Délibération n° 2017-001 du 4 janvier 2017 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les traitements automatisés d'informations nominatives ayant pour finalité « La gestion des obligations légales relatives aux échanges automatiques d'informations à des fins fiscales » mis en œuvre par les Institutions financières déclarantes.
Vu la Constitution ;
Vu la Convention de sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel du 28 janvier 1981, et son Protocole additionnel ;
Vu la Convention concernant l'assistance administrative mutuelle en matière fiscale ;
Vu l'Accord multilatéral entre Autorités compétentes concernant l'échange automatique de renseignements relatifs aux comptes financiers ;
Vu le Protocole de modification de l'Accord entre la Principauté de Monaco et la Communauté européenne prévoyant des mesures équivalentes à celles prévues par la Directive du Conseil 2003/48/CE du 3 juin 2003 ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.436 du 2 décembre 2016 portant approbation de ratification de la Convention concernant l'assistance administrative mutuelle en matière fiscale ;
Vu la loi n° 1.437 du 2 décembre 2016 portant approbation de ratification de l'Accord multilatéral entre les Autorités compétentes concernant l'échange automatique de renseignements relatifs aux comptes financiers ;
Vu la loi n° 1.438 du 2 décembre 2016 portant approbation de ratification du Protocole de modification de l'Accord entre la Principauté de Monaco et la Communauté européenne prévoyant des mesures équivalentes à celles que porte la Directive 2003/48/CE du Conseil du 3 juin 2003 ;
Vu la loi n° 1.444 du 19 décembre 2016 portant diverses mesures en matière de protection des informations nominatives et de confidentialité dans le cadre de l'échange automatique de renseignements en matière fiscale ;
Vu la loi n° 1.445 du 19 décembre 2016 portant diverses mesures relatives à la prescription et aux sanctions pénales applicables en matière d'échange automatique de renseignements en matière fiscale ;
Vu l'ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'ordonnance souveraine n° 6.205 du 16 décembre 2016 rendant exécutoire la Convention concernant l'assistance administrative mutuelle en matière fiscale ;
Vu l'ordonnance souveraine n° 6.206 du 16 décembre 2016 rendant exécutoire l'Accord multilatéral entre Autorités compétentes concernant l'échange automatique de renseignements relatifs aux comptes financiers ;
Vu l'ordonnance souveraine n° 6.207 du 16 décembre 2016 rendant exécutoire le Protocole de modification de l'Accord entre la Principauté de Monaco et la Communauté Européenne prévoyant des mesures équivalentes à celles que porte la Directive du Conseil 2003/48/CE du 3 juin 2003 ;
Vu l'ordonnance souveraine n° 6.208 du 20 décembre 2016 portant application de la Convention concernant l'assistance administrative mutuelle en matière fiscale, de l'Accord multilatéral entre Autorités compétentes concernant l'échange automatique de renseignements relatifs aux comptes financiers et du Protocole de modification de l'accord entre la Communauté Européenne et la Principauté de Monaco prévoyant des mesures équivalentes à celles que porte la Directive 2003/48/CE ;
Vu l'article 308 du Code pénal ;
I. Remarques liminaires
L'échange automatique d'informations comme moyen de lutte contre la fraude et l'évasion fiscales transfrontières a été récemment reconnu au niveau international. A cet égard, le G20 a chargé l'Organisation de Coopération et de Développement Economiques (OCDE) d'élaborer, en s'inspirant de la réglementation américaine dite « FATCA » (Foreign Account Tax Compliance Act), une norme mondiale unique pour l'échange automatique de renseignements en matière fiscale.
Le 22 mai 2013, le Conseil européen soulignait que « l'UE jouera un rôle déterminant dans la promotion de l'échange automatique d'informations afin que celui-ci devienne la nouvelle norme internationale, en tenant compte des dispositifs existants au niveau de l'UE ».
En juillet 2014, le Conseil de l'OCDE publiait la norme mondiale complète contenant les commentaires sur le modèle d'Accord entre Autorités compétentes, la norme commune en matière de déclaration ainsi que des normes pour des modalités techniques et des systèmes de technologie de l'information harmonisés en vue de mettre en œuvre la norme mondiale. Elle fut approuvée par les Ministres des finances et les Gouverneurs des banques centrales du G20 en septembre 2014.
En Principauté de Monaco, l'échange automatique a pour socle juridique :
- la loi n° 1.436 du 2 décembre 2016 portant approbation de ratification de la Convention concernant l'assistance administrative mutuelle en matière fiscale ;
- la loi n° 1.437 du 2 décembre 2016 portant approbation de ratification de l'Accord multilatéral entre les Autorités compétentes concernant l'échange automatique de renseignements relatifs aux comptes financiers ;
- la loi n° 1.438 du 2 décembre 2016 portant approbation de ratification du Protocole de modification de l'Accord entre la Principauté de Monaco et la Communauté européenne prévoyant des mesures équivalentes à celles que porte la Directive 2003/48/CE du Conseil du 3 juin 2003 ;
- la loi n° 1.444 du 19 décembre 2016 portant diverses mesures en matière de protection des informations nominatives et de confidentialité dans le cadre de l'échange automatique de renseignements en matière fiscale ;
- la loi n° 1.445 du 19 décembre 2016 portant diverses mesures relatives à la prescription et aux sanctions pénales applicables en matière d'échange automatique de renseignements en matière fiscale ;
- l'ordonnance souveraine n° 6.205 du 16 décembre 2016 rendant exécutoire la Convention concernant l'assistance administrative mutuelle en matière fiscale ;
- l'ordonnance souveraine n° 6.206 du 16 décembre 2016 rendant exécutoire l'Accord multilatéral entre Autorités compétentes concernant l'échange automatique de renseignements relatifs aux comptes financiers ;
- l'ordonnance souveraine n° 6.207 du 16 décembre 2016 rendant exécutoire le Protocole de modification de l'Accord entre la Principauté de Monaco et la Communauté Européenne prévoyant des mesures équivalentes à celles que porte la Directive du Conseil 2003/48/CE du 3 juin 2003 ;
- l'ordonnance souveraine n° 6.208 du 20 décembre 2016 portant application de la Convention concernant l'assistance administrative mutuelle en matière fiscale, de l'Accord multilatéral entre Autorités compétentes concernant l'échange automatique de renseignements relatifs aux comptes financiers et du Protocole de modification de l'Accord entre la Communauté Européenne et la Principauté de Monaco prévoyant des mesures équivalentes à celles que porte la Directive 2003/48/CE.
Il résulte de ces textes que la notion d'« échange automatique » doit s'entendre comme la communication systématique, entre les Etats liés par ces Accords et ces Conventions, « sans demande préalable, à intervalles réguliers préalablement fixés, d'informations prédéfinies concernant des personnes résidant dans d'autres Etats membres, à l'Etat membre de résidence concerné ».
A cet effet, chaque Institution financière déclarante à Monaco doit transmettre à la Direction des Services Fiscaux des informations concernant chaque « compte déclarable » de ladite Institution.
En conséquence, les entités concernées doivent collecter auprès de leurs clients non-résidents des informations relatives à leur identification, à leurs actifs et à leurs revenus financiers qu'elles communiquent ensuite dans un format normalisé à l'Autorité fiscale monégasque qui est seule habilitée à transmettre ces informations aux Autorités de l'Etat dont le client est résident fiscal, et aux seules fins prévues par les Accords et Conventions susvisés.
Par ailleurs, la Commission de Contrôle des Informations Nominatives ayant été consultée à ce sujet par différents acteurs publics et privés de la Principauté de Monaco, elle a estimé nécessaire, en se bornant à de seules considérations inhérentes à la protection des informations nominatives, de retenir les principes fondamentaux ci-après exposés.
II. Champ d'application et formalités légales applicables
Les principes consacrés par la présente délibération s'appliquent à tout traitement automatisé d'informations nominatives ayant pour finalité « la gestion des obligations légales relatives aux échanges automatiques d'informations à des fins fiscales » mis en œuvre par les Institutions financières déclarantes, et aux fins de se conformer à leurs obligations auprès de la Direction des Services Fiscaux.
• Régime applicable à ces traitements
Après avoir constaté que les traitements ayant pour finalité « la gestion des obligations légales relatives aux échanges automatiques d'informations à des fins fiscales » ont pour principal objectif de communiquer annuellement à la Direction des Services Fiscaux un document normalisé et validé par les Autorités monégasques compétentes, comportant des informations nominatives limitativement énumérées relatives à des « Comptes déclarables » dont l'identification est effectuée au moyen de procédures légalement décrites, la Commission estime qu'ils peuvent valablement lui être soumis en la forme d'une déclaration ordinaire, conformément à l'article 6 de la loi n° 1.165 du 23 décembre 1993.
Par ailleurs, elle rappelle que s'agissant d'un traitement automatisé destiné à définir un profil ou à évaluer certains aspects de la personnalité, il ne saurait méconnaître les dispositions de l'article 14-1 de la loi n° 1.165 du 23 décembre 1993.
• Les personnes concernées
Les personnes concernées par ce type de traitement sont l'ensemble des clients, des mandataires, des dirigeants, des bénéficiaires économiques effectifs, des personnes morales et autres entités énumérées par les textes applicables visés au III - Licéité du traitement de la présente délibération.
Sont également susceptibles d'être des personnes concernées les salariés dûment habilités à avoir accès au traitement.
III. Licéité du traitement
Les traitements automatisés d'informations nominatives ayant pour finalité « la gestion des obligations légales relatives aux échanges automatiques d'informations à des fins fiscales» ont pour fondement juridique les dispositions légales et réglementaires monégasques suivantes prises en application des engagements souscrits par la Principauté de Monaco :
- la loi n° 1.436 du 2 décembre 2016 portant approbation de ratification de la Convention concernant l'assistance administrative mutuelle en matière fiscale ;
- la loi n° 1.437 du 2 décembre 2016 portant approbation de ratification de l'Accord multilatéral entre les Autorités compétentes concernant l'échange automatique de renseignements relatifs aux comptes financiers ;
- la loi n° 1.438 du 2 décembre 2016 portant approbation de ratification du Protocole de modification de l'Accord entre la Principauté de Monaco et la Communauté européenne prévoyant des mesures équivalentes à celles que porte la Directive 2003/48/CE du Conseil du 3 juin 2003 ;
- la loi n° 1.444 du 19 décembre 2016 portant diverses mesures en matière de protection des informations nominatives et de confidentialité dans le cadre de l'échange automatique de renseignements en matière fiscale ;
- la loi n° 1.445 du 19 décembre 2016 portant diverses mesures relatives à la prescription et aux sanctions pénales applicables en matière d'échange automatique de renseignements en matière fiscale ;
- l'ordonnance souveraine n° 6.205 du 16 décembre 2016 rendant exécutoire la Convention concernant l'assistance administrative mutuelle en matière fiscale ;
- l'ordonnance souveraine n° 6.206 du 16 décembre 2016 rendant exécutoire l'Accord multilatéral entre Autorités compétentes concernant l'échange automatique de renseignements relatifs aux comptes financiers ;
- l'ordonnance souveraine n° 6.207 du 16 décembre 2016 rendant exécutoire le Protocole de modification de l'Accord entre la Principauté de Monaco et la Communauté Européenne prévoyant des mesures équivalentes à celles que porte la Directive du Conseil 2003/48/CE du 3 juin 2003 ;
- l'ordonnance souveraine n° 6.208 du 20 décembre 2016 portant application de la Convention concernant l'assistance administrative mutuelle en matière fiscale, de l'Accord multilatéral entre Autorités compétentes concernant l'échange automatique de renseignements relatifs aux comptes financiers et du Protocole de modification de l'Accord entre la Communauté Européenne et la Principauté de Monaco prévoyant des mesures équivalentes à celles que porte la Directive 2003/48/CE.
IV. Justification du traitement
En application de l'article 10-2 de la loi n° 1.165 du 23 décembre 1993, la Commission considère qu'un traitement automatisé d'informations nominatives ayant pour finalité « la gestion des obligations légales relatives aux échanges automatiques d'informations à des fins fiscales » est justifié par « le respect d'une obligation légale à laquelle est soumis le responsable de traitement ou son représentant ».
A cet égard, elle précise que cette obligation légale est issue des textes applicables visés au III - Licéité du traitement de la présente délibération.
V. Fonctionnalités du traitement
La Commission considère qu'un traitement ayant pour finalité « la gestion des obligations légales relatives aux échanges automatiques d'informations à des fins fiscales » est susceptible d'avoir, notamment, les fonctionnalités suivantes :
- répondre aux obligations légales incombant à l'Institution financière déclarante ;
- identifier et documenter les « comptes déclarables » ;
- collecter les informations nécessaires aux fins d'établissement de la documentation à destination de l'Autorité fiscale monégasque ;
- transmettre la documentation normalisée à la Direction des Services Fiscaux ;
- constituer un registre des actions engagées et des éléments probants utilisés en vue d'assurer la bonne exécution des obligations de déclaration et de diligence raisonnable.
VI. Information de la personne concernée
La Commission rappelle que conformément aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993, les personnes concernées par l'exploitation de leurs informations nominatives doivent être informées de :
- l'identité du responsable de traitement ;
- la finalité du traitement ;
- l'identité des destinataires ou des catégories de destinataires des informations ;
- l'existence d'un droit d'accès et de rectification aux informations les concernant.
En outre, elle appelle l'attention des responsables de traitement sur le fait que l'information délivrée au titre de l'article 14 de la loi n° 1.165 du 23 décembre 1993, ne saurait se substituer ni se confondre avec l'information visée à l'article 1er de la loi n° 1.444 du 19 décembre 2016 portant diverses mesures en matière de protection des informations nominatives et de confidentialité dans le cadre de l'échange automatique de renseignements en matière fiscale et suivant lequel :
« Dans le cadre des procédures de déclaration et de diligence raisonnable applicables en matière d'échange automatique d'information conformément à la norme commune de déclaration, les institutions financières déclarantes doivent, en temps utile, et au plus tard avant la transmission de la déclaration à la Direction des Services Fiscaux, avertir les personnes concernées, en complément des éléments d'informations visés à l'article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée :
a) de la base juridique du traitement d'informations nominatives ;
b) des délais de conservation des informations nominatives ;
c) de leur droit à un recours, selon le cas, administratif ou judiciaire, et de la procédure pour l'exercer ;
d) de leur droit de saisir la Commission de Contrôle des Informations Nominatives, ainsi que ses coordonnées. ».
La Commission estime qu'il convient également d'informer les personnes concernées que leurs informations sont susceptibles d'être communiquées par la Direction des Services Fiscaux aux Autorités fiscales de leur(s) Pays de résidence dans les conditions des législations visées au III de la présente délibération.
Cependant, et afin d'éviter une multiplication des supports d'information, la Commission considère que les différentes obligations d'information des personnes concernées peuvent valablement être effectuées au sein d'un seul et même document.
VII. Catégories d'informations traitées
Conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993, la Commission considère que les catégories d'informations suivantes peuvent être collectées et traitées :
- identité : le nom, l'adresse, le NIF (numéro d'identification fiscale), la date et le lieu de naissance (dans le cas d'une personne physique) de chaque personne devant faire l'objet d'une déclaration qui est titulaire de ce compte ; dans le cas d'une entité qui est titulaire de ce compte et pour laquelle il apparaît qu'une ou plusieurs personnes qui en détiennent le contrôle sont des personnes devant faire l'objet d'une déclaration : le nom, l'adresse et le NIF de cette entité et le nom, l'adresse et le NIF ainsi que la date et le lieu de naissance de chacune de ces personnes devant faire l'objet d'une déclaration ;
- caractéristiques financières : le numéro de compte ou son équivalent fonctionnel en l'absence de numéro de compte, le nom et le numéro d'identification (éventuel) de l'Institution financière déclarante, le solde ou la valeur portée sur le compte, valeur de rachat, date de la clôture du compte, montant brut total des intérêts, des dividendes et des autres revenus produits par les actifs détenus sur le compte, versés ou crédités sur le compte (ou au titre du compte) au cours de l'année civile, produit brut total de la vente ou du rachat d'actifs financiers versé ou crédité sur le compte au cours de l'année civile, montant brut total versé au titulaire du compte ou porté à son crédit au titre de ce compte, au cours de l'année civile, dont l'Institution financière déclarante est la débitrice, y compris le montant total de toutes les sommes remboursées au titulaire du compte au cours de l'année civile ;
- document normalisé envoyé à l'Autorité fiscale monégasque : format d'envoi et d'archivage, date et heure d'envoi, justificatifs d'envoi et de réception ;
- logs d'accès : logs de connexion des personnels habilités à avoir accès au traitement.
Aussi, la Commission considère que toute collecte d'informations strictement fondée sur les termes des textes visés au - III- Licéité du traitement - de la présente délibération est réputée adéquate, pertinente et non excessive au sens de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
VIII. Personnes ayant accès aux informations et destinataires
• Les personnes ayant accès aux informations
La Commission considère que l'accès aux informations objets du traitement doit être limité aux seules personnes qui, dans le cadre de leurs attributions, peuvent légitimement en avoir connaissance au regard de la finalité du traitement ou du but recherché.
Aussi, elle rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993, les droits d'accès des prestataires doivent être limités à ce qui est strictement nécessaire à l'exécution de leur contrat de prestation de service. De plus, ils sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement en exécution de ce même article.
• Les destinataires
La Commission considère que la Direction des Services Fiscaux est destinataire des informations nominatives issues de ces traitements, conformément aux dispositions légales et réglementaires visées au - III- Licéité du traitement - de la présente délibération.
IX. Interconnexions et rapprochements
La Commission observe que les traitements ayant pour finalité « la gestion des obligations légales relatives aux échanges automatiques d'informations à des fins fiscales » sont susceptibles de donner lieu à des rapprochements et des interconnexions avec d'autres traitements automatisés d'informations nominatives.
Aussi, elle rappelle aux Institutions financières que les traitements concernés par ces rapprochements et interconnexions doivent être légalement mis en œuvre, conformément aux dispositions de la loi n° 1.165 du 23 décembre 1993.
X. Confidentialité et mesures de sécurité
La Commission rappelle que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation des présents traitements.
Elle invite également les responsables de traitement à observer les mesures de sécurité énoncées dans les textes visés au - III- Licéité du traitement - de la présente délibération et notamment celles issues du point 8 - Intégrité et sécurité des données de l'Annexe III de l'Accord entre la Communauté européenne et la Principauté de Monaco prévoyant des mesures équivalentes à celles que porte la Directive 2003/48/CE du Conseil.
A cet égard, la Commission demande que les personnes habilitées à avoir accès au traitement soient astreintes à une obligation de confidentialité en adéquation avec le droit monégasque et les énonciations du a) du point 8 susvisé.
Elle rappelle en outre qu'aux termes de l'article 2 de la loi n° 1.444 du 19 décembre 2016 portant diverses mesures en matière de protection des informations nominatives et de confidentialité dans le cadre de l'échange automatique de renseignements en matière fiscale :
« Les responsables des traitements d'informations nominatives mis en œuvre dans le cadre des procédures de déclaration et de diligence raisonnable applicables en matière d'échange automatique d'information conformément à la norme commune de déclaration, informent, sans délai, la Commission de Contrôle des Informations Nominatives (C.C.I.N.) de tout manquement à la sécurité en ce qui concerne les informations nominatives collectées.
Lorsqu'après mise en œuvre, le cas échéant, des mesures prescrites aux articles 18 à 19 de la loi n° 1.165 du 23 décembre 1993, modifiée, la Commission estime que ces manquements sont susceptibles de porter atteinte à la protection desdites informations nominatives ou à la vie privée des personnes concernées, elle en avise chaque personne physique concernée, ainsi que le Ministre d'Etat ».
XI. Durée de conservation
La Commission rappelle que conformément à l'article 10-1 de la loi n° 1.165 du 23 décembre 1993, les informations nominatives objets du traitement ne peuvent être conservées que pendant une durée n'excédant pas celle nécessaire à la réalisation de la finalité pour laquelle elles sont collectées.
Conformément à l'article 3 de la loi n° 1.444 du 19 décembre 2016 portant diverses mesures en matière de protection des informations nominatives et de confidentialité dans le cadre de l'échange automatique de renseignements en matière fiscale, elle rappelle également que les Institutions financières déclarantes sont tenues de conserver pendant une durée de 5 ans à compter de la date de déclaration à la Direction des Services Fiscaux :
- les informations collectées et transmises à la Direction des Services Fiscaux ;
- le registre des actions engagées et des éléments probants utilisés en vue d'assurer la bonne exécution des obligations de déclaration et de diligence raisonnable.
Par ailleurs elle considère que les logs d'accès ne peuvent être conservés au-delà d'une durée d'un an.
Après en avoir délibéré, la Commission :
Rappelle que :
- la gestion des obligations légales relatives aux échanges automatiques d'informations à des fins fiscales implique la mise en œuvre d'un traitement automatisé d'informations nominatives, au sens de l'article 1er de la loi n° 1.165 du 23 décembre 1993 ;
- les responsables des traitements d'informations nominatives mis en œuvre dans le cadre des procédures de déclaration et de diligence raisonnable applicables en matière d'échange automatique d'informations, conformément à la norme commune de déclaration, sont tenus d'informer sans délai la Commission de Contrôle des Informations Nominatives de tout manquement à la sécurité en ce qui concerne les informations nominatives collectées.
Le Président de la Commission
de Contrôle des Informations Nominatives.