Ordonnance Souveraine n° 8.695 du 17 juin 2021 portant application des articles 17 et 18 de la loi n° 1.483 du 17 décembre 2019 relative à l'identité numérique.
ALBERT II
PAR LA GRÂCE DE DIEU
PRINCE SOUVERAIN DE MONACO
Vu l'article 68 de la Constitution ;
Vu la loi n° 1.483 du 17 décembre 2019 relative à l'identité numérique ;
Vu Notre Ordonnance n° 8.099 du 16 juin 2020 fixant les conditions d'application de la loi n° 1.383 du 2 août 2011 pour une Principauté numérique, modifiée, relative aux services de confiance ;
Vu Notre Ordonnance n° 8.693 du 17 juin 2021 portant application des articles 4 et 5 de la loi n° 1.483 du 17 décembre 2019 relative à l'identité numérique ;
Vu Notre Ordonnance n° 8.694 du 17 juin 2021 portant application des articles 6, 8 et 13 de la loi n° 1.483 du 17 décembre 2019 relative à l'identité numérique ;
Vu l'arrêté ministériel n° 2019-791 du 17 septembre 2019 portant application de l'article 2, a) de l'Ordonnance Souveraine n° 5.664 du 23 décembre 2015 créant l'Agence Monégasque de Sécurité Numérique, modifiée ;
Vu l'arrêté ministériel n° 2020-461 du 6 juillet 2020 portant application de l'article 13 de l'Ordonnance Souveraine n° 8.099 du 16 juin 2020 fixant les conditions d'application de la loi n° 1.383 du 2 août 2011 pour une Principauté numérique, modifiée, relative aux services de confiance ;
Vu l'arrêté ministériel n° 2020-462 du 6 juillet 2020 portant application de l'article 36 de l'arrêté ministériel n° 2020-461 du 6 juillet 2020 portant application de l'article 13 de l'Ordonnance Souveraine n° 8.099 du 16 juin 2020 fixant les conditions d'application de la loi n° 1.383 du 2 août 2011 pour une Principauté numérique, modifiée, relative aux services de confiance ;
Vu la délibération n° 2021-104 du 2 juin 2021 de la Commission de Contrôle des Informations Nominatives portant avis sur la consultation du Ministre d'État relative à trois projets d'Ordonnances Souveraines portant respectivement application des articles 4 et 5, 6, 8 et 13, 17 et 18 de la loi n° 1.483 du 17 décembre 2019 relative à l'identité numérique ;
Vu la délibération du Conseil de Gouvernement en date du 16 juin 2021 qui Nous a été communiquée par Notre Ministre d'État ;
Avons Ordonné et Ordonnons :
Article Premier.
Le fournisseur d'identité visé à l'article 17 de la loi n° 1.483 du 17 décembre 2019, susvisée, prestataire de service de confiance d'identification et d'authentification, peut être, au sens de la présente ordonnance, une personne morale de droit public, une autorité publique, un organisme de droit privé investi d'une mission d'intérêt général ou concessionnaire d'un service public disposant d'une organisation établie et pleinement opérationnelle à tous les égards pertinents pour la fourniture des services.
Une personne privée peut être reconnue par l'État comme fournisseur d'identité si elle satisfait aux exigences déterminées par arrêté ministériel.
Le fournisseur d'identité doit être en mesure de démontrer sa capacité à assumer la responsabilité d'éventuels dommages, ainsi que le fait qu'il dispose de ressources financières suffisantes ou d'une assurance adaptée pour la poursuite de son activité et la fourniture des services.
Il est responsable de l'exécution de toute tâche sous-traitée à une autre entité, comme s'il s'était acquitté lui-même de sa mission.
En cas de cessation d'activité, le fournisseur d'identité doit avoir mis en place un plan de cessation d'activités efficace. Ce plan doit comporter des mesures concernant l'organisation en cas d'arrêt de fourniture du service ou de la reprise de la fourniture par un autre fournisseur, la façon dont les autorités compétentes et les utilisateurs finaux sont informés, ainsi que des détails sur les modalités de protection, conservation et destruction des informations conformément à la politique du schéma.
Art. 2.
Tout fournisseur d'identité doit disposer de pratiques de gestion de la sécurité de l'information documentées, de politiques, d'approches de la gestion des risques et d'autres contrôles reconnus afin de garantir que des pratiques efficaces sont en place. L'ensemble des exigences précisées aux articles 3 à 9 doit être proportionné aux risques correspondant au niveau de garantie donné faible, substantiel et élevé.
Art. 3.
L'offre de service proposée par un fournisseur d'identité doit faire l'objet d'une publicité définissant son objet et incluant toutes les modalités, conditions et frais, y compris les éventuelles limitations de son utilisation. La définition desdits services inclut une politique de confidentialité.
Le fournisseur d'identité met en place des procédures et politiques appropriées permettant de garantir que les utilisateurs du service sont informés de façon fiable et rapide de tout changement apporté à la définition de service et à toute modalité, condition et politique de confidentialité relatives au service spécifié.
Il met également en place des procédures et politiques appropriées permettant d'apporter des réponses complètes et exactes aux demandes de renseignements.
Art. 4.
Le fournisseur d'identité doit disposer d'un système de gouvernance de la sécurité de l'information efficace pour la gestion et le contrôle des risques de sécurité de l'information. Ce système doit être conforme à des normes ou principes reflétant l'état de l'art en matière de gestion et le contrôle des risques de sécurité de l'information.
Art. 5.
Le fournisseur d'identité remet aux utilisateurs du service des moyens d'identification numérique.
Le fournisseur d'identité peut collecter des informations lui permettant de contacter directement le porteur en cas de :
- Remplacement ou renouvellement de ses moyens d'identification numérique (certificats, supports physiques) ;
- Incident ou indisponibilité du service de confiance.
Les utilisateurs du service doivent informer le fournisseur d'identité de tout changement de situation ou d'informations de contacts.
Art. 6.
Le fournisseur d'identité enregistre et conserve les informations pertinentes à l'aide d'un système efficace de gestion des informations, en tenant compte de la législation en vigueur en matière de protection des données personnelles.
Les informations visées au premier alinéa ne peuvent être conservées au-delà du temps nécessaire pour auditer et enquêter sur les atteintes à la sécurité.
À l'issue de ces opérations, les informations doivent être détruites en toute sécurité.
Art. 7.
Le fournisseur d'identité doit disposer de procédures garantissant que le personnel et les sous-traitants sont suffisamment formés, qualifiés et expérimentés eu égard aux compétences nécessaires pour exécuter les tâches qui leur sont confiées.
Le personnel et les sous-traitants doivent être en nombre suffisant pour faire fonctionner et gérer de manière adéquate le service conformément à ses politiques et procédures.
Les installations utilisées pour fournir le service sont surveillées en permanence et protégées contre les dommages causés par des événements environnementaux, l'accès non autorisé et d'autres facteurs susceptibles d'avoir une incidence sur la sécurité du service.
Les installations utilisées pour fournir le service garantissent que l'accès aux zones de conservation ou de traitement d'informations personnelles, cryptographiques ou autres informations sensibles est limité au personnel ou aux sous-traitants autorisés.
Le respect de chacune des exigences visées aux alinéas précédents doit être proportionné au niveau de risque associé au niveau de garantie fourni.
Art. 8.
Le fournisseur d'identité doit mettre en place des contrôles techniques proportionnés pour gérer les risques menaçant la sécurité des services, en protégeant la confidentialité, l'intégrité et la disponibilité de l'information traitée.
Les canaux de communication électronique utilisés pour échanger des informations personnelles ou sensibles sont protégés contre les écoutes clandestines, la manipulation et la réutilisation non autorisée.
L'accès à du matériel cryptographique sensible, si ce dernier est utilisé pour la délivrance de moyens d'identification électronique et l'authentification, est limité aux rôles et aux applications pour lesquels il est strictement nécessaire. Il convient de s'assurer que les informations personnelles ou sensibles ne sont jamais conservées de manière permanente en texte clair.
L'hébergement des informations détenues par le fournisseur d'identité doit être réalisé conformément aux dispositions législatives et réglementaires en matière de protection des données personnelles et d'hébergement des systèmes d'information.
Le fournisseur d'identité doit mettre en place des procédures permettant de garantir que la sécurité est maintenue sur la durée et qu'il est possible de réagir aux changements des niveaux de risque, incidents et atteintes à la sécurité.
Tous les supports contenant des informations personnelles, cryptographiques ou autres informations sensibles sont stockés, transportés et mis au rebut de façon sécurisée.
Le matériel cryptographique sensible, s'il est utilisé pour la délivrance de moyens d'identification électronique et d'authentification, est protégé contre toute manipulation non autorisée.
Art. 9.
Le fournisseur d'identité doit procéder à des audits externes indépendants périodiques dont le champ couvre tous les sujets relatifs à la fourniture de ses services pour en assurer la conformité.
Lorsqu'un schéma d'identification est directement géré par une personne visée au premier alinéa de l'article premier, il est audité conformément à la réglementation en vigueur en la matière.
Art. 10.
Notre Secrétaire d'État, Notre Secrétaire d'État à la Justice, Directeur des Services Judiciaires et Notre Ministre d'État sont chargés, chacun en ce qui le concerne, de l'exécution de la présente ordonnance.
Donné en Notre Palais à Monaco, le dix-sept juin deux mille vingt-et-un.
ALBERT.
Par le Prince,
Le Secrétaire d'État :
J. BOISSON.