Délibération n° 2021-170 du 21 juillet 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre de la modification du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des mandataires agréés et des entités juridiques dans le cadre de la loi n° 1.381 », exploité par la Direction des Services Fiscaux, présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.381 du 29 juin 2011 relative aux droits d’enregistrement exigibles sur les mutations de biens et droits immobiliers ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’Ordonnance Souveraine n° 3.085 du 25 septembre 1945 relative aux droits et devoirs des agents des Services Fiscaux, modifiée ;
Vu l’arrêté ministériel n° 2011-444 du 4 août 2011 portant application de la loi n° 1.381 du 29 juin 2011 relative aux droits d’enregistrement exigibles sur les mutations de biens et droits immobiliers ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés d’informations nominatives ;
Vu la délibération n° 2012-99 du 25 juin 2012 portant avis favorable sur la demande présentée par le Ministre d’État relative à la mise en œuvre par la Direction des Services Fiscaux du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des mandataires agréés dans le cadre de la loi n° 1.381 » ;
Vu la demande d’avis déposée par le Ministre d’État, le 25 mars 2021, concernant la modification d’un traitement automatisé ayant pour finalité la « Gestion des mandataires agréés dans le cadre de la loi n° 1.381 » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 21 mai 2021, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 21 juillet 2021 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Par délibération n° 2012-99 du 25 juin 2012, la Direction des Services Fiscaux a reçu un avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des mandataires agréés dans le cadre de la loi n° 1.381 ». Si les modalités de fonctionnement de ce traitement n’ont que peu évolué, l’aspect technique de ce dernier a été largement modifié.
Conformément aux dispositions de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, le Ministre d’État soumet ainsi, à l’avis de la Commission, la modification du traitement ayant pour finalité « Gestion des mandataires agréés dans le cadre de la loi n° 1.381 ».
I. Sur la finalité et les fonctionnalités du traitement
Le traitement avait pour finalité « Gestion des mandataires agréés dans le cadre de la loi n° 1.381 ». Le responsable de traitement souhaite la faire évoluer comme suit : « Gestion des mandataires agréés et des entités juridiques dans le cadre de la loi n° 1.381 ».
Il concerne les professionnels ayant demandé un agrément, les mandataires agréés, les entités juridiques relevant de la loi n° 1.381, et de manière incidente les fonctionnaires et agents de l’État en charge du présent traitement.
Les fonctionnalités sont inchangées par rapport à la saisine initiale intervenue en 2012.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.
II. Sur la licéité et la justification du traitement
La Commission constate qu’il n’y a pas de modification relative à la licéité et la justification du traitement.
III. Sur les informations traitées
Le responsable de traitement indique qu’il n’y a pas eu de modification dans les données traitées par le biais du traitement automatisé, ni dans les éléments constitutifs du dossier de demande d’agrément.
IV. Sur les droits des personnes concernées
- Sur l’information préalable des personnes concernées
L’information préalable des personnes concernées est réalisée par une mention sur le document de collecte et une procédure interne accessible sur l’intranet.
En ce qui concerne la procédure interne, la Commission rappelle qu’il convient de s’assurer que les agents et fonctionnaires aient été informés de la mise à disposition de ce document.
En ce qui concerne l’information apportée aux mandataires, elle relève que par délibération n° 2012-99, elle avait demandé à la DSF que les mandataires puissent disposer de la faculté de s’opposer à la publication des informations les concernant sur la liste des mandataires agréés.
La Commission constate que la mention d’information a été jointe au dossier dans laquelle est insérée la phrase suivante : « la liste des mandataires agréés est diffusée, sauf opposition du mandataire ».
Elle estime que cette insertion est peu claire et pas de nature à permettre au mandataire de s’opposer de manière effective à la publication de ses informations.
La Commission demande donc à ce que la mention soit plus explicite sur la communication des informations au traitement ayant pour finalité « Assurer la diffusion d’informations institutionnelles sur la Principauté de Monaco », et de la faculté pour le mandataire de s’opposer à la publication de ses informations personnelles sur la liste des mandataires agréés accessible depuis le site du Gouvernement.
Cette faculté d’opposition devrait se traduire par une case à cocher permettant d’exercer son droit directement sur le formulaire.
En outre, ladite mention informe que les personnes concernées disposent d’un droit d’accès, rectification et d’opposition relativement aux informations objet du traitement. À cet égard, la Commission appelle qu’excepté le droit de s’opposer à figurer sur la liste publique non légalement prévue des mandataires agréés, les personnes ne disposent pas d’un droit d’opposition en l’espèce, conformément aux dispositions de l’article 13 de la loi n° 1.165 du 23 décembre 1993, modifiée.
- Sur l’exercice du droit d’accès, de modification et de mise à jour
Le droit d’accès est exercé sur place, par voie postale, ou par courrier électronique auprès de la Direction des Services Fiscaux.
S’agissant de l’exercice du droit d’accès par voie électronique, la Commission considère qu’une procédure devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.
Sous cette réserve, elle constate ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
Les accès sont définis comme suit :
- les personnels administratifs habilités de la Direction des Services Fiscaux : tout accès dans le cadre de la gestion des Droits de Mutation ;
- la Direction des Systèmes d’Information, ou tiers intervenant pour son compte, dans le cadre de leurs fonctions.
En ce qui concerne les prestataires, la Commission rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de service. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
Elle considère enfin que ces accès sont justifiés.
VI. Sur les rapprochements et les interconnexions avec d’autres traitements
Le responsable de traitement indique que le traitement est interconnecté avec le traitement légalement mis en œuvre suivant ayant pour finalité la « Gestion des habilitations et des accès au Système d’information », afin de disposer des éléments permettant de créer un compte aux utilisateurs.
Il est en outre rapproché avec les traitements légalement mis en œuvre suivants :
- « Assurer la diffusion d’informations institutionnelles sur la Principauté de Monaco » afin de permettre la diffusion de la liste des mandataires à la suite d’un export de cette liste des mandataires à partir du présent traitement ;
- « Gestion de la messagerie professionnelle », afin de permettre les échanges entre les différents acteurs du traitement ;
- « Assistance aux utilisateurs par le Centre de Service de la DSI », aux fins de recueillir les demandes en lien avec le traitement.
La Commission constate que cette interconnexion et ces rapprochements sont conformes aux exigences légales et aux finalités initiales pour lesquelles les informations nominatives ont été collectées.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.
Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Le responsable de traitement indique vouloir désormais conserver les informations :
- 10 ans après le refus d’agrément signifié au professionnel ;
- Tant que les entités juridiques pour lesquelles la personne a été mandataire existent « considérant que la DSF doit disposer d’un historique, d’une liste de mandataires d’une entité juridique », étant précisé que les informations relatives auxdites entités sont conservées 10 ans après la fin de leur existence ;
- 10 ans à compter de la fin de fonction des fonctions du mandataire, « si les entités pour lesquelles le mandataire a exercé n’existent plus ».
Il est précisé que ce « délai de 10 ans correspond au délai d’hypothèque légal ». La Commission ne comprend toutefois pas le rapport entre la conservation d’informations de candidats non retenus à l’agrément, ou ayant cessé leurs fonctions, et la nature de la prescription invoquée.
Elle relève donc que le délai initial de 3 ans après la fin du mandat devrait continuer à s’appliquer, l’ayant en 2012 jugé conforme à l’article 39 de lalLoi n° 1.381 qui dispose que « Pour l’application de la présente loi, l’action en recouvrement de la Direction des services fiscaux se prescrit au 31 décembre de la troisième année qui suit celle au titre de laquelle l’imposition est exigible. ».
La Commission considère également que les données relatives aux personnes ayant reçu un refus d’agrément doivent être supprimées au bout de 3 ans.
Comme demandé par le responsable de traitement, ces durées peuvent être allongées uniquement le temps de résolution d’une procédure contentieuse.
Après en avoir délibéré, la Commission :
Rappelle que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Considère qu’une procédure relative au droit d’accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations.
Demande que les mandataires soient valablement informés du traitement vers lequel les informations sont communiquées pour publicité de la liste des mandataires agréés, et puissent directement exercer leur opposition à ladite communication sur le document de collecte.
Fixe la durée de conservation à 3 ans à compter d’un refus d’agrément ou d’une fin de mandat.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, de la modification du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des mandataires agréés et des entités juridiques dans le cadre de la loi n° 1.381 ».
Le Président de la Commission de Contrôle des Informations Nominatives.