Délibération n° 2019-53 du 17 avril 2019 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des échanges spontanés de renseignements à des fins fiscales dans le cadre de l'action 5 du BEPS » de la Direction des Services Fiscaux, présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention de sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel du 28 janvier 1981, et son Protocole additionnel ;
Vu la Convention concernant l'assistance administrative mutuelle en matière fiscale de l'O.C.D.E. signée par la Principauté de Monaco le 13 octobre 2014 et entrée en vigueur le 1er avril 2017 rendue exécutoire par Ordonnance Souveraine n° 6.208 du 20 décembre 2016 ;
Vu l'Accord multilatéral entre autorités compétentes portant sur l'échange des déclarations pays par pays signé le 2 novembre 2017 ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.436 du 2 décembre 2016 portant approbation de ratification de la Convention concernant l'assistance administrative mutuelle en matière fiscale ;
Vu l'Ordonnance Souveraine n° 3.085 du 25 septembre 1945 relative aux droits et devoirs des agents des services fiscaux ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 2.693 du 23 mars 2010 relative à la coopération internationale en matière fiscale ;
Vu l'Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l'Administration et l'administré ;
Vu l'Ordonnance Souveraine n° 6.205 du 16 décembre 2016 rendant exécutoire la Convention concernant l'assistance administrative mutuelle en matière fiscale ;
Vu l'Ordonnance Souveraine n° 6.712 du 14 décembre 2017 rendant exécutoire l'Accord multilatéral entre autorités compétentes portant sur l'échange des déclarations pays par pays, et son annexe ;
Vu l'Ordonnance Souveraine n° 6.713 du 14 décembre 2017 portant application de l'Accord multilatéral entre autorités compétentes portant sur l'échange des déclarations pays par pays ;
Vu l'Ordonnance Souveraine n° 6.714 du 14 décembre 2017 portant modification de l'Ordonnance Souveraine n° 3.085 du 25 septembre 1945 relative aux droits et devoirs des agents des services fiscaux, modifiée ;
Vu l'arrêté ministériel n° 2019-37 du 14 janvier 2019 portant application de l'Ordonnance Souveraine n° 6.713 du 14 décembre 2017 portant application de l'Accord multilatéral entre autorités compétentes portant sur l'échange des déclarations pays par pays ;
Vu la demande d'avis déposée par le Ministre d'État, le 2 janvier 2019, concernant la mise en œuvre d'un traitement automatisé ayant pour finalité « Collecte d'informations nominatives et financières, dans le cadre de l'obligation d'échange automatique d'informations à des fins fiscales » ;
Vu la demande d'autorisation de transfert déposée par le Ministre d'État, le 25 janvier 2019, concernant la mise en œuvre d'un traitement automatisé ayant pour finalité « Transmission d'informations à des fins fiscales entre Monaco et les juridictions du cadre inclusif BEPS » ;
Vu la demande d'avis déposée par le Ministre d'État, le 2 janvier 2019, concernant la mise en œuvre d'un traitement automatisé ayant pour finalité « Échange automatique d'informations à des fins fiscales entre Monaco et les juridictions du cadre inclusif BEPS » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 28 février 2019, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 17 avril 2019 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Commission a été saisie le 2 janvier 2019 par le Ministre d'État de deux demandes d'avis se rapportant à la mise en œuvre des actions 5 et 13 du projet BEPS (lutte contre l'érosion de la base d'imposition et le transfert de bénéfices) de l'O.C.D.E..
Pour rappel, l'action 13 prévoit une obligation déclarative sous la forme d'une « déclaration pays par pays » pour les entités dont le chiffre d'affaires total consolidé du groupe est supérieur ou égal à 750 millions d'euros.
Aussi, l'action 5 prévoit un échange spontané obligatoire de renseignements pertinents sur les décisions des administrations fiscales à des fins de transparence.
Afin d'organiser les échanges d'informations inhérents aux engagements de la Principauté de Monaco, la Direction des Services Fiscaux (DSF) s'appuie sur la plateforme technique existante dénommée « Portail d'Échange Automatique d'Informations ».
Le traitement automatisé d'informations nominatives dont s'agit est soumis à l'avis de la Commission, conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Échange automatique d'informations à des fins fiscales entre Monaco et les juridictions du cadre inclusif BEPS ».
Il est dénommé : « Échange automatique d'informations en matière fiscale – BEPS ».
Le responsable de traitement indique que les personnes concernées sont les agents habilités de la Direction des Services Fiscaux et les personnes physiques concernées par un Tax Ruling qu'il définit comme « une prise de position formelle de l'administration fiscale saisie par un contribuable. Elle peut être à l'attention d'une personne physique, une société ou une transaction et pour une durée définie ».
Par ailleurs, il précise que :
- « les agents de la Direction des Services Fiscaux à Monaco désignent les inspecteurs/utilisateurs du portail et du centre de supervision de la plateforme EAI dans le cadre du projet BEPS. Ces inspecteurs disposent des accès et des droits d'administrateurs sur la plateforme d'échange automatique d'informations » ;
- « les personnes physiques faisant l'objet d'un Tax Ruling désignent toutes personnes concernées par un accord bilatéral entre Monaco et une autre juridiction ».
Aussi, le responsable de traitement indique que « l'accès à la plateforme EAI pour l'échange automatique d'informations à des fins fiscales entre Monaco et les juridictions du cadre inclusif BEPS se fait via la plateforme EAI [Portail et Centre de Supervision] qui est une application web accessible via deux postes dédiés aux utilisateurs de la DSF qui doivent gérer les processus liés à l'EAI ».
Le traitement a pour fonctionnalités :
« 1ère fonctionnalité : Enregistrement et/ou modification des agents de la DSF de Monaco sur la plateforme EAI ;
Étape 1 : Création d'un profil DSF sur le Portail et le Centre de Supervision ;
Étape 2 : Délivrance de l'accusé d'enregistrement et délivrance des accès.
2ème fonctionnalité : Saisie, envoi et réception d'informations nominatives dans le cadre des ETR [Exchange on Tax Rulings] ;
Étape 1 : Saisie d'informations nominatives dans le cadre d'un ETR ;
Étape 2 : Envoi d'informations nominatives dans le cadre d'un ETR ;
Étape 3 : Réception d'informations nominatives dans le cadre d'un ETR ».
Aussi, la Commission relève que le traitement dont s'agit lui a été soumis sous la finalité « Échange automatique d'informations à des fins fiscales entre Monaco et les juridictions du cadre inclusif BEPS ».
Or à l'examen du dossier, elle observe, d'une part, que ces échanges d'informations sont principalement fondés sur les dispositions des articles 11-1 de l'Ordonnance Souveraine n° 2.693 du 23 mars 2010 relative à la coopération internationale en matière fiscale et 7 de l'Ordonnance Souveraine n° 6.205 du 16 décembre 2016 rendant exécutoire la Convention concernant l'assistance administrative mutuelle en matière fiscale, lesquelles encadrent l'échange spontané de renseignements, et d'autre part, qu'ils participent à la mise en œuvre de l'action 5 du BEPS.
Ainsi, et considérant que la finalité doit être déterminée, explicite et légitime, conformément à l'article 10-1 de la loi n° 1.165 du 23 décembre 1993, elle modifie la finalité ainsi que suit : « Gestion des échanges spontanés de renseignements à des fins fiscales dans le cadre de l'action 5 du BEPS ».
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par le respect d'une obligation légale à laquelle il est soumis.
À cet égard, la Commission constate que cette obligation légale découle des textes figurant dans les visas et le préambule de la présente délibération.
Aussi, la Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Les informations nominatives traitées sont :
- identité/situation de famille/adresses et coordonnées : personne physique faisant l'objet d'un Tax Ruling : nom, prénom, adresse postale, tout type d'information relatif à l'identité de la personne physique concernée ; agent de la DSF : nom, prénom, numéro de téléphone, adresse email ;
- formation/diplôme et vie professionnelle : tout type d'information relatif à la vie professionnelle de la personne physique concernée ;
- caractéristiques financières : montant concerné par le Tax Ruling, tout type d'information relatif aux caractéristiques financières de la personne physique concernée par le Tax Ruling.
Le responsable de traitement indique que les informations ont pour origine, suivant le cas les Autorités compétentes des juridictions du cadre inclusif BEPS ou la Direction des Services Fiscaux de Monaco.
Par ailleurs, constatant que le recours à l'expression « tout type d'information relative à », la Commission rappelle que « les informations nominatives doivent être adéquates, pertinentes et non excessives au regard de la finalité pour laquelle elles sont collectées et pour laquelle elles sont traitées ultérieurement », conformément à l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
Aussi, elle invite le responsable de traitement à s'assurer de la collecte des seules informations nominatives directement nécessaires à l'accomplissement de la finalité du traitement dont s'agit.
À l'examen du dossier, la Commission considère que sont également collectés les identifiant et mot de passe des agents habilités de la Direction des Services Fiscaux et les logs de connexion (horodatage, login, actions réalisées par l'utilisateur).
Sous le bénéfice des remarques qui précèdent, elle considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
IV. Sur les droits des personnes concernées
- Sur l'information préalable des personnes concernées
Constatant que les agents habilités de la Direction des Services Fiscaux [DSF] sont également des personnes concernées par le traitement, la Commission demande que le responsable de traitement s'assure de leur information préalable, conformément à l'article 14 de la loi n° 1.165 du 23 décembre 1993\.
Par ailleurs, elle constate que la collecte et la communication des informations sont principalement fondées sur les dispositions des articles 11-1 de l'Ordonnance Souveraine n° 2.693 du 23 mars 2010 relative à la coopération internationale en matière fiscale et 7 de l'Ordonnance Souveraine n° 6.205 du 16 décembre 2016 rendant exécutoire la Convention concernant l'assistance administrative mutuelle en matière fiscale, au sens de l'article 14 alinéa 2 de la loi n° 1.165 du 23 décembre 1993\.
- Sur l'exercice du droit d'accès, de modification et de mise à jour
La Commission relève que le droit d'accès s'exerce sur place auprès de la Direction des Services Fiscaux. Les droits de rectification, de suppression et de mise à jour des données sont réalisés suivant les mêmes modalités.
Elle constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.
V. Sur les destinataires et les personnes ayant accès au traitement
- Sur les accès au traitement
Le responsable de traitement indique que les catégories de personnes habilitées à avoir accès aux informations sont :
- la Direction des Services Fiscaux : réception et consultation des informations nominatives des utilisateurs pour approbation d'enregistrement sur la plateforme ; réception et consultation des informations nominatives des personnes faisant l'objet de Tax Rulings ;
- la Direction des Réseaux et Systèmes d'Information : accès pour la maintenance, l'enregistrement / modification d'un utilisateur de la DSF (accès aux données nominatives sous une gouvernance préétablie avec accord préalable) ;
- les prestataires externes : accès pour l'enregistrement / modification d'un utilisateur de la DSF (accès aux données nominatives sous une gouvernance préétablie avec accord préalable).
La Commission considère que ces accès sont justifiés.
En ce qui concerne les prestataires, la Commission rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993 les droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de leur contrat de prestation de service. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission considère que ces accès sont justifiés.
- Sur les communications d'informations
À la lecture du dossier, la Commission constate que les informations collectées sont susceptibles d'être communiquées à des fins fiscales, au travers de la plateforme EAI :
- aux autorités compétentes des juridictions du cadre inclusif BEPS ;
- à des juridictions soumises à déclaration situées dans des pays ne disposant pas d'un niveau de protection adéquat au sens de la loi n° 1.165 du 23 décembre 1993.
À cet égard, la licéité des communications d'informations nominatives vers des pays ne disposant pas d'un niveau de protection adéquat sera analysée dans la demande d'autorisation de transfert concomitamment soumise.
VI. Sur les rapprochements et les interconnexions
Le responsable de traitement indique le traitement dont s'agit ne fait l'objet d'aucun rapprochement ni d'aucune interconnexion.
À l'examen du dossier il appert une interconnexion avec le traitement ayant pour finalité « Gestion des accès à la plateforme dédiée pour le dépôt de la déclaration pays par pays (action 13 BEPS) » dénommé « Enregistrement et connexion des utilisateurs des entités déclarantes » concomitamment soumis et ayant fait l'objet d'un avis favorable de la Commission.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
La Commission rappelle enfin que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII. Sur la durée de conservation
Le responsable de traitement indique que les informations nominatives sont conservées 7 jours sur la plateforme CTS et 10 ans au sein de la Direction des Services Fiscaux.
À cet égard, il précise que « les données seront détruites au 31/12 de la dixième année suivant la transmission des informations. Cette durée de conservation correspond aux exigences déjà en place dans le cadre des accords d'échanges de renseignements fiscaux entre la Principauté et la France ainsi que les pays de l'Union Européenne ».
La Commission en prend donc acte.
Par ailleurs, ayant constaté la collecte de données d'identification électroniques (identifiant et mot de passe) des agents habilités de la Direction des Services Fiscaux et des logs de connexion (horodatage, login, actions réalisées par l'utilisateur), la Commission rappelle que, sauf dispositions légales ou réglementaires prévoyant une durée de conservation plus longue, les données d'identification électronique doivent être conservées pour la durée de l'habilitation et la durée de conservation des logs de connexion ne doit pas excéder 1 an.
En outre, s'agissant des mots de passe, la Commission recommande au responsable de traitement de ne les conserver que 3 mois ou bien d'adopter 9 caractères (majuscule, minuscule, alphanumérique et caractère spécial) s'il désire les conserver 6 mois.
Après en avoir délibéré, la Commission :
Modifie la finalité ainsi qu'il suit : « Gestion des échanges d'informations à des fins fiscales dans le cadre de l'action 5 du BEPS ».
Considère que les Agents habilités de la Direction des Services Fiscaux sont concernés par le présent traitement.
Invite le responsable de traitement à s'assurer de la collecte des seules informations nominatives directement nécessaires à l'accomplissement de la finalité du traitement dont s'agit.
Rappelle que :
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort ;
- sauf dispositions légales ou réglementaires prévoyant une durée de conservation plus longue, les données d'identification électronique doivent être conservées pour la durée de l'habilitation et la durée de conservation des logs de connexion ne doit pas excéder 1 an.
Recommande au responsable de ne conserver les mots de passe que 3 mois ou bien d'adopter 9 caractères (majuscule, minuscule, alphanumérique et caractère spécial) s'il désire les conserver 6 mois.
Demande que le responsable de traitement s'assure de l'information préalable des agents habilités de la Direction des Services Fiscaux [DSF], conformément à l'article 14 de la loi n° 1.165 du 23 décembre 1993.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État, du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des échanges spontanés de renseignements à des fins fiscales dans le cadre de l'action 5 du BEPS » de la Direction des Services Fiscaux.
Le Président de la Commission de Contrôle des Informations Nominatives.