aux locaux sur le lieu de travail mis en œuvre par les personnes physiques ou morales de droit privé ; Vu la demande d autorisation déposée par la Société Anonyme Stephane le 5 août 2015 concernant la mise en œuvre d un traitement automatisé d informations nominatives ayant pour finalité «Gestion du système d alarme par Biovein» ; Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 16 septembre 2015 portant examen du traitement automatisé susvisé ; 1

La Commission de Contrôle des Informations Nominatives, Préambule La Société Anonyme Stephane est une enseigne de l établissement Zegg & Cerlati ayant entre autres comme activité l achat, la vente, le courtage, la création d articles de joaillerie, bijouterie. Afin d assurer la sécurité des biens et des personnes s y trouvant, cette société souhaite procéder à l installation d un système d alarme reposant sur la reconnaissance du réseau veineux de la main au sein de ses boutiques dénommées «Rolex Spélugues» sise 2 avenue des Spélugues et «Rolex Yacht Club» sise Quai Louis II au Yacht Club Gallery. Le traitement objet de la présente demande est mis en œuvre à des fins de surveillance et comporte des données biométriques nécessaires au contrôle de l identité des personnes. Il relève donc du régime de l autorisation préalable visé à l article 11-1 de la Loi n 1.165, modifiée. I. Sur la finalité et les fonctionnalités du traitement Ce traitement a pour finalité «Gestion du système d alarme par Biovein». Les personnes concernées sont les vendeurs-responsables de la boutique, la directrice financière et les administrateurs. Enfin, les fonctionnalités sont les suivantes : - enrôlement du réseau veineux du personnel autorisé ; - activation/désactivation de l alarme par le doigt (réseau veineux) ; - en cas de problème avec le système Biovein (veineux), activation/désactivation de l alarme avec un code personnalisé ; - constitution de preuve en cas d infraction ; - alerte de la Direction de la Sûreté Publique et du prestataire gardiennage en cas de déclenchement d alarme ; - constitution de la liste des personnes à contacter en cas de déclenchement d alarme. La Commission rappelle toutefois que tout traitement d informations nominatives doit avoir une finalité «déterminée, explicite et légitime» aux termes de l article 10-1 de la Loi n 1.165, susmentionnée. En l espèce, la finalité du présent traitement doit donc être plus explicite c'est-à-dire être claire et précise pour les personnes concernées en précisant que le système d alarme est installé dans les deux boutiques de la Société Anonyme Stéphane. Par conséquent, elle modifie la finalité comme suit : «Gestion du Système d Alarme par Biovein au sein des boutiques». II. Sur la licéité et la justification du traitement Sur la licéité Dans le cadre de sa recommandation n 2011-32 du 11 avril 2011 «portant recommandation sur certains dispositifs biométriques reposant sur la reconnaissance du réseau 2

veineux des doigts de la main et de la main et ayant pour finalité le contrôle de l accès aux locaux sur le lieu de travail, mis en œuvre par les personnes physiques ou morales de droit privé», la Commission rappelle qu un traitement mis en œuvre à des fins de surveillance et comportant des données biométriques permettant le contrôle de l identité des personnes, au sens de l article 11-1 de la Loi n 1.165, modifiée, doit «être nécessaire à la poursuite d un objectif légitime essentiel» du responsable de traitement. A cet égard, la Commission prend acte des précisions du responsable de traitement selon lesquelles ses boutiques abritent «des biens de grande valeur ainsi un système d alarme est indispensable à la protection et la sécurité des biens et des personnes». En effet, afin que les employés n aient pas à mémoriser un code qui peut être oublié ou divulgué (par mégarde ou sous la menace), le système Biovein mis en place identifie l empreinte veineuse de leurs doigts et permet ainsi d activer ou d arrêter le système d alarme. Par ailleurs, la Commission porte une attention toute particulière quant à l exploitation des données biométriques des individus. En l espèce, il appert que les données nominatives sont collectées uniquement à des fins de contrôle d accès, dans une perspective de sécurité des biens et des personnes. Par conséquent, elle considère que le traitement est licite conformément aux dispositions de l article 10-1 de la Loi n 1.165, modifiée, et aux termes de la recommandation susmentionnée. Sur la justification Le responsable de traitement indique que le traitement est justifié par : - le consentement des personnes concernées ; - la réalisation d un intérêt légitime poursuivi par le responsable du traitement, sans que ne soit méconnu ni l intérêt, ni les droits et libertés fondamentaux de la personne concernée. En premier lieu, la Commission observe que les employés de la société se soumettent aux règles de sécurité et d accès aux boutiques imposées par la société. Dans ce cadre, les données biométriques des individus ne sont pas traitées à l insu des personnes concernées, mais uniquement après que ceux-ci aient signé un consentement écrit à l utilisation de ce système et fait la démarche de faire enregistrer leurs gabarits. Elle considère par conséquent que le traitement est justifié par le consentement des personnes concernées. En second lieu, la Commission constate que l installation de ce système d alarme par Biovein a pour objectif de «prévenir et gérer les risques présentés par la sensibilité et l'attractivité» de l activité tout en protégeant les droits et libertés du public et du personnel. Il est en effet mis en place à des fins sécuritaires, pour «permettre la constatation, l exercice ou la défense d un droit en justice en cas d infraction, de manipulation ou de cambriolage» mais «n a pas pour but de contrôler de manière permanente et inopportune les salariés». A cet égard, la Commission rappelle que conformément à sa délibération n 2011-32 précitée, l exploitation des données biométriques à des fins de contrôle d accès ne saurait donner lieu à des pratiques abusives portant atteinte aux droits des employés, des délégués du personnel et des délégués syndicaux, et que ces données ne sauraient être détournées de la finalité pour laquelle elles ont été initialement collectées. 3

Sous cette condition, elle considère que le traitement est justifié, conformément aux dispositions de l article 10-2 de la Loi n 1.165, modifiée. III. Sur les informations nominatives traitées Les informations nominatives traitées sont : - identité : nom, prénoms ; - adresses et coordonnées : téléphone des personnes à contacter ; - données d identification électronique : horodatage, code de sécurité pour l activation/désactivation de l alarme ; - données biométriques : empreinte veineuse du doigt ; - données électroniques de l administrateur du système : horodatage, code de sécurité pour l activation/désactivation de l alarme. Les informations concernant l identité de l intéressé ont pour origine le système d enrôlement par saisie directe. Les informations concernant les adresses et coordonnées ont pour origine la direction de la société. Enfin, les informations concernant les données d identification électronique, les données biométriques et les données électroniques de l administrateur du système ont pour origine le système Biovein et le clavier. La Commission considère que les informations collectées sont «adéquates, pertinentes et non excessives» au regard de la finalité du traitement, conformément aux dispositions de l article 10-1 de la Loi n 1.165, modifiée. IV. Sur les droits des personnes concernées Sur l information préalable des personnes concernées L information préalable des personnes concernées est effectuée par le biais d un affichage et d une attestation de consentement signée par les personnes concernées. En ce qui concerne plus particulièrement l affichage, la Commission relève que celui-ci ne comporte pas l ensemble des mentions prévues à l article 14 de la Loi n 1.165, modifiée. Elle demande donc que celui-ci soit complété afin de comporter l identité du responsable de traitement, le nom de la personne auprès de laquelle s exerce le droit d accès et les destinataires potentiels des informations. Sous cette condition, la Commission considère que les modalités d information préalable des personnes sont conformes aux dispositions de l article 14 de la Loi n 1.165, modifiée. Sur l exercice du droit d accès, de modification et de mise à jour Le droit d accès est exercé par courrier électronique, par voie postale ou sur place auprès du Service comptable et financier de la société. Le délai de réponse à une demande de droit d accès est de 30 jours. 4

La Commission constate que les modalités d exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 la Loi n 1.165, modifiée. V. Sur les destinataires et les personnes ayant accès au traitement Sur les destinataires Les informations sont susceptibles d être communiquées à la Direction de la Sûreté Publique. La Commission estime qu une telle communication peut être justifiée par les besoins d une enquête judiciaire. A cet égard, elle rappelle qu en cas de transmission, les services de police ne pourront avoir accès aux informations objet du traitement, que dans le strict cadre de leurs missions légalement conférées. Elle considère donc que de telles transmissions sont conformes aux exigences légales. Sur les personnes ayant accès au traitement Les personnes habilitées à avoir accès au traitement sont : - les vendeurs-responsables du magasin (marche/arrêt du système) ; - la directrice financière (marche/arrêt et paramétrage du système) ; - les administrateurs (marche/arrêt et paramétrage du système) ; - le prestataire de maintenance (maintenance du système, avec accès au terminal accompagné par l administrateur). Considérant les attributions de chacune de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés. En ce qui concerne le prestataire, la Commission rappelle que conformément aux dispositions de l article 17 de la Loi n 1.165, modifiée, ses droits d accès doivent être limités à ce qui est strictement nécessaire à l exécution de son contrat de prestation de service. De plus, celui-ci est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article. Elle rappelle enfin qu en application de l article 17-1 de la Loi n 1.165, modifiée, la liste nominative des personnes ayant accès au traitement doit être tenue à jour, et doit pouvoir lui être communiquée à première réquisition. VI. Sur la sécurité du traitement et des informations Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu il contient n appellent pas d observation particulière. Elle rappelle également que, conformément à l article 17 de la Loi n 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l état de l art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d exploitation du présent traitement. 5

VII. Sur la durée de conservation Les informations nominatives collectées sont conservées le temps de la durée du contrat de travail, à l exception des données d horodatage qui ne sont conservées que 3 mois. La Commission considère que ces durées sont conformes aux exigences légales. Après en avoir délibéré, la Commission : Modifie la finalité par «Gestion du Système d Alarme par Biovein au sein des boutiques». Rappelle que : - l exploitation des données biométriques à des fins de contrôle d accès ne saurait donner lieu à des pratiques abusives portant atteinte aux droits des employés, des délégués du personnel et des délégués syndicaux, et que ces données ne sauraient être détournées de la finalité pour laquelle elles ont été initialement collectées ; - les Services de police monégasques ne pourront avoir accès aux informations objet du traitement, que dans le strict cadre de leurs missions légalement conférées ; - la liste nominative des personnes ayant accès au traitement doit être tenue à jour, et doit pouvoir lui être communiquée à première réquisition. Demande que l affichage soit modifié afin de comporter l ensemble des mentions prévues à l article 14 de la Loi n 1.165, modifiée. A la condition de la prise en compte des éléments qui précèdent, la Commission de Contrôle des Informations Nominatives autorise la mise en œuvre par la Société Anonyme Stephane du traitement automatisé d informations nominatives ayant pour finalité «Gestion du système d alarme par BIOVEIN au sein des boutiques». Le Président Guy MAGNAN 6

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back