REPOSANT SUR LA RECONNAISSANCE DU CONTOUR DE LA MAIN» PRESENTE PAR LA SAM HELI AIR MONACO



Documents pareils
DÉLIBÉRATION N DU 4 FÉVRIER 2014 DE LA COMMISSION DE CONTRÔLE

DELIBERATION N DU 28 JUILLET 2014 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DU

Vu la Convention de sauvegarde des droits de l homme et des libertés fondamentales du Conseil de l Europe du 4 novembre 1950 ;

Sur les informations traitées

DELIBERATION N DU 20 MAI 2015 DE LA COMMISSION DE CONTROLE

Vu la Convention Européenne de Sauvegarde des Droits de l Homme et des Libertés Fondamentales du Conseil de l Europe du 4 novembre 1950 ;

DELIBERATION N DU 28 JANVIER 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AUTORISATION A LA MISE EN ŒUVRE DE LA

Vu la Loi n du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

DELIBERATION N DU 17 SEPTEMBRE 2014 DE LA COMMISSION DE CONTROLE

DELIBERATION N DU 25 MARS 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DU

DELIBERATION N DU 12 MARS 2014 DE LA COMMISSION DE CONTRÔLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE À LA MISE EN ŒUVRE

DELIBERATION N DU 20 MAI 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DE LA

Vu la Loi n du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;

DELIBERATION N DU 3 MAI 2010

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

CHARTE D UTILISATION DU SYSTÈME D INFORMATION ET EN PARTICULIER DES RESSOURCES INFORMATIQUES.

Activité : Élaboration, mise en forme et renseignement de documents

GAMME GESTION TEMPS & PRÉSENCE ZX-HP LA MAIN MISE SUR LE TEMPS

Choisir une pointeuse, badgeuse ou système de gestion des temps

et développement d applications informatiques

DOSSIER PREFECTURE ET CNIL MOINS DE 8 CAMERAS ET NE FILMANT PAS LA VOIE PUBLIQUE

Logiciel de gestion de temps du personnel

Portant Charte de nommage et règles de gestion des noms de domaine «.td»

ECOLE PRIMAIRE QUERAL ECOLE MATERNELLE CHARLES PERRAULT ECOLE DU CHAT PERCHE SAINT-ROCH

PUBLIC KEY INFRASTRUCTURE. Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé

Guide pratique Déclarer à la CNIL Un fichier ou un traitement de données personnelles

LES OUTILS. Connaître et appliquer la loi Informatique et Libertés

Article 1. Enregistrement d un nom de domaine

Le Traitement des Données Personnelles au sein d une Association

Le CHARTE DE BON USAGE DES RESSOURCES INFORMATIQUES DU

Dossiers personnels de l élève

Charte informatique. Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités.

LIVRE BLANC WiFi PUBLIC

Toute utilisation du site doit respecter les présentes conditions d utilisation.

L EXONÉRATION ou LA DISPENSE de déclaration : Aucune formalité déclarative requise

CHARTE INFORMATIQUE LGL

MODULE 2 : L échange et le partage de fichiers numériques

Programme Informatique de la Faculté de biologie et de médecine (Charte informatique)

La présentation qui suit respecte la charte graphique de l entreprise GMF

Conditions générales d abonnement en ligne et d utilisation du site

CAHIER DES CLAUSES TECHNIQUES

Directive cadre du groupe. Protection des données des clients et des partenaires.

Ordonnance sur les ressources d adressage dans le domaine des télécommunications

LICENCE PROFESSIONNELLE Assurance, Banque, Finance

GUIDE DE LA GÉOLOCALISATION DES SALARIÉS. Droits et obligations en matière de géolocalisation des employés par un dispositif de suivi GSM/GPS

NRC : N KG/2985/M info@mecreco.cd, mecrecocoocec@yahoo.fr

REGLEMENT DU JEU-CONCOURS «Audiotel - SMS / Un trésor dans votre maison 40»

CHARTE DE L ING. Code relatif à l utilisation de coordonnées électroniques à des fins de prospection directe

Cadre juridique de la Protection des Données à caractère Personnel

Livre blanc Compta La dématérialisation en comptabilité

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

novapro Entreprise Introduction Supervision

CHARTE D UTILISATION DE LA PLATEFORME DES ACHATS HOSPITALIERS DE BASSE-NORMANDIE

NIC BURKINA FASO - CHARTE DE NOMMAGE DU POINT BF ******* REGLES D'ENREGISTREMENT POUR LES NOMS DE DOMAINE SE TERMINANT EN.BF

Solution de facturation électronique Signée

Commission nationale de l informatique et des libertés

Ces conditions de vente prévaudront sur toutes autres conditions générales ou particulières non expressément agréées par SUD LOGICIEL GESTION.

PRESTATIONS DE NETTOYAGE DES LOCAUX, NETTOYAGE DES VITRES, FOURNITURES de PRODUITS CONSOMMABLES et ADAPTES

REGLEMENT DU JEU CONCOURS «FAN DE BARBECUE»

Le système d information en classe de première STMG

Contrat de courtier. Entre : (ci-après nommée «Empire Vie») (ci-après nommé «courtier») Adresse civique : Ville ou municipalité :

«OUTIL DE GESTION DE LA RELATION CLIENT - CRM» REGLEMENT DE CONSULTATION

Charte d exploitation et de demande d accès aux Géoservices. Plateforme Territoriale GUYANE SIG

Journal Officiel de la République Tunisienne 10 septembre 2013 N 73. Page 2634

BEP métiers des services administratifs BREVET D'ÉTUDES PROFESSIONNELLES MÉTIERS DES SERVICES ADMINISTRATIFS

MUNICIPALITÉ DU DISTRICT DE CLARE ARRÊTÉ N 28 ARRÊTÉ CONCERNANT LES REVENDEURS TEMPORAIRES DE VÉHICULES MOTORISÉS

Certificat d urbanisme

Le Groupement d Employeurs

LICENCE PROFESSIONNELLE. Systèmes informatiques et logiciels

Rapports d évaluation professionnels

REALISATION DES PRESTATIONS DE MAINTENANCE DU RESEAU INFORMATIQUE ET TELEPHONIQUE DE LA CAISSE MAROCAINE DES RETRAITES

REGLEMENT DU JEU-CONCOURS «Audiotel - SMS / La France a un incroyable talent 2011»

REGLEMENT DU JEU-CONCOURS «Audiotel - SMS / Qui est la taupe»

LICENCE PROFESSIONNELLE ASSURANCE BANQUE - FINANCE

LE DELEGUE INTERMINISTERIEL A LA SECURITE ROUTIERE A MESDAMES ET MESSIEURS LES PREFETS MONSIEUR LE PREFET DE POLICE

MAIRIE DE LA WANTZENAU MARCHE DE FOURNITURES PROCEDURE ADAPTEE CAHIER DES CHARGES

CONDITIONS GENERALES DE VENTE ET D UTILISATION DE SNCF TER NFC

I OBJECTIF PROFESSIONNEL DU CQPM

CAHIER DES CHARGES DE REALISATION DE SITE INTERNET

PREVOYANCE

Conditions d usage du service. «MS Dynamics CRM On Demand» V1.4

RADIONOMY SA 55K Boulevard International 1070 Bruxelles Belgique. II. Autorisation d'accès anonyme et acceptation de notre politique de vie privée

Règlement Intérieur des Services de Restauration Scolaire et d Accueil Périscolaire de la Ville de Jarvillela-Malgrange

FICHE N 2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56)

Remplacement du système de contrôle d accès de l Enssat

Réorganisation du processus de transfusion sanguine au Liban

REGLEMENT DU JEU-CONCOURS «Audiotel - SMS / Dilemme»

LOI N portant Code des Postes

Conditions Générales de Vente Internet. 7, rue Alfred Kastler CAEN. informatiquetélécominternet

LICENCE PROFESSIONNELLE

A Absence lors de la journée de solidarité... 3

Article 6. Absence de convention apparente de mini-trial

ADMINISTRATION, GESTION ET SECURISATION DES RESEAUX

Comment protéger ses systèmes d'information légalement et à moindre coût?

CONVENTION INDIVIDUELLE D HABILITATION. «société d assurance indépendante» (Convention complète)

Contrat relatif à l utilisation du bureau de clearing de la ZEK pour le décret 178. en tant qu utilisateur ecode178

Transcription:

DELIBERATION N 2016-21 DU 24 FEVRIER 2016 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AUTORISATION A LA MISE EN ŒUVRE DU TRAITEMENT AUTOMATISE D INFORMATIONS NOMINATIVES AYANT POUR FINALITE «GESTION DU TEMPS DE PRESENCE DES SALARIES PAR UN DISPOSITIF BIOMETRIQUE REPOSANT SUR LA RECONNAISSANCE DU CONTOUR DE LA MAIN» PRESENTE PAR LA SAM HELI AIR MONACO Vu la Constitution du 17 décembre 1962 ; Vu la Convention Européenne de Sauvegarde des Droits de l Homme et des Libertés Fondamentales du Conseil de l Europe du 4 novembre 1950 ; Vu la Convention n 108 du Conseil de l Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ; Vu la Loi n 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ; Vu l Ordonnance Souveraine n 2.230 du 19 juin 2009 fixant les modalités d application de la Loi n 1.165 du 23 décembre 1993, susvisée ; Vu la délibération n 2011-31 du 11 avril 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur certains dispositifs reposant sur la reconnaissance du contour de la main et ayant pour finalité le contrôle d accès et/ou la gestion des horaires sur le lieu de travail, mis en œuvre par les personnes physique ou morales de droit privé ; Vu la demande d autorisation déposée par la SAM HELI AIR MONACO le 30 octobre 2015 concernant la mise en œuvre d un traitement automatisé ayant pour finalité «Système de gestion du temps de présence» ; Vu la prorogation du délai d examen de la présente demande d autorisation notifiée au responsable de traitement le 28 décembre 2015, conformément à l article 11-1 de la Loi n 1.165, susmentionnée ; Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 24 février 2016 portant examen du traitement automatisé susvisé ; 1

La Commission de Contrôle des Informations Nominatives, Préambule La société HELI AIR MONACO est une société ayant entre autre comme activité le transport aérien de personnes et de marchandises. La société souhaite installer un dispositif biométrique permettant la gestion du temps de travail, ainsi que la gestion d un planning de présence et d absence des salariés. Dans le but de procéder à une meilleure gestion du temps de présence de ses salariés, ladite société souhaite installer un système de pointeuse reposant sur la reconnaissance du contour de la main au sein de ses locaux, répartis sur deux sites distincts, un sur le site de l héliport situé en Principauté, l autre sur le site de l aéroport de Nice en France. Ce traitement automatisé d informations nominatives étant mis en œuvre à des fins de surveillance et comportant des données biométriques nécessaires au contrôle de l identité des personnes, il est donc soumis à l autorisation de la Commission conformément à l article 11-1 de la Loi n 1.165 du 23 décembre 1993, modifiée. I. Sur la finalité et les fonctionnalités du traitement HELI AIR MONACO déclare que le présent traitement a pour finalité «Système de gestion du temps de présence». Le responsable de traitement indique que «le système de contrôle du temps de présence repose sur un système de pointage par donnée biométrique (à savoir un système de reconnaissance du salarié par géométrie de la main)». Or l article 10-1 de la Loi n 1.165, modifiée, requiert que les informations nominatives soient «collectées pour une finalité déterminée, explicite et légitime». Par conséquent, il convient de modifier la finalité comme suit : «Gestion du temps de présence des salariés par un dispositif biométrique reposant sur la reconnaissance du contour de la main». Les personnes concernées sont les salariés de la société. Enfin, la Commission note que les fonctionnalités sont les suivantes : - assurer un suivi du temps de présence des salariés au sein de la société ; - être informé de la présence des salariés dans la société ; - établir un planning de présence et d absence des salariés (fonction non mise en œuvre à ce jour) ; - constitution de preuves en cas d infraction au sein de la société. A la condition de la prise en compte de l élément qui précède, la Commission considère que la finalité du traitement est conforme aux dispositions de l article 10-1 de la Loi n 1.165, modifiée, susvisée. 2

II. Sur la licéité du traitement Dans le cadre de sa recommandation n 2011-31 du 11 avril 2011 «sur certains dispositifs biométriques reposant sur la reconnaissance du contour de la main et ayant pour finalité le contrôle d accès et/ou la gestion des horaires sur le lieu de travail, mis en œuvre par les personnes physique ou morales de droit privé», la Commission rappelle les conditions de licéité d un tel traitement au sens de l article 10-1 de la Loi n 1.165, modifiée. A ce titre, elle estime que la licéité d un traitement comportant des données biométriques nécessaires au contrôle de l identité des personnes, au sens de l article 11-1 de la Loi n 1.165 doit être «nécessaire à la poursuite d un objectif légitime essentiel» du responsable de traitement. Le responsable de traitement déclare qu il souhaite procéder à une meilleure gestion du temps de présence de ses salariés, notamment car la société HELI AIR est présente sur deux sites distincts, l héliport de Monaco et l aéroport de Nice. A cet égard, la Commission note que le responsable de traitement a soumis le traitement exploité en France à la Commission Nationale Informatique et Libertés française. Par ailleurs, le Règlement Intérieur de la société indique en son article 5, «qu à chaque entrée ou sortie de l entreprise, les salariés sont tenus de pointer (pointage biométrique). La pause du déjeuner doit aussi être pointée. Le salarié qui aura omis de pointer ou commis une erreur devra le signaler à son chef de service pour modification. ( ) Après avoir pointé, chaque salarié doit se rendre aussitôt à son poste de travail». A cet égard, la Commission rappelle que la délibération n 2011-31 du 11 avril 2011 précitée, précise que l exploitation de données biométriques ne saurait «être détournée de la finalité pour laquelle elles ont été initialement collectées (.) donner lieu à des pratiques abusives portant atteinte aux libertés et droits fondamentaux des employés et des visiteurs, mais également des droits conférés par la loi aux délégués du personnel et aux délégués syndicaux». Au vu des éléments qui précèdent, elle considère que le traitement est licite, conformément aux dispositions de l article 10-1 de la Loi n 1.165, modifiée. III. Sur la justification du traitement La Commission note que le traitement est justifié par la réalisation d un intérêt légitime poursuivi par le responsable de traitement, sans pour autant méconnaître les libertés et droits fondamentaux des individus. Le responsable de traitement indique que «la société HELI AIR MONACO est présente sur deux sites géographiques distincts : l héliport de Monaco et l aéroport de Nice. Il est par conséquent nécessaire de connaître la présence des salariés, notamment sur le site distant de Nice». En ce qui concerne la reconnaissance du contour de la main, la Commission rappelle qu il s agit d une donnée sans trace, car elle ne peut être dérobée à l insu de la personne dont elle émane. 3

Par conséquent, l exploitation d une telle donnée est moins risquée que l exploitation de l empreinte digitale par exemple, qui est une donnée «avec trace». Considérant ce qui précède, la Commission rappelle, conformément à sa recommandation n 2011-31 précitée, que le stockage d une telle donnée à des fins de gestion du temps de présence peut s effectuer, exclusivement sous une forme chiffrée, soit sur un support individuel sécurisé qui reste en possession de la personne concernée, soit sur un terminal de lecture-comparaison ne disposant d aucun port de communication permettant l extraction de la donnée biométrique, soit dans une base de données. Il est précisé que les badgeuses conservent en mémoire la géométrie de la main de chaque salarié afin d effectuer une comparaison lors du passage de ce dernier. Comme indiqué dans la recommandation n 2011-31, le gabarit du contour de la main est effectivement stocké sous une forme chiffrée «dans la mémoire d un terminal de lecturecomparaison ne disposant d aucun port de communication permettant l extraction de la donnée biométrique». Enfin la Commission note qu «en aucun cas le dispositif n est assujetti à un contrôle permanent des salariés», principe rappelé par la recommandation n 2011-31 précitée à savoir que le dispositif mis en place ne peut en aucun cas «conduire à un contrôle permanent et inopportun des employés». IV. Sur les informations traitées La Commission relève que les informations nominatives traitées sont : - identité : nom du salarié, prénom du salarié, code ID (correspondant à la date de naissance) ; - formation-diplômes vie professionnelle : service, fonction ; - données biométriques: volumétrie de la main; - horodatage des entrées / sorties : date, heure et lieu de pointage. Les informations relatives à l identité, à la formation, diplômes, vie professionnelle sont transmises verbalement du salarié au Service Informatique. Les données biométriques proviennent du salarié. L horodatage des entrées et sorties proviennent du système de gestion du temps de présence. En conséquence, la Commission considère que les informations collectées sont «adéquates, pertinentes et non excessives», conformément aux dispositions de l article 10-1 de la Loi n 1.165, modifiée. V. Sur les droits des personnes concernées Sur l information des personnes concernées : La Commission note que l information préalable des personnes concernées est effectuée par le biais d un document spécifique, ainsi que par une mention ou clause 4

particulière intégrée dans un document, il est également indiqué que «des affichages sont régulièrement mis à la disposition des salariés afin de les sensibiliser». A cet égard, la Commission relève que les documents susmentionnés n ont pas été joints au dossier car l information préalable prévue à l article 14 de la Loi n 1.165, modifiée ne figure ni dans le Règlement Intérieur, ni dans la Charte Informatique. Au vu de ces éléments, la Commission demande que les mentions d information soient complétées conformément aux exigences de l article 14 de la Loi n 1.165, modifiée. Sur l exercice du droit d accès : La Commission observe que le droit d accès est exercé par courrier électronique ou par voie postale. Le délai de réponse est de trente jours. Les droits de modification, mise à jour des données et suppression sont exercés selon les mêmes modalités. La Commission constate ainsi que les modalités d exercice des droits des personnes concernées sont conformes aux dispositions de la Loi n 1.165, modifiée. VI. Sur les destinataires des données Les informations sont susceptibles d être communiquées à la Direction de la Sûreté Publique et à l Inspection du Travail. La Commission constate ainsi que les transmissions envisagées sont nécessaires à l accomplissement des missions légitimes des Services destinataires de ces données. Ces missions sont compatibles avec la finalité et les fonctionnalités du traitement, en application des dispositions de l article 10-1 de la Loi n 1.165, modifiée. Au vu de ces éléments, la Commission considère que les transmissions d informations sont conformes aux exigences légales. VII. Sur les personnes ayant accès au traitement La Commission relève que les personnes habilitées à avoir accès au traitement sont : - le service comptabilité inscription, modification, mise à jour, consultation ; - le service informatique : maintenance et enrôlement ; - la direction : consultation ; - les chefs de services uniquement pour les salariés de leurs services : consultation ; - le fabriquant : en maintenance après avis du service informatique. La Commission rappelle que conformément à l article 17-1 de la Loi n 1.165, modifiée, les accès précités devront être limités à ce qui est nécessaire aux personnes susvisées «pour les stricts besoins de l accomplissement de leurs missions». En ce qui concerne le prestataire, la Commission rappelle que conformément aux dispositions de l article 17 de la Loi n 1.165, modifiée, ses droits d accès doivent être limités à ce qui est strictement nécessaire à l exécution de son contrat de prestation 5

de service. De plus, celui-ci est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article. Elle rappelle qu en application de l article 17-1 de la Loi n 1.165, modifiée, la liste nominative des personnes ayant accès au traitement doit être tenue à jour. Au vu de ces éléments, la Commission considère que les accès sont conformes aux dispositions de l article 17 de la Loi n 1.165, modifiée. VIII. Sur la sécurité du traitement et des informations Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu il contient n appellent pas d observation particulière. Il convient cependant de préciser que la copie ou l extraction des informations nominatives doivent être chiffrées sur le support de réception. Enfin, l architecture technique de système biométrique repose sur des équipements de raccordements (switchs, pare-feux) de serveurs et périphériques qui doivent être protégés par un login et mot de passe réputé fort et les ports non utilisés doivent être désactivés. La Commission souligne de plus que, conformément à l article 17 de la Loi n 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l état de l art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d exploitation du présent traitement. IX. Sur la durée de conservation des données La Commission constate que les informations nominatives collectées sont conservées tant que le salarié travaille au sein de la société, s agissant de l identité, de la formation diplômes et vie professionnelles ainsi que des données biométriques. La Commission considère que cette durée de conservation est conforme à sa recommandation n 2011-31 du 11 avril 2011. S agissant de l horodatage des entrées et sorties (date, heure et lieu de pointage) le responsable de traitement indique que les données sont conservées 3 mois. A cet égard la Commission rappelle que dans sa délibération n 2011-31, précitée, elle avait estimé que les données relatives à l accès aux locaux et aux informations sur le temps de présence ou d horodatage pouvaient être conservées 5 ans dans l hypothèse où le traitement est exploité à des fins de contrôle du temps de travail des employés, conformément à la durée légale de prescription en matière de versement des salaires et rémunérations. Elle précise de plus qu en application de l article 9 de la Loi n 1.165, modifiée, la Commission peut «autoriser la conservation au-delà de la durée prévue à la déclaration, à la demande d avis ou à la demande d autorisation». 6

Aussi elle demande à ce que les informations d horodatage des entrées et sorties soient conservées 5 ans à compter de leur collecte. Après en avoir délibéré, la Commission : Modifie la finalité du présent traitement comme suit : «Gestion du temps de présence des salariés par un dispositif biométrique reposant sur la reconnaissance du contour de la main» ; Demande que - - les mentions d information préalable soient conformes à l article 14 de la Loi n 1.165, modifiée ; - - les informations d horodatage des entrées et sorties soient conservées 5 ans à compter de leur collecte ; Rappelle que : - - la Direction de la Sûreté Publique et l Inspection du travail ne pourront avoir communication des informations que dans le strict cadre de leurs missions légalement conférées ; - - la liste nominative des personnes ayant accès au traitement doit être tenue à jour ; - - la copie ou l extraction des informations nominatives doivent être chiffrées sur le support de réception ; - - les serveurs et périphériques doivent être protégés par un login et un mot de passe réputé fort et que les ports non utilisés doivent être désactivés. A la condition de la prise en compte de ce qui précède, la Commission de Contrôle des Informations Nominatives autorise la mise en œuvre par la SAM Héli Air Monaco, du traitement automatisé d informations nominatives ayant pour finalité «Gestion du temps de présence des salariés par un dispositif biométrique reposant sur la reconnaissance du contour de la main». Le Président Guy MAGNAN 7

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back