Vu la Loi n du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;

Documents pareils
Vu la Convention de sauvegarde des droits de l homme et des libertés fondamentales du Conseil de l Europe du 4 novembre 1950 ;

DÉLIBÉRATION N DU 4 FÉVRIER 2014 DE LA COMMISSION DE CONTRÔLE

Vu la Convention Européenne de Sauvegarde des Droits de l Homme et des Libertés Fondamentales du Conseil de l Europe du 4 novembre 1950 ;

Sur les informations traitées

Vu la Loi n du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

DELIBERATION N DU 28 JUILLET 2014 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DU

DELIBERATION N DU 20 MAI 2015 DE LA COMMISSION DE CONTROLE

Vu la Loi n du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;

DELIBERATION N DU 20 MAI 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DE LA

DELIBERATION N DU 17 SEPTEMBRE 2014 DE LA COMMISSION DE CONTROLE

DELIBERATION N DU 12 MARS 2014 DE LA COMMISSION DE CONTRÔLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE À LA MISE EN ŒUVRE

DELIBERATION N DU 25 MARS 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DU

DELIBERATION N DU 28 JANVIER 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AUTORISATION A LA MISE EN ŒUVRE DE LA

DELIBERATION N DU 3 MAI 2010

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

DEMANDE D AUTORISATION D UN SYSTEME DE VIDEOPROTECTION

Vu la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel;

1. Procédure. 2. Les faits

Etaient présents Madame Souad El Kohen, Messieurs Driss Belmahi, Abdelaziz Benzakour et Omar Seghrouchni ;

LIVRET SERVICE. Portail Déclaratif Etafi.fr

Le Traitement des Données Personnelles au sein d une Association

Cadre juridique de la Protection des Données à caractère Personnel

Vu la loi n du 23 novembre 2005, portant statut de Bank Al-Maghrib ;

Délibération n du 27 septembre 2010

données à caractère personnel (ci-après LVP), en particulier l'article 29 ;

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale

CIRCULAIRE N 01/02 (annule et remplace la circulaire n 01/00)

Règlement d INTERPOL sur le traitement des données

«AMICALE DES CADRES DE LA POLICE NATIONALE ET DE LA SECURITE INTERIEURE» «ACPNSI»

Identification : ERDF-FOR-CF_41E Version : V1 Nombre de pages : 8. Document(s) associé(s) et annexe(s)

RÈGLEMENT. sur la collaboration avec les intermédiaires

LES OUTILS. Connaître et appliquer la loi Informatique et Libertés

Cahier des charges MARCHE A PROCEDURE ADAPTEE

Photos et Droit à l image

CHARTE DE L ING. Code relatif à l utilisation de coordonnées électroniques à des fins de prospection directe

Vu la demande de la Banque Nationale de Belgique du 5 octobre 2005;

CODE PROFESSIONNEL. déontologie

Nomination et renouvellement de MCF et PR associé à temps plein

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale»

PRIX DE L INITIATIVE NUMERIQUE CULTURE, COMMUNICATION, MEDIAS.

Comité sectoriel de la sécurité sociale et de la santé Section «Santé»

Cahier des Clauses Techniques Particulières

Effectif de la Société à la date de dépôt du dossier complet de demande d aide :

REGLEMENT DE CONSULTATION FOURNITURES DE MATERIELS ET PRESTATIONS INFORMATIQUES

CONDITIONS SPECIFIQUES DE VENTE POUR LES PROFESSIONNELS

Cahier des charges. Achat de bornes interactives pour la Maison de l Environnement de Nice

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

ASSURANCE MALADIE OBLIGATOIRE DE BASE

CONVENTION INDIVIDUELLE D HABILITATION. «Expert en automobile indépendant» (convention complète)

Décompilation d un logiciel : état des lieux

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale»

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

CONVENTION INDIVIDUELLE D HABILITATION. «société d assurance indépendante» (Convention complète)

CODE DE CONDUITE DES AGENTS IMMOBILIERS CHARTE DE DÉONTOLOGIE

CONTRAT DE SOUSCRIPTION «ALERTES par SMS ou » Compléter les zones grisées, signer et renvoyer à l adresse suivante :

Le jeu-concours se déroulera du Mardi 28 Avril 2015 à 12h00 au dimanche 17 Mai 2015 à 19h inclus (date et heure française de connexion faisant foi).

DEMANDE D AUTORISATION D UN SYSTÈME DE VIDÉOSURVEILLANCE

Avis préalable de réunion

Article 1. Enregistrement d un nom de domaine

Communication sur l'obligation faite aux banques d'établir une convention de compte au bénéfice de leur clientèle

VIE PRIVEE CIRCUS BELGIUM

INSTRUCTION. N B1-P2-A3 du 23 décembre 2002 NOR : BUD R J. Texte publié au Bulletin Officiel de la Comptabilité Publique

REALISATION DES PRESTATIONS DE MAINTENANCE DU RESEAU INFORMATIQUE ET TELEPHONIQUE DE LA CAISSE MAROCAINE DES RETRAITES

Contrat relatif à la Déclinaison Régionale de la réglementation relative à la réalisation d'étude d'incidence au titre de Natura 2000

Attention, la visite du site est obligatoire L absence de remise d un certificat de visite entraînera la non-conformité de l offre remise

N 3038 ASSEMBLÉE NATIONALE PROJET DE LOI

AU NOM DU PEUPLE FRANÇAIS LA CHAMBRE REGIONALE DES COMPTES D AUVERGNE, STATUANT EN SECTION

Autorité de contrôle prudentiel et de résolution

Dispositions relatives aux services bancaires en ligne valables dès le 1er janvier 2013

Comment participer? Règlement du jeu «Ma Fnac en photo»

CONDITIONS GENERALES DE VENTE

ANNEXE A LA CIRCULAIRE SUR LE CONTROLE INTERNE ET L AUDIT INTERNE TABLE DES MATIERES

Cahier des charges. Location et entretien d une machine à affranchir et de ses périphériques

CONTRAT DE PRISE EN REGIE

ACTUALITÉS ASSURANCES & RISQUES FINANCIERS

Comité conseil en matière de prévention et sécurité des personnes et des biens Octobre 2013

REGLEMENT DU CONCOURS MACIF «PRIX MACIF DU FILM ECONOMIE SOCIALE»

CAHIER DES CHARGES MARCHE DE SERVICE. LOT UNIQUE : Dématérialisation et reprographie des dossiers de consultation de Maine-et-Loire Habitat

CONDITIONS CONTRACTUELLES GENERALES (CCG)

Appel d offres ouvert N 01/2015

MARCHE PUBLIC DE TRAVAUX CAHIER DES CLAUSES ADMINISTRATIVES PARTICULIERES (C.C.A.P.)

TABLE DES MATIERES. Section 1 : Retrait Section 2 : Renonciation Section 3 : Nullité

La Commission de la protection de la vie privée (ci-après "la Commission") ;

UNE ADRESSE SUR INTERNET

LICENCE PROFESSIONNELLE Assurance, Banque, Finance

REGLEMENT DU JEU CONCOURS «FAN DE BARBECUE»

SUPPRIMER UN NOM DE DOMAINE

CONSTRUCTION D UN ACCUEIL DE JOUR POUR PERSONNES A MOBILITE REDUITE CAHIER DES CHARGES

REGLEMENT DU GRAND JEU DE L ETE MITOSYL LINGETTES

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale»

REGLEMENT DU JEU «GET LUCKY AVEC CORSAIR» DU 17 SEPTEMBRE 2013 AU 7 OCTOBRE 2013

NIC BURKINA FASO - CHARTE DE NOMMAGE DU POINT BF ******* REGLES D'ENREGISTREMENT POUR LES NOMS DE DOMAINE SE TERMINANT EN.BF

CONTRAT DE PERMANENCE TELEPHONIQUE EXTERNALISATION DE STANDARD

Procédure Juridique de mise en place d une base de données biométriques

CODE DE DEONTOLOGIE DE LA COMMUNICATION DIRECTE ELECTRONIQUE

ENTRE LA SOCIETE GANDIOL S.A KEPAR GUI S.A MONSIEUR CALOM FALL

Transcription:

DELIBERATION N 2012-36 DU 19 MARS 2012 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AUTORISATION SUR LA DEMANDE PRESENTEE PAR LA BANCA POPOLARE DI SONDRIO RELATIVE A LA MISE EN ŒUVRE DU TRAITEMENT AUTOMATISE D INFORMATIONS NOMINATIVES AYANT POUR FINALITE «ENREGISTREMENT D IMAGES PAR UN SYSTEME DE VIDEOSURVEILLANCE» Vu la Constitution du 17 décembre 1962 ; Vu la Convention n 108 du Conseil de l Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son protocole additionnel ; Vu la Loi n 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ; Vu la Loi n 1.264 du 23 décembre 2002 relative aux activités privées de protection des personnes et des biens ; Vu l Ordonnance Souveraine n 2.230 du 19 juin 2009 fixant les modalités d application de la Loi n 1.165 du 23 décembre 1993, susvisée ; Vu la Recommandation du Conseil de l Europe n R(89)2 du 19 janvier 1989 sur la protection des données à caractère personnel utilisées à des fins d emploi ; Vu le Rapport du Comité Européen de Coopération Juridique de mai 2003 ; Vu la Délibération n 2010-13 de la Commission du 3 mai 2010 portant recommandation sur les dispositifs de vidéosurveillance mis en œuvre par les personnes physiques ou morales de droit privé ; Vu l autorisation délivrée par le Ministre d Etat en date du 13 septembre 2011 ; Vu la demande d autorisation déposée par la BANCA POPOLARE DI SONDRIO (SUISSE) le 25 janvier 2012 concernant la mise en œuvre d un traitement automatisé d informations nominatives ayant pour finalité «Enregistrement d images vidéo» ; Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 19 mars 2012 portant examen du traitement automatisé susvisé ; 1

La Commission de Contrôle des Informations Nominatives, Préambule La BANCA POPOLARE DI SONDRIO (SUISSE) SUCCURSALE DE MONACO exerce à titre principal une activité bancaire. En application des dispositions de l article 24 de la loi n 1.165, modifiée, elle constitue le représentant à Monaco de la société BANCA POPOLARE DI SONDRIO, établie en Suisse. Afin de garantir la sécurité des biens et des personnes se trouvant dans les lieux, ainsi que de permettre le contrôle des accès, cette banque souhaite procéder à l installation d un système de vidéosurveillance au sein de son établissement monégasque. A ce titre, en application de l article 11-1 de la loi n 1.165, modifiée, du 23 décembre 1993, concernant la mise en œuvre de traitements automatisés d informations nominatives à des fins de surveillance, la BANCA POPOLARE DI SONDRIO (SUISSE) soumet la présente demande d autorisation relative au traitement ayant pour finalité «Enregistrement d images vidéo». I. Sur la finalité et les fonctionnalités du traitement Le traitement a pour finalité «Enregistrement d images vidéo». Les personnes concernées sont «la clientèle et les employés». Enfin, les fonctionnalités du traitement sont les suivantes : - sécurité des biens et des personnes ; - permettre le contrôle d accès ; - permettre la constitution de preuve en cas d infractions. Cependant, considérant les fonctionnalités du traitement, la Commission rappelle que tout traitement d informations nominatives doit avoir une finalité «déterminée, explicite et légitime» aux termes de l article 10-1 de la loi n 1.165, susmentionnée. A cet égard, la finalité du présent traitement doit être plus explicite et mettre en évidence l objectif recherché par le responsable de traitement, soit celui de surveiller ce qu il se passe au sein de son établissement par le biais d un système vidéo. Par conséquent, la Commission considère que la finalité du traitement doit être modifiée par : «Enregistrement d images par un système de vidéosurveillance». II. Sur la licéité et la justification du traitement Sur la licéité du traitement Dans le cadre de sa recommandation du 3 mai 2010 «sur les dispositifs de vidéosurveillance mis en œuvre par les personnes physiques ou morales de droit privé», la Commission pose les conditions de licéité d un traitement de vidéosurveillance, au sens de l article 10-1 de la loi n 1.165, modifiée. 2

A ce titre, elle considère que la licéité d un tel traitement est attestée par l obtention de l autorisation du Ministre d Etat, conformément aux dispositions des articles 5 et 6 de la loi n 1.264 du 23 décembre 2002 relative aux activités privées de protection des personnes et des biens. En l espèce, cette pièce délivrée le 13 septembre 2011 est jointe au dossier de demande d autorisation. Par conséquent, la Commission considère que le traitement est licite au sens de l article 10-1 de la loi n 1.165, modifiée. Sur la justification Le responsable de traitement indique que le traitement est justifié par la réalisation d un intérêt légitime, sans que soient méconnus les libertés et droits fondamentaux des personnes concernées, ainsi que par le consentement de la ou des personnes concernées. Il précise également qu en cas de nécessité, les enregistrements pourront être mis à la disposition des organes compétents et qu ils pourront être utilisés afin de rechercher des erreurs opérationnelles, de tentatives de fraudes, de vol, etc. Les procédures internes garantissent la confidentialité des données récoltées. A cet égard, la Commission relève que l installation d un système de vidéosurveillance a pour but de renforcer la protection des biens et des personnes au sein de la BANCA POPOLARE DI SONDRIO (SUISSE). Elle constate par ailleurs que les caméras ont été implantées de manière à minimiser les risques d atteintes à la vie privée, à l exception de celle se trouvant dans le back-office qui semble être dirigée en direction d un poste de travail. Sur ce point, la Commission demande à ce que cette caméra soit réorientée. Enfin, la Commission prend acte du fait que le responsable de traitement n exploite pas de système de vidéosurveillance à reconnaissance faciale. Par conséquent, elle considère que le traitement est justifié, conformément aux dispositions de l article 10-2 de la loi n 1.165, modifiée. III. Sur les informations traitées Aux termes de la demande d autorisation, les informations objets du traitement sont les suivantes : - identité : image, visage, silhouette ; - données de l identification électronique : logs d accès au système ; - données temporelles et localisation : lieux, coordonnées, date, caméra. La Commission constate que ces informations proviennent du dispositif de vidéosurveillance. A cet égard, elle estime que ces informations sont «adéquates, pertinentes et non excessives» au regard de la finalité du traitement, conformément aux dispositions de l article 10-1 de la loi n 1.165, modifiée. 3

Cependant, elle relève que le responsable de traitement déclare également collecter les informations suivantes : nom, prénom, adresse, téléphone, email, date de la demande individuelle et date et heure de la vidéo objet de la demande d accès. La Commission observe que ces informations sont issues d un traitement distinct permettant de recenser les demandes d exercice de droit d accès. Elle exclut donc du présent traitement les informations précitées et demande au responsable de traitement de lui soumettre le traitement relatif à la «Gestion des demandes de droit d accès au système de vidéosurveillance». La Commission exclu également toute collecte d informations relatives aux «infractions, condamnations, mesures de sûreté, soupçon d activités illicites», déclarées comme collectées par le responsable de traitement. IV. Sur les droits des personnes concernées Sur l information des personnes concernées Le responsable de traitement indique que l information préalable des personnes concernées est effectuée par le biais d un affichage situé dans les locaux de la BANCA POPOLARE DI SONDRIO (SUISSE), d un document spécifique (avenant au contrat de travail joint à la demande d autorisation) et d une mention ou clause particulière intégrée dans un document remis à l intéressé et d une procédure interne accessible en Intranet. Toutefois, ces pièces n ayant pas été communiquées à la Commission, elle rappelle qu en application de sa délibération n 2010-13 du 3 mai 2010, précitée, cet affichage devra comporter, a minima, un pictogramme représentant une caméra, ainsi que le nom de la personne ou du service auprès de qui s exerce le droit d accès. Sous cette condition, la Commission considère que les modalités d information préalable sont conformes aux dispositions de l article 14 de la loi n 1.165, modifiée. Sur l exercice du droit d accès La Commission observe que le droit d accès est exercé par courrier électronique, voie postale et sur place auprès de «l Ufficio Sicurezza» situé à Lugano, en Suisse. Les droits de modification, mise à jour ou suppression des données sont exercés par voie postale ou sur place. La Commission appelle l attention du responsable de traitement sur le fait que l article 24, alinéa 4 de la loi n 1.165, modifiée, dispose que «lorsque le responsable de traitement est établi à l étranger, mais recourt à des moyens de traitement situés à Monaco ; dans ce cas, le responsable de traitement doit désigner un représentant établi à Monaco, qui effectue la déclaration, [ ] et auquel incombent les obligations prévues par la loi [ ]». A ce titre, elle demande que les droits d accès, de modification, mise à jour ou suppression soient réalisés au sein de l établissement monégasque et non en Suisse. Enfin, elle constate que le délai de réponse est de 15 jours maximum. 4

V. Sur les destinataires et les personnes ayant accès au traitement Sur les destinataires La Commission constate qu il est opéré un transfert d informations vers la société CERTAS (société de sécurité et téléalarme) et l Ufficio Sicurezza situés en Suisse, pays disposant d un niveau de protection adéquate. Elle rappelle qu en cas de transmission éventuelle à la Direction de la Sûreté Publique pour enquête, les agents ne pourront avoir accès aux informations objet du traitement, que dans le strict cadre de leurs missions légalement conférées. De plus, la copie ou l extraction d une séquence vidéo doit être chiffrée sur son support de réception, conformément à la recommandation n 2010-13 du 3 mai 2010. La Commission estime donc que cette transmission est conforme aux dispositions de l article 17-1 de la loi n 1.165, modifiée. Sur les personnes ayant accès au traitement Les personnes habilitées à avoir accès au traitement sont : - L Ufficio Sicurezza (Suisse) : inscription, modification, mise à jour, consultation ; - La société CERTAS : consultation des images live uniquement. Considérant les attributions de chacune de ces personnes, et eu égard à la finalité du traitement, la Commission considère que ces accès sont justifiés. Elle appelle toutefois l attention du responsable de traitement sur le fait que conformément aux dispositions de l article 17-1 de la loi n 1.165, modifiée, la liste nominative des personnes ayant accès au traitement doit être tenue à jour, et être communiquée à la Commission à première réquisition. Par ailleurs, elle rappelle que le responsable de traitement est tenue de prendre, à l égard de ses prestataires, des mesures spécifiques au respect de la confidentialité et à la protection des données, telles que la conclusion de clauses contractuelles y afférentes. En outre, lesdits prestataires ne pourront accéder au traitement et aux données qu il contient que «pour les stricts besoins de l accomplissement de leurs missions». Au vu de l ensemble de ces éléments, la Commission constate que les communications et accès susvisés sont conformes aux dispositions des articles 10-1 et 17 de la loi n 1.165, modifiée. VI. Sur la sécurité du traitement et des informations Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu il contient n appellent pas d observations particulières. La Commission rappelle néanmoins que, conformément à l article 17 de la loi n 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l état de l art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d exploitation du présent traitement. 5

La Commission observe que le responsable de traitement à mis en place un système de protection biométrique pour accéder au local technique renfermant le matériel dédié à la vidéosurveillance. Elle constate que ce traitement n a pas été soumis à son autorisation conformément à l article 11-1 de la loi n 1.165, modifiée. Elle demande donc au responsable de traitement de lui soumettre ce traitement biométrique dans les plus brefs délais et demande la désactivation de ce dernier jusqu'à la mise en œuvre de ce traitement conformément à la loi n 1.165. VII. Sur la durée de conservation La Commission relève que les informations nominatives collectées par le système de vidéosurveillance sont conservées pour une durée de 30 jours. Elle considère que la durée de conservation est conforme aux exigences légales. 6

Après en avoir délibéré, Demande que : - les caméras dont l angle de vue pourrait filmer les postes de travail soient réorientées ; - l exercice du droit d accès s effectue au sein de la succursale monégasque de la BANCA POPOLARE DI SONDRIO (SUISSE) ; - soit déclaré le traitement «Gestion des demandes de droit d accès au système de vidéosurveillance» dans les meilleurs délais ; - le traitement relatif au système biométrique soit désactivé sur le champ et soumis à son autorisation ; Exclut toute collecte d informations relatives aux «infractions, condamnations, mesures de sûreté, soupçon d activité illicites» ; Rappelle : - que les panneaux d affichage, doivent être placés à l entrée des lieux filmés, comporter les exigences a minima qui sont le pictogramme représentant une caméra et le nom de la personne auprès de laquelle s exerce le droit d accès ; - que la liste nominative des personnes ayant accès au traitement, visée à l article 17-1 de la loi n 1.165, modifiée, doit être tenue à jour, et pouvoir être communiquée à la Commission à première réquisition ; - qu en cas de transmission éventuelle à la Direction de la Sûreté Publique pour enquête, les agents ne pourront avoir accès aux informations objet du traitement, que dans le strict cadre de leurs missions légalement conférées et que la copie ou l extraction d une séquence vidéo soit chiffrée sur son support de réception ; A la condition de la prise en compte de ce qui précède, La Commission de Contrôle des Informations Nominatives autorise la mise en œuvre, par la BANCA POPOLARE DI SONDRIO (SUISSE), du traitement automatisé d informations nominatives ayant pour finalité «Enregistrement d images par un système de vidéosurveillance». Le Président, Michel SOSSO 7

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back