icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails
Voir le site en Anglais
MENU
Français | Anglais
  • Avis et Communiqués
  • Déliberations-Décisions CCIN

Délibération n° 2024‑70 du 20 mars 2024 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre de la modification du traitement automatisé d'informations nominatives ayant pour finalité « Gestion et suivi des conditions d'entrée et de séjour des résidents étrangers de la Principauté » exploitée par le Directeur de la Sûreté Publique présentée par le Ministre d'État.

  • N° journal 8689
  • Date de publication 05/04/2024
  • Qualité 100%
  • N° de page

Vu la Constitution ;

Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu la loi n° 1.362 du 3 aout 200 relative à la lutte contre le blanchiment de capitaux, le financement du terrorisme et de la prolifération des armes de destruction massive et de la corruption, modifiée ;

Vu la loi n° 1.383 du 2 août 2011 pour une Principauté Numérique, modifiée ;

Vu la loi n° 1.483 du 17 décembre 2019 relative à l’Identité Numérique ;

Vu l’Ordonnance Souveraine du 23 juin 1902 établissant une Direction de la Sûreté Publique, modifiée ;

Vu l’Ordonnance Souveraine n° 3.153 du 19 mars 1964 relative aux conditions d’entrée et de séjour des étrangers dans la Principauté, modifiée ;

Vu l’Ordonnance Souveraine n° 765 du 13 novembre 2006 relative à l’organisation et au fonctionnement de la Direction de la Sûreté Publique, modifiée ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu la délibération n° 2011‑82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;

Vu la délibération n° 2012‑69 du 14 mai 2012 de la Commission de Contrôle des Informations Nominatives portant avis favorable sur la demande présentée par le Ministre d’État relative au traitement automatisé ayant pour finalité « Gestion des conditions de séjours des résidents de la Principauté » ;

Vu la délibération n° 2021‑107 du 2 juin 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la modification du traitement automatisé d’informations nominatives ayant pour finalité « Gestion et suivi des conditions d’entrée et de séjour des résidents étrangers de la Principauté » exploité par le Directeur de la Sûreté Publique présenté par le Ministre d’État ;

Vu la demande d’avis modificative déposée par le Ministre d’État, le 11 décembre 2023, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Gestion et suivi des conditions d’entrée et de séjour des résidents étrangers de la Principauté » ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 20 mars 2024 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

Le traitement de la Direction de la Sûreté Publique (DSP) relatif à la « Gestion des conditions de séjours des résidents de la Principauté » a été mis en œuvre le 26 juin 2012, et modifié le 2 juin 2021 afin d’y inclure les modifications induites par la loi n° 1.483 du 17 décembre 2019 relative à l’identité numérique, qui octroie « Une identité numérique apportant un niveau de garantie élevé […] à toute personne physique titulaire d’un titre de séjour dans les conditions fixées par l’Ordonnance Souveraine n° 3.153 du 19 mars 1964 relative aux conditions d’entrée et de séjour des étrangers dans la Principauté, modifiée ».

Afin notamment de prévoir un accès en « recherche restreinte » au traitement par l’Autorité Monégasque de Sécurité Financière (AMSF), le Ministre d’État en soumet sa modification à l’avis de la Commission, conformément aux articles 7 et 9 de la loi n° 1.165 du 23 décembre 1993.

I.   Sur la finalité et les fonctionnalités du traitement

La Commission constate que la finalité et les fonctionnalités du traitement sont inchangées. Le responsable de traitement indique toutefois que les « agents de l’administration » sont désormais des personnes concernées par le présent traitement.

II. Sur la licéité et la justification du traitement

La justification du traitement demeure inchangée. En ce qui concerne les accès de l’AMSF, ces derniers sont justifiés par l’article 50 de la loi n° 1.362, susvisée, qui dispose qu’« Aux fins d’application de la présente loi, le service exerçant la fonction de renseignement financier de l’Autorité reçoit à leur initiative, ou se fait communiquer à sa demande, dans les plus brefs délais, même en l’absence de la déclaration prévue, selon les cas, aux articles 36 et 40, toute information ou tout document en leur possession, nécessaire à l’accomplissement de sa mission, de la part :

1°) de tout organisme ou personne visé à l’article premier et aux chiffres 1°) et 2°) de l’article 2 ;

2°) de la Direction de la Sûreté Publique, notamment en ce qui concerne les informations d’ordre judiciaire ;

3°) des autres services de l’État et de la Commune, des personnes morales investies d’une mission de service public ou d’intérêt général, et des établissements publics ;

4°) du Procureur Général ou d’autres magistrats du corps judiciaire ;

5°) des organismes nationaux remplissant des fonctions de supervision ;

6°) des organismes professionnels énumérés par arrêté ministériel, à l’exclusion de ceux des professionnels mentionnés à l’article 2 ;

7°) du Conseil de l’Ordre des avocats-défenseurs et des avocats.

(…) ».

La Commission constate ainsi que l’AMSF est fondée à se faire communiquer des informations nécessaires à l’accomplissement de ses missions par la DSP.

Le responsable de traitement indique que « Les utilisateurs externes à la DSP ayant le rôle applicatif « recherche restreinte » » ne peuvent que vérifier qu’une personne est bien résidente, étant précisé que « Ce rôle ne donne accès qu’à une seule page (recherche restreinte) et la recherche nécessite trois critères : le nom, le prénom et la date de naissance ».

En outre, « Un seul résultat est renvoyé par l’application :

-    Les données du résident (…) ;

-    Un message indiquant aucune correspondance si aucune fiche résident ne correspond aux critères ;

-    Un message demandant à l’utilisateur de contacter la DSP dans le cas où plusieurs fiches résident répondraient aux critères fournis ».

La Commission considère néanmoins que les notions de « se faire communiquer à sa demande », et de disposer d’un accès au traitement, ne sont pas similaires, même si les deux solutions reviennent in fine à disposer d’une information identique. En effet, si les demandes formulées présentent une probabilité forte d’une information ou validation hiérarchique, les consultations sur des accès dévolus peuvent permettre d’effectuer des requêtes indues.

Aussi, la Commission demande à ce que les personnes qui délivrent les habilitations au sein de l’AMSF et les transmettent à la DSP soient en retour mensuellement informées des consultations effectuées par leurs personnels afin de pouvoir apprécier la pertinence et l’absence de détournement de la finalité de ces accès.

III.   Sur les informations traitées

Les informations nominatives traitées sont :

-    Identité : nom, prénom, nom de jeune fille, titre, sexe, date et lieu de naissance, heure de naissance, nationalité (pièces d’identité, n° de pièce d’identité, date de délivrance, date de fin de validité, pays de délivrance), nom et prénom du déclarant et de son conjoint, filiation (nom et prénom des parents) ;

-    Situation de famille : célibataire, marié, divorcé, veuvage, concubinage, enfants ;

-    Adresse et coordonnées : adresse précise, adresse postale précédente, situation et composition du logement (adresse à Monaco, bloc, étage, n° d’appartement, logement, qualité (locataire, propriétaire, hébergé), surface en m², nombre de pièces principales, nombre d’occupants, nombre de places de stationnement, montant du loyer, périodicité du loyer, date de la dernière quittance), hébergeant, adresse email, numéro de téléphone ;

-    Caractéristiques financières : moyens d’existence, références bancaires, salaires ou autres, revenus ;

-    Informations temporelles : logs de connexion et d’activité des agents de la DSP, logs de connexion et d’activité des agents de l’AMSF ;

-    Photographie : enregistrement de la photographie du visage ;

-    Documents administratifs : références des pièces d’identité fournies par le demandeur, type de carte de résident obtenue, numéro et date de validité, signature ;

-    Autres : langue de correspondance, canal de communication préféré ;

-    Pièces justificatives : identité : document de voyage pour étranger, passeport diplomatique, carte d’identité, passeport ; logement (selon le cas) : acte de propriété, attestation d’hébergement, avenant + hébergement, avenant au bail, bail à loyer, bail + avenant, bail + hébergement, certificat d’hébergement, certificat de position militaire, contrat d’habitation capitalisation + hébergement, contrat ou commodat, mise à disposition, propriété + hébergement, facture d’électricité ; revenus (selon le cas) : bulletin de salaire, extrait RCI, attestation bancaire, attestation expert-comptable, allocations/pensions, attestation de prise en charge, carte d’étudiant, relevés bancaires (seulement en consultation), attestation sur l’honneur, statuts de la société, déclaration d’impôts ; jugement civil.

La Commission relève la présence de « relevés bancaires », dont la collecte n’avait pas fait l’objet de remarques de sa part au sein de la délibération n° 2021‑107, susvisée.

En effet, mentionnée en « consultation » uniquement dans la catégorie « revenu », la Commission estimait qu’il s’agissait pour un étranger d’avoir la possibilité de montrer son relevé bancaire pour attester en personne de versements d’argent justifiant de ses capacités de ressources.

Depuis, la CCIN a pu relever que la DSP sollicitait ces relevés, en remise en main propre ou par transmission e-mail, afin de faire une analyse approfondie des dépenses pour connaitre des liens de l’étranger résident à Monaco en cas notamment de renouvellement de la carte de séjour.

La Commission estime donc cette pratique abusive et trop intrusive dans la vie privée des personnes concernées, lesdits relevés pouvant refléter des dépenses revêtant un caractère intime. Elle exclut en conséquence toute collecte ou consultation des relevés bancaires par la DSP.

En outre, la Commission avait attiré dans sa délibération n° 2021‑107, susmentionnée, l’attention du responsable de traitement sur la qualité des observations pouvant être mentionnées dans l’espace commentaire et notamment la nécessité de n’y inscrire aucune information interdite au sens de l’article 12 de la loi n° 1.165, modifiée. Celui-ci précise désormais que « seuls des enquêteurs assermentés et supervisés (qui ont le droit de modifier la fiche de l’usager) ont le droit d’utiliser cet espace commentaire. L’espace sert uniquement au suivi du dossier ». La Commission en prend acte.

Sous la réserve relative aux relevés bancaires, elle considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.

IV.   Sur les droits des personnes concernées

  •   Sur l’information préalable des personnes concernées

L’information préalable des personnes concernées est réalisée via une mention sur le document de collecte, qui est jointe au dossier.

La Commission constate qu’elle est conforme aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.

Est également porté au dossier le point « Identité des destinataires » des Conditions Générales d’utilisations des téléservices.

  •   Sur l’exercice du droit d’accès, de modification et de mise à jour

Les modalités d’exercice du droit d’accès sont inchangées.

V. Sur les destinataires et les personnes ayant accès au traitement

  • Sur les destinataires

Par délibérations n° 2012‑69 et n° 2021‑107, précitées, la Commission avait demandé à ce qu’il soit mis fin à la communication d’informations vers le Service des Titres de la Circulation. Le responsable de traitement indique que ce Service n’est plus destinataire d’informations issues du présent traitement. La Commission lève donc sa réserve sur ce point.

  •   Sur les personnes ayant accès au traitement

Les accès sont désormais définis comme suit :

-    le personnel habilité de la Direction de la Sûreté Publique pour le traitement des demandes ;

-    les personnels supports de la Direction des Systèmes d’Information (DSI), ou tiers intervenant pour son compte, en cas de besoin et sur autorisation de la DSP ;

-    les personnels habilités de l’AMSF, en accès restreint aux fins de connaitre si une personne est résidente en Principauté.

En ce qui concerne les prestataires, la Commission rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993 les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de service. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.

Sous cette réserve, la Commission considère que ces accès sont justifiés.

VI.   Sur les rapprochements et les interconnexions

En 2021, le présent traitement était rapproché ou interconnecté avec sept traitements, dont deux traitements non encore soumis à formalité à cette date et un traitement qui était concomitamment analysé.

Aussi, la Commission avait indiqué que « Concernant les interconnexions avec les traitements concomitamment soumis ou non encore déposés, la Commission rappelle qu’elles ne peuvent être effectives qu’une fois les traitements ayant légalement été mis en œuvre ».

Elle constate désormais que l’ensemble de ces traitements a été mis en œuvre. La Commission lève donc sa réserve sur ce point.

Enfin, il est indiqué que le traitement est désormais interconnecté avec le traitement légalement mis en œuvre ayant pour finalité la « Gestion des accès dédiés au système d’information », afin d’assurer la sécurité des accès au SI par les administrateurs systèmes de la DSI.

VII.  Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation. Le responsable de traitement précise en outre que les ports non utilisés sont désactivés et les serveurs, périphériques, équipements de raccordements ainsi que les comptes utilisateurs et administrateurs sont protégés nominativement par un identifiant et un mot de passe réputé fort. Il indique de plus que les communications sont sécurisées en tenant compte de la nature des informations transmises.

La Commission rappelle enfin que chaque responsable métier doit régulièrement procéder à une vérification interne des « logs » d’accès afin de s’assurer de la pertinence et de la justification desdits accès.

VIII. Sur la durée de conservation

Les durées de conservation demeurent inchangées. Il est toutefois précisé que les données de journalisation sont désormais conservées 10 ans, comme fixé par la Commission dans sa délibération n° 2021‑107, susvisée.

Après en avoir délibéré, la Commission :

Exclut toute collecte ou consultation des relevés bancaires des demandeurs.

Demande que les personnes qui délivrent les habilitations au sein de l’AMSF et les transmettent à la DSP soient en retour mensuellement informées des consultations effectuées par leurs personnels afin de pouvoir apprécier la pertinence et l’absence de détournement de la finalité de ces accès.

Rappelle que chaque responsable métier doit régulièrement procéder à une vérification interne des « logs » d’accès afin de s’assurer de la pertinence et de la justification desdits accès.

Sous le bénéfice de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre de la modification, par le Ministre d’État, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion et suivi des conditions d’entrée et de séjour des résidents étrangers de la Principauté ».

 

Le Président de la Commission de Contrôle
des Informations Nominatives.

Visualiser le journal
au format PDF 1,18 MB
Télécharger le journal
au format PDF 1,18 MB
Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14