Délibération n° 2024‑113 du 15 mai 2024 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Demander l'obtention d'un extrait aux informations portées au registre des bénéficiaires effectifs par voie dématérialisée » exploité par la Direction du Développement Économique (DDE) présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.362 du 3 août 2009 relative à la lutte contre le blanchiment de capitaux, le financement du terrorisme et de la prolifération des armes de destruction massive et la corruption, modifiée ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’Ordonnance Souveraine n° 2.318 du 3 août 2009 fixant les conditions d’application de la loi n° 1.362 du 3 août 2009 relative à la lutte contre le blanchiment de capitaux, le financement du terrorisme et de la prolifération des armes de destruction massive et la corruption, modifiée ;
Vu l’Ordonnance Souveraine n° 9.827 du 15 mars 2023 instituant une Direction du Développement Économique ;
Vu la délibération n° 2011‑82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés d’informations nominatives ;
Vu la délibération n° 2020‑113 du 1er juillet 2020 de la Commission de Contrôle des Informations Nominatives portant avis sur la consultation du Ministre d’État relative au projet de loi renforçant le dispositif de lutte contre le blanchiment de capitaux, le financement du terrorisme et la corruption ;
Vu la délibération n° 2021‑200 du 15 septembre 2021 de la Commission de Contrôle des Informations Nominatives portant avis sur la consultation du Ministre d’État relative aux projets d’Ordonnances Souveraines portant modification de l’Ordonnance Souveraine n° 2.318 du 3 août 2009 fixant les conditions d’applications de la loi n° 1.362 du 3 août 2009, modifiée, relative à la lutte contre le blanchiment de capitaux, le financement du terrorisme et la corruption, modifiée ; portant application de la loi n° 214 du 27 février 1936 portant révision de la loi n° 207 du 12 juillet 1935 sur les trusts, modifiée ;
Vu la demande d’avis déposée par le Ministre d’État, le 5 février 2024, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité le « Demander l’obtention d’un extrait aux informations portées au registre des bénéficiaires effectifs par voie dématérialisée » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 4 avril 2024, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 15 mai 2024 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La loi n° 1.503 du 23 décembre 2020 renforçant le dispositif de lutte contre le blanchiment de capitaux, le financement du terrorisme et la corruption, puis la loi n° 1.520 du 11 février 2022 complétant la loi n° 1.503 du 23 décembre 2020 renforçant le dispositif de lutte contre le blanchiment de capitaux, le financement du terrorisme et la corruption, et enfin la loi n° 1.549 du 6 juillet 2023 portant adaptation de dispositions législatives en matière de lutte contre le blanchiment de capitaux, le financement du terrorisme et de la prolifération des armes de destruction massive (Partie I), sont venues renforcer les dispositions de la loi n° 1.362, susvisée, et notamment en ce qui concerne les bénéficiaires effectifs.
En ce qui concerne la Direction du Développement Économique (DDE), est désormais annexé au répertoire du commerce et de l’industrie dont l’exploitation relève de ses missions, le « registre des bénéficiaires effectifs - sociétés et GIE - ». Elle souhaite permettre de demander l’obtention d’un extrait du registre par voie dématérialisée « aux personnes visées aux chiffres 1 à 3 de l’article 22‑6 de la loi n° 1.362 ».
Il est en effet précisé que « l’extrait BE [Bénéficiaire Effectif] ne sera en aucun cas délivré par le biais du téléservice. Il sera délivré sur place au guichet dédié aux Bénéficiaires Effectifs relevant du Service du RCI après vérification de la conformité, au regard de la loi n° 1.362 du 3 août 2009 relative à la lutte contre le blanchiment de capitaux, le financement du terrorisme et de la prolifération des armes de destruction massive et la corruption, des éléments communiqués par le biais du téléservice et de la qualité du demandeur. (…) Les formalités effectuées par le biais de ce téléservice consistent donc exclusivement à déposer un dossier de demande de délivrance d’un extrait BE en vue d’accélérer la procédure de délivrance de ce dernier aux seules personnes autorisées ».
Aussi, conformément aux dispositions de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, le Ministre d’État soumet à l’avis de la Commission le traitement ayant pour finalité « Demander l’obtention d’un extrait aux informations portées au registre des bénéficiaires effectifs par voie dématérialisée ».
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Demander l’obtention d’un extrait aux informations portées au registre des bénéficiaires effectifs par voie dématérialisée ».
Il concerne :
- les agents habilités du Service du RCI de la DDE ;
- les personnes visées aux chiffres 1 à 3 de l’article 22‑6 de la loi n° 1.362, dont les personnes désignées responsables des informations élémentaires et des informations sur les bénéficiaires effectifs conformément au paragraphe II de l’article 22‑1 pour les seules informations déclarées par les personnes qui les ont désignées ;
- les personnes morales visées par la demande.
Les fonctionnalités sont :
• Pour les usagers :
- effectuer une demande d’obtention d’extrait BE : saisie des informations sur l’objet de la demande, le statut du demandeur, concernant le demandeur et concernant la personne morale visée ;
- import des pièces justificatives afférentes ;
- mettre sa demande en brouillon pour finaliser sa complétion plus tard ;
- compléter les informations manquantes ;
- annulation d’une déclaration par l’usager ou par un agent ;
- désinscription au téléservice par l’usager.
• Pour les agents de la DDE :
- étudier la recevabilité de la demande et la traiter ;
- demander à l’usager de rectifier ou de compléter des informations relatives à son dossier de demande de délivrance d’extrait et lui permettre, le cas échéant, de compléter son dossier de demande ;
- annulation d’une déclaration ;
- envoyer un courriel de confirmation d’enregistrement électronique de la demande, d’annulation de la demande et de désinscription de la démarche en ligne ;
- visualiser et/ou exporter les pièces justificatives déposées et informations renseignées sur le téléservice par le demandeur afin d’analyser sa demande ;
- export des demandes pour réaliser les statistiques anonymisées ;
- informer le demandeur que son extrait lui sera délivré ou qu’il ne sera pas donné suite à sa demande.
Il est précisé que « la création du compte usager se fait via monGuichet.mc. Le téléservice récupère l’adresse email grâce à ce compte ».
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié selon les fonctionnalités par un motif d’intérêt public, une obligation légale à laquelle il est soumis, le consentement des personnes concernées et la réalisation d’un intérêt légitime.
À titre liminaire, la Commission constate que l’obligation légale soulevée en l’espèce correspond aux textes imposant à la DDE ses missions. Elle estime donc que l’obligation légale s’analyse en fait comme un motif d’intérêt public.
Concernant celui‑ci, il est indiqué qu’en application de l’article 3‑2 de l’Ordonnance Souveraine n° 9.827 du 15 mars 2023 instituant une Direction du Développement Économique « La Direction du Développement Économique est notamment chargée (…) de la tenue du répertoire du commerce et de l’industrie, du registre spécial des sociétés civiles, du registre des bénéficiaires effectifs (…). L’article 6 dispose quant à lui que pour l’accomplissement de ses missions, la Direction du Développement Économique met en œuvre des traitements automatisés ou non d’informations nominatives (…) ».
En outre, la Section V de la loi n° 1.362, susvisée, vient encadrer la gestion des bénéficiaires économiques, notamment par la DDE.
En ce qui concerne plus spécifiquement la communication des informations du registre des bénéficiaires effectifs, l’article 22‑6 de la loi n° 1.362 dispose que :
« Les informations du registre visé au premier alinéa de l’article 22 sont également accessibles :
1°) aux personnes morales visées au troisième alinéa de l’article 21 pour les seules informations qu’elles ont déclarées ;
2°) aux organismes et aux personnes visés aux articles premier et 2 dans le cadre des mesures de vigilance à l’égard de leur clientèle, avec l’information concomitante de la personne morale concernée ou de la personne désignée responsable des informations élémentaires et des informations sur les bénéficiaires effectifs conformément au paragraphe II de l’article 22‑1 ;
3°) aux personnes désignées responsables des informations élémentaires et des informations sur les bénéficiaires effectifs conformément au paragraphe II de l’article 22‑1 pour les seules informations déclarées par les personnes qui les ont désignées.
Le service du répertoire du commerce et de l’industrie communique ces informations sous la forme d’un extrait du « registre des bénéficiaires effectifs - sociétés et GIE - ».
Les organismes et personnes visés aux articles premier et 2 ne doivent pas se fonder uniquement sur l’examen et le contenu de l’extrait du registre pour remplir leurs obligations de vigilance. Ces obligations sont remplies en appliquant une approche fondée sur les risques.
Les conditions d’accès au registre et les conditions d’application du présent article sont fixées par ordonnance souveraine ».
Les conditions d’application sont fixées par l’Ordonnance Souveraine n° 2.318, précitée, qui dispose en son article 62 que :
Article 62
« En application du chiffre 2°) du premier alinéa de l’article 22‑6 de la loi n° 1.362 du 3 août 2009, modifiée, susvisée, l’accès aux informations du « registre des bénéficiaires effectifs - sociétés et GIE - » aux organismes et personnes visés aux articles premier et 2 de la loi n° 1.362 du 3 août 2009, modifiée, susvisée, dans le cadre de la mise en œuvre de leurs obligations de vigilance, est conditionné par la remise au service du répertoire du commerce et de l’industrie, d’une déclaration signée par le représentant légal de la personne requérante ou par une personne dûment habilitée en son sein.
À peine d’irrecevabilité, cette déclaration est accompagnée :
1°) d’une copie d’une pièce d’identité en cours de validité du signataire ;
2°) de la confirmation que la personne requérante appartient à l’un des organismes et des personnes visés à l’article premier et 2 de la loi n° 1.362 du 3 août 2009, modifiée, susvisée ;
3°) de la justification de l’information portée à la connaissance de la personne morale concernée ou de la personne désignée responsable des informations élémentaires et des informations sur les bénéficiaires effectifs conformément au paragraphe II de l’article 22‑1 de la loi n° 1.362 du 3 août 2009, modifiée, susvisée, de la demande d’accès au registre par le professionnel concerné, par tout moyen.
La déclaration précise :
1°) la forme juridique, la dénomination ou raison sociale et le numéro d’immatriculation de la société ou du groupement d’intérêt économique objet de la demande ;
2°) si le requérant est une personne physique, ses nom, nom d’usage, surnom ou pseudonyme, prénoms, date et lieu de naissance, nationalité, adresse personnelle ;
3°) si le requérant est une personne morale, sa forme juridique, sa dénomination ou raison sociale, son siège social, son numéro d’immatriculation, ainsi que le nom, nom d’usage, surnom ou pseudonyme, prénoms, date et lieu de naissance, nationalité(s) de la personne habilitée à agir pour son compte ;
4°) la confirmation que la demande d’accès aux informations du « registre des bénéficiaires effectifs - sociétés et GIE - » intervient dans le cadre de la mise en œuvre des mesures de vigilance à l’égard d’une relation d’affaires, en application du Chapitre II de la loi n° 1.362 du 3 août 2009, modifiée, susvisée.
Les informations visées au premier alinéa de l’article 61 sont communiquées au requérant sous la forme d’un extrait et moyennant le paiement d’une redevance dont le montant est fixé par arrêté ministériel ».
La Commission relève en outre que le présent traitement ne concerne pas l’article 22‑7 de la loi n° 1.367, qui prévoit l’accès aux informations pour : « Toutes autres personnes que celles visées aux articles 22‑5 et 22‑6 (…) ».
Cet élément rend nécessaire d’effectuer un rappel sur les délibérations de la Commission n° 2020‑113 du 1er juillet 2020 et n° 2021‑200 du 15 septembre 2021, portées aux visas de la présente délibération, en ce qui concerne plus particulièrement les conditions d’accès au Registre des bénéficiaires effectifs. La Commission constate ainsi que la notion d’accès s’entend en réalité comme une communication d’information par le biais d’un extrait BE uniquement retirable au sein des locaux de la DDE. Elle rappelle ainsi que la notion d’« accès » impliquerait normalement la possibilité pour les demandeurs de se connecter au Registre, ce qui n’est pas le choix retenu. La Commission relève donc que les terminologies employées, qui s’inscrivent dans les demandes de Moneyval, ne sont pas en accord avec le sens des mots et les solutions techniques y afférentes. Il s’infère de ce choix qu’à chaque demande, les mêmes personnels d’établissements bancaires doivent fournir les pièces justificatives demandées, dont leurs documents d’identité, rendant la démarche plus compliquée pour les organismes et les personnes visés à l’article premier et 2 de la loi n° 1.362 du 3 août 2009, voire quasi impossible pour les personnes soumises au régime de l’article 22‑7, non concernées par le présent traitement.
Par ailleurs, le présent traitement trouve son fondement dans la volonté de l’Administration de simplifier les démarches administratives des administrés en leur permettant de déposer leur demande depuis la démarche en ligne, sans se déplacer et sans autre démarche, ce qui s’inscrit dans le cadre de l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré. À cet égard, la Commission rappelle que conformément aux dispositions de l’article 43 de l’Ordonnance Souveraine susvisée « (…) la création d’un téléservice ne saurait toutefois avoir pour effet de supprimer la possibilité pour l’usager, d’accomplir les démarches, formalités ou paiements qui en sont l’objet par des voies autres qu’électroniques ».
Enfin, concernant le consentement de la personne concernée, celui‑ci est formalisé par un acte positif clair, matérialisé par le biais d’une case à cocher, laquelle mentionne, « j’accepte que mes données personnelles soient traitées dans le cadre du téléservice « Demander l’obtention d’un extrait aux informations portées au registre des bénéficiaires effectifs par voie dématérialisée » ainsi que par l’obligation préalable d’accepter les conditions générales d’utilisation du téléservice, indispensable pour la création du compte sécurisé et l’accès à la démarche en ligne. La Commission rappelle que le traitement ne peut pas être justifié par le consentement sur ce qui relève des missions d’intérêt public de la DDE.
Sous ces réserves, la Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10‑1 et 10‑2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Le responsable de traitement indique que les informations nominatives traitées sont :
- identité : requérant personne physique : titre, nom d’usage, nom de naissance, prénoms, date de naissance, lieu de naissance, nationalité, statut de représentant légal de la personne morale visée par la demande ou non ; personne morale/ou requérant personne morale : numéro d’immatriculation (personne morale visée uniquement), forme juridique, dénomination sociale ou raison sociale, adresse du siège social ; personne habilitée à agir pour le compte de la personne morale : nom, nom d’usage, surnom ou pseudonyme, prénoms, date de naissance, lieu de naissance, nationalité(s) ;
- adresses et coordonnées : requérant personne physique : adresse email, adresse postale ; personne habilitée à agir pour le compte de la personne morale : adresse email ;
- données d’identification électronique : identifiant technique de l’usager ;
- informations temporelles : données d’horodatage ;
- données de connexion des usagers : logs de connexion de l’usager stockés dans Monguichet : username, usargerld, ipAdresse ; logs de connexion de l’usager stockés dans le module frontoffice du téléservice : username, usargerld ;
- données de connexion des agents traitants : logs de connexions stockés dans le module backoffice du téléservice : matricule, nom, email ;
- informations complémentaires relatives à la démarche en vue d’effectuer une demande d’obtention : justificatif d’identité en cours de validité (pièce d’identité, passeport, carte de séjour monégasque), confirmation que la personne requérante appartient à l’un des organismes et des personnes visés à l’article premier et 2 de la loi n° 1.362 du 3 août 2009, modifiée susvisée (extrait RCI, extrait registre spécial des sociétés civiles, copie d’une autorisation ministérielle d’exercer ou de tout document légal permettant de vérifier que le requérant appartient à l’un des organismes et des personnes visés aux articles premier et 2 de la loi n° 1.362), demande d’obtention d’extrait, pouvoir spécial, justification de l’information portée à la connaissance de la personne morale désignée responsable des informations élémentaires et des informations sur les bénéficiaires effectifs conformément au paragraphe II de l’article 22‑1 de la loi n° 1.362, de la demande d’accès au registre par le professionnel concerné par tout moyen (copie du courrier adressé à l’entité objet de la demande, lequel doit clairement indiquer que l’entité a bien été informée qu’une demande d’accès à ses informations BE sera effectuée, de manière à lui permettre de s’opposer le cas échéant, à l’accès aux informations selon la procédure en vigueur) ;
- déclarations : déclaration sur l’honneur de remplir les critères d’obtention d’un extrait BE ;
- mandats de représentation - informations du mandant : si le mandataire est une personne physique : civilité, nom, nom d’usage, surnom ou pseudonyme et prénoms, date et lieu de naissance, nationalité, adresse personnelle ; si le mandataire représente une personne morale : fonction au sein de la société, numéro d’immatriculation, forme juridique, dénomination sociale, adresse du siège social ;
- mandats de représentation - informations du mandataire : civilité, nom, nom d’usage, prénoms, dénomination sociale de la société pour laquelle il travaille s’il s’agit d’un salarié ;
- informations relatives à l’entité objet de la demande d’extrait : forme juridique, dénomination ou raison sociale, numéro d’immatriculation de la société ou du groupement d’intérêt économique ;
- observations des agents traitants de la DDE : champ observations rempli par les agents traitants pour leur permettre d’instruire au mieux les demandes, facultatif et non systématique, en lien avec le caractère particulier de certaines demandes et au caractère confidentiel des informations relatives aux BE.
Le responsable de traitement indique que la modification de la catégorie « données de connexion des usagers » et l’ajout de la catégorie « données de connexion des agents traitants », ainsi que les durées de conservation y relatives visées au point VIII de la présente délibération concernent « l’ensemble des téléservices hébergés sur MonGuichet ». La Commission en prend acte.
S’agissant de la rubrique relative aux observations, la Commission appelle l’attention du responsable de traitement sur la nécessaire adéquation entre les commentaires et la finalité du traitement. Il doit ainsi s’assurer de la qualité des informations contenues, qui ne doivent pas notamment pouvoir contenir d’informations interdites au titre de l’article 12 de la loi n° 1.165, modifiée.
En ce qui concerne le courrier qui « doit clairement indiquer que l’entité a bien été informée qu’une demande d’accès à ses informations BE sera effectuée, de manière à lui permettre de s’opposer le cas échéant, à l’accès aux informations selon la procédure en vigueur », la Commission relève qu’il ne s’agit pas d’un droit d’opposition au sens de l’article 22‑8 de la loi n° 1.165 mais au sens de la loi n° 1.362, modifiée, susvisée et 63‑1 et suivants de l’Ordonnance Souveraine n° 2.318.
À cet égard, la Commission s’interroge sur les modalités de mise en œuvre de ces restrictions, notamment en ce qui concerne l’éventuelle information de l’existence d’un tel recours audit bénéficiaire, et le délai durant lequel ce dernier peut s’opposer à la demande d’extrait de l’information. Cette question relative à la mise en œuvre de cette restriction est d’autant plus prégnante que la DDE n’est informée qu’une fois la requête effectuée auprès du Président du Tribunal de première instance, par le bénéficiaire effectif, qui se doit également d’informer la DDE. Ses informations ont donc pu être consultables par les organismes et personnes visés à l’article premier et 2 de la loi n° 1.362 du 3 août 2009 durant un certain laps de temps.
Par ailleurs, l’origine des informations n’appelle pas d’observation.
Sous ces réserves, la Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
> Sur l’information préalable des personnes concernées
Les usagers sont informés de leurs droits par le biais d’une mention particulière intégrée dans un document d’ordre général.
Il convient à cet égard de noter que pour accéder à la démarche, les usagers doivent cocher une case indiquant qu’ils ont accepté les Conditions Générales. Ces dernières, jointes au dossier, comportent l’ensemble des éléments exigés par l’article 14 de la loi n° 1.165, modifiée. La Commission appelle toutefois l’attention du responsable de traitement sur les justifications du traitement qui sont trop nombreuses, comme indiqué au point II de la présente délibération, dont les personnes concernées sont informées.
De plus, le guide utilisateur précise les conditions d’accès audit téléservice, qui s’adresse uniquement aux personnes visées à l’article 22‑6 de la loi n° 1.362.
En outre, est mis à disposition sur le téléservice une politique cookie, étant précisé que seuls des cookies techniques sont utilisés, ou des cookies statistiques anonymisant les deux derniers octets de l’adresse IP.
L’information préalable des agents de la DDE s’effectue par le biais d’un affichage et d’une note de service ayant pour objet « Information des agents de la DDE quant à l’utilisation des informations nominatives les concernant », dont le contenu est conforme aux dispositions de l’article 14 de la loi n° 1.165, modifiée. Il est précisé que cette note est adressée aux intéressés par email sur leur messagerie professionnelle, en plus d’être affichée dans une pièce commune, permettant ainsi de s’assurer que chaque agent est individuellement informé.
Sous la réserve précitée, la Commission considère que l’information des personnes concernées est conforme à l’article 14 de la loi n° 1.165 du 23 décembre 1993.
> Sur l’exercice du droit d’accès, de modification et de mise à jour
Le droit d’accès est exercé par voie postale, par voie électronique ou sur place auprès de la Direction du Développement Économique.
S’agissant de l’exercice du droit d’accès par voie électronique, la Commission considère qu’une procédure devra être mise en place afin que le responsable de traitement puisse s’assurer en cas de doute que l’expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015‑113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.
Elle relève à cet égard que le responsable de traitement indique que « Pour la DDE, le seul moyen de vérifier l’identité de la personne est la communication de la copie de sa pièce d’identité. La DDE s’engage à détruire la pièce dès que la demande aurait été traitée ». Il résulte en outre des Conditions Générales d’utilisation que la DDE demande un justificatif d’identité en noir et blanc, barré, conformément à la délibération n° 2015‑113 précitée.
La Commission constate ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
Les accès sont définis comme suit :
- les personnels de la Direction de l’Expansion Économique : tous droits dans le cadre de leurs missions ;
- les personnels de la Direction des Systèmes d’Information (DSI) ou tiers intervenant pour son compte : dans le cadre des missions de maintenance, développement des applicatifs nécessaires au fonctionnement du site et de sécurité du site et du système d’information de l’État après création d’un ticket pour ouverture des droits, accès sécurisé par la procédure des accès dédiés et sans accès aux données des usagers ;
- les personnels de la Direction des Services Numériques (DSN) ou tiers intervenant pour son compte : dans le cadre d’un rôle d’assistance à maîtrise d’ouvrage, des missions de maintenance, de développement des applicatifs nécessaires au fonctionnement du site et de sécurité du site et du système d’information de l’État après création d’un ticket pour ouverture des droits.
Le responsable de traitement précise qu’un mois après l’ouverture du téléservice en configuration, les accès tous droits des agents de la DSN seront restreints et que seules quelques personnes de la DSN auront accès au téléservice avec le rôle d’administrateur fonctionnel, sans accès aux données des usagers.
En ce qui concerne les tiers intervenant pour le compte de la DSI et de la DSN, la Commission rappelle que, conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, leurs droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de services. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
Sous cette réserve, la Commission considère que ces accès sont justifiés au regard du traitement.
VI. Sur les rapprochements et les interconnexions avec d’autres traitements
Le responsable de traitement indique que le présent traitement fait l’objet d’interconnexions avec les traitements légalement mis en œuvre ayant pour finalités :
- « Gestion du compte permettant aux usagers d’entreprendre et suivre des démarches par téléservices », pour permettre aux usagers d’accéder au traitement via leurs comptes ;
- « Gérer les habilitations des agents et fonctionnaires de l’État aux téléservices contenus dans le « Guichet Virtuel » », afin de permettre le suivi des demandes des usagers par les personnes autorisées ;
- « Gestion des habilitations et des accès au Système d’information », afin de disposer des éléments permettant de créer un compte aux utilisateurs ;
- « Gestion et analyse des évènements du système d’information » à des fins de traçabilité et de sécurité ;
- « Gestion des accès dédiés au Système d’Information du Gouvernement », afin d’assurer la sécurité des accès au SI par les administrateurs système ;
Il est également rapproché des traitements légalement mis en œuvre suivants :
- « Assistance aux utilisateurs par le Centre de Service de la DSI », afin de permettre de gérer les accès aux traitements, de demander la création d’un compte utilisateur ou de demander sa suspension ou sa suppression, de faire remonter un incident ou une difficulté afin que celui‑ci soit remonté aux personnes habilitées à répondre ou à traiter le sujet et de suivre la prise en compte de leur(s) demande(s) ;
- « Gestion de la messagerie professionnelle », afin de permettre aux acteurs du traitement de pouvoir échanger, d’afficher et de synchroniser les calendriers, de gérer les contacts si l’utilisateur a paramétré ces options ;
La Commission considère que ces rapprochements sont conformes aux exigences légales.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.
Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui‑ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Les informations sont conservées :
- 3 mois à compter de la clôture de la demande en ce qui concerne l’identité, les adresses et coordonnées, les informations complémentaires relatives à la démarche, les déclarations, les mandats de représentation, les informations relatives à l’entité objet de la demande d’extrait et les observations des agents traitants de la DDE ;
- 1 an pour les données d’identification électronique et les informations temporelles ;
- 90 jours pour les logs applicatifs côté serveur MonGuichet ;
- tant que le compte est actif au niveau base de données MonGuichet ;
- 30 jours pour les logs applicatifs du téléservice et les données de connexion des agents traitant.
La Commission considère que ces durées de conservation sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Prend acte que la modification de la catégorie « données de connexion des usagers » et l’ajout de la catégorie « données de connexion des agents traitants », ainsi que les durées de conservation y relatives visées au point VIII de la présente délibération concernent « l’ensemble des téléservices hébergés sur MonGuichet ».
Estime que les modalités de demande de restrictions par les bénéficiaires effectifs en application de l’article 22‑8 alinéa 2 de la loi n° 1.362, exercée par voie de requête, et leur impact sur les demandes d’extrait par les organismes et personnes visés aux articles premier et 2 de la loi n° 1.362 ne sont pas claires ; ainsi, il n’est pas précisé sur quelle entité reposerait une éventuelle obligation d’information des bénéficiaires effectifs de l’existence d’un tel recours, ni le délai dans lequel ce recours serait enfermé.
Rappelle que :
- Les observations/commentaires doivent être proportionnés et en adéquation avec la finalité du traitement ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
Considère qu’une procédure relative au droit d’accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, du traitement automatisé d’informations nominatives ayant pour finalité « Demander l’obtention d’un extrait aux informations portées au registre des bénéficiaires effectifs par voie dématérialisée ».
Le Président de la Commission de Contrôle
des Informations Nominatives.